Аутентификация Samba против OpenLDAP
Я пытаюсь настроить общие файловые ресурсы Samba в системе Ubuntu 19.04, используя существующий LDAP-сервер в качестве бэкэнда аутентификации.
У меня есть: A полностью работоспособный сервер OpenLDAP, содержащий всю информацию о пользователях и группах
Что я хочу: совместное использование файлов Samba, использующее эти данные для аутентификации пользователей и предоставления групповых разрешений для (общих) общих файловых ресурсов.
Если я правильно понял (например, на основе этот ответ ), Samba не может выполнять привязку аутентификации, как это предлагает большинство приложений в качестве опции. Поэтому мне понадобится PAM, чтобы использовать мой LDAP-сервер в качестве бэкэнда, а затем использовать PAM для аутентификации Samba.
Я пытался следовать Учебному пособию Ubuntu , но не смог настроить профиль LDAP для NSS поскольку команда auth-client-config не может быть найдена; хотя я установил пакет ldap-auth-config .
Почему нет способа заставить Samba выполнить привязку аутентификации, просто пытаясь войти в систему, как и любой другой сервис? Я хоть отдаленно на правильном пути?
И если Samba использует NTLM-Hash, хранящийся в sambaNTPassword -Attribute, разве это не снизит мою безопасность по сравнению с соленым SHA2-Hash, который я использую в атрибуте userPassword ?
Изменить: Мне нужно, чтобы Samba действовала как файловый сервер, а не как активный каталог.
Мои пользователи должны иметь возможность входить на общий файловый / сетевой диск только с учетными данными, которые в настоящее время хранятся в каталоге LDAP ( uid и userPassword ), если это возможно.
на этот вопрос ответили несколько раз. Samba 4 в режиме AD не может использовать LDAP как бэкэнд:
https://wiki.samba.org/index.php/Samba4/LDAP_Backend
есть некоторые части службы Windows, которые нельзя эмулировать с помощью стандартный LDAP, поэтому разработчики samba реализовали свое собственное решение LDAP.
вы можете, однако, настроить его как PDC, но это устаревший вариант, и его сложно поддерживать и администрировать с текущими клиентами Windows:
https: //wiki.samba. org / index.php / Required_Settings_for_Samba_NT4_Domains
есть также другие проекты, такие как UCS, которые пытаются синхронизировать оба LDAP:
но они требуют использования всего решения, я бы хотел, чтобы они сделали коннектор, который можно было бы настроить с любым сервером.
так что вы должны решить, что решение лучше всего подходит для вашей среды.
На случай, если другие люди найдут эти ответы в Google. Есть важная оговорка. Вы не можете настроить общий ресурс Samba и использовать существующий OpenLDAP. Это абсолютно невозможно сделать, и любой, кто говорит вам обратное, дезинформирует вас. Вы должны либо использовать независимый LDAP Samba, что означает, что теперь вам нужно поддерживать две совершенно разные базы данных пользователей. Или вы должны использовать Samba в устаревшем формате и по-прежнему должны добавлять пароли и идентификаторы Samba для всех ваших пользователей OpenLDAP. Или вы должны аутентифицировать его в среде Windows AD. Все это крайне бесполезно и является искусственно установленными требованиями программистами Samba. Доказательством пудинга является то, что устройства Netapp имеют общие ресурсы Windows, которые могут полностью аутентифицироваться по вашему обычному UID, UIDNumber и паролю LDAP. Установка Samba вообще не требуется. Но ребята из Samba сделали то, что сделали, и теперь людям приходится с этим жить.