LINUX.ORG.RU
ФорумAdmin

OpenLDAP авторизация Win-клиентов


0

0

Всем доброго времени суток! Вопрос в следующем:Возможна ли централизованная аутентификация Win-клиентов в OpenLDAP следствами LDAP(типа pam_ldap). Причем что бы данная возможность не носила категорию "Шаманские пляски". Требуется простое решение, которое с легкостью можно внедрить и поддерживать.Мною было перечитанно солидное колличество статей, но к сожалению, все решения весьма сложны в исполнении, и применительно ко всей инфраструктуре (600 компов) становятся немыслимыми.Может кто подскажет, быть может для Win-клиентов есть подключаемые модуои типа pam_LDAp, ли вообще клиены :) Заранее спасибо!

Через самбу всё делается. Вам нужно 1) Openldap (или другой сервер) с базой пользователей 2) Samba PDC 3) pam_ldap,nss_ldap... Но вообще, samba позволяет напрямую ломиться в лдап,но я никогда не пробовал

bromantik
()
Ответ на: комментарий от bromantik

>Но вообще, samba позволяет напрямую ломиться в лдап
Без информации о "системных" (типа) аккаунтах она все равно работать не будет, для этого и нужен nss_ldap, а pam_ldap не нужен.

zgen ★★★★★
()

аутентификация возможна для Win клиентов посредством Samba Domain Controller, который в свою очередь использует LDAP в качестве базы данных. Все работает, все довольно просто, какие решения вам показались сложными?

У меня не 600 конечно компов, в 2,5 раза поменьше, но... все работает и даже распределенная схема с кучей филиалов.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Спасибо!Буду копать в эту сторону, благо документации хватает :) А сложным мне показалось решение авторизация через Heimdal+OpenLdap+Сygwin+(шаманства в Winде).Других предложений не встречал...

Pavlukevich
() автор топика
Ответ на: комментарий от zgen

Скажите, пожалуйста, для администрирования/добавления пользователей есть какя-нибудь граф.тулза, а то добавлять через командную строку в лдап как-то стремно (cn=..., org=... и т.д. ), или я все делаю не так? Подскажите, пожалуйста

anonymous
()
Ответ на: комментарий от anonymous

Тулза есть Webmin, как минимум, есть и другие, к сожалению линк кинуть не могу, но встречал. У меня еще один маленький вопрос, может ли Samba функцианировать как полноценный контроллер домена в сети без Active Directory?

Pavlukevich
() автор топика
Ответ на: комментарий от Pavlukevich

>может ли Samba функцианировать как полноценный контроллер домена в сети без Active Directory?

как домен NT4-style. Функционирует без проблем.

Зачем Heimdal и, тем более, Сygwin не ясно. Могу предположить что kerberos нужен для включения Samba сервера member'ом AD... но cygwin??
:)

zgen ★★★★★
()
Ответ на: комментарий от Pavlukevich

heimdal не нужен, в случае, если у вас нет AD или вы не планируете использовать его в качестве базы для централизованного хранения информации о пользователях.

zgen ★★★★★
()
Ответ на: комментарий от zgen

А как с репликациями между Samba PDC и BDC? Средствами OpenLdap или у самбы свои мульки? Вообще процесс репликации много гемора доставляет, т.к в AD (2000-2003) это главнейший геморой!

Pavlukevich
() автор топика
Ответ на: комментарий от Pavlukevich

Репликацией занимается openldap, если вы знаете его механизм, то настройка - это дело двух минут.

zgen ★★★★★
()
Ответ на: комментарий от anonymous

В смысле она предназначена для работы с лдап каталогом, для добавления и удаления записей, просмотра и т.д.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.