Поддержка пользователей в каталоге openldap с атрибутами, специфичными для самбы
Наступает 2016 год. Мы все еще используем openldap.
У меня есть сервер openldap от ubuntu 12.04 с существующими пользователями. Он обеспечивает уровень аутентификации в дополнение к информации об учетных записях пользователей, групп и компьютеров на хостах ubuntu через sssd.
У меня есть файловый сервер samba на ubuntu, который аутентифицирует пользователей через pam и стандартные системные учетные записи. Я использую модуль pam pam_smbpass.so для синхронизации имен пользователей / паролей в tdb samba db на файловом сервере. Это не лучший обходной путь, потому что сначала пользователи должны пройти аутентификацию на ftp-сервисе. Тогда они смогут получить доступ к общим ресурсам samba.
Я решил перенести сервер ldap с 12.04 на 14.04 и обнаружил новый пакет slapd-smbk5pwd в 14.04. Он будет содержать модуль openldap smbk5pwd . Этот модуль может обновлять пароли для атрибутов, специфичных для самбы, например sambaNTPassword .
Я успешно выполнил миграцию каталога ldap на новую версию ubuntu на тестовом контейнере со схемой samba для тестового модуля smbk5pwd. Но столкнулся с отсутствием специфических атрибутов самбы.
Я должен написать сценарий для обновления существующих пользователей с соответствующими атрибутами samba, такими как sambaSamAccount и т. Д. Он хорошо документирован в ibm kb . Для меня это не проблема.
Но в этом случае мой и без того сложный алгоритм (я использую phpldapadmin для добавления новых пользователей) становится более сложным. Необходимо будет вручную добавить дополнительные атрибуты новому пользователю. Каждый раз я должен сгенерировать новый sambaSID и обновить пользователя в каталоге с помощью шаблонного файла ldif.
Имеется пакет smbldap-tools и утилита smbldap-useradd . Но я ими никогда не пользовался. Может мне стоит создавать пользователей только через smbldap-useradd ? Этого хватит для auth машин ubuntu и сервера samba?
С какими проблемами я могу столкнуться в такой схеме?
Есть ли более простые способы поддержки пользователей в моем случае?
А как насчет перехода на freeipa или samba4 ?
Samba4 должен быть расширен многими стандартными схемами unix. Возможно ли это в реальном мире?
Большинство наших рабочих столов - это системы ubuntu и macosx. Нам также нужны sudoers и схема ppolicy для блокировки учетных записей и защиты от грубой силы.
Тек өз тәжірибеммен бөлісу.
Менің ұйымымның деректері OpenLDAP-та. OpenLDAP қалады.
Біз ADLD қолдауымен OpenLDAP-ты samba4-пен жұптастыруды жоспарладық. Бұл басқа каталог қызметі: оны OpenLDAP-қа негіздеу мүмкін емес (мүмкін 4.4 шығарылымы,Бірақ қазір ешкім білмейді).
Бірақ деректерді OpenLDAP-тан AD-ға көшіруге арналған ыңғайлы құрал бар (samba4 сәйкес келеді): lsc
Әрине, парольді синхрондау үшін сізге арнайы сиқырлы мех қажет. бірақ менің ойымша, сіз оны ойлап таба аласыз.
Тек нақты жағдай,
Я работаю в Univention, и если вы не хотите заново изобретать колесо, я предлагаю вам взглянуть на Univention Corporate Server (UCS), который является свободной операционной системой на базе Debian корпоративного уровня. Он должен удовлетворять вашим потребностям, так как работает также хорошо, как и управление доменами/идентификациями для гетерогенных сред. Он поставляется с упомянутыми вами функциями:
- OpenLDAP, где вы можете подключить всех *nix клиентов к
- Samba (4) AD директории, где вы можете подключить всех Windows клиентов к
- сервису под названием "univention-s4-connector", который немедленно синхронизирует всю необходимую информацию и атрибуты между обеими службами директорий
- хороший веб-интерфейс администрирования, который намного красивее, чем phpldapadmin ;)
Все это поддерживается Univention, так что если вам нужна профессиональная поддержка, вам нужно будет кому-нибудь позвонить. Если вы хотите использовать бесплатную "Core Edition", которая является полнофункциональной, вы также можете связаться с Univention форумом для вопросов. Больше информации об UCS на сайте Univention's website.
Надеюсь, я смог вам помочь!
С наилучшими пожеланиями, Марен
, кстати, на всякий случай: Будет простой способ настроить рулевое управление с одним из следующих обновлений ошибок. Политики паролей реализованы через политики Univention, смотрите UCS manual