[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil

Renato Frederick frederick em freebsdbrasil.com.br
Qui Maio 11 09:54:45 BRT 2006 

É disso que eu estou falando... Não é fácil fazer qq UNIX autenticar em LDAP
ao invés de passwd/nis... Já que isso não é nativo.
E você ainda soma a isso o caso específico que é o LDAP do AD do Windows,
que, além de ter "n" campos da Microsoft, ainda corre o risco de se,  o seu
cliente ldap escreve coisas demais lá, aonde não devia, o PC com global
catalog simplesmente vai falar que a base LDAp está corrompida e pedir prá
dar um boot prá tentar recuperar do backup.

Por isso que ainda prefiro tentar usar winbind que, apesar de antigo, sendo
um cliente NT4.0 SP6, ainda causa "menos" dano que uma escrita direta ao
LDAP.

Eu já usei  winbind com o PAM no bsd 5.x prá dar permissões extendidas em
arquivos.

Veja:


http://joseph.randomnetworks.com/archives/2005/11/08/freebsd-users-and-group
s-with-samba-winbind-and-active-directory/

http://lists.freebsd.org/pipermail/freebsd-questions/2005-September/098880.h
tml

Usa nsswitch e pam e winbind.

Se isso faz o chmod e afins reconhecer o login do windows, **talvez**,
teoricamente faça o ssh/authpf logar.

Mas tem que testar.

Acho que com essa solução os problemas se resolvem, desde que as policies
permitam clientes pré-windows 2000 logar :)





---------
Renato Frederick
FreeBSD Brasil LTDA.
Fone: (31) 3281-9633
http://www.freebsdbrasil.com.br 
-
""Mais vale um pássaro na mão do que um voando sobre a nossa cabeça.""
 

> -----Mensagem original-----
> De: freebsd-bounces at fug.com.br 
> [mailto:freebsd-bounces at fug.com.br] Em nome de João Henrique Freitas
> Enviada em: quinta-feira, 11 de maio de 2006 08:50
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] AUTHPF liberar acesso de modo mais agil
> 
> Senhores
> 
> Ja brinquei e briguei algumas vezes com o authpf. O meu 
> entrave foi na criação de uma base de usuários centralizada 
> não no firewall mas em algum outro servidor.
> 
> Não seria mais fácil pensarmos em uma implementação mais a 
> nivel do código do authpf para ele integrar diretamente com 
> bases ldap?
> 
> O authpf é interessante mas manter uma base de usuários 
> locais no sistema e dar manutenção é o maior problema.
> 
> Nos clientes existem N formas de fazer o acesso por SSH, 
> desde scripts em VB com métodos de autênticação diferentes 
> até por web.
> 
> Vejam em:
> http://www.openbsd-support.com/jp/en/htm/mgp/pacsec05/index.ht
> ml , no slide 16 e 17. É uma ideia um pouco diferente mas 
> talvez funcional.
> 
> Ok?
> 
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/x-pkcs7-signature
Size: 3104 bytes
Desc: not available
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20060511/76271d4a/attachment.bin

Mais detalhes sobre a lista de discussão freebsd