форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение		[ Отслеживать ]

"Прозрачная авторизация IMAP, SASL, GSSAPI..."

Сообщение от realAku (ok) on 21-Фев-08, 09:13

1: PDC Win 2003 AD 2: Fedora 8 (sendmail, cyrus-imap, squid и прочее 3: любая linux машина (много штук) Имеем полностью работоспособную структуру, когда любой сотрудник, являющийся членом домена на "1" при посадке за любою машину "3" получает полную автоматическую преднастройку в соответствии и наследованием со своими правами (гетерогенные сетевые диски, авторизованые туннели в сеть и VPN и прочую красоту, освобождающую меня от головной боли, т.к. машин очень много). Остается одна неразрешаемая задача: как преднастроить любую произвольную почтовую программу (можно даже через Web морду), чтобы клиентская часть забирала имя и пароль из первичной авторизации при входе (т.е. pam), как это происходит при работе с дисками, интернетом и прочее. Т.е. распознавание на "2" идет для всего, кроме cyrus-imap. вводные данные: имеем рабочую saslauthd: pam при адекватном ответе testsaslauth. imtest -m PLAIN (LOGIN) отрабатывают, что видно через debug saslauthd. По документации saslauthd держит kerberos5 - но документации я не нашел, нативно настроит не получилось. также интересно как отрабатывает imtest -m GSSAPI ибо при всех прочих равных он даже на saslauthd не стучиться... что наверное не правильно :). есть ли у кого опыт работы с GSSAPI? Крики и опусы о том что это через одно место и можно проще не принимаются, т.к. если бы знак как можно проще - сделал бы. но при диком кол-ве Win клиентов и  одновременном присутствии не меньшего кол-ва lin, при этом конкретные логины скачут как зайцы по полю в грозу в одного терминала на другой...

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Прозрачная авторизация IMAP, SASL, GSSAPI..."

Сообщение от pavel_simple (??) on 21-Фев-08, 11:36

>[оверквотинг удален] >По документации saslauthd держит kerberos5 - но документации я не нашел, нативно >настроит не получилось. также интересно как отрабатывает imtest -m GSSAPI ибо >при всех прочих равных он даже на saslauthd не стучиться... что >наверное не правильно :). есть ли у кого опыт работы с >GSSAPI? Крики и опусы о том что это через одно место >и можно проще не принимаются, т.к. если бы знак как можно >проще - сделал бы. но при диком кол-ве Win клиентов и > одновременном присутствии не меньшего кол-ва lin, при этом конкретные логины >скачут как зайцы по полю в грозу в одного терминала на >другой... Если честно -- то я так и не понял чего добиваемся и что мешает достичь поставленной цели. давненько этим  вопросом занимался -- кое-что в голове ещё сталось.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от realAku (ok) on 21-Фев-08, 12:17
	ок. тогда такая конкретная задача. 3 ПК: Windows PDC, Linux Mail сервер, Linux клиент Linux клиент введен в домен. Надо чтобы любой доменный пользователь заходил на машину и без ввода пароля мог получать и отправлять свою почту (не принципиально, конкретные клиенты типа Evolution, Opera mail или же Web морда на сервере, важно глянутьь сам механизм) P.S. Т.е. ввод пароля пользователь осуществляет только один раз, когда логинится на машину.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от pavel_simple (??) on 21-Фев-08, 13:00
	>ок. тогда такая конкретная задача. >3 ПК: Windows PDC, Linux Mail сервер, Linux клиент >Linux клиент введен в домен. Надо чтобы любой доменный пользователь заходил на >машину и без ввода пароля мог получать и отправлять свою почту >(не принципиально, конкретные клиенты типа Evolution, Opera mail или же Web >морда на сервере, важно глянутьь сам механизм) > >P.S. Т.е. ввод пароля пользователь осуществляет только один раз, когда логинится на >машину. юзер логинится -- проверяется доступ -- в случае успеха получает kerberos ключик apache легко интегрируется с kerberos -- можно сказать тут проблем вообще нет evolution и thunderbird умеют ggsapi -- (этот самый gssapi не что иное -- как обёртка поверх kerberos -- правда с фишками) sasl gssapi тоже умеет -- только не всегда собран с поддежкой оного postfix dovecot/cyrus-imap имеют sasl -- всё это работает -- знаю потому как делал -- только вот конфигов у меня (к сожалению нет) поддержка виндовых клиентов через spa+AD виндовый thunderbird умеет gssapi -- НО насколько я помню нужно на каждой раб/станции установить MIT kerberos for windows -- хотя давно не пробывал -- может он теперь нативно научился -- через интерфейсы масдайя
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от pavel_simple (??) on 21-Фев-08, 13:09
	вообще kerberos довольно тяжелая инфраструктура (хотя если это именно AD -- тут много лучше) есть ещё один интересный способ -- pam-storepw -- ну тут правда будет тяжело говорить о безопасности -- хотя..... http://silicon-verl.de/home/flo/software/pamcifs.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от realAku (ok) on 22-Фев-08, 10:49
	все что пишешь - знаю. мне нужен минимальный пример конфига. т.е. если взять поэтапный тест: klist - подтверждает билет pdc_user при saslauthd -a kerberos5 -d testsaslauth -u pdc_user -d pdc_user_pass -r REAL   NO "authentication failed" auth failure > reason: saslauthd internal error klist - подтверждает билет pdc_user при saslauthd -a pam -d testsaslauth -u pdc_user -d pdc_user_pass -r REAL   OK. Вопрос. где и какой конфиг надо править, для доп. настройки kerberos5 механизма. PAM идет через winbind
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от pavel_simple (??) on 22-Фев-08, 11:01
	проверь для начала скомпилен/есть ли модуль у sasl'а для kerberos'а
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Прозрачная авторизация IMAP, SASL, GSSAPI..."
	Сообщение от pavel_simple (??) on 22-Фев-08, 11:20
	>проверь для начала скомпилен/есть ли модуль у sasl'а для kerberos'а я когдато оставлял коменты по процедуре прикручивания postgresql 8.0 к AD для керберос аутентификации -- сейчас посмотрел -- потёрли видать -- не осилили похоже мой аглицкий --жаль а ключики для служб ты сделал ?--- думаю нет http://technet.microsoft.com/en-us/library/bb742433.aspx#EFAA google + microsoft windows kerberos
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]