Toon posts:

Centrale gebruikers authentificatie voor NT4/5 HPUX en Linux

Pagina: 1
Acties:
  • 131 views sinds 30-01-2008
  • Reageer

dinsdag 17 september 2002 11:50

Acties:
  • qless
  • Registratie: Maart 2000
  • Laatst online: 30-04 14:16

qless

...vraag maar...

Topicstarter
Wat zou ik het best hiervoor kunnen gebruiken?
RADIUS of LDAP? of een vorm van Samba? of NIS verhaal?

Systemen:
HP UX 9/10.2/11 (9 vervalt binnenkort)
Linux Slackware 8.0
Windows NT 4 Servers
Windows NT 4 Clients
Windows 2000 Clients
Windows XP Clients
Windows 95

Bedoeling is dus 1 server te gebruiken voor authentificatie van al deze systemen. (eventueel ook de squid proxy server e.d.)

Website|Air 3s|Mini 4 Pro|Avata 2|Canon R6|Canon 5d2|8 fisheye|14f2.8|24f2.8|50f1.8|135f2|10-22|17-40|24-105|70-300|150-600

dinsdag 17 september 2002 21:01

Acties:
  • mavink
  • Registratie: April 2000
  • Laatst online: 24-11-2025

mavink

Ofwel linux-server met samba gebruiken als authenticator, ofwel via een pam-module (was het nou pam_smb of smb_pam?) de linuxmachines laten authenticeren bij een Windows domaincontroller. Beide opties werken volgens mij zonder problemen.

dinsdag 17 september 2002 21:12

Acties:
  • wica
  • Registratie: Februari 2002
  • Laatst online: 14-01 16:59

wica

De duivel jacht op me

Jammer genoeg is samba met pam_auth niet genoeg.

Die windows clients/servers kunnen via samba
Linux kan via NIS(+) of LDAP het beste gaan.
Weet miet wat HPUX doet. Maar denk ook wel een vorm van ldap.

Wat ik in de tussen tijd geleerd heb. Is dat LDAP de beste oplossing is.
Het is vrij veel werk. Maar als je een maal de basis van LDAP draaiende hebt. Zul je er veel meer in onder brengen voor je user auth.

Ops. Zie dat je ook squid proxy auth wilt gaan gebruiken. Dan kan je niet zonder LDAP als je te minste niet op 100 plaatsten users wilt aanmaken en passwd's wilt aanmaken/veranderen.

Voor mee info mail me ff

RFC | The Linux Document Project | gentoo.

dinsdag 17 september 2002 22:06

Acties:
  • MoBi
  • Registratie: Oktober 1999
  • Laatst online: 26-04 13:50

MoBi

Novell heeft daar iets iedeaals voor uit gevonden: E-Directory. Maar ja, je hebt geen novell. Of zou je een novell server erbij kunnen plaatsen?

Volgens mij zit je te lullen, want ik voel nattigheid....

dinsdag 17 september 2002 22:50

Acties:
  • wica
  • Registratie: Februari 2002
  • Laatst online: 14-01 16:59

wica

De duivel jacht op me

E-Directory draaid toch ook op linux? of was dat alleen de client?

RFC | The Linux Document Project | gentoo.

woensdag 18 september 2002 02:28

Acties:
  • Mark
  • Registratie: Juni 1999
  • Laatst online: 22:58

Mark

E-Directory draait niet op HP-UX (alleen Solaris en Linux). Ik denk dat LDAP de beste keus zou zijn hiervoor, aangezien al deze systemen kunnen communiceren met LDAP. Het is trouwens niet belangrijk wat je clients zijn, het gaat erom wat de server platformen kunnen spreken.

Eventueel zou radius ook nog een mogelijkheid zijn, echter zou ik voor LDAP gaan, dit omdat dit ook werkt met een directory-structruur (alla NDS/AD) en hier meer toekomst in zit als in radius.

woensdag 18 september 2002 09:21

Acties:
  • mvdejong
  • Registratie: Juni 2000
  • Laatst online: 29-11-2024

mvdejong

When does the hurting stop ?

NIS/NIS+ is voor alle platforms beschikbaar, en makkelijker dan LDAP om op te zetten, maar LDAP heeft de toekomst en is waardevoller om als ervaring op je CV te kunnen zetten (ik weet niet of je beschreven probleem hobby of werk is).

The number of things that Arthur couldn't believe he was seeing was fairly large

woensdag 18 september 2002 10:53

Acties:
  • wica
  • Registratie: Februari 2002
  • Laatst online: 14-01 16:59

wica

De duivel jacht op me

Is NIS(+) beschikbaar voor Windows en Mac ?

RFC | The Linux Document Project | gentoo.

woensdag 18 september 2002 15:22

Acties:
  • mavink
  • Registratie: April 2000
  • Laatst online: 24-11-2025

mavink

pam_smb is volgens mij ook wel onder HPUX werkend te krijgen. Of heeft dat helemaal geen PAM ondersteuning?
Anders is LDAP inderdaad ook een optie. Kan vast wel in combinatie met Active Directory ofzo, of anders een LDAP-server op een linuxplatform.

woensdag 18 september 2002 15:28

Acties:
  • wica
  • Registratie: Februari 2002
  • Laatst online: 14-01 16:59

wica

De duivel jacht op me

HPUX ondersteund PAM :)

RFC | The Linux Document Project | gentoo.

donderdag 19 september 2002 09:45

Acties:
  • qless
  • Registratie: Maart 2000
  • Laatst online: 30-04 14:16

qless

...vraag maar...

Topicstarter
Novell komt er hier niet meer in ;) de ICT manager is blij dat ie niet NOG een systeem erbij heeft. (net als mac, ook eruit)

Dus ik zou het best op (voorkeur) HPUX een LDAP server draaien, en vervolgens op alle HPUX en Linux machines LDAP clients en op de NT PDC een LDAP client moeten hebben.

Kan je dan met LDAP aparte "groepen" aangeven?
Zodat ik kan zeggen "Pietje" zit in groep NT, groep UX en groep SQUID, en mag dus van de systemen gebruik maken, maar niet van bv Linux?

Website|Air 3s|Mini 4 Pro|Avata 2|Canon R6|Canon 5d2|8 fisheye|14f2.8|24f2.8|50f1.8|135f2|10-22|17-40|24-105|70-300|150-600

donderdag 19 september 2002 12:21

Acties:
  • Sihaya
  • Registratie: Juni 2001
  • Niet online

Sihaya

Pasfoto:

Als je al een NT pdc hebt kun je ook winbind gebruiken. Dit draait op hpux en linux. Het zorgt voor de authenticatie en de name services.
qless schreef op 19 september 2002 @ 09:45:

Kan je dan met LDAP aparte "groepen" aangeven?
Zodat ik kan zeggen "Pietje" zit in groep NT, groep UX en groep SQUID, en mag dus van de systemen gebruik maken, maar niet van bv Linux?
Pam-ldap ondersteund dit standaard maar je moet wel een aangepast schema gebruiken kijk anders op open-it.

signature has expired

zaterdag 21 september 2002 20:25

Acties:

Verwijderd

Wij gebruiken een NT PDC als autthenticator, en op linux gebied gebruiken we samba/winbind voor intergratie met de NT authenticator.

Het idee is als volgt: Elke (*nix) service die gebruik kan maken van pam en samba/winbind kan zijn authenticatie uitlaten voeren door pam_winbind.so. In feite worden de username /passwrd combinatie naar de NT pdc gestuurd, die een goed / fout code terug stuurd.

Wij hebben op deze mannier sendmail / pop3 / squid / telnet en ssh werkend gekregen.

Er zijn 3 gotha's om rekening mee te houden.
pop3 en squid gebruiken plain text authenticatie, zodat je dit eigenlijk alleen in een trusted omgeving kan gebruiken

winbind genereerd bij starten dynamisch UID's en GID's. Deze worden niet gecached, maar worden als samba opnieuw gestart worden opniew gegenereerd. Je moet het start script dus uitbreiden met een chown script wat de homedirs en /var/spool/mail rechten fixed.

als je sendmail op deze mannier gebruikt, ben je afhankelijk van de NT pdc, mocht deze onderuit gaan, wordt alle mail gebounced als user unkown. Je moet dus ook een soort watchdog script gebruiken wat sendmail stopt indien pdc niet meer bereikbaar is.

Afgezien van deze 3 tekortkomingen, werkt het hele concept perfect bij ons, en is nu ongeveer een 7 maanden in productie.

zaterdag 21 september 2002 20:38

Acties:

Verwijderd

toevoeging:
Ondersteuning van verschillende groepen is denk ik niet, zover ik weet, maar in de pam config kan je gebruik maken van pamlistfile.so (wordt standaard gebruikt bij ftp) zodat je naast /etc/ftpusers ook een /etc/squidusers en een /etc/sshusers etc kan maken. Gebruikers die hier in staan kunnen dan niet inloggen.
Let wel ff op de rechten van die file, want bv squid draaid onder group nogroup dus, rechten op /etc/squidusers moet dus zijn root:nogroup en mode 640 .
Voor squid gebruiken we dan:
auth required pam_listfile.so item=user sense=deny file=/etc/squidusers onerr=fail
Meestal wordt er gebruik gemaakt van onerr=succeed, maar als het dan niet werkt zie je nix terug in de logfiles, en op deze mannier dus wel.
Pagina: 1
Reageer