[Comm] ALTLinux и Microsoft Active Directory
Дмитрий
=?iso-8859-1?q?ddv_=CE=C1_nevod=2Eru?=
Чт Янв 24 12:20:30 MSK 2008
Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv на nevod.ru <mailto:ddv на nevod.ru>> написал(а):
>
>
> Так или иначе пользователь должен храниться в LDAP'е AD и иметь
> SID/GID(без последних 4х символов) домена. Те пользователи которые
> являются админами домена должны иметь GID соответствующий группе
> "Domain
> Admins". В Linux если настроить аутентификацию/авторизацию PAM через
> kerberos или winbind, то этотго пользователя можно использовать в
> Linux-системе. Чтобы этого пользователя включить в группу wheel, нужно
> чтобы в LDAP'е AD были атрибуты Posix(uidNumber,gidNumber, ...),
> которые
> там отсутствуют. Существует патч для AD, который добавляет эти
> атрибуты.
>
>
> Я уже создал пользователя с таким же логином, как и в AD, при
> установке ALT и он
> включен в группу wheel. А потом я уже пытаюсь ввести компьютер в домен.
> Или это не правильный путь?
>
чесно говоря, так не пробовал, но по логике тут у Вас получится следуюющее.
если настроен pam например через winbind, то getent passwd поидее должен
возвратить 2х пользователей с одинаковыми именами, но с разными
идентификаторами. В линуксе под какими идентификаторами вы работает
зависить будет от того в каком порядке выполняется
аутентификация/авторизация в pam. Если работаете под uid/gid линукс
системы, то права не сможете получить к файлам зайдя по самбе. Если вас
авторизует сначала winbind, то значет Вы не в группе wheel. Можете
написать враппер для winbind'а. Т.е. подменять uid и gid системными, но
я думаю это не лучшее решение.
Подробная информация о списке рассылки community