1: PDC Win 2003 AD
2: Fedora 8 (sendmail, cyrus-imap, squid и прочее
3: любая linux машина (много штук)

Имеем полностью работоспособную структуру, когда любой сотрудник, являющийся членом домена на "1" при посадке за любою машину "3" получает полную автоматическую преднастройку в соответствии и наследованием со своими правами (гетерогенные сетевые диски, авторизованые туннели в сеть и VPN и прочую красоту, освобождающую меня от головной боли, т.к. машин очень много). Остается одна неразрешаемая задача: как преднастроить любую произвольную почтовую программу (можно даже через Web морду), чтобы клиентская часть забирала имя и пароль из первичной авторизации при входе (т.е. pam), как это происходит при работе с дисками, интернетом и прочее. Т.е. распознавание на "2" идет для всего, кроме cyrus-imap.

вводные данные: имеем рабочую saslauthd: pam при адекватном ответе testsaslauth. imtest -m PLAIN (LOGIN) отрабатывают, что видно через debug saslauthd.
По документации saslauthd держит kerberos5 - но документации я не нашел, нативно настроит не получилось. также интересно как отрабатывает imtest -m GSSAPI ибо при всех прочих равных он даже на saslauthd не стучиться... что наверное не правильно :). есть ли у кого опыт работы с GSSAPI? Крики и опусы о том что это через одно место и можно проще не принимаются, т.к. если бы знак как можно проще - сделал бы. но при диком кол-ве Win клиентов и  одновременном присутствии не меньшего кол-ва lin, при этом конкретные логины скачут как зайцы по полю в грозу в одного терминала на другой...

• Прозрачная авторизация IMAP, SASL, GSSAPI...,pavel_simple, 11:36 , 21-Фев-08
  • Прозрачная авторизация IMAP, SASL, GSSAPI...,realAku, 12:17 , 21-Фев-08
    • Прозрачная авторизация IMAP, SASL, GSSAPI...,pavel_simple, 13:00 , 21-Фев-08
      • Прозрачная авторизация IMAP, SASL, GSSAPI...,pavel_simple, 13:09 , 21-Фев-08
      • Прозрачная авторизация IMAP, SASL, GSSAPI...,realAku, 10:49 , 22-Фев-08
        • Прозрачная авторизация IMAP, SASL, GSSAPI...,pavel_simple, 11:01 , 22-Фев-08
          • Прозрачная авторизация IMAP, SASL, GSSAPI...,pavel_simple, 11:20 , 22-Фев-08

>[оверквотинг удален]
>По документации saslauthd держит kerberos5 - но документации я не нашел, нативно
>настроит не получилось. также интересно как отрабатывает imtest -m GSSAPI ибо
>при всех прочих равных он даже на saslauthd не стучиться... что
>наверное не правильно :). есть ли у кого опыт работы с
>GSSAPI? Крики и опусы о том что это через одно место
>и можно проще не принимаются, т.к. если бы знак как можно
>проще - сделал бы. но при диком кол-ве Win клиентов и
> одновременном присутствии не меньшего кол-ва lin, при этом конкретные логины
>скачут как зайцы по полю в грозу в одного терминала на
>другой...

Если честно -- то я так и не понял чего добиваемся и что мешает достичь поставленной цели.
давненько этим  вопросом занимался -- кое-что в голове ещё сталось.

ок. тогда такая конкретная задача.
3 ПК: Windows PDC, Linux Mail сервер, Linux клиент
Linux клиент введен в домен. Надо чтобы любой доменный пользователь заходил на машину и без ввода пароля мог получать и отправлять свою почту (не принципиально, конкретные клиенты типа Evolution, Opera mail или же Web морда на сервере, важно глянутьь сам механизм)

P.S. Т.е. ввод пароля пользователь осуществляет только один раз, когда логинится на машину.

>ок. тогда такая конкретная задача.
>3 ПК: Windows PDC, Linux Mail сервер, Linux клиент
>Linux клиент введен в домен. Надо чтобы любой доменный пользователь заходил на
>машину и без ввода пароля мог получать и отправлять свою почту
>(не принципиально, конкретные клиенты типа Evolution, Opera mail или же Web
>морда на сервере, важно глянутьь сам механизм)
>
>P.S. Т.е. ввод пароля пользователь осуществляет только один раз, когда логинится на
>машину.

юзер логинится -- проверяется доступ -- в случае успеха получает kerberos ключик

apache легко интегрируется с kerberos -- можно сказать тут проблем вообще нет

evolution и thunderbird умеют ggsapi -- (этот самый gssapi не что иное -- как обёртка поверх kerberos -- правда с фишками)

sasl gssapi тоже умеет -- только не всегда собран с поддежкой оного

postfix dovecot/cyrus-imap имеют sasl

-- всё это работает -- знаю потому как делал -- только вот конфигов у меня (к сожалению нет)

поддержка виндовых клиентов через spa+AD

виндовый thunderbird умеет gssapi -- НО насколько я помню нужно на каждой раб/станции установить MIT kerberos for windows -- хотя давно не пробывал -- может он теперь нативно научился -- через интерфейсы масдайя

вообще kerberos довольно тяжелая инфраструктура (хотя если это именно AD -- тут много лучше)

есть ещё один интересный способ -- pam-storepw -- ну тут правда будет тяжело говорить о безопасности -- хотя.....
http://silicon-verl.de/home/flo/software/pamcifs.html

все что пишешь - знаю. мне нужен минимальный пример конфига.
т.е. если взять поэтапный тест:
klist - подтверждает билет pdc_user
при saslauthd -a kerberos5 -d
testsaslauth -u pdc_user -d pdc_user_pass -r REAL  
NO "authentication failed"
auth failure > reason: saslauthd internal error

klist - подтверждает билет pdc_user
при saslauthd -a pam -d
testsaslauth -u pdc_user -d pdc_user_pass -r REAL  
OK.

Вопрос. где и какой конфиг надо править, для доп. настройки kerberos5 механизма. PAM идет через winbind

проверь для начала скомпилен/есть ли модуль у sasl'а для kerberos'а

>проверь для начала скомпилен/есть ли модуль у sasl'а для kerberos'а

я когдато оставлял коменты по процедуре прикручивания postgresql 8.0 к AD для керберос аутентификации -- сейчас посмотрел -- потёрли видать -- не осилили похоже мой аглицкий --жаль

а ключики для служб ты сделал ?--- думаю нет

http://technet.microsoft.com/en-us/library/bb742433.aspx#EFAA
google + microsoft windows kerberos