Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Problema aggiunta host al dominio di ZS

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Diamond



Registrato: 09/09/07 17:54
Messaggi: 16

MessaggioInviato: Dom Set 23, 2007 11:25 pm    Oggetto: Problema aggiunta host al dominio di ZS Rispondi citando

Salve.. ho configurato una macchina con ZS in modo da poter controllare l'accesso ad internet, autenticare gli utenti e dare i permessi di accesso ad un fileserver.

La configurazione è la seguente:
DATABASE INFO Status: ACTIVE
--------------------------------------------------------------------------------
Description : Configurazione Rete Dominio SCUOLA
HostName : zeroshell.SCUOLA
K5 Realm : SCUOLA
LDAP Base : dc=scuola
Last Activation : Active
Last Backup : Never
--------------------------------------------------------------------------------


Il problema è che se io comincio ad aggiungere i client Windows XP Professional e Windows 2003 Server al dominio creato (con la procedura tasto destro su Risorse del Computer >> Proprietà >> Nome Computer >> ID di Rete) il Windows mi risponde che è stato impossibile contattare un controller di dominio per il dominio SCUOLA.

Cosa devo fare??
_________________
Nn è forte colui che nn cade, ma è forte colui che quando cade ha la forza di rialzarsi...
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Lun Set 24, 2007 1:02 am    Oggetto: Rispondi citando

Ciao
ZS non è un domain controller. Se hai 2003 server utilizzalo come domain controller per l'accesso alle risorse di rete e utlizza ZS per l'accesso internet. Non devi reinsere gli utenti in quanto dal Captive portal di ZS puoi utilizzare gli utenti creati sul server 2003. Quando l'utente si connette ad internet gli viene richiesta autenticazione. Se non vuoi utilizzare un server microsoft puoi utilizzare linux+samba configurato come PDC.

Giancarlo
Top
Profilo Invia messaggio privato
Diamond



Registrato: 09/09/07 17:54
Messaggi: 16

MessaggioInviato: Lun Set 24, 2007 11:21 am    Oggetto: Rispondi citando

ah ecco.. era questo che mi mancava... ma potrei ovviare a ciò in un modo semplice??? il controller di dominio mi servirebbe solo per poter far accedere gli utenti windows ad un disco condiviso con cartelle personali ed autenticazione.. ma la gestione che non devo fare io, pensavo potesse essere fatta con ZS... perciò pensavo ad u controller windows 2003 solo per utilizzare il fileserver.. e ZS come controllore...

datemi un ideaa!!!!
_________________
Nn è forte colui che nn cade, ma è forte colui che quando cade ha la forza di rialzarsi...
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Set 24, 2007 9:23 pm    Oggetto: Rispondi citando

Potresti comunque mettere in trust il REALM Kerberos 5 di Zeroshell con quello del controller di dominio Active Directory. In tale maniera gli utenti verrebbero autenticati da Zeroshell e i ticket per l'accesso alle risorse (stampanti, cartelle condivise, ...) sarebbero rilasciati dal server Windows.
Quanto prima scriverò una guida su come fare, anche se la Microsoft rilascia diversa documentazione su come creare una cross autenticazione di Active Directory con un realm Kerberos Unix.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Diamond



Registrato: 09/09/07 17:54
Messaggi: 16

MessaggioInviato: Mar Set 25, 2007 9:54 am    Oggetto: Rispondi citando

fulvio ha scritto:
Potresti comunque mettere in trust il REALM Kerberos 5 di Zeroshell con quello del controller di dominio Active Directory. In tale maniera gli utenti verrebbero autenticati da Zeroshell e i ticket per l'accesso alle risorse (stampanti, cartelle condivise, ...) sarebbero rilasciati dal server Windows.
Quanto prima scriverò una guida su come fare, anche se la Microsoft rilascia diversa documentazione su come creare una cross autenticazione di Active Directory con un realm Kerberos Unix.

Ciao
Fulvio


scusate se insisto, ma nel modo che avete detto voi è possibile anche creare gli utenti da ZS o devo comunque crearli da Win2003?
Per me è semplice anche fare tutto su win2003 ma per chi gestirà la cosa forse è più semplice l'interfaccia web..

e scusate se rompo così Very Happy

prometto alla fine di documentare il tutto, parola di giovane marmotta Very Happy
_________________
Nn è forte colui che nn cade, ma è forte colui che quando cade ha la forza di rialzarsi...
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Set 26, 2007 10:46 pm    Oggetto: Rispondi citando

Kerberos gestisce soltanto l'autenticazione degli utenti e in caso di successo rilascia un ticket valido per l'accesso alle risorse di rete. Per maggiori dettagli sul suo funzionamento puoi leggere il tutorial Kerberos all'URL http://www.zeroshell.net/kerberos/
Tuttavia, nella gestione degli accessi ad una risorsa (sia essa un file, una stampante e quant'altro) intervengono anche meccanismi autorizzativi che agiscono sugli utenti, sui gruppi e le ACL della risorsa. Le informazioni coinvolte nell'autorizzazione sono memorizzate in Active Directory e possono essere consultate e aggiornate via LDAP. Premesso ciò, è chiaro che anche se si crea una relazione di fiducia tra il realm Kerberos V di Zeroshell e quello di Active Directory, è necessario comunque creare anche una entry LDAP nel dominio Windows per ogni utente creato. Peraltro bisogna anche mappare l'utente LDAP sul principal Kerberos 5 esterno. Prossimamente, basterà creare l'utente in Zeroshell e questo verrà automaticamente creato anche in Active Directory e mappato sull'identità Kerberos esterna. Al momento invece devi fare le cose manualmente.

Se vuoi approfondire l'argomento ti consiglio il link della Microsoft:
http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp

ed una mia presentazione:
http://www.le.infn.it/~fulvio/afs-to-kerberos5.ppt

Saluti
Fulvio
Top
Profilo Invia messaggio privato
giancagianca



Registrato: 14/08/07 20:10
Messaggi: 320

MessaggioInviato: Gio Set 27, 2007 12:45 am    Oggetto: Rispondi citando

Ciao Fulvio

Ritengo che sino a quando creando un utente in ZS non venga creato il corrispondente utende in AD la soluzione più semplice da implementare sia completamente opposta. Utilizzare gli utenti in AD per autenticarsi con il captive portal.

Volevo farti una domanda riguardo all'autenticazione del captive con gli utenti presenti su AD. Ad esempio utilizzando isa server una volta eseguito l'accesso al dominio la stessa autenticazione è valida per isa e la richiesta di autenticazione compare solo per gli utenti che hanno eseguito l'accesso in locale. Quando la creazione degli utenti in ZS e AD sarà completata l'autenticazione con il captive portal sarà trasparente se autenticati al dominio (o viceversa).

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it