In einer Gesamtstruktur mit gemischter Umgebund sind W2K und NT4 Domänen mit Vertrauensstellungen vertreten.

Nun möchte ich mit einem Linux Server per Kerberos User authentifizieren.
Nun die Preisfrage: Kann ich damit NT4 User aus dieser Gesamtstruktur überhaupt authentifizieren? Die können ja kein Kerberos. Oder gibts da ne Möglichkeit?
Mit NT4 kenn ich mich nicht besonders aus.

Soviel ich weiss kennt NT4 kein Kerberos, zur Authentifizierung wird SMB verwendet welches auch Linux kennen müsste.

Grs Jürg

Windows NT 4.0 verwendet NTLM / LM für die Authentifizierung.

Server Message Block ist ein Kommunikationsprotokoll für Datei- und Druckdienste.

Genau. Der Zugriff auf Freigaben geht über SMB.
Linux kann freilich mit SAMBA diese Funktionalität auch bieten (Freigaben auf die Windows Rechner per smb zugreifen können), mit der eigentlichen Authentifizierung hats aber nicht viel zu tun.

Naja, vielleicht kann ich mit Freeradius zweigleisig fahren - Kerberosauthentifizierung für die W2K User, und NTLM für die NT4 User.
Muss ich mich einlesen. Weiss nicht ob das geht.

Wenn Du mit nicht Windows Systemen auf Freigaben zugreifen willst, musst du in der Sicherheitsrichtlinie für die Systeme welche die Ressourcen anbieten, dass Digital Signieren von SMB deaktivieren, sonst kommt keine Kommunikation zu stande.

Nö, ich will eigentlich nicht auf Freigaben zugreifen. Ich will RAS User, die per Radius Protokoll authentfiziert werden, mit Ihrem NT4 Domänen-Username / Passwort bzw. ´mit Ihrem Win2k Domänen-Username Passwort authentifizieren.

D.h. die Einwahl Hardware (Cisco) fragt die Userdaten per Radius Protokoll ab. Die Anfrage wird an einen Linux Radiusserver gesendet, der momentan die Userdaten beherbergt. Da wir aber eh AD und Domänen haben, bietet es sich an, dass dieser Linux Server die Userdaten nicht lokal hält, sondern einfach per Kerberos oder was auch immer die Domänencontroller bzw. PDCs frägt.
Mit Kerberos und AD ist das auch kein Problem. Nur wie ich User, die bei einem NT4 PDC registriert sind authtifizieren soll ist mir schleierhaft - weil NT4 eben kein Kerberos kann.

Hmmm. ich bin immernoch am spekulieren wie bzw. ob das hinzukriegen ist.

Wie ist das, wenn ich Benutzer, die in einer NT Domäne registriert sind, in eine Domänen Lokale Gruppe auf einem W2000 Domaincontroller hinzufüge, wobei zw. NT und W2000 Domäne Vertrauensstellungen bestehen? Hm - warscheinlich bin ich auf dem Holzweg. Der NT4 PDC muss ja doch kontaktiert werden, und kann nunmal kein Kerberos.
Hat einer der Profis (zb. CAL77) noch eine Idee?

Windows 2003 oder Windows 2000 gehen automatisch herunter mit dem Authentifizierungprotokoll wenn ein Client oder Server kommt welcher nicht Kerberos kann. d.h W2k oder W2k3 verwendet dann auch NTML / LM als Protokoll.

Was vielleicht ne Idee ist, du machst aus der NT4.0 Domäne eine Ressourcedomäne und verschiebst die User in die AD und gibts dann über die AD Domäne die Rechte neu auf die Ressourcendomäne so sind alle User via Kerberos in der AD ansprechbar.

kannst natürlich einen Server mit Windows NT 4.0 aufsetzen den als BDC in die Domäne nehmen, die domäne replizieren und syc. dannach zu PDC hochstufen und ein InPlace Update machen auf Windows 2000 dann hast in dieser Domäne auch Kerberos verfügbar.

Oder Du installierst einen MS Radius Server in dieser Domaine und machst ein Relay.