Ай да Linux!

Допустим, у нас есть некая организация, и для аутентификации пользователей (и только ради этого!) они используют Active Directory. Несмотря на всю мою нелюбовь к компании Mircosoft, скажу, что AD — это успешный продукт, очень мощный и функциональный. В Linux до сих пор нет подобного продукта. Но в доброй половине случаев AD используют только ради аудита юзеров, хотя AD — это не только LDAP. Закономерный вопрос — а нафига такой монстр аудита нужен? Поэтому есть резон использовать альтернативные решения.

В нашем случае, в качестве LDAP (где будут храниться данные пользователей) я выбрал 389DS по причине того, что сейчас это по сути продукт Red Hat (Red Hat Directory Server почти равно 389DS). Он действительно показал себя с лучшей стороны, когда я пытал его, так что рекомендую, тем более он хорошо документирован.

Операционки будут смешанные, как Windows, так и Linux. И надобно бы, чтобы они смогли получать имена пользователей и паролей с единого хранилища. C Linux все понятно — 389DS заточен под него, вот с Windows беда, прямой поддержки остальных LDAP, кроме AD, у него нет. В большинстве случаев в качестве менеджера для синхронизации данных пользователей применяют Samba, но я подсчитал, что это решение громоздкое и не очень удобное в настройке. Поэтому было принято решение о поиске чего-то более легкого. Такой продукт был найден. Имя его — pGina.

pGina — это по сути замена стандартного логина с расширенными функциями типа аутентификации через LDAP, PAM, Kerberos и прочие подобные технологии, причем, функциональность pGina настраиваемая — все типы аутентификации реализованы через плагины. Более того, pGina абсолютно бесплатна. Учтите, что программа никоим образом не является аналогом Samba, pGina используется только ради аутентификации и ничего более. Главным плюсом pGina является то, что он абсолютно бесплатен.

Данные сервера LDAP таковы. В качестве режима работы выбираем Map Mode.

IP — 10.10.19.45, порт 389. Шифрование не используется.

Суффиксы службы каталогов -* dc=cloudnine,dc=internal*

Суффикс администратора — cn=Directory Manager

Пароль — password

В Вашем случае, скорее всего, будут другие данные, просто следуйте общей логике настройки.

Ссылки на необходимые ресурсы:

• pGina для Win2000/XP (только x86)
• pGina для WinVista/7/2008 (для* х86* и х86_64)
• Плагин для работы с LDAP для x86
• Плагин для работы с LDAP для x86_64
• Другие плагины можно найти здесь

Настройка pGina (для Win2000/XP).

Для всех изменений требуются права администратора.

Скачиваем, устанавливаем, запускаем pGina и скачиваем нужный плагин (в нашем случае это модуль LDAP, плагин можно предварительно перенести в каталог plugins, являющаяся подкаталогом pGina). Переходим в вкладку Plugin. Через кнопку Browse находим необходимый плагин и кнопкой Configure переходим к настройке плагина.

Настройка плагина LDAP Auth.

Учтите, что данные LDAP нужно писать как есть, учитывая регистр.

LDAP Server — 10.10.19.45, Port — 389, Use SSL — галочку не ставим.

Admin User — cn=Directory Manager,dc=cloudnine,dc=internal

Admin Password — password

PrePend — uid= # именно так, этот параметр показывает, каким суффиксом определяется пользователь в LDAP

Append — ou=People,dc=cloudnine,dc=internal # Собственно указываем, где пользователей искать.

Timeout — 10 # опциональный параметр, указывайте, если отклик до LDAP не очень быстрый.

В вкладке Password Configuration рекомендовано поставить галочку в опцию Disable Change Password.

Сохраняем все изменения.

В самой pGina, в вкладке Advanced следует поставить галочку в опции Scramble passwords on logout. Эта настройка заставит pGina каждый раз подключаться к LDAP для аутентификации. Все остальные настройки уже зависят от дополнительных условий входа в систему.

На этом настройка pGina завершена. Теперь пришло время проверить работу плагина. Запустите входящий в комплект с приложением модуль Plugin Tester. Кнопкой Browse найдите используемый плагин. В User набираем пользователя, хранящего в LDAP (к примеру, mkey), в пароль указываем пароль пользователя LDAP (к примеру, 123456). После нажимаем на кнопку Login. Если все было настроено как надо, то в диалоговом окне увидим сообщение о успешности. Иначе перепроверьте настройку плагина или сервера LDAP. Для анализа проблемы смотрите поле errorString.

После настройки перезагрузите машину. После перезагрузки вы сразу увидите приглашение pGina. Набираем имя и пароль пользователя LDAP и, если пользователя в системе не существовало, оно автоматом создастся. Созданный пользователь будет иметь ограниченные права, поэтому никаких особых изменений в политиках безопасности делать не придется.

Чуть позже я дополню эту статью настройкой в системах Vista и выше.