On Wed, 2007-12-05 at 20:53 +0100, [EMAIL PROTECTED] wrote: > >> "nss_map_objectclass posixGroup group", l'ho commentato e anche senza > >> forzare il parametro referral il tutto funziona. Quindi probabilmente > non > >> riesce a mappare correttamente i gruppi di AD in POSIX, in effetti per > la > >> sola autenticazione non è necessario suppongo la gestione dei gruppi da > AD > >> per linux.. > >> > > > > [OT] Senza nulla voler togliere alla tua soluzione, se ti tocca usare AD > > io ti consiglierei vivamente di provare ad usare Winbind, per una > > lunghissima serie di motivi che non sto qui ad elencare se no l'offtopic > > diventa molesto. > > > > Simo > > > > Ho volutamente scartato winbind perchè utilizza Samba e dovrei > implementarlo su tutte le piattaforme Linux in produzione (anche quelle con > policy di sicurezza aziendali restrittive) il che non mi aggrada. > Per la sola autenticazione pam_ldap ed nss_ldap, senza dove usare demoni o > modificare gli schema, va più che bene... a meno che non mi elenchi almeno > le motivazioni principali per cui dovrei passare a winbind :)
E' un po' lunga e secondo me siamo OT, ne listo solo un paio evidenti e poi ti consiglio di documentarti se ti interessa. Winbindd: - Supporta Site discovery - Domain affinity - Utenti che arrivano via trusts relationships - Essendo un demone puo' usare le credenziali di join senza rivelarle a tutti gli utenti (risolvibile in teoria con nscd nel caso di libnss_ldap) - Caching e offline support (se il DC e' momentaneamente indisponibile non sei fregato sul client). - Se usi Kerberos invece che NTLM sa leggere il PAC e quindi derivare *correttamente* tutte le group membership, cosa non possibile via LDAP (interessante solo se non usi un subset di gruppi dedicato alle macchine unix). Simo.
_______________________________________________ OpenLDAP mailing list OpenLDAP@sys-net.it https://www.sys-net.it/mailman/listinfo/openldap
