> В том и суть что по второму варианту куча инструкций и во
> всех ставят krb, winbind, samba и правят конфиги всего этого соответственно.
> Если честно сам недоумеваю зачем там krb, потому что следом в
> сквид конфигах у всех ntlm_auth либо basic :( И сделано все
> точ как у людей - но однако не работает, наталкивался на
> похожую тему, точно такой же конфиг был у человека - не
> работало, он вышел из ситуации squid_ldap - но авторизация не прозрачная. Я встречал инструкции и с krb, и без него. Как я понимаю, хелпер ntlm_auth
обращается к винбинду, а тот может проверить пароль в АД и по нтлм, и по керберос.
> А по первому варианту: во фронтэнде нет разницы при авторизации между крб
> и нтлм? так же прозрачная (если поддерживается браузером)?
Да. Только нужен супербилет пользователя (то биш при входе в систему, в
вашем случае в винду, пользователь должен авторизоваться в домене по
протоколу керберос).
>Я начал смотреть
> в сторону крб, http://www.k-max.name/windows/active-directory-as-kdc-nfsv4/...
> здесь неплохо пишет для понимания дядя,
> но вопрос при создании keytab возник: при использовании ktpass.exe /mapuser - что
> это должен быть за пользователь - не понятно.
Вкратце:
1. Браузер обращается к кдс (в вашем случае к АД), предъявляет супербилет
пользователя и получает билет для доступа к HTTP/ваш_скуид.ваш_домен. Для этого
серверу кдс нужен ключ этого билета (как сгенерировать ключ в ад я не знаю,
в случае кдс на линуксе билет генерируется кадмином к кладется в кейтаб).
2. Браузер предъявляет этот билет скуиду
3. Скуид проверяет билет (для этого у него к кейтабе доджен быть ключ этого билета)
и предоставляет доступ (или отказывает).