Помогите увидеть общую картину. LDAP без домена.

centos, domain controller, kerberos, ldap, samba

1

4

Помогите увидеть общую картину. LDAP без домена.

Несколько дней ковыряюсь, в голове много понятий, и они выстраиваются в общую картину. Без этого перебор разных мануалов не дает результата.

Что понятно.

Что LDAP - это служба каталогов, в которой хранятся данные о логинах и паролях (в частном случае, а вообще, могут храниться любые данные). Служба каталогов предоставляет данные всем, кто обратится и подтвердит свою подлинность. Подлинность свою можно подтвердить через kerberos (еще варианты??) - протокол взаимной проверки подлинности. Kerberos настраивается на контроллере домена (может ли настраиваться без домена?), и каждый хост, который входит в домен, получает билет от kerberos. Именно таким образом подтверждается подлинность каждого хоста в домене.

Если моя картина верна, то каким образом мне лучше решить такую задачу:

1. Несколько компов в локальной сети, не в домене. На большинстве компов (на centos 7) нужна авторизация через ldap (openfire, asterisk, redmine). Возможно ли поднять ldap-сервер без поднятия домена, но с возможностью авторизации пользователей с этих компов на общем ldap-сервере?

2. В этой же локалке есть терминальный сервер на win7 (знаю, что решение не лучшее, но решение работает, трогать не буду). Возможно ли, при подключении пользователей по удаленке, перенаправлять авторизацию на ldap-сервер?

3. Домен сам по себе не нужен, компы внутри локалки, стоят за шлюзом. Нужен ldap.

4. Почему хочу без домена. Поднимала домен на Samba 4, но то kerberos отвалился, компы не доступны, а плюсов LDAP’а так и не увидела. smbldap-tools установила, но не разобралась, в верном ли направлении иду, то ли это, что нужно для решения задачи.

5. Если моя картина не верна, как в домене на Samba 4 настроить ldap - пните в направлении поиска по каким-то тегам…

Ссылка

←	уведомление скрипт

Samba + TOTP

→

Возможно ли поднять ldap-сервер без поднятия домена, но с возможностью авторизации пользователей с этих компов на общем ldap-сервере?

Да. https://www.opennet.ru/base/net/openldap.txt.html

Возможно ли, при подключении пользователей по удаленке, перенаправлять авторизацию на ldap-сервер?

Теоретически, да, но… очень теоретически. http://pgina.org/

Upd: немного чтива про kerberos, для полноты картины: http://www.linuxportal.ru/entry.php/1468_0_3_0_C/

dexpl ★★★★★
(01.12.16 12:49:29 MSK)
Последнее исправление: dexpl 01.12.16 12:51:36 MSK (всего исправлений: 1)

Ссылка

ldap для openfire, asterisk, redmine работает. домен не нужен. винду «органично» включить в этот зоопарк не выйдет.

ldap для самбы - это всего лишь backend. точно такой же бакенд, каким он является для редмайна и др. по-сути - плагин для авторизации.

отличительная особенность настройки лдап для самбы - это необходимость подключения самба-схемы на сервере лдап. в ней описаны самба-атрибуты, такие как sid, ntpassword и т.п. для других сервисов важны другие атрибуты, некоторые хотят свой набор атрибутов. все это реализуется в лдап наследованием объектов разных схем.

по теме - попробуй таки поднять домен на самбе. у меня редмайн, почта, удаленный доступ к виндовым машинам с таким доменом и лдапом работает вполне успешно. правда самба не четвертая, а третья.

а, да. если решишься, обязательно обрати внимание на синхронизацию паролей линукс- и самба-пользователей. чтобы «виндовый пароль» работал и для остальных сервисов.

conalex ★★★
(01.12.16 13:06:14 MSK)
Последнее исправление: conalex 01.12.16 13:12:38 MSK (всего исправлений: 2)

Ссылка

В этой же локалке есть терминальный сервер на win7 (знаю, что решение не лучшее, но решение работает, трогать не буду). Возможно ли, при подключении пользователей по удаленке, перенаправлять авторизацию на ldap-сервер?

Пусть меня поправят, но нет. Сам пришел к ммению написать скрипт синхронизации списка локальных пользователей и ldap на powershell, а авторизацию оставить локальной.

petav ★★★★★
(01.12.16 13:16:14 MSK)

Ссылка

брось это дело, купи пива.

ЗЫ хотябы выкинь из головы слово домен (дальше него собсно не читал) - домен бывает только DNS. то что вы школовантузятники кличите доменом исключительно мелкософтовский лексикон, для изучения основ не нужный и вредный. НЕТ НИКАКОГО ДОМЕНА LDAP. ну по крайней мере в том смысле в котором его употребляют нубы. максимум бывает у Кербероса - но там realm или по-русски видел «сектор».

~~mos~~ ★★☆☆☆
(01.12.16 13:23:58 MSK)

Ссылка

1. Да
2. Да, сторонним ПО. Но лучше - домен.
3. -
4. -
5. Нет конкретного вопроса, непонятно куда пинать.

LDAP в samba4 встроенный. Конечных клиентов настраивать так, как вы настраивали бы их для авторизации в AD.

~~zgen~~ ★★★★★
(01.12.16 16:42:34 MSK)

Ссылка

Что LDAP - это служба каталогов, в которой хранятся данные о логинах и паролях (в частном случае, а вообще, могут храниться любые данные).

верно, предоставляет по своему протоколу.

Служба каталогов предоставляет данные всем, кто обратится и подтвердит свою подлинность.

Это понятие из винды - в нем все в сборе и некое ядро позволяющее обращаться по нескольким протоколам, в том числе ldap. МОЖЕТ использовать для авторизации к своему хранилищу по протоколу kerberos, ntlm и т.д.

Подлинность свою можно подтвердить через kerberos (еще варианты??) - протокол взаимной проверки подлинности.

Kerberos v5 это просто протокол подтверждения авторизации при обмене между клиентом и сервером уже не трогая сервис авторизации(kerberos) после первичного получения тикета-билета.

Kerberos настраивается на контроллере домена (может ли настраиваться без домена?),

Требование только для windows & samba. Можно организовать сервер на базе heimdai или mit-krb5 на отдельном сервере а учетки хранить или на том же сервере или в другой поддерживаемой базе данных(тот же openldap)

и каждый хост, который входит в домен, получает билет от kerberos.

Может выдавать тикеты-билет только пользователям если нужно, без машинной учётки.

Именно таким образом подтверждается подлинность каждого хоста в домене.

Да, посредством протокола kerberos. В современных виндах даже выдается предупреждение, если для доменного компа используется НЕ kerberos авторизация.
1. да
2. ставь лучше samba4 меньше глюков будет. Только учетки нужно будет пересоздавать(добавлять).

По поводу остальных вопросов, если тебе нужна просто общая база с паролями - тебе достаточно ldap-сервера. Если хочешь ПРОЗРАЧНОЙ АВТОРИЗАЦИИ через винду, то без samba не обойтись.
PGINA - говорят конечно напрямую проверяет пароли через ldap, но вмешиваться в закрытый системный процесс - я бы не стал - отвечать то тебе будет, а использовать несильно распространенный продукт - чревато.....

Atlant ★★★★★
(01.12.16 18:45:54 MSK)