Метод централизованной аутентификации
bind interfaces only = True
interfaces = eth0 192.168.0.2
в smb.conf, таким образом, это послушает только тот интерфейс
Вы должны сделать, чтобы центральный пользователь сохранил, что означает какую-то службу каталогов. В эти дни это означает Active Directory, eDirectory, OpenLDAP или некоторый другой сервер LDAP-стиля. Затем тот центральный сервер может говорить различные виды протоколов аутентификации с пониманием, что рано или поздно услуга аутентификации возразит к службе каталогов и что служба каталогов будет, вероятно, говорить LDAP. Дело обстоит так, даже если служба каталогов имеет свой собственный API, потому что все говорит LDAP, таким образом, приложения обычно используют это в наше время.
Active Directory, конечно, является самым простым выбором сделать в эти дни, так как Microsoft продвинула его довольно сильно быть повсеместным, и это удовлетворяет большинство потребностей.
Я предпочитаю eDirectory, потому что он имеет очень большую устойчивость и масштабируемость, более благоприятен для Unix, чем AD (оба для клиентов и серверов) и имеет модель репликации, которая не может быть разбита.
Openldap (и его деривации включая Apple Открывают Directory) является намного более дешевым и модифицируемым, чем другие, будучи записью с открытым исходным кодом, но мое впечатление - то, что это немного более хрупко в большом развертывании, и управление более грязно.
Существуют некоторые другие серверы LDAP там также (такие как Сервер каталогов Oracle, который мог бы согласоваться хорошо с Вашими полями Sun), но я менее знаком с ними и так не могу предоставить твердую подробную информацию. Учитывая, что Вы, кажется, хотите избежать LDAP, Вы могли бы хотеть проверить, какие методы аутентификации каждая служба каталогов поддерживает для серверов Unix, и основывайте свое решение об этом.
Действительно существует только одно решение: LDAP, если Вы не идете действительно путем прежней версии: NIS, NIS +.
LDAP может работать действительно хорошо с netgroups для установки, у каких людей есть доступ к который серверы, существует проект Fedora Wiki на этом предмете. Можно также сохранить sudo конфигурация в LDAP, и для дополнительного преимущества, уже существует веб-решения по управлению для него, GOsa ² быть одним из лучше, больше центральных Linux.
Возможно, просто скажите нам, почему Вы не хотите LDAP, этот способ, которым мы можем смягчать Ваши проблемы с ним...
Существует три способа работать вокруг проблемы сети или сервера вниз:
- применение дублируемая установка с несколькими серверами LDAP (и nss_ldap и pam_ldap будут использовать сервер резервного копирования, когда основное устройство снизится), документация OpenLDAP является довольно широким в этой теме
- используйте кэширование на клиенте, pam_ccreds или Fedora SSSD
- пойдите самым тяжелым путем: используйте дополнительный сервер LDAP на большинстве критических серверов
-
1я не необходимо будет быть автором вопроса, но я могу иметься подобную проблему. Просто задается вопросом, чего не происходило, когда ldap сервер может снижаться? Было ли на клиентской машине своего рода кэширование? Возможно проходит проверку подлинности вообще? – facha 6 October 2010 в 11:01
-
2я обновил ответ. И, нет, когда сервер LDAP снижается на разрешение имени, и аутентификация не работает, Вам нужны кэширование или серверы нейтрализации для хранения работы аутентификации – Hubert Kario 6 October 2010 в 12:54
-
3, который вышеупомянутый комментарий отсылал к учетным записям в LDAP, локально созданные пользователи, будет все еще работать без LDAP (если система была правильно настроена) – Hubert Kario 6 October 2010 в 19:31
Если Ваш Linux является производной Red Hat, то смотрите на freeipa. Затем Вы получаете нормально управляемый ldap + kerberos установка в непринужденной манере. У них есть solaris клиент также, надо надеяться, кто-то в Каноническом проснется и освободит ресурсы, необходимые для получения клиентов Ubuntu, работающих в таком домене.