КАРТА САЙТА
Sibnet.ru
Sibnet.ru

Sibnet.ru — это информационно-развлекательный интернет-проект, ориентированный на широкий круг Сибирского региона.
По данным Rambler Top100, Sibnet.ru является самым популярным порталом в Сибири.

Контакты:
АО "Ринет"
ОГРН 1025402475856
г. Новосибирск, ул. Якушева, д. 37, 3 этаж
отдел рекламы:
(383) 347-10-50, 347-06-78, 347-22-11, 347-03-97

Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru

Внимание! Теперь для входа на форум необходимо вводить единый пароль регистрации сервисов sibnet.ru!

Здравствуйте, гость ( Вход | Регистрация )



 
Ответить в эту темуОткрыть новую тему
> Контроллер домена на Debian
broun
сообщение 10.12.2016, 21:45
Сообщение #1


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Товарищи, прошу, пожалуйста помощи.

В общем хочу поднять (в тестовом режиме, но тем не менее) на Debian 8.6 AD.
В качестве инструкции выбрал пример из Ubuntu

http://help.ubuntu.ru/wiki/samba4_as_dc_14.04

Т.е.

1. Успешно установил пакеты:
apt-get install samba acl krb5-user ntp cups bind9 smbclient

2. Выполнил команду:
samba-tool domain provision --use-rfc2307 --interactive
Имеем:
» Спойлер (нажмите, чтобы прочесть) «


3. Настройка BIND9
Привожу файл
/etc/bind/named.conf.options
К такому виду:
» Спойлер (нажмите, чтобы прочесть) «


*192.168.100.4 - это локальный адрес машины на которой поднимаю AD

4. Файл
/var/lib/samba/private/named.conf
Имеет следующий конфиг:
» Спойлер (нажмите, чтобы прочесть) «


5. Файл
/etc/apparmor.d/usr.sbin.named
Имеет следующий конфиг:

» Спойлер (нажмите, чтобы прочесть) «


6. Перезапускаю службу:
service bind9 restart
Вроде бы никаких ошибок нет.
» Спойлер (нажмите, чтобы прочесть) «


7. Перезапускаю службу:
service apparmor restart
И тут начинается первая непонятка:

» Спойлер (нажмите, чтобы прочесть) «


systemctl status apparmor.service
» Спойлер (нажмите, чтобы прочесть) «


journalctl -xn
» Спойлер (нажмите, чтобы прочесть) «


7. Но продолжаем:
Запускаем samba4:
service samba-ad-dc start
» Спойлер (нажмите, чтобы прочесть) «


8. Содержание файла:
/etc/resolv.conf
» Спойлер (нажмите, чтобы прочесть) «


9. Первый же тест выдает ошибку:
smbclient -L localhost -U%
» Спойлер (нажмите, чтобы прочесть) «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 10.12.2016, 23:42
Сообщение #2


     
Group Icon


Группа: IRC Maniaque
Сообщений: 13 506
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1616  


Лениво всё смотреть.

Цитата
root@1:~# smbclient -L localhost -U%
Connection to localhost failed (Error NT_STATUS_CONNECTION_REFUSED)

Не запущена самба или как вариант фаервол совсем злой. Надо смотреть sockstat -4 / netstat и iptables (или какой там фаервол под линуксами).


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 11.12.2016, 0:22
Сообщение #3


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Цитата(Jek @ 10.12.2016, 23:42) *

Лениво всё смотреть.
Не запущена самба или как вариант фаервол совсем злой. Надо смотреть sockstat -4 / netstat и iptables (или какой там фаервол под линуксами).

Ок.

А то, что при выполнении операции
service apparmor restart
Ошибка:

Код
root@1:~# service apparmor restart
Job for apparmor.service failed. See 'systemctl status apparmor.service' and 'journalctl -xn' for details.
root@1:~#


это из какой серии? smile.gif
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 11.12.2016, 0:36
Сообщение #4


     
Group Icon


Группа: IRC Maniaque
Сообщений: 13 506
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1616  


К сожалению, я понятия не имею, что такое apparmor smile.gif.

Цитата
6. Перезапускаю службу:
service bind9 restart
Вроде бы никаких ошибок нет.

А если глянуть хотя бы /var/log/messages? Если он не хочет запускаться - там всяко будет строчка. А лучше в конфиге бинда прописать отдельный лог-файл.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 18.12.2016, 12:49
Сообщение #5


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Оставил, все, как есть и переключил внимание на DNS сервер пытаюсь настроить но блин не получается, елки-палки.

Что вот не так делаю?

1. Установил bind9
2. Выполнил конфигурирование файла /etc/bind/named.conf.options
{комментарии мои}

» Спойлер (нажмите, чтобы прочесть) «

Т.е. как кэшируюший сервер он работает.

3. Далее настраивал прямую и обратную зоны:

4. Обратная зона (ресурсные записи):
» Спойлер (нажмите, чтобы прочесть) «

4.1. Проверка файла обратной зоны:
Код
root@ns:~# named-checkzone 100.168.192.in-addr.arpa. /etc/bind/db.192
zone 100.168.192.in-addr.arpa/IN: loaded serial 42135
OK

4.2. Проверка обратной зоны:
Код
root@ns:~# nslookup 192.168.100.4
Server:         192.168.100.4
Address:        192.168.100.4#53

4.100.168.192.in-addr.arpa      name = ns.debian.

Т.е. всё работает.

5. А вот с прямой зоной что-то не так. Не пойму.
Ресурсные записи:
» Спойлер (нажмите, чтобы прочесть) «

5.1. Проверка файла прямой зоны:
Код
root@ns:~# named-checkzone ns.debian /etc/bind/db.ns.debian
zone ns.debian/IN: loaded serial 1323
OK

Вроде бы норм.
5.2. А вот выдача результата на запрос - проблема:
Код
root@ns:~# nslookup ns.debian
Server:         192.168.100.4
Address:        192.168.100.4#53

** server can't find ns.debian: NXDOMAIN


Не пойму что такое.



P.S.

Догадка:
Может быть корень зла в том, что "ns.debian" - это просто имя компьютера линукс, а не домен?
Он, кстати, и не пингуется вообще.
Код
root@ns:~# ping ns.debian
ping: unknown host ns.debian



Когда поднимал DNS на WinServer там и IP сервера пинговался (что понятно) и имя домена тоже.

Сообщение отредактировал broun - 18.12.2016, 12:59
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
Jek
сообщение 18.12.2016, 15:14
Сообщение #6


     
Group Icon


Группа: IRC Maniaque
Сообщений: 13 506
Регистрация: 27.9.2007
Из: Кемерово >>> Южный WEB: http://irc.k-42.ru IRC: irc.sibnet.ru #iclub
Пользователь №: 6 588



Репутация:   1616  


Если ты хочешь, чтобы отзывался ns.debian - тебе нужно, чтобы у тебя была зона debian, а в ней уже надо прописывать A-запись:

ns IN A 192.168.100.4

Тогда ns.debian будет резолвиться в 192.168.100.4. У тебя я вообще не вижу в конфиге бинда, чтобы подключались какие-то файлы зон.

Кстати, ищу работу smile.gif.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 18.12.2016, 15:38
Сообщение #7


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Цитата(Jek @ 18.12.2016, 15:14) *

Если ты хочешь, чтобы отзывался ns.debian - тебе нужно, чтобы у тебя была зона debian, а в ней уже надо прописывать A-запись:

ns IN A 192.168.100.4

Тогда ns.debian будет резолвиться в 192.168.100.4. У тебя я вообще не вижу в конфиге бинда, чтобы подключались какие-то файлы зон.

Я не все параметры вывел сюда. smile.gif

В файле /etc/bind/named.conf.local
Прописано:
Код
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
include "/etc/bind/zones.rfc1918";

zone "ns" {
         type master;
         file "/etc/bind/db.ns.debian";
           };

Т.е. файл
db.ns.debian
и содержит ту самую ресурсную запись:
Код
;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     ns.debian. root.ns.debian. (
                           1323; Serial
                         604800; Refresh
                          86400; Retry
                        2419200; Expire
                         604800 ); Negative Cache TTL
        IN      A       192.168.100.4
;
@       IN      NS      ns.debian.
ns.debian       IN      A       192.168.100.4
ns.debian       IN      AAAA    ::1


------------
Дополнено через несколько минут.

Нашел я проблему.
Когда предыдущий комент писал т.е. то, что выше в данном посте. biggrin.gif

Короче вот где я ошибся.
У меня файл зоны называется db.ns.debian
т.е. зона ns.debian.
а я в файле
/etc/bind/named.conf.local
ошибся в синтаксисе:
zone "ns" {
type master;
file "/etc/bind/db.ns.debian";
};

а надо было:
zone "ns.debian" {
type master;
file "/etc/bind/db.ns.debian";
};

---
Итого:
Код
root@ns:~# nslookup ns.debian
Server:         192.168.100.4
Address:        192.168.100.4#53

Name:   ns.debian
Address: 192.168.100.4

root@ns:~# ping ns.debian
PING ns.debian (192.168.100.4) 56(84) bytes of data.
64 bytes from ns.debian (192.168.100.4): icmp_seq=1 ttl=64 time=0.111 ms
64 bytes from ns.debian (192.168.100.4): icmp_seq=2 ttl=64 time=0.094 ms
^C
--- ns.debian ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 0.094/0.102/0.111/0.013 ms
root@ns:~#


Спасибо Джек за то, что навел на правильную мысль. super.gif

Сообщение отредактировал broun - 18.12.2016, 15:41
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
And(R)ey
сообщение 25.1.2017, 10:54
Сообщение #8


 
Group Icon


Группа: Sibnet-club
Сообщений: 3 989
Регистрация: 10.8.2007
Из: Бийск
Пользователь №: 3 633



Цитата(broun @ 18.12.2016, 15:38) *
Код
@       IN      NS      ns.debian.
ns.debian       IN      A       192.168.…
Здесь тебе зона не нужна, можешь писать просто
Код
ns IN A 192.168…

Цитата(broun @ 18.12.2016, 15:38) *
Короче вот где я ошибся.
У меня файл зоны называется db.ns.debian
т.е. зона ns.debian.
Зона у тебя debian, а ns - имя хоста. От этого непонимания все и проблемы.
https://ru.wikipedia.org/wiki/%D0%94%D0%BE%...%B8%D0%BC%D1%8F

Сообщение отредактировал And(R)ey - 25.1.2017, 10:56
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 7.8.2017, 22:45
Сообщение #9


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Людьдобрые помогите пожа.

Пытаюсь понять суть одной технологии - Kerberos.
Т.е. написано много.
Kerberos - это технология аутентификации с доверенным посредником, который проводит аутентификацию клиента и сервера.
Так же, насколько я понимаю, протокол Kerberos является основным механизмом обеспечивающим аутентификацию узлов в домене (в частности MS AD).

При знакомстве со многими инструкциями по настройке КД на базе samba4 везде одним из ключевых сервисов является Kerberos. Вроде бы и логично - аутентификация в домене - вещь необходимая.
Только почему-то обязательным является пакет krb5-user, а не, скажем, krb5-admin-server и krb5-kdc.
Какую роль тогда играет Kerberos, если он не выступает третьей доверенной стороной или как - я несколько подзапутался?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SibSkull
сообщение 8.8.2017, 13:59
Сообщение #10


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573



Репутация:   20  


Цитата(broun @ 7.8.2017, 22:45) *

Людьдобрые помогите пожа.

Пытаюсь понять суть одной технологии - Kerberos.
Т.е. написано много.
Kerberos - это технология аутентификации с доверенным посредником, который проводит аутентификацию клиента и сервера.
Так же, насколько я понимаю, протокол Kerberos является основным механизмом обеспечивающим аутентификацию узлов в домене (в частности MS AD).

При знакомстве со многими инструкциями по настройке КД на базе samba4 везде одним из ключевых сервисов является Kerberos. Вроде бы и логично - аутентификация в домене - вещь необходимая.
Только почему-то обязательным является пакет krb5-user, а не, скажем, krb5-admin-server и krb5-kdc.
Какую роль тогда играет Kerberos, если он не выступает третьей доверенной стороной или как - я несколько подзапутался?
samba в режиме AD DC сама является KDC (правда, с реализацией Heimdal, а не MIT):
Код
# samba-tool processes | grep kdc
kdc_server              1010

А krb5-user — для отладки получаемых билетов Kerberos. Для обычной Samba требуется внешний KDC.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 9.8.2017, 22:19
Сообщение #11


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Цитата(SibSkull @ 8.8.2017, 13:59) *

samba в режиме AD DC сама является KDC (правда, с реализацией Heimdal, а не MIT):
Код
# samba-tool processes | grep kdc
kdc_server              1010

А krb5-user — для отладки получаемых билетов Kerberos. Для обычной Samba требуется внешний KDC.

И все таки немного недопонимаю.
1. Самба в режиме AD DC выступает организует аутентификацию узлов в доменной сети, в том числе, состоящей из компьютеров Windows, так?
2. Но Windows машины заточены под MIT Kerberos 5 и посылают соответствующие запросы на сервер AD DC именно в таком формате и для того чтобы samba могла выполнять роль KDC (в реализации Heimdal) она преобразует получаемые данные в нужный формат с помощью набора скриптов из пакета krb5-user?
Или все таки я не правильно понял схему?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 10.8.2017, 21:59
Сообщение #12


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


И еще вопрос какую роль во всем этом играет PAM?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SibSkull
сообщение 14.8.2017, 14:53
Сообщение #13


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573



Репутация:   20  


Цитата(broun @ 9.8.2017, 22:19) *

И все таки немного недопонимаю.
1. Самба в режиме AD DC выступает организует аутентификацию узлов в доменной сети, в том числе, состоящей из компьютеров Windows, так?
2. Но Windows машины заточены под MIT Kerberos 5 и посылают соответствующие запросы на сервер AD DC именно в таком формате и для того чтобы samba могла выполнять роль KDC (в реализации Heimdal) она преобразует получаемые данные в нужный формат с помощью набора скриптов из пакета krb5-user?
Или все таки я не правильно понял схему?

1. Да
2. Heimdal несовместим по формату для keytab принципалов внешних служб, но не аутентификации.

Цитата(broun @ 10.8.2017, 21:59) *

И еще вопрос какую роль во всем этом играет PAM?
Это стек аутентификации клиентов на машине.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 19.8.2017, 12:20
Сообщение #14


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Спасибо.
Цитата(SibSkull @ 14.8.2017, 14:53) *

1. Да

И еще уточнение.
Kerberos в первую очередь нужен для аутентификации в сети MS Windows или в любой доменной сети (и не только доменной?), даже если она, например, будет построена сплошь из машин на Linux?

Цитата(SibSkull @ 14.8.2017, 14:53) *

2. Heimdal несовместим по формату для keytab принципалов внешних служб, но не аутентификации.

Т.е. Kerberos от MIT и Heimdal - это не какие-то разные миры, а, в общем-то, достаточно близкие протоколы с некоторыми различиями?

Цитата(SibSkull @ 14.8.2017, 14:53) *

Это стек аутентификации клиентов на машине.

Т.е. это чисто локальная история?

Сообщение отредактировал broun - 19.8.2017, 13:23
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 19.8.2017, 21:23
Сообщение #15


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Еще бы хотел в рамках данной ветки задать факультативный вопрос.
команда apt-cache show пакет выдаёт различные сведения о пакете.
В том числе там есть поле source (в переводе - "источник").
Например, возьмем такой источник как "krb5".
Т.к. пакет "krb5-user" я установил далеко не первым, то обнаружил, что при установке разных других пакетов (например, openssh-server, samba. и т.д.) подтягивалась установка зависимостей - пакетов с источником "krb5".

Вопрос:
Правильно ли я понимаю, что если бы первым после установки версии Debian "netinst" я первым дополнительным пакетом установил бы "krb5-user", то все эти зависимости собрались бы т.с. "в одном месте"?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SibSkull
сообщение 25.8.2017, 15:16
Сообщение #16


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573



Репутация:   20  


Цитата(broun @ 19.8.2017, 12:20) *

Спасибо.

И еще уточнение.
Kerberos в первую очередь нужен для аутентификации в сети MS Windows или в любой доменной сети (и не только доменной?), даже если она, например, будет построена сплошь из машин на Linux?
Т.е. Kerberos от MIT и Heimdal - это не какие-то разные миры, а, в общем-то, достаточно близкие протоколы с некоторыми различиями?
Для клиента с MIT Kerberos пофигу, что будет использовать KDC: MIT или Heimdal. Он сможет работать хоть с тем, хоть с другим.
Цитата
Т.е. это чисто локальная история?
Нет. Это правила аутентификации. Без разницы, локально или через SSSD или LDAP.


» Спасибо сказали: «
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 26.8.2017, 18:06
Сообщение #17


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Цитата(SibSkull @ 25.8.2017, 15:16) *

Для клиента с MIT Kerberos пофигу, что будет использовать KDC: MIT или Heimdal. Он сможет работать хоть с тем, хоть с другим.

Что-то я запутался.

Попробую описать систему, так как я это понимаю:
Поднимаем домен на базе samba (с реализацией Kerberos от Heimdal).
Если в домене будут только узлы с реализацией от Heimdal, то дополнительно устанавливать какие-либо пакеты Kerberos будет не нужно, т.к. на борту samba уже есть эта реализация.
Если же в сети будут машины с ОС, поддерживающих реализацию MIT (например, MS Windows), то самбе будут нужны дополнительные пакеты Kerberos, которые позволят принимать билеты от узлов с MIT Kerberos и производить их преобразование в форматы Heimdal Kerberos.

Все верно описал?
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SibSkull
сообщение 31.8.2017, 16:25
Сообщение #18


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573



Репутация:   20  


Цитата(broun @ 26.8.2017, 18:06) *

Что-то я запутался.

Попробую описать систему, так как я это понимаю:
Поднимаем домен на базе samba (с реализацией Kerberos от Heimdal).
Если в домене будут только узлы с реализацией от Heimdal, то дополнительно устанавливать какие-либо пакеты Kerberos будет не нужно, т.к. на борту samba уже есть эта реализация.
Если же в сети будут машины с ОС, поддерживающих реализацию MIT (например, MS Windows), то самбе будут нужны дополнительные пакеты Kerberos, которые позволят принимать билеты от узлов с MIT Kerberos и производить их преобразование в форматы Heimdal Kerberos.

Все верно описал?
Нет, не верно. Просто используйте MIT Kerberos и забудьте уже о Heimdal. Это лишь будет вызывать у Вас головную боль и непонимание.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
broun
сообщение 31.8.2017, 21:29
Сообщение #19


Молчун
Group Icon


Группа: Пользователи
Сообщений: 89
Регистрация: 18.4.2013
Пользователь №: 484 176



Репутация:   0  


Цитата(SibSkull @ 31.8.2017, 16:25) *

Нет, не верно. Просто используйте MIT Kerberos и забудьте уже о Heimdal. Это лишь будет вызывать у Вас головную боль и непонимание.

Мне ВАЖНО понимание, а материалов по этому поводу нет.

Т.е. главный вопрос не в Heimdal, а в том, почему когда поднимаешь ADF сервер на базе Microsoft Windows Server, то Kerberos (MIT) будет являться Центром распространения ключей Kerberos, а для домена на базе samba 4 вроде бы как такая функция не предусмотрена.
С другой стороны krb5-user -пакет MIT Kerberos там есть, но это не сервер. Тогда на кой хрен он нужен? А если нужен, то почему не сервер?

Сообщение отредактировал broun - 31.8.2017, 21:44
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения
SibSkull
сообщение 5.9.2017, 14:23
Сообщение #20


Любит поговорить
Group Icon


Группа: Пользователи
Сообщений: 355
Регистрация: 21.1.2010
Пользователь №: 199 573



Репутация:   20  


Цитата(broun @ 31.8.2017, 21:29) *

Мне ВАЖНО понимание, а материалов по этому поводу нет.

Т.е. главный вопрос не в Heimdal, а в том, почему когда поднимаешь ADF сервер на базе Microsoft Windows Server, то Kerberos (MIT) будет являться Центром распространения ключей Kerberos, а для домена на базе samba 4 вроде бы как такая функция не предусмотрена.
С другой стороны krb5-user -пакет MIT Kerberos там есть, но это не сервер. Тогда на кой хрен он нужен? А если нужен, то почему не сервер?
Почитайте литературу по Kerberos. У Вас явно недостаток знаний по этой тематике.
Пользователь в офлайнеКарточка пользователяОтправить личное сообщение
Вернуться в начало страницы
+Ответить с цитированием данного сообщения

Ответить в эту темуОткрыть новую тему
1 чел. просматривают этот форум (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 

Текстовая версия Сейчас: 21.11.2017, 9:44
Редакция: (383) 347-86-84

Техподдержка: (383) 347-22-44
help.sibnet.ru
Размещение рекламы:
тел: (383) 347-06-78, 347-10-50

Правила использования материалов