> Hello all.
> Есть пару вопросов по настройке связки AD+Dovecot.
> 1.
> Я "плаваю" в вопросе керберос билетов.
> Доки читал - понять не понял
> 1. kinit - получил билет, и что далее?
> Нужно билет получать раз в сутки или только в момент захода в
> домен?Насколько я знаю kinit получает initial credential. При обращении к службе билет к ней запрашивается отдельно.
> Если раз в сутки, то какой механизм автоматического получения билета
> и кто стирает те, которые устарели?
Если Вы рассматриваете авторизацию по билетам, то pam_winbindd и winbindd здесь могут не участвовать, dovecot может быть собран с поддержкой GSSAPI и проводить авторизацию самостоятельно не используя библиотеки pam. Стирает билет почтовый клиент сам видимо при его просроченности и получает новый, если нужно.
> winbind refresh tiket?
> 2.
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
Предполагаю, что Dovecot в случае с авторизацией по билетам, не должен использовать PAM.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
Я думаю это определяет политика распределения билетов центра распространения билетов KDC.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(