Как настраивают идентификацию пользователей в гетерогенных сетях?
Раньше все было просто - все данные хранятся в openldap, клиенты на linux таскают их напрямую, на windows - через samba3. Сейчас samba3 не поддерживается, а samba4 не дружит с openldap. Как быть?
Понятно, когда у тебя 100 машин под Виндой и 10 - под linux. Завел всех в домен и все дела. А что делать, если пропорция обратная? Городить виндовый домен для 10 компов как-то не хочется.
Смотрел freeIPA - там все для linux. samba4 заточена под windows. Куда дергаться-то?
Еще ведь учитывать надо, что куча сторонних сервисов под AD и опенлдап заточены - почтовые сервера, openfire, и другое.
Может у кого есть опыт внедрения и обслуживания чего-то универсального?
О как... Оказывается я уже задавал подобный вопрос год назад и не получил ответа. Что ж, видимо тема корпоративного применения linux окончательно заглохла, остается только web и почта. А жаль, жаль...
Но там ведь несовместимая с openldap реализация протокола. Будет ли она работать с программами, предназначенными для аутентификации в openldap, вот в чем вопрос... А 3 самбу еще использую, но ведь обновлений нет, надо потихоньку мигрировать.
Проблема в том, что я не вижу смысла загонять 100 машин на убунте в виндовый домен, пусть и на самбе. Тогда уж проще freeIPA костылить, все куда красивее выглядит, единственный минус - левый керберос-клиент на все 10 виндовых машин ставить придется.
Встроенный в samba4 ldap вполне умеет хранить атрибуты, необходимые для linux-auth (posixGroup, posixAccount). И, теоретически, дополнительные произвольные схемы.
При создании аккаунтов через samba-tool они заполняются автоматом.
При создании через виндовую админку, нужно ополнительно тыкнуть на вкладку "unix account".
А вообще, на wiki самбы была страница о настройке бэкенда в openldap и dns в bind9.
Пару лет назад там было всё плохо, но может быть чегото уже запилили.