[devel] Графическая аутентификация в домен AD

Пт Дек 12 13:23:33 MSK 2008

12 декабря 2008 г. 13:12 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov at gmail.com> написал:
>
>
> 12 декабря 2008 г. 11:45 пользователь Evgeny Sinelnikov  написал:
>>
>> К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>
> А серверу DNS сказали принимать апдейты от клиентов ?
> В  bind/etc/local.conf
> типа
> acl AD-Фирма-Ltd {
>         192.168.1.1;
> };
>
> zone "breg.ltd" {
>         type master;
>         allow-update {AD-Фирма-Ltd;};
>         check-names ignore;
>         file "фирма.ltd";
> };
>
> И тогда клиент с адресом 192.168.1.1будет обновлять свои записи в DNS ...
> Точнее, все, кто перечислен в acl AD-Фирма-Ltd ...
>

Да, этот вопрос ставился на конференции... Но всё дело в том, что,
во-первых, там не bind, а виндовый DNS, в котором динамически
обновляют записи виндовые клиенты. Во-второых механизм, которы вы
предлагаете не подразумевает никакой аутентификации.

То есть потенциально, в вашем варианте, любой хост может присвоить
себе любое имя... В случае же с аутентификацией, хост может изменить
только то, что ему позволено, как аутентифицированному по SPN члену
домена, а именно только своё имя... Именно по той же самой причине у
нас, в Tartarus, есть своя утилита обновления записи хоста DNS.

-- 
Sin (Sinelnikov Evgeny)