The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сервера Unix и Windows - единая база пользователей"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Разное)
Изначальное сообщение [ Отслеживать ]

"Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Stranger03 email(??) on 14-Дек-04, 17:11 
Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей в таком салате:

Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
Windows 2003 Std AD PDC

На самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается, что для Sendmail база одна, та, что база юнисковых пользователей. Для Самбы другая, для виндовых пользователей третья. А хчется организовать одну для всего. С самбой все вроде более ли менее. А как для почтовых ящиков sendmail? Они же в passwd?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от NetDoctor (??) on 14-Дек-04, 17:28 
>Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей
>в таком салате:
>
>Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
>FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
>Windows 2003 Std AD PDC
>
>На самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто
>хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается,
>что для Sendmail база одна, та, что база юнисковых пользователей. Для
>Самбы другая, для виндовых пользователей третья. А хчется организовать одну для
>всего. С самбой все вроде более ли менее. А как для
>почтовых ящиков sendmail? Они же в passwd?


Смотри в сторону LDAP.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Sampan on 14-Дек-04, 18:52 
>>Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей
>>в таком салате:
>>
>>Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
>>FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
>>Windows 2003 Std AD PDC
>>
>>На самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто
>>хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается,
>>что для Sendmail база одна, та, что база юнисковых пользователей. Для
>>Самбы другая, для виндовых пользователей третья. А хчется организовать одну для
>>всего. С самбой все вроде более ли менее. А как для
>>почтовых ящиков sendmail? Они же в passwd?
>
>
>Смотри в сторону LDAP.

Нет! Смотри в сторону PAM.

На nix используй только софт с авторизацией через РАМ. SSH, Samba точно умеют. РОР3, FTPD - не знаю, какие у тебя используются. Например Courier-IMAP и vsftpd умеют. Ну и так далее: apache, radius, squid ...

А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И все? Как бы не так :-( Это только начало плясок с бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.

Через LDAP она, теоретически, так же решается. Но с еще большими геморроями. Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!

Поначалу, я, так же, пошел путем интеграции в LDAP. Но не хватило терпения довести до конца. Бросил затею с LDAP и сделал через РАМ.

IMHO, наилучшее решение - Novell eDirectory. Годится для Netware, Windows, Linux (про фрю не знаю). Но оно денег немалых стоит.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от bass (??) on 15-Дек-04, 07:25 
>Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!

можно вкратце обьяснить следующее: "синхронизация с ремапингом атрибутов"?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Stranger03 email(??) on 15-Дек-04, 10:28 
>
>А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И
>все? Как бы не так :-( Это только начало плясок с
>бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.
>
>

Мне на самом деле достаточно синхронизировать имена и пароли Unix серверов с Виндовым. То есть я не собираюсь их делать контроллерами. Суть как бы такая: есть sendmail 8.12.11, ipop3. Сервер используется для внешней и внутренней почты. Ящики на нем же. Поскольку в ipop3 база пользователей есть база пользователей юникса (passwd), то совсем не удобно сначала заводить на Вин 2003 в домене, потом заводить в самбе, потом в юниксе. Далее гимор с синхронизацией паролей. А если таких серверов с десяток, бррр. Потому хочется чтобы пользователь был один, на винде. Юникс в качестве standalone server (с самбой все понятно).

PAM - это решение? Киньте ссылочкой, если не влом. Где почитать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от favourite email(ok) on 22-Дек-04, 12:52 
>>
>>Смотри в сторону LDAP.
>
>Нет! Смотри в сторону PAM.
>
>На nix используй только софт с авторизацией через РАМ. SSH, Samba точно
>умеют. РОР3, FTPD - не знаю, какие у тебя используются. Например
>Courier-IMAP и vsftpd умеют. Ну и так далее: apache, radius, squid
>...
>
>А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И
>все? Как бы не так :-( Это только начало плясок с
>бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.
>
А нельзя ли с этого места поподробнее. Я так же как и автор вопроса не до конца всекаюсь в именно в идеологию решения этой проблемы("единая база пользователей").Когда не понимаешь глубины проблемы решить её невозможно.
>
>Через LDAP она, теоретически, так же решается. Но с еще большими геморроями.
>Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!
>
А обращаться напрямую к AD как к LDAP-серверу бесполезно?
>
>Поначалу, я, так же, пошел путем интеграции в LDAP. Но не хватило
>терпения довести до конца. Бросил затею с LDAP и сделал через
>РАМ.
>
>IMHO, наилучшее решение - Novell eDirectory. Годится для Netware, Windows, Linux (про
>фрю не знаю). Но оно денег немалых стоит.
Может стоит вместо контроллера актив директори поставить NW5.1, например, только для NDS?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Stranger03 email(??) on 16-Дек-04, 10:20 
Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
HOST 192.168.0.60
BASE dc=trinity,dc=ru

Вот что выдает поиск:
--------------------------------------
[root@test-red root]# ldapsearch -x ""
version: 2

#
# filter: (objectclass=*)
# requesting:  
#

# search result
search: 2
result: 1 Operations error
text: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this ope
ration a successful bind must be completed on the connection., data 0, vece
--------------------------------------
Подскажите, что я не учел?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Stranger03 email(??) on 16-Дек-04, 16:22 
>Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По
>http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
>HOST 192.168.0.60
>BASE dc=trinity,dc=ru
>
>Вот что выдает поиск:

Что-то никто ничего не говорит, :((. Печально блин.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от DogEater (ok) on 20-Дек-04, 10:05 
>>Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По
>>http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
>>HOST 192.168.0.60
>>BASE dc=trinity,dc=ru
>>
>>Вот что выдает поиск:
>
>Что-то никто ничего не говорит, :((. Печально блин.
А если напрямую?
ldapsearch -LLL -s sub -b "dc=trinity,dc=ru" "(objectclass=*)" cn
что пишет?
(если не находит, добавь параметр -h ldap.host.name)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от Stranger03 email(??) on 20-Дек-04, 15:32 
>>Что-то никто ничего не говорит, :((. Печально блин.
>А если напрямую?
>ldapsearch -LLL -s sub -b "dc=trinity,dc=ru" "(objectclass=*)" cn
>что пишет?
>(если не находит, добавь параметр -h ldap.host.name)

С этим разобрался, если задать строку поиска с авторизацией, то все проходит гладко:
-----------------------------------
[root@test-red pam.d]# ldapsearch -x "sAMAccountName=user" -D "cn=ldap_user_search,cn=Users,dc=trinity,dc=ru" -W
Enter LDAP Password:
version: 2

#
# filter: sAMAccountName=user
# requesting: ALL
#

# user, Trinity User Group, trinity, ru
dn: CN=user,OU=Trinity User Group,DC=trinity,DC=ru
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: user
--------------------------------
А вот если попробовать залогиниться, то в логе ошибки типа:

test-red login(pam_unix)[11831]: check pass; user unknown
test-red login(pam_unix)[11831]: authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
test-red login(pam_unix)[11831]: could not identify user (from getpwnam(user))
test-red login[11831]: User not known to the underlying authentication module

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Сервера Unix и Windows - единая база пользователей"  +/
Сообщение от OpenMsk email on 08-Апр-11, 18:57 
у M$ есть решение, вроде проще, но кто реализовал такую схему пока не нашел.
Готов сам попробовать, но боюсь не осилю.
Есть win 2008 r2 и centos (легкий закос под red hat)
и есть несколько статей на сайте МС
http://technet.microsoft.com/ru-ru/library/cc755186(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/cc772188(WS.10).aspx
http://support.microsoft.com/kb/324542
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру