Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   Использование доменной базы пользователей на сервере не входящем в домен (http://forum.oszone.net/showthread.php?t=344136)

Dicot 21-02-2020 10:05 2910304
Использование доменной базы пользователей на сервере не входящем в домен
 
Добрый день!
Есть файловый сервер не в домене. Можно ли как-то настроить авторизацию доменных пользователей для доступа к файлам\папкам по сети и права на доступ на эти папки\файлы.
Samba вроде так может, но использовать Linux не очень удобно.

paranoya 21-02-2020 10:16 2910305
Active Directory Federation Services (AD FS) должно помочь.
Можно ещё Active Directory Lightweight Directory Services (AD LDS) с синхронизацией юзеров из AD, но это думать.

Dicot 21-02-2020 13:08 2910333
AD FS требует, чтобы компьютер был членом домена. А мне нужно, чтобы на компьютере не входящем в домен можно было авторизоваться по доменным учеткам.

Busla 22-02-2020 12:13 2910404
Цитата:
Цитата paranoya
Active Directory Federation Services (AD FS) должно помочь. »
не должно

Цитата:
Цитата Dicot
AD FS требует, чтобы компьютер был членом домена. »
не требует
просто оно не для файл-серверов

Цитата:
Цитата Dicot
Можно ли как-то настроить авторизацию доменных пользователей для доступа к файлам\папкам по сети и права на доступ на эти папки\файлы.
Samba вроде так может, но использовать Linux не очень удобно. »
вы путаете авторизацию и аутентификацию

Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая".

Dicot 25-02-2020 11:19 2910790
Цитата:
Цитата Busla
вы путаете авторизацию и аутентификацию »
Видимо, нужно и то и другое.

Цитата:
Цитата Busla
Лучше поясните тайный смысл всего этого. Сейчас это звучит как "включить в домен не включая". »
Я понимаю, что требования несколько странные, но смысл в том, чтобы предоставить ТОЛЬКО доступ к файлам доменным пользователям не давая прав на сервер админам домена.

Цитата:
Цитата zai
Можно, если ты заведешь, этих пользователей локально »
Пользователи периодически меняют пароли (в AD). Как синхронизировать локальную базу учеток с доменной?

Busla 25-02-2020 13:29 2910809
Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея.

Dicot 25-02-2020 15:08 2910821
Цитата:
Цитата Busla
Чтобы все вбивали доменные пароли в неподконтрольный администраторам домена сервер? - так себе затея. »
Так я ж этого и пытаюсь избежать.
Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать?

paranoya 25-02-2020 15:36 2910825
Цитата:
Цитата Dicot
Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »
Можно. Делай файловый сервер на Линуксе. Возьми какой-нибудь дистрибутив типа FreeNAS, разработанный специально под помойку для файлов.

Dicot 25-02-2020 16:00 2910831
Цитата:
Цитата paranoya
Делай файловый сервер на Линуксе »
Винда интересует

Busla 25-02-2020 17:30 2910848
Цитата:
Цитата Dicot
Пусть все учетки/пароли хранятся/меняются в AD. И файловый сервер при аутентификации/авторизации пользователей пусть тоже обращается к AD, но сам при этом членом AD не является.
Можно так сделать? »
нельзя

Либо выводить это файловый сервер в отдельный лес и настраивать доверие. Тогда получится и пользователей авторизовывать через Kerberos, и доменным админам не дать никаких возможностей управления.

Цитата:
Цитата paranoya
Можно. Делай файловый сервер на Линуксе. »
в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs

paranoya 25-02-2020 17:38 2910852
Тогда у тебя два варианта:
  1. Ввести компьютер в домен
  2. Достать бубен, найти напильник и гуглить варианты, как можно из AD не имея доступа к хешу паролей его таки получить и потом синхронизировать с локальными логинами.

Dicot 25-02-2020 18:18 2910863
Цитата:
Цитата Busla
в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs »
Ну эти пароли не в открытом же виде передаются? Или я ошибаюсь?

Busla 25-02-2020 19:15 2910877
Цитата:
Цитата Dicot
Ну эти пароли не в открытом же виде передаются? »
считайте, что в открытом

paranoya 25-02-2020 22:24 2910922
Цитата:
Цитата Busla
в таком случае при входе на файл-сервер пользователи будут передавать свои доменные пароли этому линуксовому серверу, а тот в свою очередь будет их проверять по LDAPs »
А может на КД будет передаваться хеш пароля введённого на Линуксе и КД уже будет сравнивать два хеша, после чего говорить линуксовому сервер, что пароль верный или нет?

Цитата:
Цитата Dicot
Ну эти пароли не в открытом же виде передаются? Или я ошибаюсь? »
Пароли не хранятся в открытом виде, только их хеши.

Busla 25-02-2020 23:41 2910931
Цитата:
Цитата paranoya
Пароли не хранятся в открытом виде, только их хеши. »
Вот именно!
Есть только два принципа аутентификации по паролям: PAP и CHAP
По PAP передаются пароли как есть, зато могут храниться хэши.
По CHAP на сервере хранится пароль как есть, зато сторонам достаточно обменяться признаками его знания - хэшами.

Цитата:
Цитата paranoya
А может на КД будет передаваться хеш пароля введённого на Линуксе и КД уже будет сравнивать два хеша »
нет никакого смыла в просто хэше
то же самое, что вы "на калькуляторе" посчитаете md5 и будете вместо pAs$w0rd вводить ec24b3911030239ffcad7f49609ef6be
это подмена понятий

paranoya 26-02-2020 10:20 2910967
Busla, в AD пароль не храниться, там хранится только хеш.
И да, LM/NTLM - это протоколы которые юзает AD.


Время: 21:06.

Время: 21:06.
© OSzone.net 2001-