sslug-teknik team mailing list archive

Thread
Date

Re: winbind ldap, nis (Windows Services for UNIX Version 3.5)

To: sslug-teknik@xxxxxxxx
From: Anders Gnistrup <sslug@xxxxxxx>
Date: Tue, 15 Apr 2008 22:30:24 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <fu3130$t33$1@www.sslug.dk>
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
User-agent: Thunderbird 2.0.0.12 (X11/20080227)

Hej Troels

Mange tak for svaret. God analyse og jeg tror at du har ret mht. SFU.
Planen er nok at prøve sig lidt frem og finde frem til en god/bedre løsning.

Troels Arvin wrote:

Den Tue, 15 Apr 2008 18:45:01 +0200 skrev Anders Gnistrup:
Problemet lader til at være at microsoft har lukket nogle porte, hvilket
gør at Kerberos ikke virker mere.
Sært. Og du er helt sikker (har kigget i winbind-relaterede log-filer,osv)? Hvis finder noget mere info om dette, vil jeg meget gerne hørederom, da jeg er ret afhængig af Winbind.
Så derfor kiggede jeg efter andre løsninger og fandt en ganske
interessant. -> Windows Services for UNIX Version 3.5,
http://www.microsoft.com/downloads/details.aspx?
FamilyID=896c9688-601b-44f1-81a4-02878ff11778&DisplayLang=en
Det lader til at supportere NIS og NFS via ActiveDirectory og også LDAP
gennem NIS.
Nu er det jo ikke just fedt at skulle introducere NIS, grundetsikkerhedsproblemerne derved. Men mit indtryk er, at SFU (Services ForUnix) slet ikke er nødvendige længere, hvis i kører med service pack topå Windows Server 2003 (som enten skulle have alt det nødvendige ellerdet skulle findes som valgfri options, man kan vælge at installere). Det,som er vigtigt, er at _noget_ skal generere uid'er og gid'er til dine ADbrugere og grupper. (Winbind udleder selv disse efter én eller andenalgoritme, men det er naturligvis bedre hvis det er AD'et som gør detcentralt). Og mit indtryk er, at "Server for NIS" AD-tilføjelsen netopopretter sådanne tællere (uden at man behøver at køre NIS).
Her er min baggrund for at mene, at SFU ikke er relevant som selvstændigtprodukt længere:
http://en.wikipedia.org/wiki/Services_for_unix#Subsystem_for_UNIX-
based_Applications_.28SUA.29

Følgende weblog har en del spændende omkring disse emner:
http://blog.scottlowe.org/category/interoperability/
- særligt
http://blog.scottlowe.org/2007/01/15/linux-ad-integration-version-4/



Og en google-søgning med følgende strenge giver også noget guf, synes jeg:
microsoft linux OR ubuntu OR redhat OR centos OR fedora AD OR "activedirectory" kerberos ldap nsswitch
Personligt roder jeg med at få Apache's mod_auth_kerb til at fung'eordentligt: Det viser sig, at IE-browsere præsenterer sig som fxTROELS@REALM mens Firefox præsenterer sig som troels@REALM. Med andre ordkan man ikke regne med noget helt eksakt her, hvilket besværliggør vissesystemer, som har brug for at kunne mappe brugernavne til rettigheder (fxtil et Subversion sub-træ).
PS:
For at få Firefox til at benytte Kerberos:
Check "about:config" halløjet på http://grolmsnet.de/kerbtut/firefox.html

PPS:
Hvis man vil benytte AD-baseret Kerberos på sin Apache skal man undgådokumenter som ikke nævner "net ads keytab" metoden (de andre metoderforekommer unødigt besværlige).
PPPS:
Hvis man benytter SELinux, kan man være ude for, at "net ads"-kommandoenikke opfører sig som ønsket. Jeg har noget SELinux policy-modul-værk, somfix'er det; og det er også beskrevet forskellige steder på web'et.

References

winbind ldap, nis (Windows Services for UNIX Version 3.5)
From: Anders Gnistrup, 2008-04-15
Re: winbind ldap, nis (Windows Services for UNIX Version 3.5)
From: Troels Arvin, 2008-04-15