Differences

This shows you the differences between two versions of the page.

--- kerberos_сервера_на_замену_microsoft_ad [2023/04/28 15:15]
val
+++ kerberos_сервера_на_замену_microsoft_ad [2023/04/28 15:28]
val
@@ Line 9: / Line 9: @@
 Если бы мы уже использовали инфраструктуру Microsoft AD, то выбрали бы [[https://youtu.be/Y4RzavhVwxY|миграцию на Samba 4]], но задача касалась только вводимых в эксплуатацию рабочих станций Linux и мы выбрали "ванильный" [[https://web.mit.edu/kerberos/krb5-devel/doc/admin/install.html|MIT Kerberos]].
-В двух словах про [[https://bestprogrammer.ru/izuchenie/kerberos-za-5-minut-znakomstvo-s-setevoj-autentifikatsiej|Kerberos]], это протокол аутентификации, позволяющий использовать свой логин и пароль на любом компьютере, подключенном к kerberos сфере (входящем в домен, в терминах Microsoft). А кроме того, он реализует [[https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D0%B5%D0%B4%D0%B8%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B2%D1%85%D0%BE%D0%B4%D0%B0|технологию единого входа (Single Sign-On)]], что позволяет, например, предоставить "прозрачный" доступ в Интернет через прокси сервер с аутентификацией пользователей.
+В двух словах про [[https://bestprogrammer.ru/izuchenie/kerberos-za-5-minut-znakomstvo-s-setevoj-autentifikatsiej|Kerberos]], это протокол аутентификации, позволяющий использовать свой логин и пароль на любом компьютере, подключенном к kerberos сфере (входящем в домен, в терминах Microsoft). Кроме того, он реализует [[https://ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F_%D0%B5%D0%B4%D0%B8%D0%BD%D0%BE%D0%B3%D0%BE_%D0%B2%D1%85%D0%BE%D0%B4%D0%B0|технологию единого входа (Single Sign-On)]] что позволяет, например, предоставить "прозрачный" доступ в Интернет через прокси сервер с аутентификацией пользователей.
 Итак, реализация:
@@ Line 46: / Line 46: @@
 </code>
-Теперь можно подключать к kerberos сфере (вводить в домен) рабочие станции, [[https://habr.com/ru/articles/718632/|например, таким способом]], и пользователи смогут работать на них используя свои логины и пароли.
+Теперь можно подключать к kerberos сфере (вводить в домен) рабочие станции, [[https://habr.com/ru/articles/718632/|например, таким способом]], и пользователи смогут работать на них, используя свои логины и пароли.
 Далее, разворачиваем прокси сервер для аутентификации и учета доступа пользователей в Интернет (тоже, очень важно, указать корректный hostname и соответствующую A запись в DNS)
@@ Line 110: / Line 110: @@
 </code>
-Происходящие процессы аутентификации можно наблюдать в этих журнальных файлах:
+Происходящие процессы аутентификации можно наблюдать в этих журнальных файлах (частой причиной проблем в работе протокола kerberos, кроме DNS, может быть расхождение времени в системах более чем на 5 минут)
 <code>
@@ Line 118: / Line 118: @@
 </code>
-Частой причиной проблем в работе протокола kerberos, кроме DNS, может быть расхождение времени в системах более чем на 5 минут.
 Аналогично можно настроить "прозрачный" доступ соответствующих программ к сервисам SMTP, IMAP, LDAP, XMPP, CIFS и, даже, SSH:)

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools