Ответы пользователя по тегу LDAP
  • Как организовать домен на Kubuntu?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Поднять отдельный домен. Хотя со скриптами тоже потрахаться придется, особенно если переход с почты outlook на TB например.
    Проще варианта нет - только нечто самопальное, похожее на огород из костылей. Винда свой домен пилит двадцать лет. Самба прримерно столько же но из-за позиции вечно догоняющей получается... как получается :)
    Ответ написан
    Комментировать
  • Как импортировать .ldif в Active Directory?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...
    Ответ написан
  • Как лучше организовать доменную сеть и централизованную аутентификацию?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Присутсвует ли LDAP сервер в решении Samba DC? Подходит ли Samba для организации централизованной аутентификации?

    Да, присутствует. Более того - он и в AD присутствует :) Любой контроллер домена можно открыть любым LDAP-браузером и ldapsearch работает прекрасно.
    Да, подходит.
    Samba AD DC несовместима с OpenLDAP?

    В смысле? openldap - часть самбы (в том смысле, что используется в ней, а не часть проекта). Вы совместимы со своей рукой?
    Прочитал что Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2. Что это значит с точки зрения возможного функционала?

    Что домен MS увидит в самбе контроллер домена уровня w2k8
    Например из документации гитлаба, в перечне поддерживаемых служб каталогов, Samba DC отсутствует

    Самба не является отдельной уникальной службой каталогов, это просто AD не на Windows. Причем AD, лишенная многих виндовоспецифичных фишек и поэтому довольно бесполезная. Годится только с голодухи для импортозамещения
    Единственное, известное решение кроме самбы - это IPA.
    Все, кто поддерживает AD - поддерживает и самбу (а вот причем тут openvpn - я не понял)
    Ответ написан
    4 комментария
  • SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

    В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD
    Ответ написан
  • Что выбрать для централизованного управления пользователями для Linux и Windows систем?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Zentyal - это просто сборка "все OSS проекты в одном", где база сделана на самбе.
    IPA - отдельная технология, ничего с AD общего не имеющая, зато имеющая много траху при банальном вводе винды в домен.

    Я бы начал с тестирования Zentyal - там есть некая веб-морда для админства.
    Ответ написан
    1 комментарий
  • Ldapsearch: как получить список CN всех пользователей OU (и её "подOU), у которых НЕпустое поле mail?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Да проще пареной репы:
    ldap_basedn="dc=mydomain,dc=loc"
    ldap_binddn=ldapread@MYDOMAIN.LOC
    ldap_common_filter="(&(sAMAccountName=*)(mail=*))"
    
    # Do LDAP search and keep results
    ldapsearch -D $ldap_binddn -w qwertyasdf -LLL -h 192.168.1.14 \
               -b $ldap_basedn -P 3 -a always $ldap_common_filter mail phone другие-атрибуты


    Для проверки, что поле просто заполнено, неважно чем, достаточно поставить field=*. В примере выше будут отобраны все записи, у которых заполнены поля sAMAccountName И mail. Для ограничения поиска определенным OU, оно прописывается в ldap_basedn.
    Ответ написан
    1 комментарий
  • А есть альтернатива Active Directory под линуксом?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    А в чем собственно вопрос-то? Систем глобального каталога - их всего две - AD/Samba (плюс различные вариации с LDAP) и IPA. Если не одна - то другая. Если ни одна ни другая - значит велосипед или ниичаво...
    Ответ написан
    6 комментариев
  • Как настроить pam ldap без использования uidNumber?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Если я чешу в затылке - не беда!
    1. Забить на pam_ldap и использовать sss
    2. Установить UNIX services for Windows, запустить скрипт, который перенумерует AD и при добавлении донумеровывает их. Это нудновато, но я в свое время даже готовый скрипт написал на vbs. Но мне не понравилась необходимость каждый раз, как добавил юзера - пускать этот скрипт
    Ответ написан
  • Почему Squid не аутентифицируется через Actice Directory?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    У меня EL6, доводить до EL7 придется Вам самим.
    - Как называется файл keytab? Если иначе чем krb5.keytab - его имя нужно передавать через окружение. Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:
    # Kerberos keytab file
    KRB5_KTNAME="/etc/proxy.keytab"
    export KRB5_KTNAME

    - Принципал записан правильно? Вот так у меня выглядит auth_param:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD

    Вот так выглядит external_acl, который отслеживает вхождение в группу:
    external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessFull -D DOMAIN.TLD

    (AccessFull - группа в AD)
    - что говорит подобная команда?
    kinit -k -t /etc/proxy.keytab HTTP/proxy.domain.tld

    (должна отработать без вопросов)
    Каким орбразом мапился принципал? Я для этого использовал команду виндовой консоли (делалось давно!):
    ktpass -princ HTTP/proxy.domain.tld@DOMAIN.TLD -mapuser proxy -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass 123456 -out c:\proxy.keytab

    (использовался доменный юзер proxy и его пароль)
    Ответ написан
  • Как организовать ldap на базе ubuntu server?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В бубунте что - apt-get? Ну тогда apt-get install samba4 :) (ну или как там пишется команда установки пакета)

    Доков в тырнете - зиллион

    UPD: Полноценного AD (в зависимости от того, что ожидаете) можно и не получить.
    Ответ написан
  • Можно ли через LDAP узнать список пользователей на конкретном ПК?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    В винде нет понятия "системный пользователь". От слова совсем. Есть "локальный пользователь", созданный локально на данном компе. Их список наверное можно получить через WMI. Через LDAP можно получить только ответ на запрос от AD - и то, если кредсы на биндинг позволяют его получить.
    Ответ написан
    Комментировать
  • Что выбрать вместо MS AD для офиса где солянка из Linux / Windows / Mac?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    Samba4 - это, насколько я знаю "AD без Microsoft". Сам не пробовал, хотя все время хочу найти на это время :) Можно попробовать IPA - это вроде бы решение, которое использует RedHat (хотя живьем платные redhat-овские сервера, конечно же не видел)
    Ответ написан