Вопросы Теги

Аутентификация Samba с использованием LDAP только для чтения

У нас есть доступный только для чтения сервер OpenLDAP , который используется для различных услуги аутентификации. В настоящее время я пытаюсь добавить (автономный) сервер samba в этот список, который будет использоваться только как место для хранения резервных копий. Нет необходимости ни в чем, кроме базовой аутентификации имени пользователя и пароля.

Невероятно длинный список руководств и практических рекомендаций предполагает наличие недавно сконфигурированного LDAP сервера с полным доступом. Хотя у меня есть учетные данные администратора для сервера, и он уже содержит всех пользователей и заполненную схему самбы, сервер LDAP является просто зеркалом только для чтения.

В настоящее время моя конфигурация ... 

# LDAP Settings
   passdb backend = ldapsam:ldap://192.168.100.11
   ldap suffix = dc=our-domain,dc=de
   ldap user suffix = ou=people
   ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
   ldap ssl = no
   ldap passwd sync = yes

] ... не работает с: 

smbd version 4.2.14-Debian started.
  Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065,  0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
  smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106,  0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
  pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116,  0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
  pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)

, что, конечно, неудивительно. Этот сервер не известен LDAP , и, поскольку он доступен только для чтения, новая запись не может быть создана. Я не понимаю, зачем вообще нужно добавлять какую-либо информацию о машине. Нужно ли каким-то образом настроить smb для работы с доступом только для чтения к LDAP ?

Если я явно установил имя netbios в моем smb.conf , который соответствует одной существующей записи на сервере LDAP , все работает нормально. Но это несколько похоже на взлом, и я бы предпочел не изменять имя netbios

. Это несколько похоже на this , которое, к сожалению, охватывает только возможность использования сервера только для чтения, а не его реализация.

1
задан 13 April 2017 в 15:14
1 ответ

samba НЕОБХОДИМО для чтения-записи на LDAP , чтобы добавлять / изменять машины, доверять учетные записи и несколько локальных пользователей, действительно необходимых для работы домена (администратор, никто и домен admins and-so-like-groups).

Обходной путь: установите OpenLDAP на PDC samba, создайте реплицированную ветку (скажем: ou = people ) от вашего мастера LDAP только для чтения; используйте оверлей glue , чтобы применить эту ветвь к дереву чтения-записи с ветвями ou = users (локальные пользователи), ou = groups , ou = компьютеры (говорит само за себя). 

ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
#  able to sort out if a user is a replicated user in 'ou=people'
#  or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people
0
ответ дан 4 December 2019 в 05:21

Теги

Похожие вопросы