Доброго времени суток.
Попала мне в руки Altell NEO (по факту это vyatta) на которой можно настроить аутентификацию из каталога AD. Конфигурация отличается от того, что обычно делаешь при настройке, например, аутентификации в squid, т.е. никаких кейтабов (в слуаче krb), никаких винбиндов (в случае ntlm), а необходимо использовать UNIX атрибуты (ну я так понял). Вот цитата из гада:
Скрытый текст
Цитата:
6.2.7. system login ldap enabled <режим>
Включение авторизации пользователей Altell NEO на основе LDAP.
Синтаксис
set system login ldap enabled [true|false]
delete ssystem login ldap enabled
show system login ldap enabled
........................
Допустимые значения:
true: авторизация пользователей Altell NEO на основе LDAP включена.
false: авторизация пользователей Altell NEO на основе LDAP выключена.
Значение по умолчанию
Авторизация пользователей Altell NEO на основе LDAP выключена.
Указания по использованию
Эта команда позволяет включить авторизацию пользователей Altell NEO на
основе LDAP.
В системе должны быть настроены параметры подключения к серверу LDAP См.
5.3.59 system ldap-server host <узел>.
Для всех пользователей, которые должны проходить аутентификацию с
использованием LDAP, обязательно должны выполняться следующие условия:
─ В учетной записи пользователя на сервере LDAP должны быть использованы
классы объектов posixAccount и shadowAccount.
─ Помимо стандартных атрибутов обязательно должны присутствовать атрибуты
gecos и loginShell.
Уровень полномочий и прав доступа к системе определяется на основе
принадлежности пользователя к группе администраторов на сервере LDAP
(system login ldap admin-group), либо группе операторов (system login ldap opgroup).
При использовании AD (Active Directory) должны выполняться следующие
условия:
─ В учетной записи пользователя должны присутствовать атрибуты uid
(идентификатор пользователя), uidNumber (числовой идентификатор
пользователя; рекомендуется использовать значения свыше 2000, для того чтобы
избежать пересечения с идентификаторами системных пользователей),
gidNumber (числовой идентификатор группы), homeDirectory;
─ В учетной записи группы (admin-group, op-group) должны присутствовать
атрибуты posixGroup object class, gidNumber, memberUid (должен содержать
список идентификаторов пользователей).
......................
|
UNIX атрибуты что называется
"greyed out" и чтобы их использовать нужна NISPROP.DLL, ставится она с niscnfg.exe (вот в этой
статье почерпнул). Написано, что никакие изменения в схему не вносятся. Хочу получить отзыв - пробовал ли кто-то и нет ли подводных камней?
P.S. а может я вообще все не так понял, ибо в гайде указан также атрибут uidNumber, которого нет в UNIX атрибутах, но зато есть в стандартных атрибутах, правда ни uid, ни uidNumber, ни другие указанные атрибуты не заполнены. И если использовать нужно их, то, полагаю, я могу задать обычные целочисленные значения?
