авторизация в домене Active Directory

Added by Павел Ласточкин 6 months ago

Доброго времени суток.
Возникла необходимость интегрировать в сеть Calculate Linux Desktop, с авторизацией пользователей из MS AD.
Calculate в домен ввел без проблем,

# net ads testjoin
# wbinfo -u
# wbinfo -g
# getent passwd
# getent group

отрабатывают нормально, но не получается настроить PAM, чтобы пользователи домена могли авторизоваться на компьютере.

Replies (4)

RE: авторизация в домене Active Directory - Added by Роман Тутов 4 months ago

никак . CLD работает только со своим сервером . с MS работать и не обязан

RE: авторизация в домене Active Directory - Added by Виктор Кустов 4 months ago

Текущая версия samba 4.5.*, она вполне может подключаться и работать с AD. Только вот про калькодомен придётся забыть, про утилиты - тоже. И если планируется ещё и сервисы чтобы работали в AD, будет много ручной работы. По факту, несмотря на совместимость самбы с AD, шаблоны LDAP кальки принципиально другие, нежели AD.

RE: авторизация в домене Active Directory - Added by Павел Ласточкин 4 months ago

Спасибо, это я понимаю.
Ситуация заключается в следующем:
Мы гос. учреждение, и, соответственно, должны переходить на отечественное ПО. На данный момент "Calculate Linux Desktop" единственная бесплатная ОС включенная в реестр отечественного ПО. Текущая инфраструктура не позволяет отказаться от MS AD. Моей задачей является сохранения учетных записей, и сделать их независимыми от используемой ОС.

Как я уже написал в первом сообщении, samba без проблем подключается к AD, получает списки пользователей и групп, выводит все группы пользователя, но это все в консоле. На данный момент не хватило опыта и времени подружить PAM с winbind, чтобы можно было авторизоваться в ГУИ. В Ubuntu я это делал не однократно, а здесь не задалось.

Возможно есть вариант синхронизировать пользователей "Calculate Directory Server " и AD, но я на него не натыкался.

RE: авторизация в домене Active Directory - Added by Виктор Кустов 4 months ago

На данный момент не хватило опыта и времени подружить PAM с winbind, чтобы можно было авторизоваться в ГУИ. В Ubuntu я это делал не однократно, а здесь не задалось.

Предлагаю сосредоточиться именно на этом направлении. Для этого "не задалось" нужно описать технически. Что именно не получается, с какими сообщениями об ошибках, больше конкретики. Для вывода сообщений об ошибках лучше использовать wgetpaste, например:

# wbinfo -g | wgetpaste

и сюда ссылочку.

Также можно ознакомиться с документацией:
https://wiki.gentoo.org/wiki/Kerberos_Windows_Interoperability
http://it.bmc.uu.se/andlov/docs/linux/ads/
https://wiki.archlinux.org/index.php/Active_Directory_Integration_(%D0%A0%D1%83%D1%81%D1%81%D0%BA%D0%B8%D0%B9) (да, это про арч, но вики у них неплохая и помогала не раз)

(1-4/4)

Thank you!