Depois de muito trabalho de integração sem sucesso, cheguei à conclusão de que, por enquanto, o que eu quero simplesmente não é possível. Alguns outros chegaram à mesma conclusão em cenários semelhantes [1] [2]. A seguinte resposta de Andre Bartlett (Samba Team Authentication Developer) afirma claramente que as opções de delegação de autenticação estão limitadas aos domínios AD ou Samba [3]:
[...]
I have a question regarding Samba4 and the possibility to delegate authentication to an external LDAP server using Cyrus SASL.
[...]
Não, não é possível. O Samba só pode delegar autenticação para o AD ou Domínios Samba, não outros servidores LDAP ou SASL, como nossa autenticação protocolos não divulgam a senha de texto simples. Domínios AD e Samba suporte a mecanismos de passagem para o NTLM, e podemos aceitar o Kerberos bilhetes emitidos pelos servidores Kerberos. '
Para ser um AD DC, você precisa ser a fonte da verdade para senhas. eu posso sugiro apenas que você organize o contrário, com o qual seus servidores OpenLDAP conversam o Samba AD DC.
Eu também tentei implantar o Samba como um controlador de domínio, apenas para descobrir que ele usa apenas sua própria distribuição LDAP interna (isto é, sem integração com meu LDAP em execução) [4] e com suporte muito limitado ao MIT Kerberos. [5]
Eu posso habilitar a autenticação do PAM ao custo da confidencialidade da senha [6], o que não é uma opção para mim.
Vou deixar essa questão em aberto e ficarei muito feliz em ouvir uma história de sucesso sobre esse problema de qualquer pessoa.
[1] link [2] link [3] link [4] link [5] Parece que grandes distribuições Linux mantêm pacotes Samba com suporte apenas para Heimdal Kerberos. Eu publiquei o Dockerfile que escrevi para construir o Samba com suporte a MIT Kerberos. Você pode verificá-lo no repositório a seguir, caso precise de ajuda com esta tarefa: link [6] link