Назад | Перейти на главную страницу

Поддержка пользователей в каталоге openldap с помощью атрибутов, специфичных для самбы

Наступает 2016 год. Мы по-прежнему используем openldap.

У меня есть сервер openldap от ubuntu 12.04 с существующими пользователями. Он обеспечивает уровень аутентификации в дополнение к информации об учетных записях пользователей, групп и компьютеров на хостах ubuntu через sssd.

У меня есть файловый сервер samba на ubuntu, который аутентифицирует пользователей через pam и стандартные системные учетные записи. я использую pam_smbpass.so Модуль pam для синхронизации имен пользователей / паролей в tdb samba db на файловом сервере. Это не лучший обходной путь, потому что сначала пользователи должны пройти аутентификацию на ftp-сервисе. Тогда они смогут получить доступ к акциям самбы.

Я решил перенести сервер ldap с 12.04 на 14.04 и нашел новый пакет slapd-smbk5pwd в 14.04. Он будет содержать smbk5pwd модуль openldap. Этот модуль может обновлять пароли для атрибутов, специфичных для самбы, например sambaNTPassword.

Успешно осуществил миграцию каталога ldap на новую версию ubuntu на тестовом контейнере со схемой самбы для тестового модуля smbk5pwd. Но столкнулся с отсутствием специфических атрибутов самбы.

Я должен написать скрипт для обновления существующих пользователей с соответствующими атрибутами самбы, например sambaSamAccountи т. д. Это хорошо задокументировано на ibm kb. Для меня это не проблема.

Но в этом случае мой и без того сложный алгоритм (я использую phpldapadmin для добавления новых пользователей) усложняется. Необходимо будет вручную добавить дополнительные атрибуты новому пользователю. Каждый раз я должен генерировать новый sambaSID и обновлять пользователя в каталоге с помощью шаблонного файла ldif.

Там есть smbldap-tools пакет и smbldap-useradd утилита. Но я ими никогда не пользовался. Может мне стоит создавать пользователей через smbldap-useradd только ? Достаточно будет для ubuntu машин auth и samba server?

С какими проблемами я могу столкнуться в такой схеме?

Есть ли более простые способы поддержки пользователей в моем случае?

А как насчет перехода на freeipa или samba4?

Samba4 должен быть расширен многими стандартными схемами unix. Возможно ли это в реальном мире?

Чаще всего наши рабочие столы - это системы ubuntu и macosx. Нам также нужны sudoers и схема ppolicy для блокировки учетных записей и защиты от грубой силы.

Я работаю в Univention, и если вы не хотите изобретать велосипед, я предлагаю вам взглянуть на Univention Corporate Server (UCS), который является бесплатной операционной системой корпоративного уровня на основе Debian. Он должен быть в состоянии удовлетворить ваши потребности, поскольку он также хорошо работает в качестве управления доменом / идентификацией для гетерогенных сред. Он имеет упомянутые вами функции:

  • OpenLDAP, где вы можете подключить всех клиентов * nix к
  • Samba (4) каталог AD, в котором вы можете подключить все клиенты Windows к
  • служба под названием "univention-s4-connector", которая немедленно синхронизирует всю соответствующую информацию и атрибуты между обеими службами каталогов
  • приятный веб-интерфейс администрирования, который намного красивее, чем phpldapadmin;)

Все это поддерживается Univention, поэтому, если вам нужна профессиональная поддержка, есть кому позвонить. Если вы хотите использовать бесплатную полнофункциональную версию Core Edition, вы также можете задать вопросы на форуме Univention. Больше информации о UCS на Сайт Univention.

Надеюсь, я смог вам помочь!

С уважением, Марен

Кстати, на всякий случай: будет простой способ настроить sudoers с одним из следующих обновлений опечаток. Политики паролей реализуются через политики Univention, см. Руководство по UCS

Просто делюсь своим опытом.

Данные моей организации находятся на OpenLDAP. OpenLDAP останется.

Мы планировали соединить OpenLDAP с samba4 с поддержкой AD. Это еще одна служба каталогов: она (пока) не может быть основана на OpenLDAP (возможно, выпуск 4.4, но сейчас никто не уверен).

Но есть удобный инструмент для переноса данных из OpenLDAP в AD (samba4 совместима): lsc

Конечно, вам понадобится какой-то особый волшебный механизм, чтобы синхронизировать пароль: но я думаю, вы сможете его придумать.

Просто реальный вариант использования,