<div dir="ltr">I played with pGina before, it was great, but the only limitation I faced was that Windows does not "see" other users and groups. Logged in users are created to be "local" users, which means one can't created shared folders, and apply permissions and such. Is this resolved by using open-afs (I've never touched that) ? If so, that would really rock! I'd even prefer that to a samba4 solution!<br>
<br><div class="gmail_quote">On Tue, Aug 12, 2008 at 1:40 PM, Christian Horn <span dir="ltr"><<a href="mailto:chorn@fluxcoil.net">chorn@fluxcoil.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Tue, Aug 12, 2008 at 11:43:14AM +0200, Angel Marin wrote:<br>
> (sorry for the off-topic, but it might be of interest for people<br>
> planning on moving to freeipa)<br>
<br>
</div>Seeing what you implemented i guess it fits to @freeipa :)<br>
<div class="Ih2E3d"><br>
<br>
> We do auth through a home made pGina plugin that does kerberos auth and<br>
> ensures openafs (roaming profiles and user dirs are in the afs cell) is<br>
> ready; looking up user info in ldap, ensuring clock is in sync and<br>
> enabling password change are in the works. Finally kfw and openafs<br>
> integrated logon plugin takes care of actual tickets for user session so<br>
> there's SSO*.<br>
><br>
> We've had to patch pGina too as stock one was crashing on us. Once we've<br>
> been able to polish all the quirks (currently sometimes users are<br>
> randomly denied access to afs cell on first login) we'll release code<br>
> and docs somewhere :)<br>
<br>
</div>Great.<br>
<div class="Ih2E3d"><br>
<br>
> * Biggest issue with SSO is that it'll only work with apps capable of<br>
> talking to kfw (firefox, thunderbird, openafs-client, ...), but that's<br>
> not a problem around here. In theory with Vista clients kfw is capable<br>
> of writing to system ccache (enabling SSO on IE and the like) but we<br>
> haven't tried it here.<br>
<br>
</div>I did look into running an AD-domain and having it crosstrusting the<br>
kerberosrealm, corporations do not lose the microsoft-support that way<br>
(what if $stuff happens!) and authentication also from IE works, see<br>
<a href="http://fluxcoil.net/files/sso_crossrealm_kerberos.htm" target="_blank">http://fluxcoil.net/files/sso_crossrealm_kerberos.htm</a> .<br>
Having no AD server around like in your solution ofcourse feels<br>
much more convienient.<br>
Samba4 should be able to play that role in future.<br>
<font color="#888888"><br>
<br>
Christian<br>
</font><div><div></div><div class="Wj3C7c"><br>
_______________________________________________<br>
Freeipa-devel mailing list<br>
<a href="mailto:Freeipa-devel@redhat.com">Freeipa-devel@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-devel" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-devel</a><br>
</div></div></blockquote></div><br></div>