Vintela Authentication Services

Совсем недавно - позавчера - я узнал, что есть возможность приобрести Vintela Authentication Services и так обрадовался, что написал по этому поводу в форум, в котором 2 месяца назад я задавал вопрос по AD-авторизации в Solaris.
http://forum.sun.com/jive/thread.jspa?threadID=102574&tstart=0

В ответ на директиву высказать мнение о целесообразности покупки VAS я написал директорату:

"По решению от Vintela - как единая система для AD-authz для всех хостов нашей компании, данная технология может быть наиболее адекватной для наших нужд.
Но конечно желательно его предварительно протестировать в нашем зоопарке разных ОС и платформ.
В данный момент ситуация с тестированием AD-авторизации на UNIX-подобных системах у нас такая:
1) Для настройки единой аутентификации в разных Unix ОС, которые есть у нас можно использовать встроенные Native либо OpenSource-средства типа OpenLdap, PADL и MIT Kerberos, но везде приходится сталкиваться с нюансами, которые характерны для той или иной ОС. И разворачивание данного решения на наших рабочих UNIX-хостах может потребовать немало времени.
2) Решение с аутентификацией и авторизацией данными средствами работает в настоящий момент на трех тестовых серверах на базе ОС:
- Solaris 10x (10.25.66.222);
- HP UX 11 v2 (10.25.38.2);
- CentOS 4.3 (10.25.66.251).

но везде встала проблема с разграничением доступа к данным серверам по принадлежности AD-пользователей к тем или иным группам AD - независимо от принадлежности к соответствующим группам в AD и pam-политики UNIX-сервера пользователь авторизуется. Причем использовались разные средства, как native так и openldap и средства от padl.com.

Например, проблема c CentOS 4.3 проиллюстрирована ниже: пользователь test, который не являясь членом группы AD-DBA, авторизуется на CentOS, хотя при входе выскакивает баннер о необходимости быть членом этой группы для успешного входа.

login as: test

test@10.25.66.251's password:
You must be a msSFU30MemberUid of CN=AD-DBA,OU=UNIX-Groups,OU=UNIX-OU,DC=testdomain,DC=ru to login.

Last login: Mon Sep 25 12:24:13 2006 from ws234.testdomain.ru

[test@centest ~]$ id
uid=10118(test) gid=10007(AD-Adms) groups=10007(AD-Adms)
[test@centest ~]$

В Solaris и HP-UX также присутствует данная проблема, просто без подобного баннера.

3) Рано или поздно появится необходимость монтирования при помощи smbclient-ов домашних директорий пользователей AD с файлового сервера.
А это опять свои нюансы на каждой ОС. Т.е. для задейстования автомонтирования при логоне посредством Samba-клиентов возможно тоже потребуется бубен.

4) Это субъективно, но во многих форумах по решению тех или иных проблем с AD-авторизацией на UNIX-машинах, я не единожды встречал реплики о том, что сменив танцы с бубном на решение от Vintela подобные проблемы исчезли.

Вышеперечисленные пункты можно отнести в пользу тестирования решения от Vintela.
Также немаловажно наличие поддержки от их российского представительства.