gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Samba 3 + ADS + Kerberos + Single Sign On
Contribuído por scorpio em 16-11-03 9:59
do departamento howto
Linux Marco [ZeeTee] escreve "Já alguem se lançou à experiência com um ambiente destes? O meu objectivo em particular é o de migrar uma solução (muito coxa) de NT4 integrado com KDC em linux, uma máquina com samba e outra com qmail, com o objectivo do single sign on. Tenho andado aqui a fazer algumas experiências com o Samba 3 pre3 (saido hoje, dia 14/11/03) e com o 2000 com AD como KDC. Ainda há pouca documentação integrada e muitas experiencias diferentes para ir configurando o ambiente... Já consegui "enfiar" o linux com samba na AD, obter tickets do kerberos, mas ainda ando à cabeçada com a sincronização das passwords. Os meus conhecimentos técnicos são reduzidos, e vou aprendendo conforme vai surgindo o próximo objectivo, muito à base do nosso amigo google... Alguem interessado em ir trocando experiências? "

História, ciência e tecnologia: a energia em Portugal | ReiserFS  >

 

gildot Login
Login:

Password:

Referências
  • Linux
  • Marco [ZeeTee]
  • Mais acerca Linux
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    QA (Pontos:1)
    por liberdade em 16-11-03 14:54 GMT (#1)
    (Utilizador Info) http://wideopenbsd.org
    Devia ser do departamento startux.org ;)
    ldap (Pontos:1, Redundante)
    por vd em 16-11-03 15:40 GMT (#2)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Que tal LDAP ?

    //vd
    Re:ldap (Pontos:2)
    por leitao em 16-11-03 16:25 GMT (#3)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Single Sign On != Centralizacao de passwords.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:ldap (Pontos:3, Esclarecedor)
    por ruben dig em 16-11-03 17:53 GMT (#4)
    (Utilizador Info) http://www.floppy.com.pt
    Single Sign On == laziness == insecurity == microsoft
    :)
    Re:ldap (Pontos:0, Despropositado)
    por Tyler Durden em 16-11-03 20:02 GMT (#8)
    (Utilizador Info)
    Dah!
    "You have to know, not fear, that someday you are going to die. Until you know that and embrace that, you are useless." Tyler Durden
    Re:ldap (Pontos:1)
    por Anonimus Cobardis em 16-11-03 21:14 GMT (#10)
    (Utilizador Info)
    Dar o quê? Acho que ele não disse que dava nada...


    --
    © 1982 Sinclair Research Ltd
    Re:ldap (Pontos:2)
    por grumpy bulgarian em 17-11-03 11:03 GMT (#14)
    (Utilizador Info) http://10.10.11.2
    acho que tb tens que admitir que multiple sign on = tremenda perda de tempo dos utilizadores = post-it notes com passwords espalhados pelas mesas e monitores
    Grumpy B)
    Re:ldap (Pontos:2)
    por PR em 17-11-03 12:30 GMT (#16)
    (Utilizador Info)
    Não concordo.
    Que consideras mais inseguro:
    a) teres um sistema de autenticação unica que te permite fazer login "automático" em algumas aplicações;
    ou
    b)Teres utilizadores que percisam de usar 10, 15 aplicações com passwords diferentes com a sua secretária cheia de papelinhos amarelos com as respectivas passwords?
    E isto já para não falar no pesadelo que seria no Helpdesk....
    Re:ldap (Pontos:2)
    por vd em 16-11-03 18:45 GMT (#6)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Ei, ele tambem disse que andava 'as turras com a sincronização de passwords.

    //vd
    Re:ldap (Pontos:2)
    por joaobranco em 16-11-03 22:17 GMT (#11)
    (Utilizador Info)

    Single Sign On != Centralizacao de passwords.
    Isto não é uma flame, é mesmo uma dúvida: quais são as vantagens de ter Single Sign On (e portanto a existência de uma "identidade única" para os serviços) sem ter a centralização dessa identidade num qualquer modelo de autenticação central (seja Kerberos, seja LDAP)?

    Qual a vantagem de ter de gerir servidores de autenticação separados para serviços diferentes? A única que me vem à cabeça é alguma redundância no caso de haver problemas com o modelo centralizado... Mas ainda assim parece-me mais simples conseguir redundância (por exemplo) com vários servidores espelho do que doutra forma...


    Cumps, JB

    Re:ldap (Pontos:2)
    por leitao em 16-11-03 23:26 GMT (#12)
    (Utilizador Info) http://scaletrix.com/nuno/blog/
    Isto não é uma flame, é mesmo uma dúvida: quais são as vantagens de ter Single Sign On (e portanto a existência de uma "identidade única" para os serviços) sem ter a centralização dessa identidade num qualquer modelo de autenticação central (seja Kerberos, seja LDAP)?

    Bom, porque por vezes nao podes ter autenticacao centralizada (por exemplo, quando tens uma aplicacao qualquer legacy que nao podes centralizar). Isto nao e' tao incomum como isso, especialmente quando se esta' a tentar integrar servicos/aplicacoes distintas.


    "I triple guarantee you, there are no American soldiers in Baghdad.", Mohammed Saeed al-Sahaf, Iraqi Minister of Information

    Re:ldap (Pontos:1)
    por ZeeTee em 17-11-03 11:37 GMT (#15)
    (Utilizador Info)
    Bem, LDAP é sem dúvida uma hipótese, se não for lá com o Kerberos... Grrr... isto já se tá a tornar uma questão pessoal... Mais umas turras e se não funcionar em Kerberos, passo ao próximo... O q me chateia é q em nt4 e com o KDC em Linux, a coisa funcionou (a sync. funcionou durante pouco tempo, mas funcionou... :( ) e supostamente, essa implementação era considerada pouco recomendavel!! Cumps ppl.
    Kerberos... (Pontos:1)
    por AlphaAXP em 28-11-03 6:30 GMT (#21)
    (Utilizador Info)
    Consegui. Funciona em ambos os sentidos.

    E util ler doc sobre kerberos (as tools, como kinit, kdestroy, ktpass, etc...)

    Bom link, mesmo qdo nao se usa Samba mas quere-se atingir SSO: http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp

    E' so' pena que, pelo menos nesta versao, o net ads join nao coloque a chave no keytab... Um erro grave que espero venha a ser corrigido. Caso queiras por ex, "kerberizar" o samba e o apache na mesma maquina teras de ter 2 "contas" e destinguir pelo SPN.

    PS:Nao resisto - Tanto post e tanta bacora dita sobre o assunto... mas quem tenha feito (nem que fosse para poder defender ou criticar c/ moral)esta' escaco,ne'?
    Hummm... (Pontos:4, Informativo)
    por ppx2001 em 16-11-03 18:06 GMT (#5)
    (Utilizador Info)
    Viva!

    Já viste aqui ?


    ppx2001
    Re:Hummm... (Pontos:1)
    por ZeeTee em 18-11-03 11:54 GMT (#20)
    (Utilizador Info)
    Thanx!! Vou dar uma olhadela. Cumps
    Not for free, but it works. (Pontos:2)
    por vd em 16-11-03 18:49 GMT (#7)
    (Utilizador Info) http://paradigma.co.pt/~vd
    Caso estejas interessado, sempre podes usar o Netegrity SiteMinder (http://www.netegrity.com/)

    //vd
    "LDAPv3" aka ldap+ssl+kerberos (Pontos:1)
    por RaTao em 17-11-03 23:36 GMT (#18)
    (Utilizador Info)
    Deve dar para "começar":

    http://www.bayour.com/LDAPv3-HOWTO.html
    Regards,
    Nuno Silva aka RaTao
    Re:"LDAPv3" aka ldap+ssl+kerberos (Pontos:1)
    por ZeeTee em 18-11-03 11:45 GMT (#19)
    (Utilizador Info)
    Oks. Thanx, vou dar uma vista de olhos.
    Re:exp (Pontos:1)
    por Gamblit em 17-11-03 0:51 GMT (#13)
    (Utilizador Info)
    WTF?
    Re:exp (Pontos:2)
    por TarHai em 17-11-03 18:13 GMT (#17)
    (Utilizador Info) http://www.dilbert.com
    Respira fundo e bebe uma cerveja.

    Estas a fazer muito swap e podes gerar um core dump a qualquer momento.
    ## I see offline people.

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]