forum.lissyara.su

настраиваю samba+ldap+kerberos
за основу взял статью http://debian.telenet.ru/adjustmentsoft/samba_pdc
Проблема в том что когда я отключаю сервер керберос так: то виндовая машина всё равно логиниться.

Не понимаю я, почему? может если керберос недоступен винда без него работает, но почему самба пропускает без кербероса???

и вообще керберос у меня не выдаёт тикеты виндовому клиенту

статья выше похожа на фейк, сейчас курю kerberos и понимаю что у автора тикеты просто не могут раздаваться виндовым клиентам, да и нах он вообще что то в /etc/krb5.conf писал мне не понятно.

А kerberos нужен только в одном случае, если samba является членом AD, а она у вас PDC, зачем домену NT4 kerberos?

с чего вы взяли что это NT4????? керберос таки нужен для поднятия безопасности до уровня АД.
Почитал я про кеберос, теперь мне кажется что лучшего метода аутентификации и быть не может.
Но вот как всё это настроить для меня загадка, убил 3ое суток и так и не смог заставить керберос сидеть в опенлдапе

У вас самба выступает PDC'ом, причем в качестве backend'а используется LDAP, спрашивается, а что она в этом случае эмулирует, ответ домен NT4, но не AD, вся потуга статьи, по которой вы пытаетесь делать, это как-то сэмулировать AD, эмулируются разрозненные компоненты,
1. kerberos на выдачу билетов, ну и где эти билеты используются в samba PDC
2. DNS c корявыми зонами для AD

Вот поэтому и логинится виндовый клиент в домен без наличия kerberos, по большому счету и dns тоже не нужен, просто для w2k и выше легче найти PDC, который они ищут в первую очередь через DNS, но и в этом случае достаточно указать одну запись, взята из статьи
_ldap._tcp.pdc SRV 0 100 389 server.domain.local.
Нет, вы конечно можете курить бамбук и поставить samba4, а потом рассказать как она работает в боевом режиме...