
<p>sry for repost didnt hit reply to all</p><p></p><p>my question though is what is the best way in the linux world to get windows machines to join a linux domain which is being hosted by bind<br></p><br><div class="gmail_quote">

On Fri, Oct 24, 2008 at 3:01 PM, Dave Love <span dir="ltr"><<a href="mailto:d.love@liverpool.ac.uk">d.love@liverpool.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Prentice Bisbal <<a href="mailto:prentice@ias.edu">prentice@ias.edu</a>> writes:<br>

<br>

> The trust is that if you already have and AD installation and the AD<br>

> controllers have Microsoft Services for Unix (MSSFU, or just SFU) 3.5 or<br>

> later, you have everything you need to use your AD servers as Kerberos<br>

> and LDAP masters for your Linux clients.<br>

<br>

You only need that stuff for the NSS databases (passwd, group), not for<br>

Kerberos.  [I never managed to get the add-on SFE stuff to install --<br>

even after recovering from the server being 0wned whilst it was getting<br>

security-patched -- but I guess that's not a general problem.]<br>

<br>

> If you want to go the other way around, have Linux serve as the AD<br>

> controllers, you'll need to use Samba, and I haven't had much success<br>

> with it.<br>

<br>

Samba as an actual AD controller is a Samba 4 thing, which isn't ready<br>

yet, as far as I know -- has that changed recently?  The canonical way<br>

to DTRT is to have a master Kerberos server in the POSIX world, which AD<br>

trusts, and populate the POSIX and AD worlds' LDAP separately from one<br>

or more accounts databases.  Basically you want to keep AD in its own<br>

world, and in a network subdomain with a sensible DNS arrangement, since<br>

AD wants to control DNS.<br>

<div><div class="Wj3C7c">_______________________________________________<br>

Beowulf mailing list, <a href="mailto:Beowulf@beowulf.org">Beowulf@beowulf.org</a><br>

To change your subscription (digest mode or unsubscribe) visit <a href="http://www.beowulf.org/mailman/listinfo/beowulf" target="_blank">http://www.beowulf.org/mailman/listinfo/beowulf</a><br>

</div></div></blockquote></div><br><br clear="all"><br>-- <br>Jonathan Aquilina<br>