https://www.opennet.ru/openforum/vsluhforumID1/83068.html Коллеги,<br><br>Наверное уже мега боян и было много раз, и всё же - пожалуйста помогите определиться с дальнейшими действиями. :bn:<br><br>задача:<br>1.сервер на freebsd<br>samba PDC LDAP<br>MTA LDAP (exim?!)<br>imap-server LDAP (dovecot?!)<br>pf<br>web interface for email with NTLM or LDAP auth<br>squid proxy server with LDAP auth<br>openLDAP единая директория пользовательских аккаунтов построенная по принципу SSO,<br>ну может конечно не прозрачная аутентификация, но хотя бы, чтоб был единый юзверь и пароль на все вышеперечисленные сервисы<br>и эти все сервисы чтобы проверяли пользователей через LDAP.<br>2. опять же централизованное средство управления аккаунтами т.е идея как в винде - создаешь в каком то гуи аккаунт пользователя указываешь хомяка пароль членство в группах И ЕМЫЛ и всё... пользователь имеет доступ ко ВСЕМ сервисам одновременно. (т.е не хочется чтобы админчики заходили по ssh запускали 54 разных скрипта в разных местах ,прописывали разные маппинги и делали бы теже самые действия при удалении аккаунта, а потом бы еще забыв https://www.opennet.ru/openforum/vsluhforumID1/83068.html#8 Sat, 29 Nov 2008 21:27:11 GMT &gt; ну частично the bat а он насколько я знаю тоже вроде держит NTLM auth.<br><br>thunderbird тоже держит ntlm - только под windows он неумеет доставать ntlm hash из sspi<br><br>Забыл добавить - freeradius заворачиватся напрямую в ldap (т.е. без использования ntlm_auth/samba как дополнительго слоя) и понимает атрибуты sambaNTPassword/sambaLMPassword - соответственно реализуется sso на windows для eap-peap или mschap.<br><br>Ниже конфиги:<br><br>Ползователи/группы добавляются через samba - net rpc user add vpupkin - далее, если нужно, редактируются через какой-нибудь ldap браузер - в моем случае jxplorer или phpldapadmin<br><br>dovecot-ldap-ntlm.conf:<br><br>uris = ldapi:/// ldaps://master-ldap<br>dn = cn=Dovecot,ou=Ldap,dc=mydomain<br>dnpass = somepass<br>auth_bind = no<br>ldap_version = 3<br>base = ou=People,ou=Posix,dc=mydomain<br>user_attrs = homeDirectory=home,uidNumber=uid,gidNumber=gid<br>user_filter = (&(objectClass=posixAccount)(uid=%u))<br>pass_attrs = sambaNTPassword=password,uid=user,dovecotAllowNets=allow_nets,homeDirectory=userdb_home,u https://www.opennet.ru/openforum/vsluhforumID1/83068.html#7 Thu, 27 Nov 2008 11:01:31 GMT &gt;но ведь при наличии отдельной схемы это получается тоже самое что и <br>&gt;иметь все эти сервисы в отдельных базах что делает систему совершенно <br>&gt;неуправляемой на более менее крупных объемах.<br><br>Бредс....схемы просто добавляют необходимые атрибуты и objectClass-ы - все равно пользователь будет один и его unixPassword тоже будет один....<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83068.html#6 Thu, 27 Nov 2008 06:56:17 GMT &gt;Заводим через LdapAdmin пользователя, нужных template-ах прописываем openvpn и почту, назначаем ему <br>&gt;пароль и все. <br><br>Уважаемый, а можно эти соответствующие темплэйты огласить, и огласить используемые схемы ибо если юзать стандартные схемы и стандартные темплэйты для лдападмина то при включении галки почта и прописании там всего необходимого при создании пользователя выдается ошибка:<br>LDAP error! Invalid Syntax: objectclass: value #3 invalid per syntax.<br> https://www.opennet.ru/openforum/vsluhforumID1/83068.html#5 Thu, 27 Nov 2008 06:50:43 GMT &gt;Да все нормально заворачивается с dovecot. У меня exim использует dovecot auth. <br>&gt;В свою очередь dovecot auth был завернут на ldap через ldap <br>&gt;bind - соответствено работали PLAIN и LOGIN авторизации. <br><br>Про заворачивание авторизации на ллдап всё понятно-решений куча и но работает... речь именно про схемы и про управление дальнейшее этими аккаунтами группами и паролями.<br><br><br>&gt;Сейчас используется чтение через sambaNTPassword: <br>&gt;pass_attrs = sambaNTPassword=password,uid=user,dovecotAllowNets=allow_nets,homeDirectory=userdb_home,uidNumber=userdb_uid,gidNumber=userdb_gid <br>&gt;default_pass_scheme = NTLM <br><br>А можно более подробно? может быть выложить конфиги участвующие в работе?<br>Насколько я вижу из вышеупомянутой строчки всётки для dovecot в лдапе прописана какая то дополнительная схема с атрибутами dovecotAllowNets и прочими...<br>В таком случае каким образом заводятся и удаляются пользователи (пароль и имя пользователя насколько я виду используется самбовское) из LDAPа? <br>И можно огласить дополнительную схему? https://www.opennet.ru/openforum/vsluhforumID1/83068.html#4 Thu, 27 Nov 2008 06:42:51 GMT &gt;Законченого решения нет. Так что openldap + схемы для каждого сервиса. <br><br>но ведь при наличии отдельной схемы это получается тоже самое что и иметь все эти сервисы в отдельных базах что делает систему совершенно неуправляемой на более менее крупных объемах... поэтому это отпадает сразу же и выбор падает на использование MS AD. других вариантов я не вижу. Иначе ничего кроме как жестокого каждодневного геммора мы добиться не сможем.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/83068.html#3 Thu, 27 Nov 2008 00:37:21 GMT &gt; exim+dovecot LDAP - насколько мне удалось понять все эти солюшены основаны на <br>&gt; самодельных (либо модифицированных от других MTA) схемах где создается отдельный класс <br>&gt; - там набор атрибутов для хранения учетных записей для почты их <br>&gt; пароли и набор служебных атрибутов. <br><br>Да все нормально заворачивается с dovecot. У меня exim использует dovecot auth. В свою очередь dovecot auth был завернут на ldap через ldap bind - соответствено работали PLAIN и LOGIN авторизации.<br><br>Сейчас используется чтение через sambaNTPassword:<br>pass_attrs = sambaNTPassword=password,uid=user,dovecotAllowNets=allow_nets,homeDirectory=userdb_home,uidNumber=userdb_uid,gidNumber=userdb_gid<br>default_pass_scheme = NTLM<br><br>Соответственно поддерживаются PLAIN LOGIN NTLM<br><br>Использование ntlm позволило сделать sso при использовании всяких аутлуков. К сожалению thunderbird не поддерживает использование sspi при ntlm https://bugzilla.mozilla.org/show_bug.cgi?id=284538<br><br> https://www.opennet.ru/openforum/vsluhforumID1/83068.html#2 Wed, 26 Nov 2008 17:42:58 GMT Плохо смотрели - у меня получилось сделать связку:<br>OpenLDAP - в нем хранятся учетки для:<br>1) Samba PDC (NT4)<br>2) Postfix + Courier-Imap<br>3) eJabberd (общий ростер, vCard, logdb)<br>4) OpenVPN<br>5) Squid<br><br>Заводим через LdapAdmin пользователя, нужных template-ах прописываем openvpn и почту, назначаем ему пароль и все.<br><br>Его логин и пароль - по всем 5 сервисам...<br><br>Так что добиться этого можно - работайте :)<br> https://www.opennet.ru/openforum/vsluhforumID1/83068.html#1 Wed, 26 Nov 2008 17:27:50 GMT &gt;на чем остановиться подскажите плз? хочется законченного решения... еще раз повторюсь использовать <br>&gt;связку windows AD domain + freebsd samba + freebsd services можно... <br>&gt;но как то неправильно это.... гетерогенные системы и всё такое... :) <br><br>Законченого решения нет. Так что openldap + схемы для каждого сервиса.<br>