[samba] Линукс в домен W2K с ADS

Alexander Bokovoy ab на altlinux.org
Вт Июл 20 21:14:58 MSD 2004 

On Tue, Jul 20, 2004 at 07:52:04PM +0400, Алексей Данилович wrote:
> Подскажите, что конкретно вы имеете в виду под обычным способом?
> cifsfs в АЛМ 2.2 нет, я так понял?
Нет. Однако при определенных настройках политик в ADS возможно
автоматическое "сваливание" на NTLM если клиент не поддерживает krb5. Для
smbfs как раз подойдет.
 
> >>Иначе: как пользователя линуха аутентифицировать через ADS?
> >>   
> >>
> >Так же как и в случае "без ADS".
> > 
> >
> О, да, все понятно... :) PAM к Loginу прикручивать? А что тогда будет, 
> когда юзер, авторизованный доменом, но не прописанный в юниксе войдет в 
> систему? В какую дом. директорию он попадет и т.д.?
Пользователь, желающий что-либо выполнять в GNU/Linux-системе, должен в
ней существовать -- в том или ином виде (посредством NSS), но должен быть.
Иначе не о чем говорить. Это дизайн-решение. Можно (и нужно в случае члена
домена) представлять этих пользователей системе посредством nss_winbind и
авторизовать через pam_winbind.

Почитайте winbindd(8). Это *штатный* режим, опять же -- он ничем не
отличается в этом смысле от режима с NT4-доменом. PAM к login и так
прикручен.

Совершенно другой вопрос -- пробрасывание выданного пользователю билета.
Этот режим требудет от krb5 (MIT или Heimdal) полноценной поддержки
GSSAPI-SPNEGO, которой, увы, нет в случае MIT.

 
> >>И второй вопрос: как под этим юзером примонтировать шару с сервера? 
> >>smbclient -k работает, конечно, а монтировать как?
> >cifsfs. Но это уже после М2.2.
> А smbmount с какими-нибудь ухищерениями не сработает?
Для того, чтобы стало понятно. smbfs и cifsfs -- драйвера сетевых файловых
систем, к Samba имеют крайне опосредованное отношение, только своей
предметной областью. В частности, smbfs разрабатывается сторонним
разработчиком (Urban Widmark), который использует часть кода из Samba для
установления первоначального соединения -- это как раз user-space 
helper smbmount, однако основная обработка выполняется в ядре, в которое
передается открытый helper-ом сокет. Авторизация и обработка
дополнительных расширений (krb5, sign&seal, etc) делается в нем
самостоятельно.

Cifsfs пишется членом Samba Team (Steve French), но не имеет никаких пересечений 
по коду с Samba, даже по user-space helper (mount.cifs), несмотря на то,
что код последнего находится в дереве исходников Samba -- это скорее для
удобства хранения. Этот helper просто соответствует традиционным helper-ам
файловых систем по своей начинке, он даже не занимается сетевой частью, а
просто передает опции монтирования в ядро и готовит точку монтирования.

Таким образом, если в этих проектах не реализованы соответствующие
алгоритмы, то авторизация по krb5 поддерживаться не будет.

Для cifsfs есть планы использовать ntlm_auth для прокидывания
GSSAPI-SPNEGO, но все еще в процессе разработки.

> И все? Я же после этого с помощью команд net ads user add  и т.д. 
> добавлял/удалял пользователей домена... Или это пока керберос-билет не 
> кончиться?
Да, пока не закончится действие билета. Но это уже не имеет отношения
напрямую к процессу авторизации самбой. Билет кончится (или его прибьют из
кэша) -- прощай права.

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Подробная информация о списке рассылки Samba