andreymxЖуравлев Дениспропущено...
цель: повышение удобства пользователя/повышение секурности системы?
основная цель:
- идентификация пользователя внутри системы без дополнительного ввода имени-пароля
- не хранить по пользователю несколько паролей (один в АД, другой внутри системы)
тогда скорее всего солярис (я подозреваю что там openssh собран без gssapi) придется заменить на линукс (для формсов), настроить krb, настроить ssh+kerberos (выкинуть telnet), закинуть всех пользователей в один домен, имена пользователей только латиница, putty, пользователей в формсах в оракле переделать на внешнюю идентификацию, ну короче работы на полгода.

andreymxПока меня вот этот вопрос интересует: "закинуть всех пользователей в один домен". Почему?

Попал я однажды в такую ситуацию
r корневой домен, u домены с пользователями, f домен с сервисом. Контроллеров доменов дохрена в каждом домене, керберос серверов соответственно тоже, причем бардак, в домене u2 предположим у контроллера домена два айпи, и один из адресов не доступен для внутренней сети, но в dns u2.r светится. И сетевики говорят: да, зарезаны порты, но доменов 48, поэтому хер знает как. В итоге у пользователей u1 все работает прекрасно, у u2 не работает вообще, у u3 работает через раз, у u4 не работает у 3 пользователей из 100.
Т.е. надо чтобы все айпишники всех контроллеров доменов видели не только корневой домен, но и друг-друга (как минимум f), и порты для кербероса были доступны.
Трафик будет бегать между всеми керберос серверами

хотя нет вру, наверно, так:


но компы пользователей будут лазать во контроллеры доменов r u f

bga83Журавлев Денистогда скорее всего солярис (я подозреваю что там openssh собран без gssapi) придется заменить на линукстак ведь ничто не мешает пересобрать openssh с поддержкой нужных опций, и для удобства последующего разворачивания по серверам упаковать все это в установочный pkg-файл.все возможно, я например видел как в аиксе pam завели, только все имена пользователей пришлось в 8 латинских символов упихать, вопрос времени и моральных сил.