Аутентификация пользователей по имени
Я устанавливаю Postfic и Dovecot с почтовым сервером LDAP. Мои пользователи в LDAP выглядят так:
dn: uid=firstname,ou=People,dc=domain,dc=com
uid: firstname
uidNumber: 4025
gidNumber: 4025
givenName: firstname
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
loginShell: /bin/bash
homeDirectory: /home/firstname
cn: firstname lastname
mail: firstname.lastname@domain.com
Вот как я подключаю Dovecot к LDAP
hosts = ldapserver
ldap_version = 3
base = ou=People,dc=domain,dc=com
deref = never
scope = subtree
user_attrs =
user_filter = (&(objectclass=inetOrgPerson)(uid=%n)
pass_attrs = uid=user,userPassword=password
pass_filter = (&(objectclass=inetOrgPerson)(uid=%n))
default_pass_scheme = SSHA
Когда я ввожу адрес электронной почты и пароль пользователя следующим образом: электронная почта: firstname.lastname@domain.com
пароль: пароль
и в соответствии с моей установкой , который я использовал «% N» , как вы видите выше, имя пользователя , используемое для проверки подлинности является «firstname.lastname». Я проверил переменные Dovecot, но не смог найти в данном случае чего-нибудь полезного для управления переменной "% n".
Я хотел бы продолжать использовать адреса электронной почты как " firstname.lastname@domain.com"
Вопрос - Компьютер для присоединения к домену Windows.
Я считаю, что есть несколько способов. Пожалуйста, сообщите, верны ли приведенные ниже данные.
- Запустите область в окне Linux.
- Запустите соединение сетевых объявлений Samba в окне Linux ( Создание Host Keytab с Samba ).
- Запустите setSPN и ktpass в Контроллере домена
Что касается использования области и самбы, я полагаю, что команда также присоединит поле Linux к домену и AD. Это правильно? Также укажите ресурсы, чтобы понять, что происходит с компьютером и доменом, если таковые имеются.
Для этих способов требуются учетные данные администратора или учетные данные пользователя, у которого есть разрешение на добавление компьютера в домен, что не всегда быть доступным. Затем я полагаю, что нужно попросить администратора домена Windows сделать то, что делают realm и samba. Что, как мне кажется, связано с приведенным ниже, но требует исправления / подтверждения, если они верны.
- Создайте запись A и PTR-запись обратного просмотра в DNS домена.
- Добавьте компьютер для поля Linux в представлении управления компьютерами. UPN ящика будет
<имя хоста Linux> @ <область или домен>. - Создайте SPN для ящика Linux с помощью setSPN. Имя участника-службы имеет вид
host / <имя> @ <область или домен>. - Создайте keytab с помощью ktpass. SPN указывается с помощью -princ, а UPN указывается с помощью -mapuser.
- Скопируйте keytab в окно Linux как /etc/krb5.keytab и измените разрешения. (Рассматривайте как файл pem в ~ /. ssh /)
Вопрос - UPN и SPN?
Почему для одного и того же объекта (linux box) используется несколько идентификаторов? Зачем нужен SPN?
Из man net :
Присоединитесь к домену. Если учетная запись уже существует на сервере, и [ТИП] - ЧЛЕН, машина попытается присоединиться автоматически. (Предполагая что машина была создана в диспетчере серверов) В противном случае будет запрошен пароль, и может быть создана новая учетная запись.
Короче говоря, «подключение к сети с рекламой» присоединяет машину к домену. При запуске этой команды в вашем Linux-окне вам необходимо ввести учетные данные администратора домена (или другого пользователя с соответствующими разрешениями).
По моему опыту, в зависимости от вашей версии самбы вам может потребоваться вручную создать запись A или PTR . После этого любой динамический IP-адрес, полученный через DHCP, автоматически обновит / обновит записи A и PTR.
С другой стороны, вам не не нужно возиться с setSPN или ktpass .
Вы можете прочитать здесь для более подробного руководства.