Hello all.
Есть пару вопросов по настройке связки AD+Dovecot.
1.
Я "плаваю" в вопросе керберос билетов.
Доки читал - понять не понял
1. kinit - получил билет, и что далее?
Нужно билет получать раз в сутки или только в момент захода в домен?
Если раз в сутки, то какой механизм автоматического получения билета
и кто стирает те, которые устарели?
winbind refresh tiket?2.
Очень интересует вопрос минимизации запросов к домену за провркой паролей.
Dovecot проверяет Логин+Пароль через PAM.
Пользователи проверяют почту раз в 5 мин.Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
Например первый запрос идёт на домен, а последующие проверяются в неком "системном" кеше.
через 30 мин кеш протухает и пасс опять сверяется с доменом.Как я понял, прописать
winbind offline logon = true
недостаточно ;(
Anyone?
> Hello all.
> Есть пару вопросов по настройке связки AD+Dovecot.
> 1.
> Я "плаваю" в вопросе керберос билетов.
> Доки читал - понять не понял
> 1. kinit - получил билет, и что далее?
> Нужно билет получать раз в сутки или только в момент захода в
> домен?Насколько я знаю kinit получает initial credential. При обращении к службе билет к ней запрашивается отдельно.
> Если раз в сутки, то какой механизм автоматического получения билета
> и кто стирает те, которые устарели?Если Вы рассматриваете авторизацию по билетам, то pam_winbindd и winbindd здесь могут не участвовать, dovecot может быть собран с поддержкой GSSAPI и проводить авторизацию самостоятельно не используя библиотеки pam. Стирает билет почтовый клиент сам видимо при его просроченности и получает новый, если нужно.
> winbind refresh tiket?
> 2.
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.Предполагаю, что Dovecot в случае с авторизацией по билетам, не должен использовать PAM.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.Я думаю это определяет политика распределения билетов центра распространения билетов KDC.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(
>[оверквотинг удален]
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(А чем вас не устраивает схема через OpenLDAP?