[sisyphus] krb5 и AD

Evgeny Sinelnikov sin на altlinux.org
Ср Ноя 6 15:45:18 MSK 2024 

Добрый день,

ср, 30 окт. 2024 г. в 10:48, Alexei Takaseev <alexei на taf.ru>:
>
> Приветствую!
>
> Может кто подсказать, имеющийся в Сизифе, p10, p11 библиотеки и утилиты
> кербероса от MIT совместимы с сервером кербероса в WinAD и SambaDC как
> клиент?
>
> В одном продукте для взаимодействия с AD применяются библиотеки от
> Heimdal, но хочется не тянуть эту зависимость и разрешить все уже
> имеющимся софтом.

Во всех бранчах на клиентах у нас используется исключительно MIT Kerberos.
Единственная "точка", где появляется Heimdal Kerberos - это пакет samba-dc.
В альтернативу этому пакету существует пакет samba-dc-mitkrb5.

Схема сборки для этого организована достаточно нетривиально:

1) Heimdal сборка полностью переложена в каталог /usr/lib64/samba-dc,
при этом MIT Kerberos сборка расположена в стандартных путях
/usr/lib64, а приватная часть - в /usr/lib64/samba.

2) Серверная часть утилит, включая samba-tool, надстройку
samba-tool-plus для старого альтератора и дополнительные модули для
libldb, включаются через альтернативы только при установке пакета
samba-dc:

# cat /etc/alternatives/packages.d/samba-heimdal
/usr/sbin/samba /usr/lib64/samba-dc/sbin/samba  50
/usr/sbin/samba_kcc     /usr/lib64/samba-dc/sbin/samba_kcc      50
/usr/sbin/samba_dnsupdate
/usr/lib64/samba-dc/sbin/samba_dnsupdate        50
/usr/sbin/samba_spnupdate
/usr/lib64/samba-dc/sbin/samba_spnupdate        50
/usr/sbin/samba_upgradedns
/usr/lib64/samba-dc/sbin/samba_upgradedns       50
/usr/sbin/eventlogadm   /usr/lib64/samba-dc/sbin/eventlogadm    50
/usr/sbin/nmbd  /usr/lib64/samba-dc/sbin/nmbd   50
/usr/sbin/smbd  /usr/lib64/samba-dc/sbin/smbd   50
/usr/sbin/winbindd      /usr/lib64/samba-dc/sbin/winbindd       50
/usr/bin/wbinfo /usr/lib64/samba-dc/bin/wbinfo  50
/usr/bin/ntlm_auth      /usr/lib64/samba-dc/bin/ntlm_auth       50
/usr/bin/pdbedit        /usr/lib64/samba-dc/bin/pdbedit 50
/usr/lib64/samba/ldb    /usr/lib64/samba-dc/ldb 50
/usr/bin/samba-tool-plus        /usr/lib64/samba-dc/bin/samba-tool-plus 50
/usr/bin/samba-tool     /usr/lib64/samba-dc/bin/samba-tool      50
/usr/sbin/samba_downgrade_db
/usr/lib64/samba-dc/sbin/samba_downgrade_db     50

3) Клиентские приложения собираются, линкуются и запускаются только
через MIT Kerberos библиотеки. При этом коллизии возможны только для
пакета samba-dc, который может "залезть" не в свою "песочницу", но это
контролируется на стадии тестирования.

Совместимость с MS и Samba AD, безусловно, у нашей сборки MIT Kerberos
клиентов имеется, поскольку исключительно только такие клиенты у нас и
запускаются. Даже sssd, если его запускать на том же узле, где
установлен пакет samba-dc.


PS: Наверное, это обсуждение стоит перенести сюда:
https://lists.altlinux.org/mailman/listinfo/samba


-- 
Sin (Sinelnikov Evgeny)

Подробная информация о списке рассылки Sisyphus