NAS4FREE SMB/CIFS SSO in WINDOWS Domain

Linux-haladó

Sziasztok!

NAS4Free megosztást szeretnék használatra bírni windows domainben.
Sajnos magát a nas4freee-t nem lehet domainbe beléptetni ill. nincs lehetőség domain admin priviléggel reendelkező felhasználói hozzáférés megadásra.
A tartományi környezetben jellemzően w7 (tls1.2) es kliensek vannak de vannak w8(Kerberos) -asok is.

Az érdekelene hogy mely irányba induljak el ill. van e lehetőség valamely olyan megoldásra amikor a nasra nem kellene letükrözni a címtárat hanem az a megkapott authentikációs adatok alalapján csak annak hitelességét tudja ellenőrizni valamely "jelszó kiszolgálón" (bocs de e tekintetben még most kezdek ismerkednia témával).
Jelen állapotban az sbm megosztások a helyileg létrehozott userekkel való elérése megy.
A megosztás csak a tartomány max 40-50 felhasználója részére lenne elérhető.
Pl. aki nincs valamely ad csoportban az alapból elvetésre kerülne s akinek van csak azon hitelelsítési adatok kerülnének letárolásra.

Van e erre általánosan kidolgozott mechanizmus ?

Köszi előre is !

  • 989 megtekintés

( Vizibirka | 2016. 09. 17., szo – 19:54 )

Az van, hogy be kell leptetni a NAS4FREE-t az AD-s domain-ba. Mashogy nem lehet megcsinalni.

( SzBlackY | 2016. 09. 17., szo – 20:06 )

Lásd fenn: be kell léptetni a tartományba... így: https://doc.freenas.org/9.3/freenas_directoryservice.html

Sajnos magát a nas4freee-t nem lehet domainbe beléptetni ill. nincs lehetőség domain admin priviléggel reendelkező felhasználói hozzáférés megadásra.

Nem is feltétlenül kell admin user, általában sima userként is léptethetsz be gépet (persze ha nálatok le van tiltva, akkor jó okkal van, és keresd meg az AD adminokat, hogy miért és lehetne-e)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( badbull | 2016. 09. 18., v – 13:14 )

Azt látom hogy én is hogy alapmegoldásként ezen lehetőségek vannak csak ....
De ne szomorítsatok el :) hogy nincs egyéb alternative lehetősg ?!
Valami olyan rémlett kerberos tekintetében hogy tud hitelesítést lebonyolítani olyan gépek között is ahol nincs megbízhatósági kapcsolat 2 gép között.

Alappból tudok beléptetni gépeket siteadminként egy bizonyos ou tekintetében (és van ezen mentési célra service user is fix jelszóval) DE (nem teszt jellegű) engedélyeztetés hogy úgy úgy mondjam annyira bürokratikus hogy .... elvetve egyenlőre.
Gyakorlatilag arról lenne szó hogy egy ws2012 vbadmin -os backup vhdx egyik példánya kerülne másnaponta innen mountolásra mentéshez.
A nas hw szinten épp hogy elég ("selejt" gépekből 1GB ram és 1GB pendrive + a 4 porton tároló lemezek) szóval túl sok egyéb adminisztrácót nem lehetne rábízni.

Akkor én voltam naív s nincs olyan protokoll ahol nem tarományi gép számára egy tartományi accounttal való hozzáférési kérelem hitelességét ellenőriztetni lehessen ?

Másik alternatíva amin gondolkodom (jobb híján) hogy azon pár embernek lltrehozok hozzáférést nas oldalról s winben meg ezen hozzáférések, a hitelesítő adatok kezelőjében kerülne eltárolásrra.
Itt viszon azon vagyok gondban hogy nem csak emberek részére kelen hozzáférés hanem pl. a szerrver$ -részére is a system accountjának s ide meg nem tudom hogy tároljak le elérést ( csak "rendszerszintű" hozzéáférés letárolás jöhet szóba .. szkriptben egyéb helyen nem ...)