Portál AbcLinuxu, 10. května 2025 02:36

Dotaz: Autentizace oproti Active Directory

13.2.2011 14:45 wib
Autentizace oproti Active Directory
Přečteno: 461×
Odpovědět | Admin
Ahoj, plánuju autentizovat linux stanice oproti AD. Podle manuálů to snad dám dohromady, nicméně než se do toho pustím rád bych si ujasnil několik věcí abych nedělal zbytečnou práci: pokud budu chtít zjistit atributy jako homedir či skupiny, musím použít sambu. Na mapování skupin slouží winbind ale proč když AD umožňuje skupinám přímo přidávat UNIX GID? Ještě by mě zajímalo jak je to s heslem: to je tam jen jednou jako nezašifrované unicodePwd (proč nezašifrované - z důvodu variability "komunikujících" algoritmů?)? Dá se změnit z linux stanice? Toto heslo může obsahovat jen ASCII znaky (podle http://technet.microsoft.com/en-us/magazine/ff848710.aspx a způsobu vytváření)?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

13.2.2011 21:18 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Autentizace oproti Active Directory
Odpovědět | | Sbalit | Link | Blokovat | Admin
Na mapování skupin slouží winbind ale proč když AD umožňuje skupinám přímo přidávat UNIX GID?
No tak pouzite nss_ldap a nerieste na mapovanie winbind. A preco? Spatna kompatibilita... neviem ci funkcnost ktoru spominate bola nativne k dispozicii od pociatkov AD.
14.2.2011 10:12 Ondar | skóre: 25 | blog: Linux_blog
Rozbalit Rozbalit vše Re: Autentizace oproti Active Directory
Odpovědět | | Sbalit | Link | Blokovat | Admin
Winbind lze pouzit i tak, ze si Unixove atributy uzivatelu/skupin nevymysli ale pouzije ty co jsou ulozeny v AD - tady bych odkazal na dokumentaci winbindu. Jediny problem je, ze spolehlive to funguje jen u samby verze 3.0.x verze 3.5 je spatna - viz: https://bugzilla.redhat.com/show_bug.cgi?id=652609

Jinak lze winbind pouzit i pro autentizaci uzivatelu - funguje to pak podobne jako Kerberos, ale vylepseny, pac to umi i odpojeny rezim.
rADOn avatar 14.2.2011 11:02 rADOn | skóre: 44 | blog: bloK | Praha
Rozbalit Rozbalit vše Re: Autentizace oproti Active Directory
Odpovědět | | Sbalit | Link | Blokovat | Admin
Ještě by mě zajímalo jak je to s heslem: to je tam jen jednou jako nezašifrované unicodePwd (proč nezašifrované - z důvodu variability "komunikujících" algoritmů?)?
Protože jiná hashovací metoda. Na linuxu se používá MD5 (nebo nedejbože lehce posolený crypt) a na wydlích, jestli mi pamět slouží, SHA1. (Proto má samba taky vlastní soubor s hesly.) Jiná otázka ke proč se tedy nedrží kopie v MD5 místo kopie v cleartextu :-(
"2^24 comments ought to be enough for anyone" -- CmdrTaco
14.2.2011 14:17 Ondar | skóre: 25 | blog: Linux_blog
Rozbalit Rozbalit vše Re: Autentizace oproti Active Directory
Widle maji hlavne Kerberos. Linux umi taky Kerberos a dohromady si (kupodivu) taky rozumi, tak proc nevyuzit na autentizaci prave Kerbera ze?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.