Förnya stacken?

Harald Barth haba at kth.se
Thu Mar 31 12:41:46 CEST 2011


> Jag var på ett RedHat-teknikforum[1] där de visade sin Directory
> Server[2]
> som funkar i RedHat (buyware) och Fedora (freeware) och hur de la till
> konton i den och hur de sen tryckte på en knapp så synkade den in allt
> i AD. Och vice versa, den tog konton från AD, gav dem ett UID/GID.
> Berättade sen hur den används på stora företag i Sverige där de vill
> kunna administrera Linux+Windows konton på ett enda ställe.

Jag har ju för många år sedan sagt att vi skall korsrealma KDC:n och
AD:t. Då var det lite knivigt. Numera finns det det steg-för-steg
beskrivning. Efter det så måste man fixa att det finns $USER med samma
namn på båda sidor och att $USER at STACKEN.KTH.SE har rätt att logga in
som $USER at AD.STACKEN.KTH.SE och tvärtom. Om man har lösenorden endast
i KDC:n (Unixsidan) så kommer AD:t inte ha några lösenord allts och
inte _kunna_ göra fallback till NTLM(++) vilket leder till högre
säkerhet. Vi har ju inga tjänster som behöver NTLM, eller hur Magnus.
Jo, man skall expirera alla konton som inte har AES nyckel också, men
det gör man också med ett skript(TM) på KDC:n på fem röda.

Harald.


More information about the Stacken mailing list