Autenticação do Samba usando LDAP somente leitura

1

Temos um servidor OpenLDAP de somente leitura que é usado para uma variedade de serviços de autenticação. No momento, estou tentando adicionar um servidor samba (autônomo) a essa lista, que deve ser usada apenas como um espaço de armazenamento para backups. Não há necessidade de nada além da autenticação básica de nome de usuário / senha.

A incrível lista longa de tutoriais e todos os howts assumem um servidor LDAP recém-configurado com acesso total. Embora eu tenha as credenciais de administrador para o servidor e já contenha todos os usuários e o esquema de samba preenchido, o LDAP server é meramente um espelho somente leitura.

Atualmente minha configuração ...

# LDAP Settings
   passdb backend = ldapsam:ldap://192.168.100.11
   ldap suffix = dc=our-domain,dc=de
   ldap user suffix = ou=people
   ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
   ldap ssl = no
   ldap passwd sync = yes

... falha com:

smbd version 4.2.14-Debian started.
  Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065,  0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
  smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106,  0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
  pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116,  0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
  pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)

que obviamente não é surpreendente. Esse servidor não é conhecido pelo LDAP e, como é somente leitura, não é possível criar uma nova entrada. Eu não consigo entender por que é necessário adicionar qualquer informação sobre a máquina em primeiro lugar. Existe uma certa forma smb precisa ser configurado para lidar com o acesso somente leitura para LDAP ?

Se eu definir explicitamente um netbios name no meu smb.conf que corresponde à entrada existente no servidor LDAP , tudo funciona bem. Mas isso parece um hack e eu preferiria não alterar o netbios name

Isso é um pouco semelhante a este que infelizmente cobre apenas o possibilidade de usar um servidor somente leitura e não a implementação dele.

    
por Bowdzone 13.01.2017 / 13:24

1 resposta

0

samba PRECISA ser leitura / gravação em LDAP para adicionar / modificar máquinas, contas de confiança e alguns usuários locais realmente necessários para que um domínio funcione (admin, nobody e os administradores e / ou administradores de domínio). grupos-like).

A solução alternativa é: instalar um OpenLDAP no PDC do samba, ter uma ramificação replicada (digamos: ou=people ) do seu master LDAP em somente leitura; use a sobreposição de glue para aplicar essa ramificação em uma árvore de leitura-gravação com ramificações ou=users (usuários locais), ou=groups , ou=computers (auto-explicativo).

ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
#  able to sort out if a user is a replicated user in 'ou=people'
#  or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people
    
por 16.01.2017 / 11:10