1 votes

Prise en charge des utilisateurs dans le catalogue openldap avec des attributs spécifiques à samba

2016 arrive. Nous utilisons toujours openldap.

J'ai un serveur openldap sous ubuntu 12.04 avec des utilisateurs existants. Il fournit la couche d'authentification en plus de contenir les informations de compte d'utilisateur, de groupe et de machine sur les hôtes ubuntu par l'intermédiaire de sssd.

J'ai un serveur de fichiers samba sur ubuntu, qui authentifie les utilisateurs par le biais de comptes pam et de comptes système standard. J'utilise pam_smbpass.so Module pam pour synchroniser les noms d'utilisateurs/mots de passe dans la base de données tdb samba sur le serveur de fichiers. Ce n'est pas une bonne solution, car les utilisateurs doivent d'abord s'authentifier sur le service ftp. Ensuite, ils peuvent accéder aux partages samba.

J'ai décidé de migrer le serveur ldap de 12.04 à 14.04 et j'ai trouvé un nouveau paquet. slapd-smbk5pwd dans la version 14.04. Il contiendra smbk5pwd module openldap. Ce module peut mettre à jour les mots de passe pour les attributs spécifiques à samba, comme sambaNTPassword .

J'ai effectué avec succès la migration du catalogue ldap sur la nouvelle version d'ubuntu sur le conteneur de test avec le schéma samba pour le module de test smbk5pwd. Mais j'ai été confronté à l'absence d'attributs spécifiques à samba.

Je dois écrire un script pour mettre à jour les utilisateurs existants avec les attributs samba appropriés, comme par exemple sambaSamAccount etc. Il est bien documenté à l'adresse suivante ibm kb . Il n'y a pas de problème pour moi.

Mais dans ce cas, mon algorithme déjà difficile (j'utilise phpldapadmin pour ajouter de nouveaux utilisateurs) devient plus compliqué. Il sera nécessaire d'ajouter manuellement des attributs supplémentaires au nouvel utilisateur. A chaque fois, je dois générer le nouveau sambaSID, et mettre à jour l'utilisateur dans le catalogue avec un fichier ldif modèle.

Il y a smbldap-tools et smbldap-useradd de l'utilitaire. Mais je ne les ai jamais utilisés. Peut-être devrais-je créer des utilisateurs par le biais de smbldap-useradd seulement ? Il sera suffisant pour l'authentification des machines ubuntu et le serveur samba ?

Quels sont les problèmes auxquels je peux être confronté dans le cadre de ce programme ?

Existe-t-il des moyens plus simples d'aider les utilisateurs dans mon cas ?

Qu'en est-il de la migration vers freeipa ou samba4 ?

Samba4 doit être étendu à de nombreux schémas standard d'Unix. Est-ce possible dans le monde réel ?

La plupart de nos ordinateurs de bureau sont des systèmes ubuntu et macosx. Nous avons également besoin de sudoers et d'un schéma ppolicy pour verrouiller les comptes et être protégés contre la force brute.

0voto

473183469 Points 1340

Je ne fais que partager mon expérience.

Les données de mon organisation sont sur OpenLDAP. OpenLDAP va rester.

Nous avions prévu d'associer OpenLDAP à samba4 avec le support d'AD. Il s'agit d'un autre service d'annuaire : il ne peut pas (encore) être basé sur OpenLDAP (peut-être la version 4.4, mais personne n'en est sûr pour l'instant).

Mais il existe un outil pratique pour migrer les données d'OpenLDAP vers AD (samba4 est compatible) : lsc

Bien sûr, il faut une machine magique spéciale pour synchroniser les mots de passe, mais je pense que vous êtes capable de la concevoir.

Il s'agit simplement d'un cas d'utilisation réel,

0voto

Maren Abatielos Points 46

Je travaille chez Univention et à moins que vous ne vouliez réinventer la roue, je vous suggère de jeter un coup d'œil à Univention Corporate Server (UCS), qui est un système d'exploitation libre, basé sur Debian, destiné aux entreprises. Il devrait pouvoir répondre à vos besoins car il fonctionne également très bien en tant que gestion de domaine/d'identité pour les environnements hétérogènes. Il est doté des fonctionnalités que vous avez mentionnées :

  • OpenLDAP où vous pouvez connecter tous les clients *nix à
  • Samba (4) Répertoire AD auquel vous pouvez connecter tous les clients Windows
  • un service appelé "univention-s4-connector" qui synchronise immédiatement toutes les informations et attributs pertinents entre les deux services d'annuaire
  • une interface d'administration basée sur le web qui est bien plus jolie que phpldapadmin ;)

Tout cela est soutenu par Univention, de sorte que si vous avez besoin d'une assistance professionnelle, il y a quelqu'un à appeler. Si vous souhaitez utiliser l'édition gratuite "Core Edition", qui est très complète, vous pouvez également contacter le forum d'Univention pour poser vos questions. Plus d'informations sur UCS sur Site web d'Univention .

J'espère que j'ai pu vous aider !

Je vous prie d'agréer, Madame, Monsieur, l'expression de mes salutations distinguées, Maren

Au fait, juste au cas où : Il y aura un moyen facile de configurer les sudoers avec l'une des prochaines mises à jour de l'errata. Les politiques relatives aux mots de passe sont mises en œuvre via les politiques Univention, voir Manuel NGC

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X