Suporta usuários no catálogo openldap com atributos específicos do samba

Navegue suas respostas
1

2016 está chegando. Nós ainda usamos o openldap.

Eu tenho o servidor openldap do Ubuntu 12.04 com usuários existentes. Ele fornece a camada de autenticação, além de conter as informações de conta de usuário, grupo e máquina nos hosts do Ubuntu através do sssd.

Eu tenho o servidor de arquivos samba no Ubuntu, que autentica os usuários através de contas de sistema pam e standart. Eu uso o módulo pam_smbpass.so pam para sincronizar usernames / senhas no tdb samba db no fileserver. Não é uma boa solução, porque os usuários devem passar a autenticação primeiro no serviço ftp. Então eles poderão acessar os compartilhamentos de samba.

Eu decidi migrar o servidor ldap de 12.04 para 14.04 e encontrei um novo pacote slapd-smbk5pwd em 14.04. Contém smbk5pwd módulo openldap. Este módulo pode atualizar senhas para atributos específicos do samba, como sambaNTPassword .

Eu realizei com sucesso a migração do catálogo do ldap para a nova versão do ubuntu no container de teste com o esquema samba para testar o módulo smbk5pwd. Mas confrontado com a ausência de atributos específicos do samba.

Eu devo escrever um script para atualizar os usuários existentes com os atributos apropriados do samba, como sambaSamAccount , etc. Está bem documentado em ibm kb . Não há problema para mim.

Mas, nesse caso, meu algoritmo já difícil (eu uso o phpldapadmin para adicionar novos usuários) se torna mais complicado. Será necessário adicionar atributos adicionais ao novo usuário manualmente. Toda vez que eu preciso gerar o novo sambaSID e atualizar o usuário no catálogo com o arquivo ldif.

smbldap-tools package e smbldap-useradd utility. Mas eu nunca usei eles. Talvez eu deva criar usuários por meio de smbldap-useradd apenas? Será suficiente para o servidor auth e samba das máquinas Ubuntu?

Quais problemas eu posso enfrentar nesse esquema?

Existem maneiras mais fáceis de apoiar usuários no meu caso?

E sobre a migração para o freeipa ou o samba4?

O Samba4 deve ser expandido com muitos esquemas unix padrão. É possível no mundo real?

Acima de tudo, os nossos desktops são os sistemas Ubuntu e Macsx. Também precisamos de um esquema sudoers e ppolicy para bloquear contas e ser protegido da força bruta.

    
por vskubriev 01.12.2015 / 13:02

2 respostas

0

Apenas compartilhando minha experiência.

Os dados da minha organização estão no OpenLDAP. O OpenLDAP vai permanecer.

Planejamos emparelhar o OpenLDAP com o samba4 com o suporte do AD. É outro serviço de Diretório: ele não pode ser baseado (ainda) no OpenLDAP (talvez release 4.4, mas ninguém tem certeza, agora).

Mas há uma ferramenta útil para migrar dados do OpenLDAP para o AD (o samba4 é compatível): lsc

É claro que você precisa de algum mecanismo mágico especial para manter a senha em sincronia: mas eu acho que você é capaz de inventar isso.

Apenas um caso de uso real

    
por 02.12.2015 / 13:31
0

Estou trabalhando na Univention e, a menos que você queira reinventar a roda, sugiro que você dê uma olhada no Univention Corporate Server (UCS), que é um sistema operacional gratuito, baseado em Debian e corporativo. Ele deve ser capaz de satisfazer suas necessidades, pois funciona também como um gerenciamento de domínio / identidade para ambientes heterogêneos. Ele vem com os recursos que você mencionou:

  • OpenLDAP, onde você pode conectar todos os clientes * nix a
  • Diretório do Samba (4) AD no qual você pode conectar todos os clientes Windows a
  • um serviço chamado "univention-s4-connector" que sincroniza todas as informações e atributos relevantes entre os dois serviços de diretório imediatamente
  • uma boa interface de administração baseada na web que é muito mais bonita que o phpldapadmin;)

Tudo o que é apoiado pela Univention, então se você precisar de suporte profissional, há alguém para quem ligar. Se você quiser usar o "Core Edition" gratuito, que é completo, você também pode entrar em contato com o fórum do Univention para perguntas. Mais informações sobre o UCS no site da Univention .

Espero que eu tenha ajudado você!

Atenciosamente, Maren

A propósito, apenas no caso: Haverá uma maneira fácil de configurar sudoers com uma das próximas atualizações de erratas. As políticas de senha são implementadas por meio das políticas do Univention, consulte o Manual do UCS

    
por 08.12.2015 / 11:29

Tags

Existe uma maneira de ativar as entradas de log de depuração da atividade do executor de filas sem elevar o log de todo o resto? O encadeamento de proxy reverso é possível para HTTPS?