Вопрос: Samba: только для чтения LDAP + дополнительные локальные пользователи


Мой сервер имеет доступ к LDAP, доступному только для чтения, где будет храниться информация о 99% учетных записей пользователей. На моем сервере я хочу настроить Samba для использования LDAP для аутентификации.

Время от времени появятся дополнительные пользователи, у которых нет учетной записи в LDAP. Как я могу управлять своими данными аутентификации и информировать Samba об этом?

Из документации Samba:

Ранние выпуски Samba-3 внедрили новую возможность работать одновременно с несколькими    счета. Эта возможность была удалена, начиная с выпуска Samba 3.0.23.   Начиная с Samba 3.0.23, можно работать только с одним указанным контентом passwd.

Так кажется, Samba может поддержать один только для аутентификации. Есть ли обходной путь?


5
2017-07-22 23:29


Источник




Ответы:


Рассматриваемая здесь задняя часть пароля относится к локальному хранилищу паролей пользователей Samba. Для пользователей, которые настроены как локальные пользователи Samba, их пароли могут храниться в различных моделях (tdbsam, ldapsam, smbpasswd и т. Д.).

Бэкэнд LDAPSam используется, если / когда у вас работает сервер локального каталога и вы хотите хранить его пароли пользователя Samba, в отличие от TDB или плоского файла. Поскольку вы упомянули, что «у вас есть доступ к только для чтения LDAP», я полагаю, что эта служба LDAP не выполняется локально, и вместо этого вы хотите аутентифицировать пользователей в отношении LDAP, где уже хранятся данные учетной записи пользователя? Между двумя есть тонкая разница. Один из них: «Какой конец я должен использовать для хранения информации о локальной учетной записи», а другой - «где я должен идти, чтобы аутентифицировать пользователей?»

Если это так, то, что, по вашему мнению, вы ищете, - это модели аутентификации. Samba использует, прежде всего, модели User, Domain и ADS («Режимы безопасности Samba»). Вероятно, вас больше всего интересуют модели Domain / ADS, которые позволят вам подключиться к службам ActiveDirecory или LDAP для аутентификации учетных записей пользователей для доступа к общим ресурсам Samba.

Для пользователей, которые не находятся в службе LDAP, ваш вариант может быть простыми локальными учетными записями Samba, которые затем будут сохранены - возвращаясь к предыдущему упоминанию о конце концов - в том, что вы выбрали сзади :)

Если вы будете использовать Samba много, я бы рекомендовал выйти и схватить что-то вроде руководства O'Reilly. Наиболее часто упоминаемая документация Samba есть «SAMBA-3-HOWTO». Хотя это отличная рекомендация, очень легко найти себя с датой информации, которая может привести к значительно более длительным периодам устранения неполадок.


2
2017-07-23 01:33



1. Да, вы поняли это правильно: у меня есть доступ только для чтения к удаленному LDAP-серверу; 2. Вы можете использовать удаленный LDAP для аутентификации с моделью безопасности user тоже (passdb backend = ldapsam: ldap: // <your-hostname>). Так что теперь я еще более смущен. - Roman B.
Это может быть немного запутанным. В основном, в режиме пользователя вы говорите: «Я обработаю отслеживание пользователей и их паролей». Вы можете сделать это, сохраняя информацию на LDAP-сервере локально или удаленно. В качестве альтернативы, если есть каталог LDAP, уже управляемый кем-то другим, вы можете просто сказать: «Мои пользователи будут в основном поступать из этого каталога, поэтому аутентифицируются против этого» (режим «Домен»). Я бы рекомендовал взять хороший кусок времени, чтобы изучить различия между аутентификацией пользователя и домена. Я думаю, что понимание этих различий действительно поможет прояснить ситуацию - Univ426


Вы можете реплицировать LDAP-сервер только для чтения и добавлять пользователей на этот локальный сервер LDAP.


0
2017-07-23 00:52