[devel] Графическая аутентификация в домен AD
Evgeny Sinelnikov
=?iso-8859-1?q?sin_=CE=C1_altlinux=2Eru?=
Пт Дек 12 20:30:43 MSK 2008
12 декабря 2008 г. 17:15 пользователь Stanislav Ievlev
<inger at altlinux.org> написал:
> On Fri, Dec 12, 2008 at 03:36:23PM +0300, Alexander Bokovoy wrote:
>> 2008/12/12 Evgeny Sinelnikov <sin at altlinux.ru>:
>> >>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> >>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> >>> получилось:
>> >>> [sin at kafedra03 ~]$ net ads dns register -U sin
>> >>> sin's password:
>> >>> DNS update failed!
>> >>> [sin at kafedra03 ~]$ sudo net ads dns register -P
>> >>> DNS update failed!
>> >> Разберитесь, я не буду включать то, что не работает.
>> >
>> > То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
>> > не будучи сами уверены в его работоспособности? :) Я, конечно, не
>> > против :)
>> Я хочу сказать, что не включено оно по вполне понятной причине
>> неработоспособности. Код DNS UPDATE взят из Likewise Open. В Likewise
>> Open он отличается, не сильно, но достаточно. Втягивать целиком весь
>> Likewise Open я бы пока не хотел -- там существенные отличия в
>> winbindd, хотя и есть все нужные графические утилиты ввода машин в
>> домен, о которых первоначально шла дискуссия.
>>
Спасибо за разъяснение... Я попробую отладить, что смогу...
>> >>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>> >>> случаях очень мешает вот этот баг:
>> >>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
>> >> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
>> >> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
>> >> в 127., благо все они гарантированно ресолвятся в пределах одного
>> >> узла. Например, 127.127.127./24, если нужен какой-то конкретный
>> >> вариант.
>> >
>> > Это вариант я предлагал, как статический. Для этого нужно, во-первых,
>> > задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
>> > не добавлять записи, а заменять...
>> Это вопрос более развернутой логики скрипта в etcnet/alterator? Так
>> напишите, там несложно.
>>
Ну, всё к этому идёт... Нашёл проблемы - исправь сам :)
Изначально я полагал, что могу своими действиями помешать какой-нибудь
глубокой задумке автора... Но вы развязываете мне руки :)))
>> > Вариант динамический был предложен в процессе обсуждения, модуль
>> > nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
>> > уже лежит в сизифе. В принципе, этот вариант уже можно использовать.
>> Я бы все-таки рекомендовал уменьшить количество ненужных сущностей,
>> если можно обойтись существующими механизмами. Прегенерация хорошо
>> справляется со своей задачей. Добавить вызов скрипта в net ads dns,
>> если требуется, элементарно (равно как и вызвать его после вызова net
>> ads dns register самостоятельно).
> Статический вариант не работает в общем случае. А динамический позволяет
> реализовать именно то поведение которое все ожидают.
> Подобное поведение в статическом варианте без привлечения искуственного интеллекта
> и доп. непонятных вопросов пользователю реализовать невозможно.
>
С другой стороны, предложенное динамическое решение довольно просто...
В идеале эту логику бы уметь включить средствами самого nss... Но
текущий вариант очень даже вписывается в общую инфраструктуру...
Если хост никем не найден, и соотвествует короткому или полному
доменному имени, отдаваемому вызовом gethostname(), то он разрешается
в 127.0.0.1 (или ::1, в случае ipv6)...
Как быть c ipv6 пока непонятно, но это вполне решаемо. Сейчас для
этого нужно пересобрать модуль отключив один define. Иного способа,
чем собрать fallback6 у меня пока нет... Если он, кому-нибудь нужен,
например, при настройке сети, то в следующей сборке я его добавлю.
PS: на самом деле меня устроит любой вариант, хоть статический, хоть
динамический... хотя динамический, когда он уже реализован,
предпочтительнее... И если бы я начал разбираться с графическими
утилитами, то я бы и ручку добавил... Но пока в моих силах добавить
какой-то один вариант, да и тот, я пока не готов решить в самое
ближайшее время...
--
Sin (Sinelnikov Evgeny)
Подробная информация о списке рассылки Devel