LINUX.ORG.RU
ФорумAdmin

Linux-AD (SASL)


0

1

Здравствуйте! Кто-нибудь юзал в работе связку Linux(Centos6) с ActiveDirectory через SASL?
Пробовал заводить всё это хозяйство через winbind, получалось, но всякие крутые перцы на разных форумах говорят, что winbind ущербен и лучше использовать SASL для интеграции..
Я толком не знаю в чём ущербность winbind, как по мне, то с winbind всё было просто, за исключением того, что после обновления ядра и перезапуска сервера, на шарах файловых ресурсов каждый раз мапились разные UIDы для пользователей и GIDы на директории, в следствии чего доступ пропадал..
Может быть как раз из-за этого, что не хранится статичный кэш..? Ну у меня так и не получилось разобраться с SASL.
Юзал вот эти статьи:
https://fedorahosted.org/sssd/wiki/Configuring sssd to authenticate with a Wi...

http://www.chriscowley.me.uk/blog/2013/12/16/integrating-rhel-with-active-dir...
Но ни какого эффекта не произошло.. Я так и не догнал, каким образом через этот SASL должны прокачиваться posix атрибуты..? Кто-нибудь может поделиться идеями, как всё это делается через SASL?



Последнее исправление: nicronomikon (всего исправлений: 1)

Я толком не знаю в чём ущербность winbind, как по мне, то с winbind всё было просто, за исключением того, что после обновления ядра и перезапуска сервера, на шарах файловых ресурсов каждый раз мапились разные UIDы для пользователей и GIDы на директории, в следствии чего доступ пропадал..

Для того чтобы UID'ы и GUID'ы в winbind были постоянными есть IDMAP_RID http://www.samba.org/samba/docs/man/manpages/idmap_rid.8.html

А для работы sssd необходимо чтобы в вашей схеме AD поддерживались Unix Attributes

menzoberronzan
()
Последнее исправление: menzoberronzan (всего исправлений: 1)
Ответ на: комментарий от menzoberronzan

Ну так я и расишрил схему AD, установив “Identity Management for UNIX” на контроллере домена. Но в posix так ничего и не переходит..

nicronomikon
() автор топика

какой, в сраку, sasl? sssd на центоси тебе нужен, а к нему вдобавок sfu на венде, или как там их нынче называют

anonymous
()
Ответ на: комментарий от nicronomikon

расишрил схему AD, установив “Identity Management for UNIX” на контроллере домена. Но в posix так ничего и не переходит..

Потому что нужно вручную прописывать UID'ы и GID'ы, что только усложняет управление пользователями.

menzoberronzan дело говорит. Почитайте про idmap вообще и idmap_rid в частности.

MumiyTroll ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.