[FUG-BR] RES: AUTHPF liberar acesso de modo mais agil

Cristiano Maynart Pereira cpereira em unisc.br
Qui Maio 11 15:52:59 BRT 2006 


> -----Original Message-----
> From: freebsd-bounces at fug.com.br 
> [mailto:freebsd-bounces at fug.com.br] On Behalf Of Renato Frederick
> Sent: quinta-feira, 11 de maio de 2006 9:55
> To: 'Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)'
> Subject: [FUG-BR] RES: AUTHPF liberar acesso de modo mais agil
> 
> É disso que eu estou falando... Não é fácil fazer qq UNIX 
> autenticar em LDAP ao invés de passwd/nis... Já que isso não é nativo.
> E você ainda soma a isso o caso específico que é o LDAP do AD 
> do Windows, que, além de ter "n" campos da Microsoft, ainda 
> corre o risco de se,  o seu cliente ldap escreve coisas 
> demais lá, aonde não devia, o PC com global catalog 
> simplesmente vai falar que a base LDAp está corrompida e 
> pedir prá dar um boot prá tentar recuperar do backup.
> 
> Por isso que ainda prefiro tentar usar winbind que, apesar de 
> antigo, sendo um cliente NT4.0 SP6, ainda causa "menos" dano 
> que uma escrita direta ao LDAP.
> 
> Eu já usei  winbind com o PAM no bsd 5.x prá dar permissões 
> extendidas em arquivos.
> 
> Veja:
> 
> 
> http://joseph.randomnetworks.com/archives/2005/11/08/freebsd-u
sers-and-group
> s-with-samba-winbind-and-active-directory/
> 
> http://lists.freebsd.org/pipermail/freebsd-questions/2005-Sept
ember/098880.h
> tml
> 
> Usa nsswitch e pam e winbind.
> 
> Se isso faz o chmod e afins reconhecer o login do windows, 
> **talvez**, teoricamente faça o ssh/authpf logar.
> 
> Mas tem que testar.
> 
> Acho que com essa solução os problemas se resolvem, desde que 
> as policies permitam clientes pré-windows 2000 logar :)
> 
> 
> 
> 
> 
> ---------
> Renato Frederick
> FreeBSD Brasil LTDA.
> Fone: (31) 3281-9633
> http://www.freebsdbrasil.com.br
> -
> ""Mais vale um pássaro na mão do que um voando sobre a nossa cabeça.""


Quando se fala em autenticar no AD da Microsoft, podem ser usadas outras alternativas para autenticar. Em alguns servidores FreeBSD que usuários necessitam logar (local, ssh, telnet, ftp), faço eles autenticarem no AD usando o Kerberos o qual é integrado ao AD. No BSD, configuro apenas o Kerberos e o PAM. 

Outra opção poderia ser através do Radius, mas teria que ver uma forma de fazer a autenticação.

______________________________
Cristiano Maynart Pereira

Mais detalhes sobre a lista de discussão freebsd