Fórum Root.cz
Hlavní témata => Server => Téma založeno: LivingLegend 30. 06. 2016, 08:35:05
-
Dobrý den, hraju si s 389ds. A zajímalo by mne jestli je nějaký způsob přinutit windowsi stanice se přihlašovat na přímo.
Zatím jsem pochopil že ano pokud mi někde poběží win server kde bude kerberos a ten to přeloží. Nebo použít pginu.
Nějak se mi nepodařilo to vyřešit jinak. Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.
Díky moc za rady.
-
Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.
Tak na to rovnou zapomeň...
-
Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.
Tak na to rovnou zapomeň...
Smutna odpověď .... ale i tak dík
A jak je to s cali? Potřebuju pro každou stanici zvlášť? Nebo stačí jen vůči DS?
-
Ze se vubec ptas ... potrebujes bud pro kazdej kus zeleza kterej s tim komunikuje (i pres prostredniky) nebo pro kazdyho usera, kterej s tim komunikuje (i pres prostredniky).
-
Nu, místo toho Windows serveru to může být i Samba 4 na linuxu. A pokud použiješ FreeIPA (který v sobě to ds390 má), tak to může být i použitelné, ale pořád to funguje tak, že se stanice hlásí k sambě a jsou nastaveny vztahy důvěry mezi doménou samby a zbytkem řízeným tím FreeIPA.
Jinak Windows stanice se umí přihlašovat i proti čistému Kerberos serveru a ne jen na Windows doménu. ale to jen řeší, že mám centralizovanou správu hesel např v MIT kerberos serveru. Neřeší to skoro nic dalšího (v tomto případě musím mít namlácené lokální uživatele ve stanicích a nastaveno jaký Kerberos SPN se mapuje na jakého lokálního usera).
-
A jak je to s cali?
To radši vůbec nezkoumej, nebo se z toho zblázníš. Jak už kolega navrhoval, místo Windows Serveru pro AD použít Sambu 4.x.
-
Tak, pokud použiju tu Sambu 4, tak nemusím řešit CALy.
Jinak bych se zamyslel, zda ten 389ds potřebuješ, možná by ti stačila samotná samba 4, která v sobě má ekvivalent AD/LDAP/Kerberos serveru a mít data v ní a z toho řídit vše potřebné.
Klikátko pro ovládání je pak klasická Microsoftí konzola z nějaké stanice. Takže pokud nepotřebuji zuřiivě modifikovat LDAP schéma (což je v Samba4 opruz), tak je to také cesta....
-
Tak, pokud použiju tu Sambu 4, tak nemusím řešit CALy.
Jinak bych se zamyslel, zda ten 389ds potřebuješ, možná by ti stačila samotná samba 4, která v sobě má ekvivalent AD/LDAP/Kerberos serveru a mít data v ní a z toho řídit vše potřebné.
Klikátko pro ovládání je pak klasická Microsoftí konzola z nějaké stanice. Takže pokud nepotřebuji zuřiivě modifikovat LDAP schéma (což je v Samba4 opruz), tak je to také cesta....
No me by se libilo neco aby se uzivatelske pc prihlasovaly pres centralni seznam, kterej bych casem navesil na mail ci drupal..
-
Ano, přesně takto Samba 4 v roli AD používáme, stanice a lidi se do windowsů hlásí do domény na té sambě a dle té samby (fakticky několik Samba serverů, včetně read only replik v DMZ) jede automatické ověřování a přístupy na vše, co tu máme (obvkyle pomocí Kerberosu) - pošta (včetně mail routingu mezi různými servery v sendmailu na uživateli přidělený IMAP server na pobočce a posílání skupinových mailů a aliasů), CIFS/NASy, intranetové weby, proxy, SVNka, SSH, NX, PostgreSQL, VPN, 802.1x pro LAN i Wifi, ...
Automatické SSO nám jen nešlape proti Novell Fileru a XDMCP. :-(
-
A můžou být ty stanice s verzí Windows home edition?
Nepotřebuji uživatelské profily, jen ověřování ke sdílení Samba složek a ověření k přístupu na interní web/apache.
-
Ano, můžu použít Sambu jako AD a v té doméně mít integrované jen ty web servery a NASky a přistupovat k tomu pak z Windows home. Bude to fungovat, jen šlověk bud emuset občas někde zadávat jméno/helso při přístupu.