Directory server, windows stanice

[LivingLegend]

Dobrý den,  hraju si s 389ds. A zajímalo by mne jestli je nějaký způsob přinutit windowsi stanice se přihlašovat na přímo.

Zatím jsem pochopil že ano pokud mi někde poběží win server kde bude kerberos a ten to přeloží. Nebo použít pginu.

Nějak se mi nepodařilo to vyřešit jinak. Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.

Díky moc za rady.

[Reklama]

[Lol Phirae]

Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.

Tak na to rovnou zapomeň...

[LivingLegend]

Představoval bych si že normálně na stanici nastavím doménu a místo AD to použije DS.

Tak na to rovnou zapomeň...

Smutna odpověď .... ale i tak dík

A jak je to s cali? Potřebuju pro každou stanici zvlášť? Nebo stačí jen vůči DS?

[j]

Ze se vubec ptas ... potrebujes bud pro kazdej kus zeleza kterej s tim komunikuje (i pres prostredniky) nebo pro kazdyho usera, kterej s tim komunikuje (i pres prostredniky).

[M.]

Nu, místo toho Windows serveru to může být i Samba 4 na linuxu. A pokud použiješ FreeIPA (který v sobě to ds390 má), tak to může být i použitelné, ale pořád to funguje tak, že se stanice hlásí k sambě a jsou nastaveny vztahy důvěry mezi doménou samby a zbytkem řízeným tím FreeIPA.
Jinak Windows stanice se umí přihlašovat i proti čistému Kerberos serveru a ne jen na Windows doménu. ale to jen řeší, že mám centralizovanou správu hesel např v MIT kerberos serveru. Neřeší to skoro nic dalšího (v tomto případě musím mít namlácené lokální uživatele ve stanicích a nastaveno jaký Kerberos SPN se mapuje na jakého lokálního usera).

[Reklama]

[Lol Phirae]

A jak je to s cali?

To radši vůbec nezkoumej, nebo se z toho zblázníš. Jak už kolega navrhoval, místo Windows Serveru pro AD použít Sambu 4.x.

[M.]

Tak, pokud použiju tu Sambu 4, tak nemusím řešit CALy.
Jinak bych se zamyslel, zda ten 389ds potřebuješ, možná by ti stačila samotná samba 4, která v sobě má ekvivalent AD/LDAP/Kerberos serveru a mít data v ní a z toho řídit vše potřebné.
Klikátko pro ovládání je pak klasická Microsoftí konzola z nějaké stanice. Takže pokud nepotřebuji zuřiivě modifikovat LDAP schéma (což je v Samba4 opruz), tak je to také cesta....

[LivingLegend]

Tak, pokud použiju tu Sambu 4, tak nemusím řešit CALy.
Jinak bych se zamyslel, zda ten 389ds potřebuješ, možná by ti stačila samotná samba 4, která v sobě má ekvivalent AD/LDAP/Kerberos serveru a mít data v ní a z toho řídit vše potřebné.
Klikátko pro ovládání je pak klasická Microsoftí konzola z nějaké stanice. Takže pokud nepotřebuji zuřiivě modifikovat LDAP schéma (což je v Samba4 opruz), tak je to také cesta....

No me by se libilo neco aby se uzivatelske pc prihlasovaly pres centralni seznam, kterej bych casem navesil na mail ci drupal..

[M.]

Ano, přesně takto Samba 4 v roli AD používáme, stanice a lidi se do windowsů hlásí do domény na té sambě a dle té samby (fakticky několik Samba serverů, včetně read only replik v DMZ) jede automatické ověřování a přístupy na vše, co tu máme (obvkyle pomocí Kerberosu) - pošta (včetně mail routingu mezi různými servery v sendmailu na uživateli přidělený IMAP server na pobočce a posílání skupinových mailů a aliasů), CIFS/NASy, intranetové weby, proxy, SVNka, SSH, NX, PostgreSQL, VPN, 802.1x pro LAN i Wifi, ...
Automatické SSO nám jen nešlape proti Novell Fileru a XDMCP. :-(

[karlik]

A můžou být ty stanice s verzí Windows home edition?
Nepotřebuji uživatelské profily, jen ověřování ke sdílení Samba složek a ověření k přístupu na interní web/apache.

[M.]

Ano, můžu použít Sambu jako AD a v té doméně mít integrované jen ty web servery a NASky a přistupovat k tomu pak z Windows home. Bude to fungovat, jen šlověk bud emuset občas někde zadávat jméno/helso při přístupu.