LDAP - корпоративный сервер Univention - центральная аутентификация - единый вход

Question

LDAP - корпоративный сервер Univention - центральная аутентификация - единый вход

Здравствуйте или Добрый вечер,

На самом деле я работаю стажером в небольшом обществе, и одно из улучшений, которое они хотят, - это иметь центральный сервер аутентификации. После некоторых исследований мы решили использовать UCS (Univention Corporate Server), который обрабатывает множество инструментов, которые они хотят использовать в будущем. И моя проблема начинается здесь...

Я хочу выполнить аутентификацию при запуске компьютера и только аутентификацию с помощью моего UCS (без роумингового профиля или другого). Мне просто нужно получить билет, позволяющий пользователю иметь единый вход в интрасеть (например, для доступа к NAS или кластеру). Я знаю, что сервер LDAP работает на моем UCS, потому что когда я использую univention-ldapsearch, я вижу большой файл с большим количеством информации... Однако я не знаю, какой это сервер LDAP. У меня есть kerberos v5, slapd, pam (возможно), так что все для единого входа и аутентификации пользователя.

То, что они хотят иметь, это:

-> Когда пользователь запускает компьютер, он может подключиться со своим логином / паролем отовсюду.

-> Домашний каталог должен оставаться ТОЛЬКО на главном компьютере пользователя. (поэтому тот факт, что они могут подключаться откуда угодно, важнее для доступа к данным в интрасети)

-> Они могут получить доступ с помощью единого входа ко всем устройствам (разрешенным для пользователя) в интрасети.

Теперь я знаю:

 how to add a user / group. UCS is very user friendly for that, 

 that an LDAP server is running on UCS.

 that I have samba but i'm pretty sure I can do it without using it.

Я не знаю:

 how to set up the authentication at startup (nsss doesn't want to install on UCS and the documentation from UCS using PAM don't take missing files inside UCS -_- ...),

 Which LDAP server is running (not an openldap (no directory from them.)) 

 If it's possible to create (ONLY) if it's not the main user computer, an empty home directory and how.

Я не знаю, знаком ли кто-нибудь с этой технологией, я надеюсь на это, потому что это больше похоже на: "Мне нужен учебник", чем "RTFD", где многие моменты упущены.

Я предпочитаю указать, что у нас нет гетерогенной сети, все компьютеры основаны на Linux.

Если кто-то может мне помочь, пожалуйста, я потратил день, пытаясь установить одно загрузочное соединение и ничего... (Я могу подключиться из браузера, но это просто для смены пароля. И нам действительно нужна центральная аутентификация).

Заранее спасибо,

С уважением.

-1

linux authentication ldap single-sign-on ucs

Источник

user4403426 19 апр '16 в 14:46

1 ответ

Другие вопросы по тегам linux authentication ldap single-sign-on ucs

user6234278 21 апр '16 в 07:54 2016-04-21 07:54 · Answer 1 · 2016-04-21 07:54

Привет Черная Бабочка,

Я работаю в Univention и знаю, что UCS достаточно универсален, поэтому вы можете подключить к нему практически любой блок.

UCS поставляется с OpenLDAP и Kerberos, которые тесно связаны (и даже PAM-Stack в конце концов использует Kerberos). Важно знать, что OpenLDAP работает на портах 7389 (LDAP с StartTLS) и 7636 (LDAPS). Samba/AD является необязательным и "только" необходим, если у вас есть Windows-подобные клиенты. Но так как вы сказали, что у вас есть только Linux-блоки, вам не нужен Samba/AD.

Теперь, если вы хотите подключить Linux/Unix-подобные клиенты к UCS, вам нужно... 1. создать объект компьютера для клиента в системе управления LDAP/ UCS. Для этого есть веб-модуль: http://docs.software-univention.de/manual-4.1.html2. настроить клиент: - использовать UCS в качестве сервера имен - использовать UCS в качестве сервера времени - настроить LDAP-клиент использовать UCS в качестве сервера LDAP-каталогов - настроить клиент Kerberos для использования UCS в качестве KDC/Kerberos-Realm - использовать какое-либо программное обеспечение для кэширования и создания идентификаторов / групп, например NSS и / или SSSD

К сожалению, каждый дистрибутив Linux ведет себя по-разному в отношении мельчайших деталей. Существует прямое руководство о том, как сделать это с Ubuntu - это в основном копирование и вставка: http://docs.software-univention.de/domain-4.1.html Какие дистрибутивы Linux вы используете в вашей организации для клиентов Linux? Может быть, я могу дать вам лучший совет, если я знаю.

Относительно домашних каталогов: правильно ли я понимаю, что вам не нужны "перемещаемые профили" или общие домашние каталоги? Это будет по умолчанию.

Для получения дополнительных советов вы также всегда можете обратиться на форум Univention.