LINUX.ORG.RU
ФорумAdmin

Интеграция Маздая и OpenLDAP без домена


0

1

Здравствуйте. Прошу помощи в решении следующего вопроса: есть сеть с 25 Windows 7 компьютерами (рабочая группа), имеется проблема с пользователями которые не могут нормально запоминать пароли для различных сетевых сервисов (Samba, Jabber, Squid и пр.) т.е. нужна централизованная авторизация. Вроде бы эту проблемы можно решить с помощью OpenLDAP, но непонятно как введенных пользователем при входе в Windows пароль прикрутить к OpenLDAP без построения Samba-домена (т.к. он не нужен). Что можете посоветовать по этому поводу?

P.S: избавиться от виндоуз нельзя из-за CAD-специфики организации.



Последнее исправление: SysPupkin (всего исправлений: 1)

Посмотри в сторону kerberos mit севрер. Но не факт...

DALDON ★★★★★
()
Ответ на: комментарий от leave

Спасибо, буду копать в этом направлении. Правда всё, что нагугливаю опять же описывает интеграцию с AD.

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

У меня в общем примерно аналогичная ситуация сейчас, в общем не вижу никаких причин чтобы не рассмотреть Вам zentyal, да это домен на Samba, за то всё быстро и просто. Косяки есть, в частности с jabber, но в целом рассмотреть можно.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Не очень хочется переходить на Ubuntu-based дистрибутив. Сейчас у меня стоит SL 6.1, рассматривал вариант ClearOS, но 6я версия выйдет ещё черт знает когда. Есть ещё Mandriva Directory Server который можно поставить на SL. Но домен-то действительно не нужен: 25 машин всего. Кроме того, часть пользователей работает за ноутбуками и уносят их домой. Как в такой ситуации комбинировать доменный и локальный вход я не знаю. В общем возникает много подводных камней. Хочется всё токи без домена обойтись.

SysPupkin
() автор топика

Никак.

как введенных пользователем при входе в Windows пароль прикрутить к OpenLDAP без построения Samba-домена

Строго говоря аутентификация в Windows сделана отдельным модулем, стандартный можно заменить на такой который работает с LDAP'ом, но насколько я помню такой проект достиг стадии беты для Windows XP, а за Vist'у и прочие они даже не брались. К сожалению не помню как это всё называлось, даже не знаю как можно подробности в интернетах найти.

Camel ★★★★★
()

Samba не нужна.

Кстати, одинаковость паролей на всех сервисах делается OpenLDAP'ом, Samba здесь вообще ни при чём. Один и тот же логин/пароль для почты, jabber'а, файлоотстойников. Samba нужна для того чтобы пользователь не вводил этот пароль 10 раз в разных местах.

Camel ★★★★★
()
Ответ на: комментарий от SysPupkin

В Вашем случае, достаточно openldap, пусть входят локально, а пароль уже меняют от различных сервисов, тот же zentyal позвоялет менять пароль в одном месте через web, каждому пользователю.

DALDON ★★★★★
()
Ответ на: комментарий от DALDON

Так, что то вы меня запутали. Чем плоха схема описанная по ссылке выше? И как при локальном входе больше не спрашивать у пользователя пароль?

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

По ссылке выше нужно делать больше телодвижений чем просто ldap на клиентской машине, а в остальном очень даже!

DALDON ★★★★★
()
Ответ на: комментарий от no-dashi

А насколько оно глубоко интегрируется в систему? И как насчет возможности локального входа (ноутбук домой унесли)?

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

1. Включить мозг
2. Воспользоваться google'ом
3. Скачать и прочитать документацию в комплекте
4. Поставить и посмотреть, насколько глубоко оно интегрируется.

zgen ★★★★★
()
Ответ на: комментарий от SysPupkin

Первые три пункта могут быть гораздо менее затратными по времени, не надо их игнорировать.

zgen ★★★★★
()
Ответ на: Никак. от Camel

Называется это pGina, информация о том, что его пилили только для XP у тебя устаревшая, pGina2 с 2010 года достаточно активно развивается, внося поддержку семёрочки/2008

adriano32 ★★★
()
Ответ на: комментарий от SysPupkin

Бугага, а тебе «релизы» раз в месяц подавай как у файрфокса или хромиума? Дабы судить о степени активности развитии нужно как минимум заглянуть в репо и оценить количество и дату коммитов, а как максимум проверить работоспособность софта, а не просто глянуть на страницу ченжлога.

У той же Samba девятимесячный цикл разработки мажорных релизов, а скажем 3.6.0 вышла вообще через год и пять месяцев после 3.5.0. И что теперь, можно говорит, что Samba не развивается активно?

adriano32 ★★★
()
Ответ на: комментарий от adriano32

Мажорный релиз != релиз. Или у этой софтины вообще багов нет? Спорить не буду, может она действительно так стабильна.

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

Наобарот, лучше реже релизы! Меньше глюкодрома, и проблем совместимости!

DALDON ★★★★★
()
Ответ на: комментарий от SysPupkin

17 известных багов разной важности в трекере.

Видно у нас разные взгляды на способы разработки софта. Я считаю, что мажорные релизы надо выпускать со значительным временным интервалом (от девяти месяцев до полутора лет), заполняя периоды между мажорными релизами корректирующими выпусками к текущей стабильной версии, которые __не вносят никаких изменений кроме как исправления найденных ошибок__.

Правильный админ не будет гоняться за бампом версий собственно ради бампа версий, чтоб стояло последняя версия. Апдейт до новой версии нужен, если в новой версии реализована новая нужная функциональность или значительно улучшена старая. Иначе можно и даже нужно годами сидеть на старой стабильной ветке.

А обновлять каждый месяц всё и вся отчасти вендузячья привычка, от которой нельзя избавиться в одночасье: autoupdater поди не выключаешь?

adriano32 ★★★
()
Ответ на: комментарий от adriano32

По поводу коммитов: последний был в июне.

SysPupkin
() автор топика
Ответ на: комментарий от adriano32

autoupdater это yum-autoupdate? Нет, не выключил.
По поводу версий: я согласен с вашей позицией, но я говорил именно о том, что релиз с багфиксами вышел спустя год после предыдущего:
pGina 2.1.0 07-03-2010
pGina 2.1.1 06-03-2011

SysPupkin
() автор топика

Вы сами себе противоречите: называете основную причину того, зачем вообще используют домены аутентификации и при этом не хотите почему-то именно Samba настраивать, хотя это очень просто, куда проще наколенных решений с технологией Kerberos'ом. Сама же по себе потребность в домене возникает в зависимости от потребностей пользователей, а не от их количества. Судя по нежеланию ваших подопечных запоминать по 5 паролей, ваша сеть уже не только доросла до уровня домена, как ядра аутентификации - но даже и переросла его.
OpenLDAP - это просто иерархическая база данных, она сама по себе никаких проблем не решает и отношение к SSO имеет ну очень опосредованное.
Попробуйте SOGo/OpenChange (то бишь Samba4) - это во-первых всяко лучшем, чем изобретать велосипеды, а во-вторых - сейчас 4-ка как раз в том состоянии, когда потребности маленькой организации способна уже удовлетворить без феерических глюков.

DRVTiny ★★★★★
()
Ответ на: Оно. от Camel

Не оно ни разу. Речь идёт об SSO, а не просто о том, чтобы в винду под юзером из LDAP-каталога попасть.
Собственно, до Samba 4 это тоже было через Ж под названием ntlmauth. 4-я Samba уже доросла до MS 11-ти летней выдержки/свежести и уже предлагает нам Kerberos «из коробки».

DRVTiny ★★★★★
()
Ответ на: комментарий от SysPupkin

>Как в такой ситуации комбинировать доменный и локальный вход я не знаю.

Внезапно! В Windows аналог nix-ового pam_ccreds.so встроен по умолчанию уже очень давно, у меня ещё в моём первом офисе, который я настраивал в 2006-ом, работает оффлайн-вход.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Не совсем понимаю как SOGo/OpenChange помогут решить мою проблему. Мне по идее не нужен Exchange. Не нужны календари и какая-то специфическая работа с почтой. Почту мы забираем с nic.ru (там хостится сайт). Нужна SSO для Samba, Squid на шлюзе и Jabber. И кстати в статье об SSO на википедии описывается Kerberos :) Нет, я не спорю, возможно предложенные вами решения лучше, но я не совсем понял каким боком они сюда относятся. Возможно потому, что я не работал ни с AD, ни с Exchange.

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

SysPupkin, зрите в корень: SOGo, которая объединилась с проектом OpenChange, позволяют достаточно легко и быстро поднять домен Samba 4. Домен Samba 4 - это пока единственный нормальный способ поднять инфраструктуру SSO в nix'ах (если конечно это не web-SSO типа OpenAM).
Так и какая вам к лешему разница, поднимает оно там календари или не поднимает? Ну не нравятся они вам, не нужны вам средства коллективной работы - не настраивайте и не пользуйтесь. Зато у вас будет стабильная конфигурация Samba4 от людей, которые знают, «как заставить это работать» - и вам не нужно будет три недели сидеть курить бамбук и методом проб и ошибок постигать тот же дзен-буддизм.
Насчёт SSO и википедии - я не спорю с тем, что Kerberos - это, благодаря стараниям MS, наиболее распространённая реализация SSO, - так ведь речь идёт именно о том, чтобы использовать нормальную отлаженную инфраструктуру, построенную на Kerberos, а не изобретать велосипеды.

DRVTiny ★★★★★
()
Ответ на: комментарий от DRVTiny

Вот читаю я про SOGo и не могу понять для чего же всё таки эта софтина была задумана разработчиками. Что-то это слабо походит на собственно реализацию домена. Кроме того я не понимаю как это впишется в то, что мне нужно. Windows-клиенты будут логинится в домен вроде AD? Linux-сервисы будут интегрироваться в это как в AD домен?

А что насчет Mandriva Directory Server?

SysPupkin
() автор топика
Ответ на: комментарий от DRVTiny

Что за привычка, прийти, назвать продукт, а потом пропасть или сказать «иди доку читай/устанавливай/включи мозг» :(

SysPupkin
() автор топика

Решил на шлюзе сменить Endian Firewall на SL 6.1, скачал документацию по RHEL 6 и наткнулся на RH IPA, который основан на FreeIPA (http://www.freeipa.org). Кто-нибудь использовал?

SysPupkin
() автор топика
Ответ на: комментарий от SysPupkin

Да, похоже IPA это именно то, что нужно. И именно для этого оно и создавалось :) Есть документация:
http://docs.redhat.com/docs/en-US/Red_Hat_Enterprise_Linux/6/html/Enterprise_...
И в SL 6.1 есть пакеты с IPA! Но они похоже сломаны :(
http://scientificlinuxforum.org/index.php?showtopic=582

SysPupkin
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.