[MASOCH-L] Linux/BSD autenticando no AD
Danton Nunes
danton.nunes at inexo.com.br
Thu Sep 11 17:35:49 BRT 2014
On Thu, 11 Sep 2014, Douglas Fischer wrote:
> Não quero colocar um Unix-Like no lugar de um Active Directory que esteja
> atuando como Domain Controller.
>
> Quero usar a base de dados do Active Directory para autenticar nos
> Unix-like.
> Exemplos:
> - Dar SSH nos Linux, usando usuário e senha do A.D.
> - Poder elevar a SUDO com base no Grupo do A.D. que o usuário pertence.
> - Acessar a GDM com usuário e senha do A.D.
> - Não cadastrar nenhum usuário no host unix-like, a não ser o próprio root,
> um adm local, e os usuários de aplicações/serviços.
é o que eu já disse. use a interface LDAP do AD e estenda o esquema do
cadastro dos usuários para guardar as propriedades de posixAccount.
Procure no technet da Microsoft como se faz isso.
> E um dos maiores requisitos:
> - Caso a comunicação entre os A.D.s e o host Unix-Like fique indiponível
> por qualquer motivo, que a autenticação seja feita localmente usando cache
> das autenticações do A.D. já realizadas naquele host.
ter um segundo controlador de domínio não é uma má ideia. e há o nscd
(name service caching daemon) que pode guardar essas coisas por algum
tempo, mas há controvérsias quanto a segurança dele.
achei uma página que pode ser do teu interesse: https://wiki.debian.org/LDAP/NSS
para ssh e coisas parecidas sugiro usar autenticação por chave pública e
eu já vi em algum lugar usar o AD para guardar as 'authorized_keys'. uso
isso direto (mas sem o AD e com OpenLDAP), nem tanto por segurança ou
comodidade, mas porque eu sempre esqueço as malditas senhas!
-- Danton.
More information about the masoch-l
mailing list