Samba - usa LDAP apenas para autenticação?

3

Estou tentando configurar um servidor Samba para usar um servidor LDAP para autenticação somente , mas puxe todas as informações da conta (ID do usuário, etc.) do SSSD, PAM etc. Basicamente, o servidor deve atuar como um servidor autônomo, exceto que os nomes de usuário e senhas serão verificados em relação ao LDAP.

O servidor LDAP fornece apenas as classes de objeto posixAccount e InetOrgPerson e não está sob meu controle; Eu não posso mudar isso.

Há muitas informações na Internet sobre como fazer o Samba funcionar com o LDAP, mas, invariavelmente, envolve a modificação do esquema do LDAP. Isso não é uma opção em nossa situação. Nem deve ser necessário, uma vez que eu apenas quero autenticar os usuários contra o nome de usuário e senha.

Por acaso, sei que o Samba não permite a autenticação com uma ligação anônima (porque as senhas são transmitidas com hash). Tanto quanto eu posso dizer, esse é um problema separado abordado, fornecendo um DN de administrador LDAP.

O sistema já está configurado para autenticar logins locais, SSH etc. via SSSD para o mesmo servidor LDAP. Isso funciona e está bem testado.

Software: RedHat 7.3, Samba 4.4.4, o servidor LDAP é o Oracle LDAP (provavelmente baseado no OpenLDAP, mas está fora do meu controle).

Estou procurando instruções sobre como realizar isso.

    
por Kevin Keane 16.07.2017 / 23:40

1 resposta

0

A resposta parece que não pode ser feita, pelo menos não sem desativar o hashing de senha e comprometer seriamente a segurança.

O problema é basicamente o mesmo que primeiro levou à criação do arquivo e utilitário smbpasswd: o servidor Samba nunca vê a senha em texto sem formatação. A senha é sempre hash. O algoritmo hash mudou ao longo dos anos. A senha armazenada no esquema LDAP comum também é hash, mas usando um algoritmo diferente.

A única maneira de resolver isso é modificando o esquema LDAP (como muitos sites sugerem), use smbpasswd ou use o Kerberos para autenticação.

    
por 21.08.2017 / 04:49