У нас есть доступный только для чтения сервер OpenLDAP
, который используется для различных услуги аутентификации. В настоящее время я пытаюсь добавить (автономный) сервер samba
в этот список, который будет использоваться только как место для хранения резервных копий. Нет необходимости ни в чем, кроме базовой аутентификации имени пользователя и пароля.
Невероятно длинный список руководств и практических рекомендаций предполагает наличие недавно сконфигурированного LDAP
сервера с полным доступом. Хотя у меня есть учетные данные администратора для сервера, и он уже содержит всех пользователей и заполненную схему самбы, сервер LDAP
является просто зеркалом только для чтения.
В настоящее время моя конфигурация ...
# LDAP Settings
passdb backend = ldapsam:ldap://192.168.100.11
ldap suffix = dc=our-domain,dc=de
ldap user suffix = ou=people
ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
ldap ssl = no
ldap passwd sync = yes
] ... не работает с:
smbd version 4.2.14-Debian started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106, 0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
, что, конечно, неудивительно. Этот сервер не известен LDAP
, и, поскольку он доступен только для чтения, новая запись не может быть создана. Я не понимаю, зачем вообще нужно добавлять какую-либо информацию о машине. Нужно ли каким-то образом настроить smb для работы с доступом только для чтения к LDAP
?
Если я явно установил имя netbios
в моем smb.conf
, который соответствует одной существующей записи на сервере LDAP
, все работает нормально. Но это несколько похоже на взлом, и я бы предпочел не изменять имя netbios
. Это несколько похоже на this , которое, к сожалению, охватывает только возможность использования сервера только для чтения, а не его реализация.
samba
НЕОБХОДИМО для чтения-записи на LDAP
, чтобы добавлять / изменять машины, доверять учетные записи и несколько локальных пользователей, действительно необходимых для работы домена (администратор, никто и домен admins and-so-like-groups).
Обходной путь: установите OpenLDAP на PDC samba, создайте реплицированную ветку (скажем: ou = people
) от вашего мастера LDAP
только для чтения; используйте оверлей glue
, чтобы применить эту ветвь к дереву чтения-записи с ветвями ou = users
(локальные пользователи), ou = groups
, ou = компьютеры
(говорит само за себя).
ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
# able to sort out if a user is a replicated user in 'ou=people'
# or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people