Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей в таком салате:Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
Windows 2003 Std AD PDCНа самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается, что для Sendmail база одна, та, что база юнисковых пользователей. Для Самбы другая, для виндовых пользователей третья. А хчется организовать одну для всего. С самбой все вроде более ли менее. А как для почтовых ящиков sendmail? Они же в passwd?
>Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей
>в таком салате:
>
>Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
>FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
>Windows 2003 Std AD PDC
>
>На самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто
>хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается,
>что для Sendmail база одна, та, что база юнисковых пользователей. Для
>Самбы другая, для виндовых пользователей третья. А хчется организовать одну для
>всего. С самбой все вроде более ли менее. А как для
>почтовых ящиков sendmail? Они же в passwd?
Смотри в сторону LDAP.
>>Коллеги, подскажите как и с помощью чего можно организовать общую базу пользователей
>>в таком салате:
>>
>>Linux RedHat Ent 3.0 (sendmail + pop3, samba, ftpd)
>>FreeBSD 5.2.1 (sendmail + pop3, samba, ssh)
>>Windows 2003 Std AD PDC
>>
>>На самом деле линуксовых и юниксовых серверов больше чем две штуки. Просто
>>хочется понять идеологию, как организовать общую базу пользователей. Ведь сейчас получается,
>>что для Sendmail база одна, та, что база юнисковых пользователей. Для
>>Самбы другая, для виндовых пользователей третья. А хчется организовать одну для
>>всего. С самбой все вроде более ли менее. А как для
>>почтовых ящиков sendmail? Они же в passwd?
>
>
>Смотри в сторону LDAP.Нет! Смотри в сторону PAM.
На nix используй только софт с авторизацией через РАМ. SSH, Samba точно умеют. РОР3, FTPD - не знаю, какие у тебя используются. Например Courier-IMAP и vsftpd умеют. Ну и так далее: apache, radius, squid ...
А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И все? Как бы не так :-( Это только начало плясок с бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.
Через LDAP она, теоретически, так же решается. Но с еще большими геморроями. Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!
Поначалу, я, так же, пошел путем интеграции в LDAP. Но не хватило терпения довести до конца. Бросил затею с LDAP и сделал через РАМ.
IMHO, наилучшее решение - Novell eDirectory. Годится для Netware, Windows, Linux (про фрю не знаю). Но оно денег немалых стоит.
>Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!можно вкратце обьяснить следующее: "синхронизация с ремапингом атрибутов"?
>
>А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И
>все? Как бы не так :-( Это только начало плясок с
>бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.
>
>Мне на самом деле достаточно синхронизировать имена и пароли Unix серверов с Виндовым. То есть я не собираюсь их делать контроллерами. Суть как бы такая: есть sendmail 8.12.11, ipop3. Сервер используется для внешней и внутренней почты. Ящики на нем же. Поскольку в ipop3 база пользователей есть база пользователей юникса (passwd), то совсем не удобно сначала заводить на Вин 2003 в домене, потом заводить в самбе, потом в юниксе. Далее гимор с синхронизацией паролей. А если таких серверов с десяток, бррр. Потому хочется чтобы пользователь был один, на винде. Юникс в качестве standalone server (с самбой все понятно).
PAM - это решение? Киньте ссылочкой, если не влом. Где почитать.
>>
>>Смотри в сторону LDAP.
>
>Нет! Смотри в сторону PAM.
>
>На nix используй только софт с авторизацией через РАМ. SSH, Samba точно
>умеют. РОР3, FTPD - не знаю, какие у тебя используются. Например
>Courier-IMAP и vsftpd умеют. Ну и так далее: apache, radius, squid
>...
>
>А, затем, настраиваешь РАМ авторизоваться в виндовом домене (оно это умеет). И
>все? Как бы не так :-( Это только начало плясок с
>бубном. Чего стоит проблема домашних директорий. Но, самое главное, задача решаема.
>
А нельзя ли с этого места поподробнее. Я так же как и автор вопроса не до конца всекаюсь в именно в идеологию решения этой проблемы("единая база пользователей").Когда не понимаешь глубины проблемы решить её невозможно.
>
>Через LDAP она, теоретически, так же решается. Но с еще большими геморроями.
>Одна проблема синхронизации OpenLDAP и ActiveDirectory с ремапингом атрибутов чего стоит!
>
А обращаться напрямую к AD как к LDAP-серверу бесполезно?
>
>Поначалу, я, так же, пошел путем интеграции в LDAP. Но не хватило
>терпения довести до конца. Бросил затею с LDAP и сделал через
>РАМ.
>
>IMHO, наилучшее решение - Novell eDirectory. Годится для Netware, Windows, Linux (про
>фрю не знаю). Но оно денег немалых стоит.
Может стоит вместо контроллера актив директори поставить NW5.1, например, только для NDS?
Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
HOST 192.168.0.60
BASE dc=trinity,dc=ruВот что выдает поиск:
--------------------------------------
[root@test-red root]# ldapsearch -x ""
version: 2#
# filter: (objectclass=*)
# requesting:
## search result
search: 2
result: 1 Operations error
text: 00000000: LdapErr: DSID-0C0905FF, comment: In order to perform this ope
ration a successful bind must be completed on the connection., data 0, vece
--------------------------------------
Подскажите, что я не учел?
>Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По
>http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
>HOST 192.168.0.60
>BASE dc=trinity,dc=ru
>
>Вот что выдает поиск:Что-то никто ничего не говорит, :((. Печально блин.
>>Есть RedHat Ent 3.0. Поставил openldap-clients-2.0.27-11.i386.rpm. Сервер уже стоял на нем. По
>>http://www.securityfocus.com/infocus/1563 прописал в ldap.conf строчки:
>>HOST 192.168.0.60
>>BASE dc=trinity,dc=ru
>>
>>Вот что выдает поиск:
>
>Что-то никто ничего не говорит, :((. Печально блин.
А если напрямую?
ldapsearch -LLL -s sub -b "dc=trinity,dc=ru" "(objectclass=*)" cn
что пишет?
(если не находит, добавь параметр -h ldap.host.name)
>>Что-то никто ничего не говорит, :((. Печально блин.
>А если напрямую?
>ldapsearch -LLL -s sub -b "dc=trinity,dc=ru" "(objectclass=*)" cn
>что пишет?
>(если не находит, добавь параметр -h ldap.host.name)С этим разобрался, если задать строку поиска с авторизацией, то все проходит гладко:
-----------------------------------
[root@test-red pam.d]# ldapsearch -x "sAMAccountName=user" -D "cn=ldap_user_search,cn=Users,dc=trinity,dc=ru" -W
Enter LDAP Password:
version: 2#
# filter: sAMAccountName=user
# requesting: ALL
## user, Trinity User Group, trinity, ru
dn: CN=user,OU=Trinity User Group,DC=trinity,DC=ru
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: user
--------------------------------
А вот если попробовать залогиниться, то в логе ошибки типа:test-red login(pam_unix)[11831]: check pass; user unknown
test-red login(pam_unix)[11831]: authentication failure; logname=LOGIN uid=0 euid=0 tty=tty2 ruser= rhost=
test-red login(pam_unix)[11831]: could not identify user (from getpwnam(user))
test-red login[11831]: User not known to the underlying authentication module
у M$ есть решение, вроде проще, но кто реализовал такую схему пока не нашел.
Готов сам попробовать, но боюсь не осилю.
Есть win 2008 r2 и centos (легкий закос под red hat)
и есть несколько статей на сайте МС
http://technet.microsoft.com/ru-ru/library/cc755186(WS.10).aspx
http://technet.microsoft.com/ru-ru/library/cc772188(WS.10).aspx
http://support.microsoft.com/kb/324542