хранение idmap в другом ldap
SunCho 14 Августа, 2010 - 16:01
Коллегас, подскажите, возможно-ли следующие:
1. win 2008 ad + авторизация в ней по ldap (при этом в ней нет posix атрибутов, т.е. uid\gid)
2. второй ldap хранящий idmap, т.е. примерно соответствие username-uid\gid
решил уйти от winbind, тк 2к8 постоянно патчат, а у мну постоянно отваливается
одно мешает - uid\gid которые в winbind были по схеме rid, те последний актет сида +число
вот думаю перейти на ldap авторизацию, только осталось придумать что с uid делать...
ктонить пробывал такое? реально?
впринципе все должно быть путем, интересуют подводные камни :)
»
- Для комментирования войдите или зарегистрируйтесь
SunCho написал(а): решил уйти
LDAP-авторизацию для чего?
Если не трогать системную авторизацию сервера, в котором всё это должно жить, то никакой проблемы в отсутствии POSIX-атрибутов не вижу.
Иначе сводить деревья LDAP в одно.
:wq
--
Live free or die
не, именно системная
не, именно системная авторизация на сервере
так-то зачем мне uid\gid
.
Что меня здесь ставит в тупик, так это существование завязки системной авторизации фрюникса на мерсский AD.
Каким образом в текущей действительности берётся UID (в смысле как оно отображено в конфигах твоей системы)?
Совместимость с "доменом" предполагается сохранить?
:wq
--
Live free or die
сейчас winbind со схемой
сейчас winbind со схемой rid
т.е. приходит юзверь, берется его SSID и к последнему актету прибавляется фиксированное число, например 10000.
последний актет он 4-х значный
тобиш win пользователи имеют uid типа 11234
ну и работает это как обычный системный пользователь, т.е. по getent passwd - список и локальных и виндовых
но винбинд не айс когда AD 2к8
хочется уйти на ldap, но там надо что-то сделать с uid
т.к. в AD uid нет (управляет другая контора) то проще сделать нечто свое... костыли, но зато свои
вот и родилась идея разделения, только вот как ее реализовать?