The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Вышел Likewise Open 6.0, агент для аутентификации Linux машин в Active Directory

07.07.2010 19:53

Компания Likewise Software представила релиз продукта Likewise Open 6.0, предназначенного для организации подключения Linux, Unix и Mac OS X машин к домену Active Directory. Продукт призван решить проблему сетевой совместимости Windows и Linux, являясь простым решением для создания единой системы аутентификации (включая поддержку задания настроек безопасности через Active Directory). Код проекта распространяется в рамках лицензии GPL, для коммерческих пользователей поставляется специальная Enterprise-редакция пакета.

Основные новшества Likewise Open 6.0:

  • Ускорение процесса входа в домен для пользователей многих групп, в частности больших групп и групп со сложной структурой;
  • Улучшение поддержки операции смены и обновления пароля с соблюдением сетевых политик для пользователей, относящиеся к Active Directory каталогам со сложной топологией, в которой привлечены несколько односторонних (One-way Trust) или напоминающих лес (Forest Trust) доверительных отношений;
  • Новый механизм реестра значительно улучшает поддержку обновлений, позволяя клиентам легко перейти к использованию новой версии Likewise Open при сохранении существующих конфигураций;
  • Умный менеджер управления сервисами, позволяющий организовать запуск процессов-демонов в заданной последовательности, с учетом имеющихся зависимостей, что позволяет снизить число ошибок и предоставить администраторам типовую модель управления сервисами, единую для Linux, Unix и Mac OS X.

Базовые возможности:

  • Организация входа Linux, Unix и Mac систем в домены Active Directory одним шагом из командной строки или GUI-интерфейса;
  • Безопасная аутентификация пользователей в соответствии с заданными в домене учётными данными (credentials);
  • Аутентификация пользователей по одному имени и паролю на компьютерах, как под управлением Windows, так и использующих системы на базе Unix;
  • Определение единой парольной политики для Windows и не-Windows пользователей;
  • Поддержка нескольких лесов с односторонними или многосторонними доверительными отношениями между лесами;
  • Для организации единообразного управления всеми системами не требуется внесение изменений в схему данных Active Directory.


  1. Главная ссылка к новости (http://www.likewise.com/news_e...)
  2. OpenNews: Компания Likewise выпускает Windows-совместимый открытый CIFS-сервер
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/27225-samba
Ключевые слова: samba, auth, ldap, activedirectory, windows, domain
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (46) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 21:50, 07/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Блин, а есть наооборот - Подключение Win машин к LDAP в nix-системах. Про самбу не говорить - по может она всего AD, пока только NT4-домены держит...
     
     
  • 2.3, r0g3r (??), 22:22, 07/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот поэтому ждём Samba 4. Разработчики грозятся полную имплементацию AD в WinServer 2003 сваять. Но когда оно зарелизится - неизвестно. Хотя Триджелл вполне оптимистично отзывается о работе над проектом.
     
     
  • 3.35, xv (??), 15:15, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее, разработчики целятся сразу в Server 2008.
     

  • 1.2, Mihail (??), 22:08, 07/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ntlm_auth так и нету? Жаль.
     
  • 1.4, hhg (ok), 22:26, 07/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вообщем, не GPLv3:
    Likewise Open is provided under the terms of the GNU General Public License (GPL version 2) and the GNU Library General Public License (LGPL version 2.1).

    likewise-open/git-build/LICENSE

     
  • 1.5, Kibab (ok), 23:02, 07/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь пробовал под FreeBSD 8.0?
     
     
  • 2.6, Deam (ok), 23:05, 07/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем не устраивает samba+winbind?
     
     
  • 3.8, Kibab (ok), 23:24, 07/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не. Просто интересно :-) Там же написано "Linux/UNIX", не окажется ли, что под UNIX ребята понимают только Solaris? Если так -- налицо ещё одно непортабельное поделие :-)
     
     
  • 4.12, kshetragia (ok), 05:42, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    На картинке маячит федора. Т.е. на фряхе по любому заведется.
     
     
  • 5.15, hhg (ok), 07:21, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    это ещё с какого перепугу? федора ни разу не bsd система.
     
     
  • 6.21, RedRat (ok), 10:25, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    > это ещё с какого перепугу?

    C такого, что во Фряхе имеется Линуксулятор на базе Федоры.

     
     
  • 7.25, hhg (ok), 11:29, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    и что? ещё wine есть. такой ответ был бы понятен, если о КраснойШапке спросили. тогда да, если в федоре работает, то скорее всего и в шапке будет.
    а так давайте, как пример, для ихнего же убитого open agent'а будем везде яву взгромождать, ага.
    вообщем тема нераскрыта.
     
  • 3.14, daevy (??), 05:54, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >А чем не устраивает samba+winbind?

    у likewise вроде удобный гуй и настраивается вполтыка - (воспоминания от настройки этой штуки в убунте); в samba+winbind - масса галочек к которым желательно чтение доков.

    p.s. это еще не говоря про конфиги)))

     
     
  • 4.18, nmorozov (ok), 09:39, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    на ну, как клиент конфиг из тех строк и потом net ads join
     
  • 2.7, hhg (ok), 23:10, 07/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    в git куча сторонних исходников, неизвестно, насколько пропатченных. их ещё выкинуть оттуда надо, а потом пробовать по-человечески собрать с установленными из портов.
    по мне, честно говоря, лучше с kerberos+ldap,pam_krb/ldap и kerberos5дляwindos играться, чем пытаться *nix в AD загонять.
     
  • 2.10, hhg (ok), 01:49, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Кто-нибудь пробовал под FreeBSD 8.0?

    авторы - не пробовали :)
    http://www.likewise.com/products/likewise_enterprise/supported_platforms.php

     

  • 1.9, hhg (ok), 00:38, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    забавно... на unix-машине запускают демоны lsass,reg,eventlog,srvsvc,заменяют passwd,прописывают pam_lsass. более подробно исходники не читал.
    :) теперь и на Линуксе есть службы чего-то доменного, удалённого реестра, событий, управления демонами, какие-то утилиты lw***, gui-утиль ввода в домен.

    вот жаль mmc нет :( это было бы интересно. а может я где-нибудь пропустил существование mmc под *nix для руления windos'ами?

    Продукт для управления Linux-системами из среды Microsoft Management Console (MMC) под CDDL (Common Development and Distribution License) когда-то был:
    http://web.archive.org/web/20060618113658/http://likewiseopenagt.sourceforge.
    ныне уничтожен и барыжится как Enterprise version.

    что-то есть здесь:
    https://build.opensuse.org/package/files?package=likewiseopenagt&project=openS

     
     
  • 2.11, hhg (ok), 01:59, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    ну и лажа этот likewiseopenagt. надо же додуматься кусок серверной части(линуксовой) на яве написать. %-/
     
     
  • 3.32, ххх (?), 14:18, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >ну и лажа этот likewiseopenagt. надо же додуматься кусок серверной части(линуксовой) на
    >яве написать. %-/

    Java - один из самых сильных/востребованных языков в мире. Можешь почитать статистику.
    И наряду с C++/Qt - наверно единственная реальная альтернатива .Net. Да к тому же ещё и кроссплатформенная...
    Так что не стоит лишний раз её опускать.

    P.S. обычно про Java так говорят люди, не особо сведущие в IT ;)

     
     
  • 4.34, hhg (ok), 15:06, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>яве написать. %-/
    >
    >Java - один из самых сильных/востребованных языков в мире. Можешь почитать статистику.
    >
    >И наряду с C++/Qt - наверно единственная реальная альтернатива .Net. Да к
    >тому же ещё и кроссплатформенная...
    >Так что не стоит лишний раз её опускать.
    >
    >P.S. обычно про Java так говорят люди, не особо сведущие в IT
    >;)

    некоторым виндаводам, пофик, где, сколько и какого жырного мусора у них понаставлено. даже для простой правки текстового конфига им просто жизненнонеобходима ява, дотнет и оффис2010. ну и также windos2008 на рабочем месте. успехов вам с такими потребностями.

    ps. я не против, если б яву они использовали на стороне клиента. это даже в плюс бы пошло, но то, что они пытались пять лет назад продвинуть... слегка неадекватно.

     
  • 2.31, ххх (?), 14:09, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >забавно... на unix-машине запускают демоны lsass,reg,eventlog,srvsvc,заменяют passwd,прописывают pam_lsass. более подробно исходники не
    >читал.

    hhg, ты удивишься, но классическая самба тоже реализует службу удаленного реестра.
    попробуй подконнектиться из regedit'а удаленно... ;)

     
     
  • 3.33, hhg (ok), 15:00, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    не удивлюсь. здесь речь не о самбе.
     
  • 3.38, hhg (ok), 15:56, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кончай гнать пургу, давай по теме - где mmc под *nix для руления windos'ами?
    согласен на яву.
     

  • 1.16, fix (??), 07:24, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Глюкаво пока имхо, в 5.4 имело место:
    1. Юзер не может сменить пароль из-под никсов - приходится делать это на контроллере домена
    2. Из-за багов с нотификацией типа "ваш пароль истечет через ..." не дает разблокировать рабочую станцию (считает, что пароль неправильный)
    3. Аутентификация прикручивается тоже далеко не ко всему. Из коробки - только CIFS.
    4. Тормоз - если видит сетевое подключение, то обязательно лезет на DC. В результате - полуминутное ожидание при разблокировке рабочей станции, если ты не в своей сети
    5. Пробовал на CIFS-сервере - аутентификация не заработала как положено, пришлось вернуться на Samba и Winbind
     
     
  • 2.22, netc (ok), 10:31, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >3. Аутентификация прикручивается тоже далеко не ко всему. Из коробки - только CIFS.

    Абсолютно согласен! Взять ту же прозрачную аутентификацию в squid - из коробки нет поддержки, кстати посики в гугле тоже не увенчались успехом.

    Вообщем была идея взять машину поставить линукс и использовать ее как терминал сервер для организации, в которой почти все работает на винде + через домен.

    Т.е. члены домена (сотрудники) со своими записями могли бы заходить на терминал, включать там например тот же firefox и выходить в инет через наш прокси сервер со squid(прекрасно работающий в режиме прозрачной аутентификации для win-машин)

    т.е. единственное для чего можно было использовать likewise так это для единого логина+пароля на всех linux серверах, хотя что делать с freebsd ;( - непонятно, т.к. нативной поддержки платформы нет.

    отсюда вывод - идея с терминалом на линукс для лазанья в интернет потухла ;)

    p.s.
    слава богу то хоть отучил лазить с терминала на винде в инет всех, представьте себе ситуацию один юзер открыл сайт и потом расхлебывать всей фирме в том числе и админу - лечить от троянских коней не заменимую машину, которая работает 7 дней в неделю

     

  • 1.17, testo (?), 09:22, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Mac OS X прекрасно биндится к AD и работает с его сервисами без каких-либо костылей.
     
     
  • 2.19, letsmac (ok), 09:58, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    до 10.6, после него пофиксено на "принтера всё равно отваливаются".
     

  • 1.20, i (??), 10:20, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    что бы подключить linux машину к домену Active Directory, надо в этом AD её авторизовать. А есть ли способ, как бы это сказать, прикинуться уже подключенной к домену виндовой машиной? Надо это мне потому, что я не админ AD.
     
     
  • 2.23, SaveMeGood (??), 10:35, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Схожая проблема, чтобы пользоваться сетевыми ресурсами домена, нужно в этом домене авторизоваться. Но у меня нет учетной записи этого домена (я тоже не админ), интересует способ прикинуться, что я какбэ авторизовался в этом домене.
     
     
  • 3.24, anonymous (??), 10:49, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Нужна любая учетная запись пользователя домена. Без этого - шиш тебе, а не шары.
     
     
  • 4.26, Lightnin Hopkins (??), 11:44, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Извиняюсь, может быть, за некомпетентность. Но вот захотел я попробовать linux поставить на работе, где у всех Win в AD, в том числе и у меня. Почитал в Сети как ввести Linux в домен. Так пишут для этого нужно быть администратором домена AD, то есть знать пароль. Выходит без привлечения админа-виндузятника никак?
     
     
  • 5.28, filosofem (ok), 12:18, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ввести машину в домен естественно никак, но пользоваться шарами можно по NTLM.
     
     
  • 6.30, Lightnin Hopkins (??), 13:29, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ввести машину в домен естественно никак, но пользоваться шарами можно по NTLM.
    >

    Жаль, корпоративной почтой значит не воспользоваться. А админа и просить нечего. Вылупит глаза как баран на новые ворота.

     
     
  • 7.45, Gra2k (ok), 02:38, 10/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    в Ад вводится машина, то есть генериться некий сид который можно выцепить и некий ключ который выцепить можно только хацкеркими методами, если попросить чисто виндузового админа зарегать то естественно упретесь в паранойю, проще попросить дать на некоторое время право вашему акку вводить машины в домен, тут уже паранои быть не должно. И почему это почтой не воспользуетесь?
     
  • 6.47, Vlad (??), 13:53, 18/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >Ввести машину в домен естественно никак, но пользоваться шарами можно по NTLM.
    >

    В 2003-м сервере, кажется, по умолчанию, зарегистрировать рабочую станцию в домен может простой пользователь домена. За 2008-й не скажу...

     
  • 5.29, анончик (?), 12:26, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и ходи на шары под своей учёткой, проблем-то.
     
  • 5.37, xv (??), 15:24, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Не обязательно быть домен-админом, достаточно иметь доменную пользовательскую учётку - по умолчанию Authenticated Users могут добавить в домен до 10 машин.
     
     
  • 6.42, ezhische (?), 23:57, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    Ну если админ этого не запретил, подправив стандартную политику. У меня только спец группа может в домен вводить.
     

  • 1.27, Mikula (?), 11:58, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Выходит без привлечения админа-виндузятника никак?

    Ну если не Администратор пароль 12345, то без привлечения никак.

     
  • 1.36, i (??), 15:18, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну а если есть юзерская учетка в AD и комп с виндой туда подключенный.
    Все же можно ли как то выдать ноутбук с линуксом за этот виндовый комп?
     
     
  • 2.39, Аноним (39), 18:24, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    В KDE есть галочка в настройках классная - поставить ее и пожно пользоваться шарами из AD проходя авторизацию от какого либо пользователя
    Блин у меня все сервера под FreeBSD воткнуты в AD и никаких проблемм не возникало на протядении многих лет, ну бывает там раз в пол года самбу надо перезапустить да это делов то менее минуты
     
     
  • 3.40, i (??), 19:51, 08/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    нет попрос не про шары, они и так прекрасно работают проходя авторизацию от какого либо пользователя. Как сделать linux комп подключенным к домену, не имея прав админа этого AD
     
     
  • 4.44, Lightnin Hopkins (??), 09:52, 09/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    >нет попрос не про шары, они и так прекрасно работают проходя авторизацию
    >от какого либо пользователя. Как сделать linux комп подключенным к домену,
    >не имея прав админа этого AD

    Вот-вот, у меня тот же вопрос. Если помотреть мануал как устанавливать subj, там про ввод пароля ничего не говорится. Надо будет попробовать тогда. С точки зрения обывателя (то есть меня), как-то странно привлекать админа, чтобы ввести тот же комп в домен, если он уже введен раньше (правда в Винде).

     

  • 1.41, yason (?), 23:42, 08/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да пошли они. чтобы я им ещё мыло свое оставлял, дабы поделие их скачать. проще маны по самбе покурить, чесслово.
     
     
  • 2.43, hhg (ok), 00:00, 09/07/2010 [^] [^^] [^^^] [ответить]  
  • +/
    git-репа мыла не требует. мыло нужно, наверное, для триала enterprise (не смотрел, ибо 1-1-1-1-1 не прокатило)
    да и sysv init systems у себя не наблюдаю, и поэтому оно мне по-большей части бесполезно.
     

  • 1.46, StrangeAttractor (ok), 03:31, 13/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот наоборот бы. Всегда хотел полноценный AD-контроллер на Linux или BSD поднять.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру