さまざまなサービスの認証と承認に使用する OpenLDAP サーバーがあります。すべてのユーザーはオブジェクト タイプでありinetOrgPerson、グループは ですgroupOfNames。
今、Samba を LDAP に対しても認証するように設定したい (グループベースの認証を使用)。Samba をドメイン コントローラとして使用したいのではなく、ファイル サーバーとしてのみ使用したい。また、LDAP に必要なすべての情報 (ユーザー名、パスワード、グループ メンバーシップ) があるため、Samba でユーザー アカウントを個別に管理したくありません。また、DIT の変更も避けたい。現在の調査から判断する限り、これを直接行うことはできません。
a) Sambaは認証に独自の認証情報ストアを使用するため、smbpasswd既存のLDAPユーザーごとに認証情報ストアが必要になります
。b) LDAPユーザーにはSamba属性が必要です。
さらに調べてみると、私の問題の解決策は、Samba と LDAP の間で Kerberos を使用することだと思われます。
私は Kerberos の管理経験がないので、それに取り掛かる前に、次のトピックを明確にしたいと思います。
- 私の仮定は正しいでしょうか?
- Kerberos の認証サーバーとキー配布センターを 1 台のマシンで実行し、ローカルホストで許可チケットのみを提供するように構成できますか? (OpenLDAP と samba は同じマシンで実行されます)
- Kerberos を使用すると、DIT を変更せずに、LDAP にある情報のみを使用して認証/承認を実行できるようになりますか?
- もっと良い/簡単な解決策はありますか?
私はUbuntu Server 14.04を使用しています。
事前にヒントをいただければ幸いです