postfix怎麼才能從微軟的AD拿到用戶名和密碼

火星人 @ 2014-03-05 , reply:0


postfix怎麼才能從微軟的AD拿到用戶名和密碼

微軟推出的ADAM是不是可以做到。
普通的postfix+ldap的方法不行,因為這裡面涉及到kerberos的因素。
嘗試用postfix+pam+winbind實現,

有沒有人做過?
《解決方案》

postfix怎麼才能從微軟的AD拿到用戶名和密碼

Not sure if AD4UNIX will help, I have never used it.

http://sourceforge.net/projects/ad4unix/

Gary
《解決方案》

我做過啊
《解決方案》

postfix+pam+winbind 肯定能行
因為我做過 sshd + pam + winbind
《解決方案》

原帖由 cyberdna 於 2005-7-7 09:01 發表
微軟推出的ADAM是不是可以做到。
普通的postfix+ldap的方法不行,因為這裡面涉及到kerberos的因素。
嘗試用postfix+pam+winbind實現,

有沒有人做過?

老大,postfix+pam+winbind有什麼進展呀,我現在也在做.
但不知從何做起呢
有沒有什麼好的資料
有空多聯繫:
MSN :openlinuxs@126.com
《解決方案》

個人理解原理:

您的Windows AD 用戶可以正常的登入到Linux系統,就可以使用Postfix啦!

就好像我所編寫過的一篇文章OpenLDAP + Postfix 例子,就是最好的原理!
《解決方案》

原帖由 fandy 於 2006-12-11 10:06 發表
個人理解原理:

您的Windows AD 用戶可以正常的登入到Linux系統,就可以使用Postfix啦!

就好像我所編寫過的一篇文章OpenLDAP + Postfix 例子,就是最好的原理!

我的LINUX加入域了呀,但不知怎麼認證呢.
《解決方案》

請參考:

http://bbs.chinaunix.net/viewthread.php?tid=868925&extra=page%3D1
《解決方案》

原帖由 cyberdna 於 2005-7-7 09:01 發表
微軟推出的ADAM是不是可以做到。
普通的postfix+ldap的方法不行,因為這裡面涉及到kerberos的因素。
嘗試用postfix+pam+winbind實現,

有沒有人做過?


在紅帽企業版Linux 3系統上怎樣配置pam.winbind.so,使得用戶可以使用域用戶名和密碼登陸系統?
解決方法:

聲明:

以下信息由Red Hat提供,但是已經超出標準服務協議(SLA)的範圍(http://www.redhat.com/support/service/sla/)和支持流程.這篇文章提供的任何配置設定或者安裝應用的信息將使得你的系統不再得到Red Hat支持服務。本文的目的是提供你實現系統需求所需要的信息,風險自負。

在伺服器PAM的配置中加入pam_winbind.so將使你的伺服器和域緊密整合在一起. 網路用戶使用相同的域帳號認證,在伺服器上可以得到相同的home目錄,不管他們怎樣登陸伺服器(例如:本地控制台登陸,ssh,ftp等)


警告和假設

假設系統管理員已經掌握PAM配置文件的使用,並且了解在伺服器所在的環境當中,伺服器認證配置需要那些其他類型的用戶信息和用戶認證. 以下提供的例子是基於一個只使用本地的和Winbind列舉的域用戶,作為用戶信息或者用戶認證的系統。


以下步驟包括手工編輯伺服器主要PAM認證配置文件/etc/pam.d/system-auth.在做任何改變之前,你應當備份一下 /etc/pam.d/system-auth,並且保持一個root登陸窗口,以防止因輸入錯誤或者配置錯誤時可以恢復到原先的system-auth 文件.記住,運行認證配置工具,例如authconfig,會有可能造成手工在system-auth做的更改丟失.所以在更改了system-auth 文件並且測試成功后應當做一個更改后的備份.


總的來說,如果伺服器使用winbind服務去列出域用戶和組,使用pam_winbind.so去允許系統認證域用戶,伺服器就應當沒有其他認證用戶信息,或者在authconfig中啟用指向同一個域用戶的認證源(Kerberos, LDAP)。換句話說,別配置你的伺服器同時使用Winbind和LDAP指向同一Active Directory中的用戶.


我們也假設winbind服務已經正常的配置,並且在系統上正常運行.參考Knowledgebase其他關於Winbind配置細節的文章,以了解在Samba伺服器上怎樣配置Winbind,怎樣從域控制器上創建用戶和組.


配置文件舉例:

下面是/etc/pam.d/systerm-auth的一個例子,可以允許域用戶通過任何使用PAM的system-auth配置文件的服務,登陸到伺服器:

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_winbind.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so broken_shadow
account      /lib/security/$ISA/pam_winbind.so
account     required      /lib/security/$ISA/pam_permit.so

password    required      /lib/security/$ISA/pam_cracklib.so retry=3 type=
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_winbind.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so


域用戶名的正確格式

用戶名必須符合指定的正確格式,以便於Winbind能夠正確識別域和用戶名的組成部分.假設在smb.conf中,winbind已經被配置成knowledgebase前一片文章提到的那樣,定義了winbind 分割符, winbind use default domain=no。 使用winbind use default domain=yes是有問題的,並不推薦或者不支持。


也就是說,正確的用戶名格式應當是DOMAIN+username。 DOMAIN是域名的簡寫(例如,不是Active Directory域名的全名,如果那是一個2000或者2003的DC), 加上winbind分隔符,加上用戶名。所有的以PAM方式登陸伺服器,用戶需要以這樣的格式提供他們的用戶名。

當所有的配置已經完成並且保存,你將可以使用域用戶帳號(以上面提到的格式)登陸伺服器。

Red Hat Enterprise Linux AS release 3 (Taroon Update 4)
Kernel 2.4.21-27.0.2.ELsmp on an i686

samba1 login: DOMAIN+testuser
Password:
Last login: Thu Apr  7 12:47:43 on tty1
$


注意:如果用戶的home目錄沒有被創建或者沒有在正確的地方創建,你將會看到以下信息:

Red Hat Enterprise Linux AS release 3 (Taroon Update 4)
Kernel 2.4.21-27.0.2.ELsmp on an i686

samba1 login: DOMAIN+testuser
Password:
Last login: Thu Apr  7 12:47:43 on tty1
No directory /homes/DOMAIN/testuser!
Logging in with home = "/".
-bash-2.05b$


另外一個例子,域帳號可以使用FTP進入到伺服器:

$ ftp samba1
Connected to samba1.smbtest.bogus.
220 (vsFTPd 1.2.1)
530 Please login with USER and PASS.
530 Please login with USER and PASS.
KERBEROS_V4 rejected as an authentication type
Name (samba1:testuser): DOMAIN+testuser
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.


關於Winbind配置的更多信息,我們建議參考以下資源:

    * /usr/share/doc/samba-<version>目錄下的samba文檔, 每一安裝samba RPM基本包的紅帽系統都含有. 此目錄下提供有插圖的PDF和HTML格式的參考手冊.
    * smb.conf man page, 運行man smb.conf命令即可看到.
《解決方案》

原帖由 fandy 於 2006-12-14 13:31 發表



在紅帽企業版Linux 3系統上怎樣配置pam.winbind.so,使得用戶可以使用域用戶名和密碼登陸系統?
解決方法:

聲明:

以下信息由Red Hat提供,但是已經超出標準服務協議(SLA)的範圍(http://www.redh ...

如果,我現在LINUX加入域了,WBINFO - u,可能得到用戶和組了,
現在呢,postfix,發郵件沒有問題,postfix有sasl_auth認證的,
如果說,sasl_auth通過PAM的winbin去與AD認證。
我這樣的理解錯沒有?
如果沒有錯,哪sasl的pam怎麼調用winbind,中間有沒有什麼模組。



[火星人 via ] postfix怎麼才能從微軟的AD拿到用戶名和密碼已經有147次圍觀

http://www.coctec.com/docs/service/show-post-43193.html