Autenticação em múltiplos domínios

Iniciado por arturlb, 09 de Outubro de 2012, 16:55

tópico anterior - próximo tópico

arturlb

Em nossa infraestrutura surgiu a necessidade de usuários quaisquer de dois domínios distintos realizarem autenticação tanto em console (tty via ssh) como em ambiente gráfico do Gnome através de uma estação de trabalho Linux.

Descrição do ambiente:
Nível funcional do domínio e da floresta: Windows Server 2000 = Domíno D1.COM
Nível funcional do domínio e da floresta: Windows Server 2003 = Domíno D2.COM

Já tentei de várias formas, mas só consigo deixar a autenticação de um domínio por vez.

Consigo visualizar os usuários e grupos dos dois domínios utilizando o winbind (wbinfo -u; wbinfo -g; wbinfo -i "D1\usuario"; id "D1\usuario"), porém só consigo "logar" com usuários de um domínio. Consigo gerar tikets kerberos com o kinit para os dois domínios (kinit usuariod1@D1.COM; kinit usuariod2@D2.COM), porém não consigo logar no domíniio que não está configurado como o domínio principal no samba.

Arquivos configurados:
/etc/krb5.conf
/etc/samba/smb.conf
/etc/pam.d/*
/etc/nsswitch.conf

Inclusive gerei keytabs mapeando um usuário do D1 ao host que estava realizando os testes, da mesma forma para o D2, para o mesmo host.

Acredito que o problema maior seja o mapeamento que o winbind+samba fazem ao tentar transformar o SID de usuários quaisquer dos dois domínios para uid, da mesma forma os grupos gid.

As orientações deste artigo funcionam perfeitamente, porém não tem nada dizendo para mais de um domínio. https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Kerberos

Os maiores vilões desta configuração são o /etc/samba/smb.conf e os /etc/pam.d/*

Alguém tem alguma documentação que faça referência a autenticação de contas de usuários em mais de um domínio?
Tenho isto funcionando perfeitamente para aplicação no apache (Apache+Kerberos utiliando keytab), porém não consigo fazer com que funcione para autenticação em console. Alguém pode me orientar?

Att,
Artur