Назад | Перейти на главную страницу

Samba: LDAP только для чтения + дополнительные локальные пользователи

У моего сервера есть доступ к LDAP только для чтения, где будет находиться информация о 99% учетных записей пользователей. На своем сервере я хочу настроить Samba для использования LDAP для аутентификации.

Время от времени будут появляться дополнительные пользователи, у которых нет учетной записи в LDAP. Как мне управлять их данными аутентификации и информировать об этом Samba?

Из документации Samba:

В ранних версиях Samba-3 реализована новая возможность одновременной работы с несколькими бэкэндами учетных записей. Эта возможность была удалена, начиная с выпуска Samba 3.0.23. Начиная с Samba 3.0.23, можно работать только с одним указанным сервером passwd.

Кажется, Samba может поддерживать один только серверная часть аутентификации. Есть ли обходной путь?

Обсуждаемая здесь серверная часть паролей относится к локальному хранилищу паролей пользователей Samba. Для пользователей, которые настроены как локальные пользователи Samba, их пароли могут храниться в различных формах (tdbsam, ldapsam, smbpasswd и т. Д.).

Бэкэнд LDAPSam используется, если / когда у вас есть запущенный локальный сервер каталогов и вы хотите сохранить для него пароли пользователей Samba, в отличие от TDB или плоского файла. Поскольку вы упомянули «у вас есть доступ к LDAP только для чтения», я предполагаю, что эта служба LDAP не работает локально, а вместо этого вы хотите аутентифицировать пользователей по LDAP, где информация учетной записи пользователя уже хранится? Между двумя есть тонкая разница. Один из них - «Какой сервер мне следует использовать для хранения информации о локальной учетной записи», а другой - «Куда мне идти для аутентификации пользователей?»

Если это так, то, как мне кажется, вы ищете модели аутентификации, которые использует Samba, в первую очередь, модели User, Domain и ADS (Google "Режимы безопасности Samba"). Вероятно, вас больше всего заинтересуют модели домена / ADS, которые позволяют подключаться к службам ActiveDirecory или LDAP для аутентификации учетных записей пользователей для доступа к общим ресурсам Samba.

Для пользователей, которые не находятся в службе LDAP, вашим вариантом могут быть простые локальные учетные записи пользователей Samba, которые затем будут сохранены - возвращаясь к предыдущему упоминанию серверных частей - в любой выбранной вами серверной части :)

Если вы будете много использовать Samba, я мог бы порекомендовать пойти и взять что-нибудь вроде руководства O'Reilly. Наиболее часто используемая документация по Samba - это «SAMBA-3-HOWTO». Хотя это отличный справочник, очень легко найти устаревшую информацию, что может привести к гораздо более длительным периодам устранения неполадок.

Вы можете реплицировать доступный только для чтения LDAP-сервер и добавлять пользователей на этот локальный LDAP-сервер.