© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Hallo,
in den letzten Wochen hatte ich mehrfach die Aufgabe, Samba in Active
Directory Domains zu integrieren. Auf verschiedenen Plattformen laufend,
Linux- und NetBSD-basiert (in NAS-Servern).
Immer wieder wird in HowTos und Mailinglisten Kerberos erwaehnt. Nun liegt
da ein Haken. John Terpstra sagt z.B., dass Microsoft Kerberos leicht
veraendert hat, so dass weder MIT- noch Heimdahl-Kerberos sauber damit
arbeiten koennen.
Auf dem Netz und in Magazinen gibt es immer mal wieder Kochrezepte, wie
Kerberos aufzusetzen ist. Nun habe ich das getan und bin dabei immer
wieder auf Probleme gestossen, die ebenfalls in Mailinglisten erwaent
werden - ohne dass ich auf eine dieser Fragen Antworten zur Loesung
gefunden haette (ausser "bei mir laeuft das")
Am verwirrensten fand ich das bei einer Linux-basieten NAS-Appliance, die
ein Java-Kerberos mitbrachte, dieses auch, wenn man das Webinterface zum
Joinen einer Active Domain benutzte, konfigurierte - und, wie ich dann
feststellte, zur Authentifizierung doch NTLM benutzte!
Huebsch war auch, dass dieses NAS-Device im Bueronetz klaglos ihren Dienst
versah, nicht aber beim Kunden, um dann nach einem Update des OS auch dort
zu laufen. Das trug sehr zum Erkenntnisprozess bei;-)
Mir ist es jedenfalls nicht gelungen, irgendwo Kerberos mit Active Domain
zum Laufen zu bringen, meinem Kollegen nebenan unter OS/400 auch nicht.
Dagegen habe ich in allen Szenarien NTLM auch mit Active Directory zum
Laufen bekommen - sogar, wenn die Active Domain im "Native Mode" lief.
Wenn ich das richtig verstanden habe, sagt der Client - ich moechte mich
mit Protokoll NTLM2, 1, Kerberos oder was auch immer authentifizieren, und
wenn der Server das kann, macht er das halt (sonst nimmt er den naechsten
Vorschlag)
Da alle Windows-Systeme und auch Samba NTLM beherrschen, koennte man
danach auf Kerberos verzichten (allerdings nicht mein OS/400-Kollege, der
hat kein NTLM), und Kerberos waere nur "nett", weil sicherer, und
ausserdem eine Investition in eine evt. NTLM-freie Windows-Zukunft.
Ich habe das Gefuehl, dass die Mailinglisten und Bastelanleitungen voller
Missverstaendnisse sind, und wuerde mich freuen, wenn jemand Erhellendes
zum Einsatz der verschiedenen Authentifizierungsprotokolle in bestimmten
Szenarien sagen koennte.
Es gruesst
Peter
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message
Received on Tue 25 May 2004 - 09:20:04 CEST