Usando Samba4 com OpenLDAP no mesmo servidor para autenticar contas de clientes Windows

1

Já tenho o diretório OpenLDAP com alguns serviços fazendo a autenticação (OpenVPN, Jabber, Freeradius, redmine, etc ...). E o que eu ainda preciso fazer é tornar meu servidor um controlador de domínio para permitir que clientes Windows façam o login no Windows usando o mesmo nome de usuário e senha que os outros serviços no meu servidor.

Eu instalei o Samba4 e o configurei como DC, mas o problema era que o Samba4 tem seu servidor LDAP integrado e, portanto, eu não conseguia executar o serviço OpenLDAP (slapd) ao mesmo tempo com o Samba (porque eles usam a mesma porta).

Alguém poderia me ajudar a fazer isso funcionar? (SEM alterar a porta OpenLDAP e com NO pGina).

Então, no verão, o que eu quero fazer é: Fazer o controlador de domínio Samba4 e o OpenLDAP rodarem no mesmo servidor e fazer com que o Samba4 se autentique contra o OpenLDAP para permitir que usuários do Windows façam login no Windows usando o nome de usuário e senha do meu diretório OpenLDAP criado anteriormente.

Eu realmente aprecio qualquer ajuda, eu passei mais de uma semana procurando sem sucesso.

    
por Mohammed Noureldin 17.02.2016 / 19:12

1 resposta

3

Você não pode fazer isso. Primeiro, nenhum dos métodos de autenticação usados pelo Windows - nem o Kerberos moderno nem o NTLM mais antigo - pode ser usado com qualquer senha armazenada no OpenLDAP. Embora o Samba 3 pudesse ser o OpenLDAP como seu back-end, ele ainda exigia o armazenamento de hashes de senha compatíveis com NTLM separadamente do userPassword normal. Linux pam_ldap pode ficar feliz apenas enviando a senha bruta para o servidor para verificação; O Windows não faz isso.

Segundo, o Active Directory é mais do que apenas autenticação - mesmo um Kerberos KDC real não duplica todas as funções feitas pelo KDC integrado do Samba4 (principalmente, anexando PACs aos tickets do Kerberos, contendo o UID do usuário e outras coisas tiradas do LDAP) , mas isso é apenas o começo. O Windows também espera que o AD DC também tenha entradas LDAP de acordo com o esquema LDAP do Active Directory e suporte a vários serviços MS-RPC - para unir o próprio computador ao domínio, obter informações sobre a conta e assim por diante.

    
por 17.02.2016 / 20:30