The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Настройка AD+Dovecot+winbind"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Изначальное сообщение [ Отслеживать ]

"Настройка AD+Dovecot+winbind"  +/
Сообщение от Jakov (??) on 18-Окт-10, 23:54 
Hello all.
Есть пару вопросов по настройке связки AD+Dovecot.
1.
Я "плаваю" в вопросе керберос билетов.
Доки читал - понять не понял
1. kinit - получил билет, и что далее?
Нужно билет получать раз в сутки или только в момент захода в домен?
Если раз в сутки, то какой механизм автоматического получения билета
и кто стирает те, которые устарели?
winbind refresh tiket?

2.
Очень интересует вопрос минимизации запросов к домену за провркой паролей.
Dovecot проверяет Логин+Пароль через PAM.
Пользователи проверяют почту раз в 5 мин.

Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
Например первый запрос идёт на домен, а последующие проверяются в неком "системном" кеше.
через 30 мин кеш протухает и пасс опять сверяется с доменом.

Как я понял, прописать
winbind offline logon = true
недостаточно ;(

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка AD+Dovecot+winbind"  +1 +/
Сообщение от Jakov (??) on 20-Окт-10, 21:24 
Anyone?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка AD+Dovecot+winbind"  +/
Сообщение от tux2002 email(ok) on 22-Окт-10, 19:40 
> Hello all.
> Есть пару вопросов по настройке связки AD+Dovecot.
> 1.
> Я "плаваю" в вопросе керберос билетов.
> Доки читал - понять не понял
> 1. kinit - получил билет, и что далее?
> Нужно билет получать раз в сутки или только в момент захода в
> домен?

Насколько я знаю kinit получает initial credential. При обращении к службе билет к ней запрашивается отдельно.

> Если раз в сутки, то какой механизм автоматического получения билета
> и кто стирает те, которые устарели?

Если Вы рассматриваете авторизацию по билетам, то pam_winbindd и winbindd здесь могут не участвовать, dovecot может быть собран с поддержкой GSSAPI и проводить авторизацию самостоятельно не используя библиотеки pam. Стирает билет почтовый клиент сам видимо при его просроченности и получает новый, если нужно.


> winbind refresh tiket?
> 2.
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.

Предполагаю, что Dovecot в случае с авторизацией по билетам, не должен использовать PAM.

> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.

Я думаю это определяет политика распределения билетов центра распространения билетов KDC.

> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Настройка AD+Dovecot+winbind"  +/
Сообщение от artemrts (ok) on 24-Окт-10, 00:08 
>[оверквотинг удален]
> Очень интересует вопрос минимизации запросов к домену за провркой паролей.
> Dovecot проверяет Логин+Пароль через PAM.
> Пользователи проверяют почту раз в 5 мин.
> Что нужно сделать чтобы пользователь проверялся на демене раз в 30мин?
> Например первый запрос идёт на домен, а последующие проверяются в неком "системном"
> кеше.
> через 30 мин кеш протухает и пасс опять сверяется с доменом.
> Как я понял, прописать
> winbind offline logon = true
> недостаточно ;(

А чем вас не устраивает схема через OpenLDAP?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру