Permissões Single Sign On e NFS no Windows

4

Como muitos, tenho tentado me afastar do compartilhamento de arquivos Microsoft Active Directory + CIFS para uma solução LDAP personalizada + NFSv4. Todas as estações de trabalho aqui executam o Windows 7, e eu configurei o seguinte até agora:

  • pGina é instalado em todas as estações de trabalho e o login no meu servidor OpenLDAP personalizado funciona bem. A versão beta mais recente do pGina permite que o usuário altere sua senha!
  • Depois de ativar o NFS para o Windows 7, consigo montar com êxito um compartilhamento NFS, embora o servidor me trate como nobody / nogroup em vez de me fornecer o que é meu por direito!

Agora, o último item tem sido uma grande fonte de dores de cabeça nos últimos dois dias, porque é difícil encontrar informações completas e atualizadas. Aqui está a informação que eu juntei:

  • O idmapd.conf é usado apenas se você usar o método de autenticação krb5 - ou similar - para montar o compartilhamento NFS. Isso significa que você precisa configurar Kerberos , não uma tarefa trivial.
  • O Windows precisa de um serviço de mapeamento de identidade para mapear contas locais para contas Unix. Há algumas informações muito boas sobre este aqui , mas eu não consegui encontrar alguém que conseguiu fazer isso na internet. Encontrei um usuário com um problema , mas sem solução (e temo que isso possa acontecer comigo).
  • Parece que existe (ainda?) um bug no Ubuntu Distribuição de 12.04 de nfs-utils ao configurar idmapd para recuperar mapeamentos de um servidor LDAP (método de tradução de umich_ldap). Isso é muito importante porque permite o gerenciamento centralizado de contas, um dos pontos principais de se fazer tudo isso.

Agora, antes de me aprofundar no Kerberos e no Windows Identity Mapping e aplicar patches do Ubuntu e encontrar ainda mais problemas, minhas perguntas são:
Alguém já fez esse caminho e conseguiu fazer isso com sucesso? Devo dirigir outra direção? Onde posso encontrar algum material decente e completo sobre tudo isso?

Obrigado.

    
por Marcelo Zabani 17.02.2014 / 21:20

1 resposta

0

Eu recomendaria usar o FreeIPA e ele Confiança de domínio cruzado do Kerberos com o Active Directory. Como isso funciona:

  1. Instale o servidor FreeIPA como o controlador de domínio das máquinas Linux
  2. Crie confiança entre territórios entre o FreeIPA e o AD (comando trust-add ) - instruções de testes relacionadas
  3. Configure um compartilhamento NFS protegido por Kerberos no servidor FreeIPA ou em outra máquina que é um cliente FreeIPA
  4. Monte esse compartilhamento nas máquinas Windows ou Linux
  5. Lucro!

Eu estava jogando com ele recentemente e consegui montar um compartilhamento NFS protegido do Kerberos no Windows Server 2012 (depois de instalar a extensão Unix), com Kerberos e logon único.

    
por 18.02.2014 / 10:09