• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Knitter

[Res.] Fazer autenticação de uma máquina Linux contra a Active Directory do Win?

9 mensagens neste tópico

Boas!

No instituto onde estudo estou responsável por criar um LiveCD de linux que será entregue aos futuros caloiros e que pretende mostrar alternativas ao software proprietário que é usado na escola.

No decorrer das ideias que foram surgindo pensou-se em permitir que um aluno da escola, ao usar o CD dentro da rede interna, tenha acesso a todos os recursos que esta disponibiliza, como o serviço de impressão, espaço nos servidores, acesso wireless, aulas on-line, etc, mas para isso é necessário efectuar a autenticação do aluno na rede.

Para facilitar o aluno, uma vez que existem alunos de cursos variados e o CD será para todos, pensou-se em permitir que ao chegar ao ecra de login do KDE  o aluno introduzisse as suas credenciais e ficasse automaticamente registado na Active Directory que gere rede, criando assim uma situação de Single-Sign-On.

Embora tenha feito várias pesquisas, até agora não encontrei uma solução que me seja fácil de implementar.

Gostaria assim de perguntar se exite alguém que tenha experiencia neste tipo de implementações e que me possa indicar alguns caminhos.

Já agora, o CD será muito provavelmente baseado em Knoppix.

Thanks.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Isso não se faz o nível do KDE.

Tens de instalar as bibliotecas de LDAP e de configurar o PAM para usar autênticação com LDAP.

Há por aí muitos How-tos de autenticação com LDAP no google. Procura um.

Já agora active directory, não é um protocolo proprietário que não funciona bem com outros sistemas operativos que não o window$. Considera usar LDAP puro.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Isso não se faz o nível do KDE.

Sim, mas a ideia é fazer isso junto com o KDE, só assim se está verdadeiramente numa situação de Single Sign-on, a ideia é mesmo fazer login no KDE, ou outro gestor de janelas, mas neste caso no KDE e sem que o utilizador tenha de voltar a introduzir passwords fique registado como utilizador válido para aquela rede.

O LDAP realmente é uma solução que tenho estado a estudar.

Bem, vou continuar à procura de soluções, obrigado.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Repito! Isso não se faz não é possível, nem desejável fazer ao nível do KDE, porque o KDE não faz gestão de logins. Isso é feito ao nível da configuração de PAM. Sendo que o Display Manager do KDE (KDM), que é aplicação gráfica do KDE que pede username e password limita-se a usar o PAM.

Usár ao nível do KDE não criaria single login, ao contrário do que dizes, pois bastaria a pessoa fazer um login em modo de texto, para não estár a usar esse sistema de autenticação que o KDE usaria.

Usa LDAP, é de facto a melhor solução, porque trata-se de um standard a sério suportado pelos sistemas operativos a sério.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

OK, acho que não me fiz entender, quando refiro o KDE refiro apenas que o KDE é o ponto de entrada e de introdução das credenciais e não que o KDE é o responsável pela gestão dos logins, eu sei que o KDM não faz isso.

Em relação ao LDAP, não é uma opção a considerar. Iria criar uma duplicação de informação que só traria problemas. Além de que para usar LDAP preciso de autorização das instâncias superiores  da ESTG e isso iria demorar muito tempo e não é garantido.

Já tenho o sistema a funcionar, embora numa máquina com sistema instalado e não em live CD! Estou a usar Samba + Winbind + Kerberos5 + PAM. Este conjunto torna mais fácil toda a situação. O protocolo Kerberos é suportado nativamente pela Active Directory do windows pelo que não é preciso ter acesso ao servidor LDAP e apenas preciso do IP da Domain Controller, Samba usa o mesmo protocolo que o windows usa nas suas partilhas, o CIFS, e tem um cliente de vizinhança de rede muito melhor que o proprio windows, :thumbsup:

Pela investigação que fiz LDAP não serve. Eu quero aceder à Active Directory não quero integrar simplesmente um linux numa rede windows. Neste caso particular LDAP não é solução.

Peace.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma rede a sério, não é uma "rede window$". É uma rede!

Já agora, como é que o LDAP iria duplicar informação??

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Uma rede a sério, não é uma "rede window$". É uma rede!

Não percebi, seja. LDAP é um protocolo de rede com o mesmo objectivo que a Active Directory, mais ou menos, eu sei que não são bem a mesma coisa.

Os problemas LDAP: permissões de acesso ao servidor de LDAP, não as tenho e dificilmente vou ter. Solução: ter o meu servidor LDAP o que traz novas dificuldades: duplicação dos dados dos alunos, falhas de segurança, falhas de sincronização de dados, entre outros. Por isso, e no meu caso LDAP não serve.

Vantagens da solução actual:

Facilidade de utilização do Samba. Facilidade de acesso a partilhas Windows, de onde se incluem servidores de ficheiros e de impressão.

Facilidade do uso do protocolo Kerberos5. Simples facto de apenas precisar de 1/2 dúzia de IPs, que já tenho, sem ter de ter autorização do Serviços de Administração da ESTG, apenas o meu administrador da rede foi informado para que não haja qualquer problema na rede e para que as entradas nos logs do sistema resultantes das minhas tentativas não sejam estranhas.

De todas os informações que tenho, em tutoriais e how-tos, a única coisa que muda é o LDAP. Samba, Winbind, PAM estão lá sempre, só tenho de escolher entre LDAP e Kerberos, neste caso escolho o Kerberos.

Obrigado pela ajuda.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Não percebi, seja. LDAP é um protocolo de rede com o mesmo objectivo que a Active Directory, mais ou menos, eu sei que não são bem a mesma coisa.

Active Directory é proprietário, ou seja, é um empecilho à interoperatibilidade. As redes de computadores não devem ser redes window$, redes mac, redes isto, redes aquilo. devem ser redes, que usam protocolos que são standards e não protocolos proprietários.

Os problemas LDAP: permissões de acesso ao servidor de LDAP, não as tenho e dificilmente vou ter. Solução: ter o meu servidor LDAP o que traz novas dificuldades: duplicação dos dados dos alunos, falhas de segurança, falhas de sincronização de dados, entre outros. Por isso, e no meu caso LDAP não serve.

Mas afinal já há um servidor LDAP?

Agora estou confuso!

O que propus foi a substituição do cancro proprietário que é o Active Directory por um standard que é o LDAP, em todas as máquinas, incluindo as de window$. Mesmo que não substituisses o Active Directory provavelmente ele utiliza uma BD se colocasses do LDAP a utilizar essa mesma BD, não tinhas qualquer problema de duplicação de informação,

De todas os informações que tenho, em tutoriais e how-tos, a única coisa que muda é o LDAP. Samba, Winbind, PAM estão lá sempre, só tenho de escolher entre LDAP e Kerberos, neste caso escolho o Kerberos.

Os sistemas GNU/Linux não precisam de Samba, nem winbind para se autenticarem perante um servidor de autenticação que use LDAP, precisa apenas da PAM e as bibliotecas cliente de LDAP. Para além disso o kerberos da m$ tem extenções proprietárias ao standard, o que tem colocado problemas a muito boa gente.

Já agora como é que a tua solução está a funcionar? Está a correr tudo bem?

cumps

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Penso que o meu primeiro texto explicava bem as coisas mas parece que me enganei, então vamos lá ver se consigo agora.

1. A Active Directory é uma implementação do standard LDAP.

2. Sou aluno não sou administrador de rede, logo não tenho nem responsabilidade na rede nem permissões para fazer qualquer alteração à rede existente.

3. A rede funciona muito bem como está, não existe qualquer necessidade de substituir a implementação LDAP existente por outra qualquer.

4. Sim existe um servidor com uma implementação LDAP diferente da Active Directory, usada para autenticações em sistemas diversos. Como aluno não tenho acesso a esse servidor.

5. Os sistemas linux precisam de samba para acederem a partilhas windows, sem o samba um sistema linux não encontra qualquer partilha windows na rede, a não ser claro que uses protocolos como o telnet. Não é o objectivo, o objectivo é usar partilhas windows.

A minha solução está a funcionar como disse antes... O sistema pam está configurado, o samba está a montar as partilhas windows, o winbind gere a autenticação, ou melhor apresenta-se como origem das autenticações, obtenho os tickets kerberos e uso esse ticket em tudo o que preciso. Neste momento tenho de libertar o ticket manualmente porque não tenho o script de encerramento a funcionar.

Bem como o problema está resolvido vou pedir a um administrador que feche o tópico. Mais tarde posso colocar a forma como resolvi tudo.

Peace.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites
Convidado
Este tópico está fechado a novas respostas.