Каковы минимальные разрешения для атрибутов sambaLMPassword/sambaNTPassword для учетной записи администратора LDAP, чтобы Samba могла использовать ее для аутентификации для ldapsam бэкэнд.
Похоже auth недостаточно, правда ли это ?!
В cn=config форма Я использовал что-то вроде:
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous
auth by dn="cn=admin,dc=example,dc=org" write by * none
olcAccess: {1}to attrs=sambaLMPassword,sambaNTPassword by dn.base="cn=admin,d
c=example,dc=org" write by dn.base="cn=sambaservers,dc=example,dc=org"
write by anonymous auth by self write by * none
olcAccess: {2}to dn.subtree="ou=Computers,dc=example,dc=org" by dn.base="
cn=sambaservers,dc=example,dc=org" manage by * read
olcAccess: {3}to dn.subtree="ou=Group,dc=example,dc=org" by dn.base="cn=s
ambaservers,dc=example,dc=org" manage by * read
olcAccess: {4}to dn.exact="sambaDomainName=DOMAINNAME,dc=example,dc=org" by
dn.base="cn=sambaservers,dc=example,dc=org" write by * read
olcAccess: {5}to dn.base="" by * read
В ou=Computers и ou=Group записи не являются обязательными и имеют значение только для smbldap-tools. Доступ для записи паролей с помощью samba также является необязательным. На самом деле вы можете обойтись без права записи для samba sambaDomainName=DOMAINNAME,dc=example,dc=org если хочешь.
Samba читает хэши, но не выполняет аутентификацию по ним.