Недели 3 назад для настройки аутентификации в Oracle из AD посредством VAS (не просто из AD и без OID, а именно черз VAS) я запросил у Quest заявленный у них на сайте гайданс "Integrating VAS and Oracle Advanced Security Option Kerberos Adapter with Microsoft Windows 2003 Active Directory". После безуспешных попыток его получить через сайт и support@quest.com, получил его от местных ребят из i-soft.ru, которые качнули этот документ с ftp-сервера. Выяснилось, что этот гайданс сырой и я сообщил об этом ребятам из i-soft и самому автору документа (Noel Sidebotham). Автор сначала попытался отбрыкаться мол обратись к своему региональному ресселеру, а затем сказал, что рабочая версия док-та еще в разработке. И прошло более 2 недель, как support@Quest.com разродился ответом о том, что у них не готов этот мануал....
Hi Bair,
I have checked with Konstantin he has explained to your account manager that this document is not ready and is not customer-facing. Hopefully they have explained this to you.
I believe this question has now been answered so I will now close this case down.
Kind Regards,
Ewan
При этом странно то, что этот мануал заявлен у них на сайте как готовый и VAS давно уже продается с этой заявляемой у них на сайте возможностью (проверил сейчас ссылку - они даже не удосужились убрать ее) и ... получается до сих пор никто из их клиентов, приобретших VAS, не пытался настроить заявленную ими аутентификацию в ORACLE из AD при помощи VAS ? ....
Showing posts with label VAS etc.. Show all posts
Showing posts with label VAS etc.. Show all posts
Tuesday, March 06, 2007
Wednesday, February 14, 2007
к VAS tips
типс про кэш VAS , который согласно документации более эффективен, чем кэш-сервера типа nscd.
Если нужно посмотреть какие AD-учетки попали в кэш VAS нужно дать команду
/opt/quest/libexec/vas/sqlite3 /var/opt/quest/vas/authcache/vas_auth.vdb "select * from authcache;"
Проверил вход в сервер (HP-UX) с его консоли при отключенной сети под своей AD-учеткой, которая есть в его кэше - логон сработал, пользователя AD сервер авторизовал.
Если нужно посмотреть какие AD-учетки попали в кэш VAS нужно дать команду
/opt/quest/libexec/vas/sqlite3 /var/opt/quest/vas/authcache/vas_auth.vdb "select * from authcache;"
Проверил вход в сервер (HP-UX) с его консоли при отключенной сети под своей AD-учеткой, которая есть в его кэше - логон сработал, пользователя AD сервер авторизовал.
Wednesday, September 27, 2006
Vintela Authentication Services
Совсем недавно - позавчера - я узнал, что есть возможность приобрести Vintela Authentication Services и так обрадовался, что написал по этому поводу в форум, в котором 2 месяца назад я задавал вопрос по AD-авторизации в Solaris.
http://forum.sun.com/jive/thread.jspa?threadID=102574&tstart=0
В ответ на директиву высказать мнение о целесообразности покупки VAS я написал директорату:
"По решению от Vintela - как единая система для AD-authz для всех хостов нашей компании, данная технология может быть наиболее адекватной для наших нужд.
Но конечно желательно его предварительно протестировать в нашем зоопарке разных ОС и платформ.
В данный момент ситуация с тестированием AD-авторизации на UNIX-подобных системах у нас такая:
1) Для настройки единой аутентификации в разных Unix ОС, которые есть у нас можно использовать встроенные Native либо OpenSource-средства типа OpenLdap, PADL и MIT Kerberos, но везде приходится сталкиваться с нюансами, которые характерны для той или иной ОС. И разворачивание данного решения на наших рабочих UNIX-хостах может потребовать немало времени.
2) Решение с аутентификацией и авторизацией данными средствами работает в настоящий момент на трех тестовых серверах на базе ОС:
- Solaris 10x (10.25.66.222);
- HP UX 11 v2 (10.25.38.2);
- CentOS 4.3 (10.25.66.251).
но везде встала проблема с разграничением доступа к данным серверам по принадлежности AD-пользователей к тем или иным группам AD - независимо от принадлежности к соответствующим группам в AD и pam-политики UNIX-сервера пользователь авторизуется. Причем использовались разные средства, как native так и openldap и средства от padl.com.
Например, проблема c CentOS 4.3 проиллюстрирована ниже: пользователь test, который не являясь членом группы AD-DBA, авторизуется на CentOS, хотя при входе выскакивает баннер о необходимости быть членом этой группы для успешного входа.
login as: test
test@10.25.66.251's password:
You must be a msSFU30MemberUid of CN=AD-DBA,OU=UNIX-Groups,OU=UNIX-OU,DC=testdomain,DC=ru to login.
Last login: Mon Sep 25 12:24:13 2006 from ws234.testdomain.ru
[test@centest ~]$ id
uid=10118(test) gid=10007(AD-Adms) groups=10007(AD-Adms)
[test@centest ~]$
В Solaris и HP-UX также присутствует данная проблема, просто без подобного баннера.
3) Рано или поздно появится необходимость монтирования при помощи smbclient-ов домашних директорий пользователей AD с файлового сервера.
А это опять свои нюансы на каждой ОС. Т.е. для задейстования автомонтирования при логоне посредством Samba-клиентов возможно тоже потребуется бубен.
4) Это субъективно, но во многих форумах по решению тех или иных проблем с AD-авторизацией на UNIX-машинах, я не единожды встречал реплики о том, что сменив танцы с бубном на решение от Vintela подобные проблемы исчезли.
Вышеперечисленные пункты можно отнести в пользу тестирования решения от Vintela.
Также немаловажно наличие поддержки от их российского представительства.
http://forum.sun.com/jive/thread.jspa?threadID=102574&tstart=0
В ответ на директиву высказать мнение о целесообразности покупки VAS я написал директорату:
"По решению от Vintela - как единая система для AD-authz для всех хостов нашей компании, данная технология может быть наиболее адекватной для наших нужд.
Но конечно желательно его предварительно протестировать в нашем зоопарке разных ОС и платформ.
В данный момент ситуация с тестированием AD-авторизации на UNIX-подобных системах у нас такая:
1) Для настройки единой аутентификации в разных Unix ОС, которые есть у нас можно использовать встроенные Native либо OpenSource-средства типа OpenLdap, PADL и MIT Kerberos, но везде приходится сталкиваться с нюансами, которые характерны для той или иной ОС. И разворачивание данного решения на наших рабочих UNIX-хостах может потребовать немало времени.
2) Решение с аутентификацией и авторизацией данными средствами работает в настоящий момент на трех тестовых серверах на базе ОС:
- Solaris 10x (10.25.66.222);
- HP UX 11 v2 (10.25.38.2);
- CentOS 4.3 (10.25.66.251).
но везде встала проблема с разграничением доступа к данным серверам по принадлежности AD-пользователей к тем или иным группам AD - независимо от принадлежности к соответствующим группам в AD и pam-политики UNIX-сервера пользователь авторизуется. Причем использовались разные средства, как native так и openldap и средства от padl.com.
Например, проблема c CentOS 4.3 проиллюстрирована ниже: пользователь test, который не являясь членом группы AD-DBA, авторизуется на CentOS, хотя при входе выскакивает баннер о необходимости быть членом этой группы для успешного входа.
login as: test
test@10.25.66.251's password:
You must be a msSFU30MemberUid of CN=AD-DBA,OU=UNIX-Groups,OU=UNIX-OU,DC=testdomain,DC=ru to login.
Last login: Mon Sep 25 12:24:13 2006 from ws234.testdomain.ru
[test@centest ~]$ id
uid=10118(test) gid=10007(AD-Adms) groups=10007(AD-Adms)
[test@centest ~]$
В Solaris и HP-UX также присутствует данная проблема, просто без подобного баннера.
3) Рано или поздно появится необходимость монтирования при помощи smbclient-ов домашних директорий пользователей AD с файлового сервера.
А это опять свои нюансы на каждой ОС. Т.е. для задейстования автомонтирования при логоне посредством Samba-клиентов возможно тоже потребуется бубен.
4) Это субъективно, но во многих форумах по решению тех или иных проблем с AD-авторизацией на UNIX-машинах, я не единожды встречал реплики о том, что сменив танцы с бубном на решение от Vintela подобные проблемы исчезли.
Вышеперечисленные пункты можно отнести в пользу тестирования решения от Vintela.
Также немаловажно наличие поддержки от их российского представительства.
Wednesday, August 09, 2006
LDAP-авторизация заработала
LDAP-авторизация заработала в тестовой среде на Solaris 10x86 в VMWare 1.0 и Win2K3R1. Помог Андреас, натолкнувший на то, что в AD нужно сделать OU-структуру как описано в MS статье, когда так сделал выпросив разрешения у начальства - действительно сработало. Ну а птом покатило и с вложенными OU-шками.
Subscribe to:
Posts (Atom)
