Назад |
Перейти на главную страницу
Единый вход и разрешения NFS в Windows
Как и многие, я пытался перейти от совместного использования файлов Microsoft Active Directory + CIFS к индивидуальному решению LDAP + NFSv4. Все рабочие станции здесь работают под управлением Windows 7, и до сих пор я установил следующее:
- pGina установлен на каждой рабочей станции, и вход на мой собственный сервер OpenLDAP работает нормально. Последняя бета-версия pGina даже позволяет пользователю изменять свой пароль!
- После активации NFS для Windows 7 я могу успешно смонтировать общий ресурс NFS, хотя сервер относится ко мне как никто / группа вместо того, чтобы дать мне то, что по праву принадлежит мне!
Последний пункт был большим источником головной боли в течение последних двух дней, потому что актуальную и исчерпывающую информацию найти сложно. Вот информация, которую я собрал:
- idmapd.conf используется только если вы используете krb5 - или аналогичный - метод аутентификации для монтирования общего ресурса NFS. Это означает, что вам необходимо настроить Kerberos, нетривиальная задача.
- Windows требуется служба сопоставления идентификаторов для сопоставления локальных учетных записей с учетными записями Unix. Есть очень хорошая информация об этом Вот, но я не нашел никого, кому удалось бы это сделать в Интернете. Я нашел пользователь с проблемой, но без решения (и я боюсь, что это может случиться со мной).
- Вроде есть (еще?) Жук в дистрибутиве Ubuntu 12.04 nfs-utils при настройке idmapd для получения сопоставлений с сервера LDAP (метод трансляции umich_ldap). Это действительно важно потому что это позволяет централизованное управление учетной записью, что является одним из основных принципов всего этого.
Теперь, прежде чем я углублюсь в Kerberos и Windows Identity Mapping, применим патчи Ubuntu и найду еще больше проблем, у меня следующие вопросы:
Кто-нибудь пошел по этому пути и сумел добиться этого успешно? Должен ли я пойти в другом направлении? Где мне найти достойный, обстоятельный материал обо всем этом?
Спасибо.
Я бы рекомендовал использовать FreeIPA и это Межсферное доверие Kerberos с Active Directory. Как это работает:
- Установите сервер FreeIPA в качестве контроллера домена машин Linux
- Создайте межсферное доверие между FreeIPA и AD (доверять-добавить команда) - соответствующие инструкции по тестированию
- Настройка общего ресурса NFS с защитой Kerberos на сервере FreeIPA или на другом компьютере, который является клиентом FreeIPA
- Подключите этот общий ресурс на компьютерах с Windows или Linux.
- Прибыль!
Недавно я играл с этим, и мне удалось смонтировать общий ресурс NFS, защищенный Kerberos, на Windows Server 2012 (после того, как я установил расширение Unix), с Kerberos и единым входом.