[Sysadmins] Доверие доменов ADS и Centaurus

Павел Исопенко admin на pauli.ru
Пн Окт 17 13:50:43 MSK 2011


Здравствуйте.

На самом деле, речь идёт о MIT Kerberos. Дело в том, что, на мой взгляд,
самый рациональный
метод перевода организаций с доменом ADS на Centaurus - это сначала
установить между доменами доверительные
отношения. Пользователи Linux аутентифицируются в сфере Kerberos,
виндовые - в своём домене, а переход
осуществляется постепенно, пользователь за пользователем и сервис за
сервисом.
Я воспользовался статьёй http://pig.made-it.com/kerberos-trust.html и
добился, чтобы при интерактивном входе
Windows - серверы предлагали пользователям аутентифицироваться не только
со своего домена, но и с домена Centaurus. 
И пользователи успешно заходят терминалом, предъявляя пароль, заданный
на сервере Centaurus. Для локального
счастья не хватает одного, - чтобы Windows Server пропускал
пользователей рабочих станций Centaurus к разделяемым
ресурсам по cifs, в стиле smb://server/share
Пусть Centaurus ещё не вышел, может быть, кто-нибудь раньше устанавливал
доверительные отношения доменов
на предыдущих версиях платформы? Понять бы, а не тяну ли я пустышку.
Итак, пользователя рабочего стола Windows пускает под username на CENTAURUS
Имена DNS взаимно разрешаются.
Если от пользователя сказать kinit username на WINDOWS.ADS - то и к шарам
начинает пускать, но это не то что надо.
Надо чтобы  пользователя username на CENTAURUS пускал. 
Имена в базе данных SPA создавал, как в статье описано. Без толку.
Да что же ей ещё надо-то? Имел ли кто дело с этой бякой?

С уважением, Исопенко Павел
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20111017/b0724ac4/attachment.html>


Подробная информация о списке рассылки Sysadmins