Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Поговорим о способах аутентификации сетевых пользователей AD.  (Прочитано 557 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 74
    • Просмотр профиля
Приветствую!

В процессе внедрения в сеть сервер Samba4 AD DC (Ubuntu 16.04 LTS) и перевода на него пользователей столкнулся с новой проблемой.
Рабочая станция с ОС Linux, на которой настроена аутентификация winbind, после загрузки должна постоять некоторое время, прежде чем можно будет войти в систему по имени и паролю доменного пользователя.
Вот здесь: https://forum.ubuntu.ru/index.php?topic=17941.0 в пункте 10 Настройки PAM говорится, что в Ubuntu 7.10 winbind стартует до поднятия сетевого интерфейса и не может получить полноценную информацию о домене. Похоже, в последующих версиях ситуация не изменилась, но предлагаемое "лекарство" в моём случае не работает. Чтобы пользователь мог быть распознан системой по имени и паролю, всё равно приходиться ждать около минуты. Возможно, время ожидания может быть больше из-за загруженности сети или большого количества одновременных запросов аутентификации (в начале рабочего дня, например).

Вопрос. Какой метод аутентификации сетевых пользователей Samba4 AD лучше использовать и как его корректно настроить?

Вариант 1. Уже упомянутый pam-winbind. Как сделать так, чтоб он получил необходимую для аутентификации информацию до того, как загрузится графическое приглашения, я не знаю. Чтоб графическому приглашению не пришлось ждать, пока winbind получит информацию о домене, в /etc/rc... запуск winbind ставим после запуска dm (т.е. после запуска lightdm, gdm или др.).
Одним из плюсов этого варианта является простейшая настройка offline-аутентификации.

Вариант 2. Вот тут: https://cdc.iseage.org/tutorial-pam-ldap-authentication-active-directory-debianubuntu/ описан вариант аутентификации в AD с помощью pam-ldap без регистрации в домене. Этот вариант кто-нибудь пробовал, есть смысл заморачиваться?

Ещё есть варианты pam-krb5 и pam-sss, но их я ещё не пробовал. Если кто использует и если не жалко, поделитесь рабочими конфигами и кратенько напишите их преимущества.

« Последнее редактирование: 14 Марта 2018, 13:07:38 от ivul »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Повесьте на событие подъёма интерфейса перезагрузку winbind.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.049 секунд. Запросов: 25.