Аналог линуксового NSS (Name service switch)

Можешь нормально обьяснить, что ты конкретно хочешь? GINA — не более чем библиотека аутентификации, каким образом она может быть аналогом NSS (а это управление порядком выбора способа достуа к базам passwd, group, shadow, hosts, networks, protocols, services, ethers, rpc, netgroup, aliases и что-то там ещё) я себе представить не могу.

Хочешь управлять, с каким модулем аутентификации заходить в систему что ли?

А то о том, при чём тут Linux распинался больше, чем по сути этого оффтопичного вопроса. Марш на технет >>>

> Можешь нормально обьяснить, что ты конкретно хочешь?

Хочу нормальный NSS (name service switch) для винды.

> Хочешь управлять, с каким модулем аутентификации заходить в систему что ли?

Нет, хочу объяснить винде откуда брать юзеров и группы.

no-dashi (20.01.2012 21:21:06)

И какие варианты ты хочешь ей предложить? Предположим, это важно.

> И какие варианты ты хочешь ей предложить? Предположим, это важно.

Все. Сразу. От LDAP'а кастомной схемы и вплоть до mysql, ODBC и HTTP.

no-dashi (20.01.2012 22:08:51)

Да храни тебя господь, при написании того, что ты задумал... Только оно как таковое почти не нужно при наличии уже допиленной до определённого весьма недурно работоспособного уровня Samba4.

Но ты амбициозен и решителен, а значит тебе таки на технет и на мсдн. Там можно ознакомиться в общих чертах как "оно" всё устроено с аутентификацией.

Советую начать читать с того, какие есть SSPI в венде (и в частности как там дела с керберос), как происходит процесс логина в венду, кто с кем взаимодействует и что кому передаёт и что у кого запрашивает при интерактивном логине, как локальном так и сетевеом; об LSA, его взаимодействии с GINA и пакетом аутентификации.

Для удалённого логина венде нужен ActiveDirectory, а это весьма специфичный каталог. Так что твоя задача, если ты хочешь ткнуть венде где брать юзеров и пароли, сводится к реализации совместимого с Windows ActiveDirectory, или такого прокси (как в OpenChange к примеру), который преобразует запросы, которые пошли бы к AD к твоему хранилищу, так, чтоб венда честно думала, что общается с AD, а прокси транслировал запросы к твоему хранилищу. Ну или просто AD.

Несколько ссылок, просто так, дальше ищи сам на английском по site:technet.microsoft.com и site:msdn.microsoft.com

http://technet.microsoft.com/en-us/library/bb457114.aspx

http://technet.microsoft.com/en-us/library/cc780332(WS.10).aspx

http://msdn.microsoft.com/en-us/library/windows/desktop/aa375200(v=vs.85).aspx и всю ветку Security and Identity > Authentication

> Только оно как таковое почти не нужно при наличии уже допиленной до определённого весьма недурно работоспособного уровня Samba4.

Всё дело в том, что самба пусть и не анально, но как и винда огорожена и заточена на полную симуляцию поведения виндовой системы. У меня цель намного более простая - заставить винду использовать для информации о юзерах, группах и для аутентификации любой источник какой нужен будет юзеру.

no-dashi (21.01.2012 12:53:45)

А с чего ты взял, что венда заточена на забирание пользователей и паролей из чего-то другого, кроме как из ActiveDirectory или локальной БД SAM? Тебе хочется так думать и верить? Или просто так по-нормальному должно быть? Так это ж венда, проснись!

Ведь перед парнями из Редмонда не стояло изначально задач привязываться к какой-либо чужой внешней системе — они писали своё, запихивали самописное во все свои продукты, чтобы целевому покупателю впихнуть как можно больше своего софта за бабки.

Так что поубавь свои амбиции, держи http://technet.microsoft.com/en-us/library/cc961766.aspx — Protocols and Interfaces to Active Directory, и либо конструируй прокси, принимающий запросы к AD как они должны быть и отправляющий их по документированному интерфейсу к LDAP или БД, либо к реализации AD каталога от Samba4 лепи бэкенд.

Кстати LDAP-бэкенд у Samba4 (не у Samba3 — для Samba3 с NTLM это совсем другое) был, но его забросили, потому что он криво или почти совсем не работал, по словам разрабов. Можешь потыкать, если не лень.