[Comm] AD LDAP под юниксовые нужды

[Anthony]

Доброго всем дня.

Есть у меня одна интересная идея.
Собственно вот окуда у неё растут ноги:
журнал "Системный администратор" №12 от декабря 2004 - Единая учётная запись
для Windows и UNIX в Active Directory. - Игорь Полянский.

В настоящее время достаточно подробно описан способ как можно авторизоваться
на юниксе при помощи samba-winbind

В приведенном источнике описывается альтернативный способ (на мой взгляд
идеологически более правильный) как реализовать почти тоже самое но без
промежуточного звена - samba, а при помощи модуля аутентификации pam_ldap.

В MS AD добавляется схема под юниксовые аккаунты, где хранятся пароль, uid,
gid, shell и т. п. Как утверждает автор, добавить такую схему проще всего
установив на машину с AD SFU (Service For Unix), в результате появляются
соответствующие записи во вкладке юзера. В LDAP браузере их можно без труда
лицезреть:
msSFU30Name: admin2
msSFU30UidNumber: 10002
msSFU30GidNumber: 10000
msSFU30LoginShell: /bin/bash
msSFU30Password: ABCD!efgh12345$67890
msSFU30NisDomain: clevers
msSFU30HomeDirectory: /home/admin2
После чего настраиваются модули pam и nsswitch. Вот после чего у нас
появляется возможность использовать непосредственно AD для различного рода
авторизаций и т п
Где и кому это нужно каждый сам решит, вот у меня есть желание для некоторых
юзеров локалки автоматом предоставлять доступ к почтовому ящику и управлять
доступом в инет - если всё это будет рулиться централизовано - забот
поубавится и в голове место освободится ))

Ну что? Единомышленники есть?
Кому интересно будем дружить ))

На данный момент вкрячил в AD SFU3.5 (http://www.microsoft.com/windows/sfu)
В линукс имплантировал pam_ldap, nsswitch - всё правим по ситуации,
настраиваеи соединение ldap.conf, где указываем чё и где nss будет мапить.
В доках к pam_ldap уже есть готовый system-auth, им можно смело заменить то
что у вас лежит в /etc/pam.d/ , а дальше... дальше будем посмотреть
!!! Минздрав предупреждает !!! - игры с pam чреваты серьёзными последствиями
для вашего компьютера!
(Может получиться так что собака не признает своего хозяина и не пустит в дом
поэтму рекомендуется держать ещё одну дверь открытой :))
Если всё нормально, то команда:
getent passwd
выдаст в добавок к системным логинам ещё и логины в AD для которых имеются
записи SFU.
Вот вроде всё что я пока сделал. Далее идут грабли, но не страшные:
Не получается поднять модуль pam_ldap для какой-нибудь из служб, например
sshd. Я попробовал добавить в эту цепочку sufficient pam_ldap.so, но при
попытке коннекта по ssh меня учтиво посылают, а в логах наблюдаю
sshd: .... "Unknown user" ...
pam_tcb: .... "UNKNOWN USER"...
Как видно дело до pam_ldap не доходит :((
- Нужен тот кто писал настройки модулей PAM, т к в альте успешно используется
  TCB, то тут возникает куча нюансов, поэтому как бы так аккуратно добавить
модуль pam_ldap совместно с остальными, чтобы ничего не нарушить.
 
С уважением, Антон 
-- 
ООО "ИСК "Клевер"