[BSD] Active directory, LDAP

Szabados Jozsef szabados.jozsef at snt.hu
2002. Dec. 6., P, 13:04:08 CET 

Gondolom van ott egy active directory, ezert azon a gepen minden
problemazas nelkul el lehet inditani egy radius szervert.

pam_radius-t hasznaltam mar, marha bonyolult, egy egysoros konfigfajlba
kell beleirni egy IP cimet, egy domaint, egy jelszoszeruseget
aztan lehet nyomni a bittet. Nem kell samba (plusz egy szolgaltatas).

Az auth forras a win klienseknek az active directory, nem a samba
(legalabbis a Subject alapjan ;-)

A kerberos se rossz, de van egy erzesem, hogy sokat lehet vele szivni,
hallottam dolgokat, hogy az MS Kerberos nem teljesen ua. mint a MIT fele.

udv,
Szabados Jozsef

-----Original Message-----
From: Balazs GAL [mailto:balsa at rit.bme.hu] 
Sent: Thursday, December 05, 2002 10:19 PM
To: freebsd at hu.freebsd.org
Subject: RE: [BSD] Active directory, LDAP


2002-12-05, cs keltezéssel Szabados Jozsef ezt írta:
> Kivancsi voltam, googlerol indulva kb. 2 perc az eredmeny: 
> http://isp-lists.isp-planet.com/isp-radius/0209/msg00022.html
>  
> man pam_radius

Elarulod, hogy ez miert jo?

 	 
> 	Nem tudtok veletlenul egy leirast amely alapjan egy FreeBDS-s 
> szervert ossze lehetne hozni a Windowsos kliensekkel, hogy kozos 
> jelszoadatbazist hasznaljanak?
> 	 
> 	Milyen proggik kellenek hozza, stb.

Ha tenyleg __kozos__ jelszoadatbazisra gondolsz, akkor szinte csak a samba johet szoba. Ezt pam_smb-vel tudod a szerveren hasznalni.

En a magam reszerol windows klienseknek az auth forrasanak samba-t hasznalnek,

ha egy FreeBSD szerver van ami egyben a samba szerver is akkor pam_smb vagy unix passwd sync-et lehet hasznalni,

ha tobb FreeBSD szerver/kliens van akkor felejuk az auth forrasa pam_smb vagy kerberos. (A kerberos es a samba kozotti passwd szinkront meg lehet oldani.)

Ha csak egy FreeBSD szerver lesz akkor nem kell torodni torodni az nss-sel hiszen az userek mar ugyis megvannak a szerveren, ha tobb unix gep lesz akkor a FreeBSD nss miatt, viszonylag behatarolt a lehetoseged nss teren, ugyhogy nis v. hesiod jut hirtelen az eszembe. (Esetleg passwd file rsync) Logikusan nis egyszerubben kivitelezheto.

Az nss_ldap-t is be lehet loni, de csak a libc ujraforditasa utan.

LDAP-t hasznalni csak akkor van ertelme, ha pl lesz samba bdc is (igy a ket samba kozos backendet hasznalhat, de meg ekkor is elgondolkodtato az rsync hasznalata :)) ), vagy akkor ha tenyleg be tudod loni az nss_ldap-t ami szvsz nem eri meg a szenvedest.

balsa

További információk a(z) BSD levelezőlistáról