URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90059
[ Назад ]

Исходное сообщение
"Настройка AD+Dovecot+winbind"
Отправлено Jakov , 18-Окт-10 23:54

Hello all.
Есть пару вопросов по настройке связки AD+Dovecot.
1.
Я "плаваю" в вопросе керберос билетов.
Доки читал - понять не понял
1. kinit - получил билет, и что далее?
Нужно билет получать раз в сутки или только в момент захода в домен?
Если раз в сутки, то какой механизм автоматического получения билета
и кто стирает те, которые устарели?
winbind refresh tiket?
2.
Очень интересует вопрос минимизации запросов к домену за провркой паролей.
Dovecot проверяет Логин+Пароль через PAM.
Пользователи проверяют почту раз в 5 мин.
Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
Например первый запрос идёт на домен, а последующие проверяются в неком "системном" кеше.
через 30 мин кеш протухает и пасс опять сверяется с доменом.
Как я понял, прописать
winbind offline logon = true
недостаточно ;(

Содержание

Настройка AD+Dovecot+winbind,Jakov, 21:24 , 20-Окт-10
Настройка AD+Dovecot+winbind,tux2002, 19:40 , 22-Окт-10
Настройка AD+Dovecot+winbind,artemrts, 00:08 , 24-Окт-10

Сообщения в этом обсуждении

"Настройка AD+Dovecot+winbind"
Отправлено Jakov , 20-Окт-10 21:24

Anyone?

"Настройка AD+Dovecot+winbind"
Отправлено tux2002 , 22-Окт-10 19:40

> Hello all.
> Есть пару вопросов по настройке связки AD+Dovecot.
> 1.
> Я "плаваю" в вопросе керберос билетов.
> Доки читал - понять не понял
> 1. kinit - получил билет, и что далее?
> Нужно билет получать раз в сутки или только в момент захода в
> домен?
Насколько я знаю kinit получает initial credential. При обращении к службе билет к ней запрашивается отдельно.
> Если раз в сутки, то какой механизм автоматического получения билета
> и кто стирает те, которые устарели?
Если Вы рассматриваете авторизацию по билетам, то pam_winbindd и winbindd здесь могут не участвовать, dovecot может быть собран с поддержкой GSSAPI и проводить авторизацию самостоятельно не используя библиотеки pam. Стирает билет почтовый клиент сам видимо при его просроченности и получает новый, если нужно.

> winbind refresh tiket?
> 2.
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
Предполагаю, что Dovecot в случае с авторизацией по билетам, не должен использовать PAM.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
Я думаю это определяет политика распределения билетов центра распространения билетов KDC.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(

"Настройка AD+Dovecot+winbind"
Отправлено artemrts , 24-Окт-10 00:08

>[оверквотинг удален]
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(
А чем вас не устраивает схема через OpenLDAP?