Авторизация в домене на samba

[mod]

Приветствую..)
Есть два сервера..один на FreeBSD второй планирую тоже поставить FreeBSD
Вот вопрос..есть статьи авторизация в Ад..а если поставиь доме на самбе..и сделать авторизацию самба в самбе..что для этого нужно поставить на сервере..на клиенте вроде только самбу с керберосом..а на второй,где будет контроллер домена...с шарами?
На первый хочу поставить squid и sams...чтоб при входе на второй домен на самбу..авторизация сразу шла на первом..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[mod]

Что нет никаких соображений по этому поводу?
Не охото домен на Ад делать..

[princeps]

ни хрена не понятно, что написал.

[Dron]

если DC на samba+LDAP, то на втором поднимаешь самбу и nssldap...
если на DC просто самба с системными учетками, то samba и winbind

[mod]

т.е если я правильнот понял..
если на ДС я ставлю самбу+ лдап..
то на сервере со сквидом я ставлю самбу+nss_ldap
а если на ДС делаю её на системных учётках..то на сервере с проксей ставлю самбу+винбинд?
Только вопрос..где можно подсмтреть схему настройки аворизации между первыми выриантом)настройкой этого самого nss_ldap )т.к думаю на системных учётках..уже нето..да и ldap вроде есть проги для руления из гуи..
?!

[Dron]

давай ты еще раз подумаешь над постановкой задачи и распишешь...
P.S. squid умеет авторизоваться в LDAP напрямую helper такой есть, плюс есть helper NTLM

[princeps]

посмотри, как оно все авторизуется в AD - в самбе с опенлдапом будет все точно также

[mod]

Так...я хочу а сервере1 поставить squid+sams
на втором сервере2 ставлю самбу с храниенм пользователей в ldap
мне надо связать сервер1 и сервер2..чтоб при авторизации в домене автоматом авторизовываться в squid+sams
вот..так понятнее??

[Dron]

насчет sams не скажу, его заставить жить нормально у меня не получилось...
настраиваешь авторизацию squid в LDAP через ldap_auth...
Далее, если машины в домене, пользователи доменные, то в настройках IE выставляешь сквозную авторизацию, и пользователи в IE работают без запроса логина и пароля... другие браузеры сквозрую авторизацию не умеют, вводим логин и пароль...

[mod]

Получается..заходя в домен..я ещё должен авторизовыватсья в браузере,а потом он не буде спрашивать пароль и т.д?
Я то хочу чтоб зашёл в домен и авоматом везде авторизация прошла...как например
если поставить сквид и винбиндом авторизовыватсья в АД...таких статей много.
а вот если данные в лдап..таких статей не встречал...

[Dron]

а теперь еще подробнее.... чего ты хочешь?

[mod]

Блин...я же писал..создаю домен с лдапом..на нём проходит авторизацию юзеров..
На другом сервере поднимаю сквид и самс..при авторизации в домене...проходит авторизация автоматом в сквиде..
как тут http://sams.perm.ru/doc/ru/adldap.html
только меня смущает
заметка автора "К сожалению, мне удалось осуществить при помощи хелпера squid_ldap_auth только basic авторизацию. Это означает, что броузер, при первом запросе пользователя, всегда запращивает login и пароль."
Что-то подобное...)ещё не врубилдся только как связать эти два сервера...
Вообще хотел что-то подобное http://sams.perm.ru/doc/ru/samba3.html
но хочется добавлять пользователей и т.д из гуи..а для лдапа как раз есть проги..

[Dron]

ну я об этом-же...
только IE умеет сквозную авторизацию, если галку поставить, пароля спрашивать не будет если пользователь доменный... остальные будут... запрос пароля при начале работы и потом через промежуток времени установленный в

Код: Выделить всё

auth_param basic credentialsttl 2 hours

А самба если не нужна на серве с проксей, то ее и ставить незачем...
Опять-же все сказанное отвлеченно от sams, т.к. когда его пробовал был очень сырой и снова пробовать желания нет...

[princeps]

Дружище, ты морочишь себе голову.

если поставить сквид и винбиндом авторизовыватсья в АД...таких статей много.
а вот если данные в лдап..таких статей не встречал...

AD - это реализация протокола LDAP от MS. OpenLDAP - это открытая реализация протокола LDAP, по сути - те же яйца, только вид в профиль. Если ты знаешь, как настроить сквид на авторизацию в AD, то и с openldap'ом у тебя тоже получится по аналогии. Самба нужна для наеба клиентской винды, чтоб она думала, что на сервере стоит AD, т.е. если тебе надо авторизовать в ldap'е какой-то сервис, который умеет это делать, то клиент самбы тебе не нужен.

"К сожалению, мне удалось осуществить при помощи хелпера squid_ldap_auth только basic авторизацию. Это означает, что броузер, при первом запросе пользователя, всегда запращивает login и пароль."

Я так понял, что тебе нужно, чтоб пользователи авторизовались, но пароль не вводили, так? Для этого используется аутентификация ntlm, это когда клиентская винда передает учетные данные запрашивающему сервису. По этому поводу Dron тебе написал:

плюс есть helper NTLM

Аутентификация ntlm не поддерживается некоторыми браузерами, например, Opera, но поддерживается firefox'ом и, само собой, ie.

[f0s]

Блин...я же писал..создаю домен с лдапом..на нём проходит авторизацию юзеров..
На другом сервере поднимаю сквид и самс..при авторизации в домене...проходит авторизация автоматом в сквиде..
как тут http://sams.perm.ru/doc/ru/adldap.html
только меня смущает
заметка автора "К сожалению, мне удалось осуществить при помощи хелпера squid_ldap_auth только basic авторизацию. Это означает, что броузер, при первом запросе пользователя, всегда запращивает login и пароль."

это руки. у меян все работает. домен на самбе с лдапом. у всех прозрачная авторизация в инет

[mod]

Ну что буду пробывать..т.е на ппервом ставить сквид с авторизацией в ад..
а на втором саммбу+лдап..и насраиватьь свзяку..так же через керберос?
или выше я читал как-то через nss_ldap
Ну и на сайте есь стаья сквид+ад..там вроде через хелпер:)
с чего начать?или что лучше будет?наверно ччерез хелпер??!

[princeps]

я думаю, лучше через хелпер и через керберос