Autenticazione pam su ActiveDirectory

Riccardo Torrini riccardo a torrini.org
Mar 21 Set 2004 23:41:09 CEST


On Tue, Sep 21, 2004 at 04:50:52PM +0200, sirola a fisica.unige.it wrote:

> mi spiace deluderti (sono rimasto deluso anch'io) ma credo che i
> "consulenti a pagamento" abbiano ragione: LDAP + Kerberos + Samba 3.x
> e' diverso da active directory... una macchina con samba 3.0 puo'
> essere membro di un dominio acive directory, ma non puo' fare
> l'active directory server...

State prendendo lo stesso abbaglio dei consulenti.  Probabilmente mi
sono spiegato male, ci riprovo: io _NON_ (negazione) voglio mettere
una macchina FreeBSD a fare da AD-Server.  Non ci penso nemmeno.

Voglio solo che una parte di AD (quella che necessita di DDNS e di
LDAP (e forse di KerberosV)) non venga attivata su macchine Win.
Tutto qui.  I servizi DNS/LDAP/{metti qui il servizio che preferisci}
ci sono gia', ben amministrati e funzionanti.  E devono restare
principalmente _funzionanti_  :-)

Al 99% secondo la documentazione MS la parte DDNS e' fattibile, ci
devi solo mettere delle schiefezze dentro (record SVR, RR o non so
ancora che cosa) e finisce li.  L'unico obbligo e' che deve essere
dynamic, perche' e' un rattoppo per far finta di avere WINS (credi
che non ci sia piu' passando ad AD ma c'e' sempre).


> Nel caso mi sbagliassi, fammi sapere che migro tutto ;-)

Mi hanno dato un link interessante tratto dalle ML di open-ldap, ci
sono dei riferimenti a documenti MS (technet e non) che spiegano
come fare la parte DDNS e suggeriscono come fare il resto (anche
perche' la documentazione MS degli OID di AD e' _erroneamente_ o
_volutamente_ se siete maligni  =8-} sbagliata).

In breve: tiri su una macchina AD-Server (da sola), fai creare a lei
quello che deve creare, gli strappi via lo schema e gli OID segreti,
li metti in un LDAP standard, pialli la macchina Win e la ricrei da
zero dicendo che DNS e LDAP sono esterni/esistenti.  Da provare, ma
sono abbastanza fiducioso.  Quello che spendi in questa fase poi lo
guadagni a regime...  E resta sempre la doppia possibilita' di fare
amministrazione via GUI-AD(MS) o LDAP-Account-Manager o slapd...

Vi terro' informati  ;)


-- 
Riccardo. ( http://www.GUFI.org/~vic/ )



Maggiori informazioni sulla lista esperti