URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 90059
[ Назад ]

Исходное сообщение
"Настройка AD+Dovecot+winbind"

Отправлено Jakov , 18-Окт-10 23:54 
Hello all.
Есть пару вопросов по настройке связки AD+Dovecot.
1.
Я "плаваю" в вопросе керберос билетов.
Доки читал - понять не понял
1. kinit - получил билет, и что далее?
Нужно билет получать раз в сутки или только в момент захода в домен?
Если раз в сутки, то какой механизм автоматического получения билета
и кто стирает те, которые устарели?
winbind refresh tiket?

2.
Очень интересует вопрос минимизации запросов к домену за провркой паролей.
Dovecot проверяет Логин+Пароль через PAM.
Пользователи проверяют почту раз в 5 мин.

Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
Например первый запрос идёт на домен, а последующие проверяются в неком "системном" кеше.
через 30 мин кеш протухает и пасс опять сверяется с доменом.

Как я понял, прописать
winbind offline logon = true
недостаточно ;(


Содержание

Сообщения в этом обсуждении
"Настройка AD+Dovecot+winbind"
Отправлено Jakov , 20-Окт-10 21:24 
Anyone?

"Настройка AD+Dovecot+winbind"
Отправлено tux2002 , 22-Окт-10 19:40 
> Hello all.
> Есть пару вопросов по настройке связки AD+Dovecot.
> 1.
> Я "плаваю" в вопросе керберос билетов.
> Доки читал - понять не понял
> 1. kinit - получил билет, и что далее?
> Нужно билет получать раз в сутки или только в момент захода в
> домен?

Насколько я знаю kinit получает initial credential. При обращении к службе билет к ней запрашивается отдельно.

> Если раз в сутки, то какой механизм автоматического получения билета
> и кто стирает те, которые устарели?

Если Вы рассматриваете авторизацию по билетам, то pam_winbindd и winbindd здесь могут не участвовать, dovecot может быть собран с поддержкой GSSAPI и проводить авторизацию самостоятельно не используя библиотеки pam. Стирает билет почтовый клиент сам видимо при его просроченности и получает новый, если нужно.


> winbind refresh tiket?
> 2.
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.

Предполагаю, что Dovecot в случае с авторизацией по билетам, не должен использовать PAM.

> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.

Я думаю это определяет политика распределения билетов центра распространения билетов KDC.

> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(


"Настройка AD+Dovecot+winbind"
Отправлено artemrts , 24-Окт-10 00:08 
>[оверквотинг удален]
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(

А чем вас не устраивает схема через OpenLDAP?