[devel] Графическая аутентификация в домен AD

Evgeny Sinelnikov =?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Пт Дек 12 15:20:40 MSK 2008


12 декабря 2008 г. 14:50 пользователь Alexander Bokovoy
<ab at altlinux.org> написал:
> 2008/12/12 Evgeny Sinelnikov <sin at altlinux.ru>:
>> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
>> <cas at altlinux.ru> написал:
>>> Пользователи просят предоставить графические инструменты для аутентификации в
>>> домене Active Directory.
>>>
>>> Кто может заняться этой задачей или хотя бы подскать, куда копать?
>>> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
>>> LDAP. Насколько технически сложно будет добавить Active Directory в этот
>>> список?
>>>
>>
>> Я попробую посмотреть, но заняться смогу только через неделю. Пока
>> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
>> к университетскому домену.
>>
>> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
> том, что есть рассинхронизация репозитариев, я говорил довольно давно.

Да, я видел... Как раз хотел указать на то, что вчера ещё не приехал...

>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>> [sin at kafedra03 ~]$ net ads dns register -U sin
>> sin's password:
>> DNS update failed!
>> [sin at kafedra03 ~]$ sudo net ads dns register -P
>> DNS update failed!
> Разберитесь, я не буду включать то, что не работает.

То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
не будучи сами уверены в его работоспособности? :) Я, конечно, не
против :)
Но было бы приятнее получить ссылки на уже занимающихся, чтобы не
дублировать усилия...

>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>> случаях очень мешает вот этот баг:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
> в 127., благо все они гарантированно ресолвятся в пределах одного
> узла. Например, 127.127.127./24, если нужен какой-то конкретный
> вариант.

Это вариант я предлагал, как статический. Для этого нужно, во-первых,
задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
не добавлять записи, а заменять...

Вариант динамический был предложен в процессе обсуждения, модуль
nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
уже лежит в сизифе. В принципе, этот вариант уже можно использовать.

>
>> В плане описания процесса подключения я, уже довольно давно, делал описание:
>> http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu
>>
>> С тех пор изменилось только одно - для получения SPN, после входа в домен
>> # net ads join
>> необходимо выполнить
>> # net ads keytab create
> В пакете samba-doc есть книга Samba-3 By Example, в ней теме
> подключения клиентов к различным доменам (как на основе AD, так и на
> основе Samba и NT4) уделено несколько довольно обширных глав.

Отлично, правда там действительно много английских букв ;)

-- 
Sin (Sinelnikov Evgeny)


Подробная информация о списке рассылки Devel