Discussion:
Autenticazione su AD
(too old to reply)
Marco Bellini
2004-09-17 14:41:40 UTC
Permalink
ciao,
dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
direttamente da un domain controller windows 2003 con active directory.
l'idea è che sui server linux ci si possa autenticare ma non esistano
utenti locali, bensì ogni informazione venga presa direttamente dal DC.
è un'ora che giro su google ma non riesco a trovare informazioni
soddisfacenti, probabilmente uso keyword sbagliate... =(

qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?

grazie di ogni aiuto che potete passarmi!

marco


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Giuseppe Paterno'
2004-09-20 06:33:33 UTC
Permalink
Post by Marco Bellini
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
A pancia sembra che manchi la configurazione del subsystem NSS di Linux
che faccia riferimento all'LDAP di Active Directory.

Ah, per la cronaca: ho trovato un plugin di AD che serve per configurare
meglio i sistemi unix e le utenze: si chiama AD4UNIX.

Trovi alcune informazioni in merito sul mio libro "Single Signon con
Kerberos ed LDAP" che puoi trovare qui:

http://gpaterno.free.fr/publications/SingleSignon/Single_Signon_Kerberos_LDAP.pdf

Ti consiglio di leggere:

"6. Setup dei client", paragrafo "Linux"
"10. Integrazione", paragrafo "Uso del KDC integrato in Windows 2000"

Hope it helps!
Ciao ciao,

Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Simo Sorce
2004-09-21 07:45:16 UTC
Permalink
Post by Giuseppe Paterno'
Post by Marco Bellini
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
A pancia sembra che manchi la configurazione del subsystem NSS di Linux
che faccia riferimento all'LDAP di Active Directory.
Il problema di usare nss_ldap con ad sono i "gruppi nei gruppi".
Winbindd è in grado di fare correttamente quello che io ciamo
"unrolling" e presentare la lista di utenti completa.

Simo.
--
Simo Sorce - ***@xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
Simo Sorce
2004-09-20 08:40:53 UTC
Permalink
Post by Marco Bellini
ciao,
dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
direttamente da un domain controller windows 2003 con active directory.
l'idea è che sui server linux ci si possa autenticare ma non esistano
utenti locali, bensì ogni informazione venga presa direttamente dal DC.
è un'ora che giro su google ma non riesco a trovare informazioni
soddisfacenti, probabilmente uso keyword sbagliate... =(
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
grazie di ogni aiuto che potete passarmi!
winbindd di samba, su samba.org trovi tutta la documentazione che ti
serve, su samba.xsec.it trovi info sulla community italiana di samba a
cui puoi fare riferimento se ti serve aiuto.

Simo.
--
Simo Sorce - ***@xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
Emiliano 'AlberT' Gabrielli
2004-09-20 08:57:08 UTC
Permalink
Post by Marco Bellini
dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
direttamente da un domain controller windows 2003 con active directory.
l'idea è che sui server linux ci si possa autenticare ma non esistano
utenti locali, bensì ogni informazione venga presa direttamente dal DC.
è un'ora che giro su google ma non riesco a trovare informazioni
soddisfacenti, probabilmente uso keyword sbagliate... =(
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
credo che ldap sia la soluzione per te .. pam+ldap ... non l'ho mai provato
per utenti di sistema, ma per autenticare utenti da script PHP funziona bene
(trovi diversi doc google-ando a proposito) ..

ciao
--
<?php echo ' Emiliano `AlberT` Gabrielli ',"\n",
' E-Mail: AlberT_AT_SuperAlberT_it ',"\n",
' Web: http://SuperAlberT.it ',"\n",
' IRC: #php,#AES azzurra.com ',"\n",'ICQ: 158591185'; ?>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Luca Berra
2004-09-20 09:53:19 UTC
Permalink
Post by Marco Bellini
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
o installi sfu sul DC e usi ldap per gli utenti(*)
o usi winbind invece di kerberos/ldap

http://hostopia.samba.org/samba/docs/man/Samba-Guide/
spiega un sacco di cose

L.
(*) c'era anche un coso alternativo a sfu, ma ora mi sfugge il nome.
--
Luca Berra -- ***@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Antonio Anselmi
2004-09-20 10:13:30 UTC
Permalink
ciao,
dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
direttamente da un domain controller windows 2003 con active directory.
l'idea Ú che sui server linux ci si possa autenticare ma non esistano
utenti locali, bensì ogni informazione venga presa direttamente dal DC.
magari e' un po' drastica e si pone a 180 gradi dalla situazione che
descrivi...
Potresti metter su un server (Open)LDAP + SAMBA con auth PAM+LDAP e
migrarci tutti gli account win ...se devi sostituire un PDC occorre
pero' SAMBA 3.
La soluzione ti consente anche di avere separati, se ne hai bisogno,
utenti-linux-only (con directory home exportate in NFS via utomount) e
utenti-win-only (con le loro brave share su SMB).
Non e' una passeggiata ma puo' essere una soluzione.
Consulta anche le pagine di idealx.com

Antonio
bIRGUs
2004-09-20 14:16:20 UTC
Permalink
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Marco Bellini ha scritto:

| ciao,
| dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
| direttamente da un domain controller windows 2003 con active directory.
| l'idea è che sui server linux ci si possa autenticare ma non esistano
| utenti locali, bensì ogni informazione venga presa direttamente dal DC.
| è un'ora che giro su google ma non riesco a trovare informazioni
| soddisfacenti, probabilmente uso keyword sbagliate... =(
|
| qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
| riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
| esistere anche sulla linux box. idee, link, pareri?

prova qui

http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html

ciao
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (MingW32)

iD8DBQFBTuY0aad7+YaOy5URAqFUAKDKxLu8uYq7BJLVmeQf1zS9ESqdOACfZsoB
cTAsvC9wnZoSdlaYABOBXXs=
=v8BC
-----END PGP SIGNATURE-----

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Federico Renzetti
2004-09-20 07:29:42 UTC
Permalink
Post by Marco Bellini
ciao,
dovrei riuscire a fare sì che le macchine linux pescassero gli utenti
direttamente da un domain controller windows 2003 con active directory.
l'idea è che sui server linux ci si possa autenticare ma non esistano
utenti locali, bensì ogni informazione venga presa direttamente dal DC.
è un'ora che giro su google ma non riesco a trovare informazioni
soddisfacenti, probabilmente uso keyword sbagliate... =(
qualcuno di voi ha già fatto qualcosa di simile? con kerberos e pam
riesco ad autenticare un utente direttamente su un DC ma l'utente _deve_
esistere anche sulla linux box. idee, link, pareri?
grazie di ogni aiuto che potete passarmi!
marco
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Dovresti trovare info su pam_smb oppure winbind (vedi Samba) senza problemi
--
Renzetti Federico

System/Network Administrator
RedHat Certified Engineer

Fabaris S.r.l.
Tel. +39 0765 22181 - Fax +39 0765 410100
Via G. Mameli, 90 02047 Poggio Mirteto (RI)
Filiale: Viale dell'Università, 25 00185 Roma (RM)

www.fabaris.it

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Continue reading on narkive:
Loading...