AD - это совмещенный Kerberos, LDAP сервер с какой-то RPC начинкой. Из-за того, что там имеется RPC, то полностью заменить его только Kerberos и LDAP серверами на Линуксе не получается. Полную замену AD представялет из себя 4-ая (пока eщё не выпущенная) Самба, которая включает в себя интегрированный Heimdal, OpenLDAP и собственно Самбу (которая обслуживает RPC вызовы).

В Униксовой сети полная замена AD (так и интеграция в существующий вендовый домен) возможна с помощью Heimdal+OpenLDAP+NFS+telnet. Нужно только помнить, что ввиду ущербности венды, для вендовых клиентов заменить AD пока нечем.

Куда мы пойдём?

Таки что бы такого сделать, чтобы получить максимальное удобство для вендовых клиентов? Хочу иметь на каждого пользователя единую пару login-пароль (Single Sign On) на вход в домен, в 1C (возможно?), в почту, в Jabber, корпоративную адресную книгу, автоматическое создание для новых пользователей login@mail.company.ru и login@jabber.company.ru

> В Униксовой сети полная замена AD (так и интеграция в существующий вендовый домен) возможна с помощью Heimdal+OpenLDAP+NFS+telnet.

А зачем NFS и telnet?

> Нужно только помнить, что ввиду ущербности венды, для вендовых клиентов заменить AD пока нечем.

А возможно ли хранить данные AD во внешнем LDAP хранилище? Превратится ли при этом AD в прослойку к нормальному хранилищу данных? Чтоб можно было и рыбку съесть, и в лужу не сесть.

>>Хочу иметь на каждого пользователя единую пару login-пароль (Single Sign On)

Почти все перечисленные сервисы (про 1С - не знаю) имеют возможности аутентифицировать пользователя в Kerberos. Вот и login-пароль. Венда можут при запуске регистрировать локального пользователя в Kerberos (не обязательно AD). После этого все сервисы становятся прозрачнымии для пользователя. Только пользователь должен быть локальный на клиенте (пусть даже Default User - можно сделать автоподстановку на любого принципала Kerberos)

>>А зачем NFS и telnet?

NFS вместо Самбы, которая уже давно перестала выполнять свои функции сетевой файловой системы и превратилась в один большой костыль. А telnet - для удаленного администрирования клиентов.

>>А возможно ли хранить данные AD во внешнем LDAP хранилище?

Можно. В NT4 при входе в домен венда тащила авторизационную информацию пользователя и хэш его пароля из LDAP сервера, расположенного на PDC. При переходе на win2000, LDAP сервер переместился в AD, а пароли стали не тупо тянуться из LDAP, а пользователя стали проверять по более хитрому способу - через Kerberos. При этом старый способ (пароль в LDAP) сохранили для совместимости. Самба3 поддерживает именно старый способ, поэтому ее можно использовать в качестве контроллера домена NT4. Но этот способ - устаревший, Микрософт в любой момент от него может отказаться (не знаю, в Свисте этот способ оставили или нет?). Самба3 поддерживает аутентификацию в любом Kerberos (security=ADS), правда, этот способ взаимоисключает LDAP.

Те выхода два - поддерживать старую мелкосаксную технологию nt4 или строить релм на основе Heimdal или MIT Kerberos. Во втором случае, правда, придется мириться с тем, что на вех вендовх машинах будет DefaultUser (или локальная учетная запись), но доступ к сетевым ресурсам будет осуществляться только после предъявления на входе на рабочую станцию нормального имени и пароля.

Альтернатива.

> Те выхода два - поддерживать старую мелкосаксную технологию nt4 или строить релм на основе Heimdal или MIT Kerberos. Во втором случае, правда, придется мириться с тем, что на вех вендовх машинах будет DefaultUser (или локальная учетная запись), но доступ к сетевым ресурсам будет осуществляться только после предъявления на входе на рабочую станцию нормального имени и пароля.

Про второй случай подробнее пожалуйста. Что такое "нормальное имя"? Если логин должен быть латиницей, то это не проблема.

Почему именно Хеймдаль? Почему не MIT Kerberos? Для второго и клиент под винды имеется.

Клиент?

> Почему именно Хеймдаль? Почему не MIT Kerberos? Для второго и клиент под винды имеется.

Клиент? А что, приветственного окошка "введите логин-пароль" ПРИ СТАРТЕ не будет? Оно будет потом запускаться?

Потому что когда в мелкософте переизобретали велосипед-керберос, полностью скопировать старый MITовский у них не получилось. В MIT не стали ничего портить в угоду совместимости, а в heimdal стали.

А счастье было так возможно, и так возможно, и вот так.

Вы мне таки скажите, возможно ли такое что человек включает машину, разок вводит логин-пароль, и после этого ни почтовик, ни Jabber-клиент, ни 1С, ни файловый сервер пароль не спрашивают. Чтобы все указанные службы для авторизации использовали одно место, которое LDAP или Kerberos на линиксовой машине. Чтобы без пароля его к работе на машине не подпускало, ну и прочее.

Таки решением может быть только Samba-3 с переводом пользователей в NT4 домен, или возможно оставить пользователей в домене AD, но чтобы AD было прослойкой к хранилищу данных в какой-нибудь стандартной форме.

У мелкосакса есть пакет Support Tools (кажется на их сайте они валяются) куда входят такие команды как: ksetup /setdomain MYREALM.RU ksetup /addkdc MYREALM.RU kdc.myrealm.ru ksetup /setcomputerpassword passwordforWinXP Тем самым рабочая станция настраивается на использование любого KDC (Heimdal или MIT, первый лучше, поскольку общее мнение таково, что на дним более интесивно работают, потому его и в 4-ую Самбу включили). Потом нужно добавить в kdc принципала для этой тачки. После перзагрузки рабочая тачка выбросит окошко логин/пароль и комбо-боксом с двумя полями - авторизоваться на локальной тачке или в релме Кербероса. Но чтобы авторизация в Керберосе работала нужно настроить соответсвия между принципалами и локальными пользователями. Возможные варианты: один в один ksetup /mapuser * * alias ksetup /mapuser princ@MYREALM.RU localuser все в один ksetup /mapuser * DefaultUser

В любом случае при входе пользователь будет авторизовываться в Керберосе как тот пользователь, имя которого указано при входе, и именно как этот пользователь он будет получать доступ к сетевым службам.

У мелкосакса есть пакет Support Tools (кажется на их сайте они валяются) куда входят такие команды как:
ksetup /setdomain MYREALM.RU
ksetup /addkdc MYREALM.RU kdc.myrealm.ru
ksetup /setcomputerpassword passwordforWinXP
Тем самым рабочая станция настраивается на использование любого KDC (Heimdal или MIT, первый лучше, поскольку общее мнение таково, что на дним более интесивно работают, потому его и в 4-ую Самбу включили). Потом нужно добавить в kdc принципала для этой тачки.
После перзагрузки рабочая тачка выбросит окошко логин/пароль и комбо-боксом с двумя полями - авторизоваться на локальной тачке или в релме Кербероса. Но чтобы авторизация в Керберосе работала нужно настроить соответсвия между принципалами и локальными пользователями.
Возможные варианты:
один в один
ksetup /mapuser * *
alias
ksetup /mapuser princ@MYREALM.RU localuser
все в один
ksetup /mapuser * DefaultUser

В любом случае при входе пользователь будет авторизовываться в Керберосе как тот пользователь, имя которого указано при входе, и именно как этот пользователь он будет получать доступ к сетевым службам.

Вкусности.

А вот это уже вкусненько, спасибо за подсказку. А с 1С возможно что-нибудь сделать? Умеет ли ISA фильтровать пользователей по Kerberos'у?

> NFS вместо Самбы,

Пардон, чисто теоретический вопрос: а почему именно NFS? NFS в большинстве источников упоминается как:

1) кошмар с точки зрения безопасности

2) кошмар с чисто технической точки зрения (особливо проблемы с блокировками).

Свершилось чудо и (в результате неведомого прорыва) NFS реабилитирована?