Ответы пользователя по тегу LDAP
  • S/MIME в Mozilla Thunderbird?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Ну, у меня неуспешный опыт.

    «Desine sperare qui hic intras». Вот это будет главным выводом. Клиентов с полной поддержкой адресной книги AD (в том числе с загрузкой сертификатов) - нет

    Потому что:
    - у TB совершенно другая адресная книга и в ней совершенно другие поля
    - TB не умеет получать сертификат из атрибутов пользователя - у него принципиально иная концепция безопасности.

    То есть:
    - открыть адресную книгу AD и получить оттуда адреса отдельных пользователей, их данные - можно, это прекрасно работает через davmail.
    - открыть адресную книгу AD, получить оттуда адрес почтовой группы, получить из группы адреса, в нее входящие - нельзя (TB не различает учетки юзеров и групп)
    - открыть адресную книгу AD, получить оттуда сертификат пользователя нельзя (TB не понимает атрибутов с сертификатами)

    Поэтому:
    - если CA построен только на винде (запрос и выпуск только на винде) - придется все перестраивать с нуля на линух.
    - если CA построен на линухе - организовать выкладку новых сертификатов в некий внутренний ресурс, на компе наладить задачу по его синхронизации и вносить новые сертификаты в базу безопасности TB скриптом.

    Как сделано у нас:
    - СA на линухе, конкретно у меня на компе
    - при выпуске сертификата его копия (.crt файл, ессно) выкладывается на некий внутренний ресурс.
    - на компе пользователя есть задача, которая стартует скрипт sync-cert-folder
    - при входе в систему или же по значку на рабочем столе запускается скрипт set-user-certificate-base, который обновляет базу сертификатов TB
    - проблема почтовых групп не решена никак

    Скриптами конечно же могу поделиться, но мне кажется без хорошего знания bash их непросто будет понять...
    Ответ написан
  • LDAP для ПК с Windwos и Linux, есть решение?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    LDAP для винды бесполезен. Службу каталогов можно организовать на базе Samba DC - там тоже не все есть, но немного больше и немного проще.
    Ответ написан
    Комментировать
  • Как организовать домен на Kubuntu?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Поднять отдельный домен. Хотя со скриптами тоже потрахаться придется, особенно если переход с почты outlook на TB например.
    Проще варианта нет - только нечто самопальное, похожее на огород из костылей. Винда свой домен пилит двадцать лет. Самба прримерно столько же но из-за позиции вечно догоняющей получается... как получается :)
    Ответ написан
    Комментировать
  • Как импортировать .ldif в Active Directory?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Глеб, а с чего ты решил, что LDIF-файл для openLDAP вообще должен импортироваться в AD? Только потому что там внутри LDAP? Ну так так схема совсем другая...
    Ответ написан
  • Как лучше организовать доменную сеть и централизованную аутентификацию?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Присутсвует ли LDAP сервер в решении Samba DC? Подходит ли Samba для организации централизованной аутентификации?

    Да, присутствует. Более того - он и в AD присутствует :) Любой контроллер домена можно открыть любым LDAP-браузером и ldapsearch работает прекрасно.
    Да, подходит.
    Samba AD DC несовместима с OpenLDAP?

    В смысле? openldap - часть самбы (в том смысле, что используется в ней, а не часть проекта). Вы совместимы со своей рукой?
    Прочитал что Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2. Что это значит с точки зрения возможного функционала?

    Что домен MS увидит в самбе контроллер домена уровня w2k8
    Например из документации гитлаба, в перечне поддерживаемых служб каталогов, Samba DC отсутствует

    Самба не является отдельной уникальной службой каталогов, это просто AD не на Windows. Причем AD, лишенная многих виндовоспецифичных фишек и поэтому довольно бесполезная. Годится только с голодухи для импортозамещения
    Единственное, известное решение кроме самбы - это IPA.
    Все, кто поддерживает AD - поддерживает и самбу (а вот причем тут openvpn - я не понял)
    Ответ написан
    4 комментария
  • SquidGuard или аналог с поддержкой групп в ActiveDirectory по LDAPS?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Едрить, negotiate_kerberos_auth работает с неведомо лохматых времен, года ... ну у же не помню, с 2010 наверное... Еще есть ext_kerberos_ldap_group_acl - что эа любовь к некрософту? Разве SquidGuard еще жив?

    В кидательном журнале "Системный администратор" (который в прошлом году меня знатно кинул, потом вроде пообещал исправиться, но не исправился) была пара статей по настройке сквида, одна из них точно была посвяшена теме управления доступом через группы AD
    Ответ написан
  • Что выбрать для централизованного управления пользователями для Linux и Windows систем?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Zentyal - это просто сборка "все OSS проекты в одном", где база сделана на самбе.
    IPA - отдельная технология, ничего с AD общего не имеющая, зато имеющая много траху при банальном вводе винды в домен.

    Я бы начал с тестирования Zentyal - там есть некая веб-морда для админства.
    Ответ написан
    1 комментарий
  • Ldapsearch: как получить список CN всех пользователей OU (и её "подOU), у которых НЕпустое поле mail?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Да проще пареной репы:
    ldap_basedn="dc=mydomain,dc=loc"
    ldap_binddn=ldapread@MYDOMAIN.LOC
    ldap_common_filter="(&(sAMAccountName=*)(mail=*))"
    
    # Do LDAP search and keep results
    ldapsearch -D $ldap_binddn -w qwertyasdf -LLL -h 192.168.1.14 \
               -b $ldap_basedn -P 3 -a always $ldap_common_filter mail phone другие-атрибуты


    Для проверки, что поле просто заполнено, неважно чем, достаточно поставить field=*. В примере выше будут отобраны все записи, у которых заполнены поля sAMAccountName И mail. Для ограничения поиска определенным OU, оно прописывается в ldap_basedn.
    Ответ написан
    1 комментарий
  • А есть альтернатива Active Directory под линуксом?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    А в чем собственно вопрос-то? Систем глобального каталога - их всего две - AD/Samba (плюс различные вариации с LDAP) и IPA. Если не одна - то другая. Если ни одна ни другая - значит велосипед или ниичаво...
    Ответ написан
    6 комментариев
  • Как настроить pam ldap без использования uidNumber?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    //COPY01 EXEC PGM=IEBGENER
    1. Забить на pam_ldap и использовать sss
    2. Установить UNIX services for Windows, запустить скрипт, который перенумерует AD и при добавлении донумеровывает их. Это нудновато, но я в свое время даже готовый скрипт написал на vbs. Но мне не понравилась необходимость каждый раз, как добавил юзера - пускать этот скрипт
    Ответ написан
  • Почему Squid не аутентифицируется через Actice Directory?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    У меня EL6, доводить до EL7 придется Вам самим.
    - Как называется файл keytab? Если иначе чем krb5.keytab - его имя нужно передавать через окружение. Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:
    # Kerberos keytab file
    KRB5_KTNAME="/etc/proxy.keytab"
    export KRB5_KTNAME

    - Принципал записан правильно? Вот так у меня выглядит auth_param:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD

    Вот так выглядит external_acl, который отслеживает вхождение в группу:
    external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessFull -D DOMAIN.TLD

    (AccessFull - группа в AD)
    - что говорит подобная команда?
    kinit -k -t /etc/proxy.keytab HTTP/proxy.domain.tld

    (должна отработать без вопросов)
    Каким орбразом мапился принципал? Я для этого использовал команду виндовой консоли (делалось давно!):
    ktpass -princ HTTP/proxy.domain.tld@DOMAIN.TLD -mapuser proxy -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass 123456 -out c:\proxy.keytab

    (использовался доменный юзер proxy и его пароль)
    Ответ написан
  • Как организовать ldap на базе ubuntu server?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    В бубунте что - apt-get? Ну тогда apt-get install samba4 :) (ну или как там пишется команда установки пакета)

    Доков в тырнете - зиллион

    UPD: Полноценного AD (в зависимости от того, что ожидаете) можно и не получить.
    Ответ написан
  • Можно ли через LDAP узнать список пользователей на конкретном ПК?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    В винде нет понятия "системный пользователь". От слова совсем. Есть "локальный пользователь", созданный локально на данном компе. Их список наверное можно получить через WMI. Через LDAP можно получить только ответ на запрос от AD - и то, если кредсы на биндинг позволяют его получить.
    Ответ написан
    Комментировать
  • Что выбрать вместо MS AD для офиса где солянка из Linux / Windows / Mac?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Samba4 - это, насколько я знаю "AD без Microsoft". Сам не пробовал, хотя все время хочу найти на это время :) Можно попробовать IPA - это вроде бы решение, которое использует RedHat (хотя живьем платные redhat-овские сервера, конечно же не видел)
    Ответ написан