sslug-teknik team mailing list archive

Thread
Date

Re: winbind ldap, nis (Windows Services for UNIX Version 3.5)

To: sslug-teknik@xxxxxxxx
From: Troels Arvin <troels@xxxxxxxx>
Date: Tue, 15 Apr 2008 19:53:04 +0000 (UTC)
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG
User-agent: Pan/0.132 (Waxed in Black)

Den Tue, 15 Apr 2008 18:45:01 +0200 skrev Anders Gnistrup:
> Problemet lader til at være at microsoft har lukket nogle porte, hvilket
> gør at Kerberos ikke virker mere.

Sært. Og du er helt sikker (har kigget i winbind-relaterede log-filer, 
osv)? Hvis finder noget mere info om dette, vil jeg meget gerne høre 
derom, da jeg er ret afhængig af Winbind.

> Så derfor kiggede jeg efter andre løsninger og fandt en ganske
> interessant. -> Windows Services for UNIX Version 3.5,
> http://www.microsoft.com/downloads/details.aspx?
FamilyID=896c9688-601b-44f1-81a4-02878ff11778&DisplayLang=en
> 
> Det lader til at supportere NIS og NFS via ActiveDirectory og også LDAP
> gennem NIS.

Nu er det jo ikke just fedt at skulle introducere NIS, grundet 
sikkerhedsproblemerne derved. Men mit indtryk er, at SFU (Services For 
Unix) slet ikke er nødvendige længere, hvis i kører med service pack to 
på Windows Server 2003 (som enten skulle have alt det nødvendige eller 
det skulle findes som valgfri options, man kan vælge at installere). Det, 
som er vigtigt, er at _noget_ skal generere uid'er og gid'er til dine AD 
brugere og grupper. (Winbind udleder selv disse efter én eller anden 
algoritme, men det er naturligvis bedre hvis det er AD'et som gør det 
centralt). Og mit indtryk er, at "Server for NIS" AD-tilføjelsen netop 
opretter sådanne tællere (uden at man behøver at køre NIS).

Her er min baggrund for at mene, at SFU ikke er relevant som selvstændigt 
produkt længere:
http://en.wikipedia.org/wiki/Services_for_unix#Subsystem_for_UNIX-
based_Applications_.28SUA.29

Følgende weblog har en del spændende omkring disse emner:
http://blog.scottlowe.org/category/interoperability/
- særligt
http://blog.scottlowe.org/2007/01/15/linux-ad-integration-version-4/



Og en google-søgning med følgende strenge giver også noget guf, synes jeg:

microsoft linux OR ubuntu OR redhat OR centos OR fedora AD OR "active 
directory" kerberos ldap nsswitch

Personligt roder jeg med at få Apache's mod_auth_kerb til at fung'e 
ordentligt: Det viser sig, at IE-browsere præsenterer sig som fx 
TROELS@REALM mens Firefox præsenterer sig som troels@REALM. Med andre ord 
kan man ikke regne med noget helt eksakt her, hvilket besværliggør visse 
systemer, som har brug for at kunne mappe brugernavne til rettigheder (fx 
til et Subversion sub-træ).

PS:
For at få Firefox til at benytte Kerberos:
Check "about:config" halløjet på http://grolmsnet.de/kerbtut/firefox.html

PPS:
Hvis man vil benytte AD-baseret Kerberos på sin Apache skal man undgå 
dokumenter som ikke nævner "net ads keytab" metoden (de andre metoder 
forekommer unødigt besværlige).

PPPS:
Hvis man benytter SELinux, kan man være ude for, at "net ads"-kommandoen 
ikke opfører sig som ønsket. Jeg har noget SELinux policy-modul-værk, som 
fix'er det; og det er også beskrevet forskellige steder på web'et.

-- 
Regards,
Troels Arvin <troels@xxxxxxxx>
http://troels.arvin.dk/

Follow ups

Re: winbind ldap, nis (Windows Services for UNIX Version 3.5)
From: Anders Gnistrup, 2008-04-15

References

winbind ldap, nis (Windows Services for UNIX Version 3.5)
From: Anders Gnistrup, 2008-04-15