私は 7 台の Ubuntu サーバーと、FreeBSD 上のストレージ サーバーを所有しています。これらの 7 台のサーバーのうちの 1 台に OpenLDAP を導入して、これらのサーバーに Active Directory に似た集中型ユーザー データベースと認証メカニズムを持たせることを検討していますが、その方法がわかりません。
1 台のサーバーに OpenLDAP を展開し、同じサーバーを Samba (AD コントローラー構成を使用) で構成することを想定しています。次に、他の 6 台の Linux サーバーをこのドメインに参加させます。
OpenLDAP/Samba サーバーで作成されたユーザーは、他の 6 つのサーバーにログインできますか? できる場合、ユーザーにルート アクセスはどのように付与されますか?
ストレージ サーバー上のディレクトリをユーザーと共有して、ユーザーがサーバーにログインするたびに、6 台のサーバーのうちどのサーバーにログインしたかに関係なく、簡単にマウントしてアクセスできるようにしたいと考えています。
答え1
私が想定しているのは、OpenLDAPを1つのサーバーに展開し、同じサーバーをSamba(ADコントローラー構成)で構成することです。
それは機能しません(また、必要もありません)。ADのLDAP実装(スキーマ、バックエンドロジックなど)はOpenLDAPができることとは大きく異なるため、Sambaの内蔵代わりに LDAP サーバーを使用します。
Samba AD の展開手順に直接進むと、LDAP サービスが自動的に含まれるようになります。
(そうは言っても、なっている大量の slapd オーバーレイ モジュールを通じてこの組み合わせを実現しようとしていますが、まだ実稼働可能な状態にほど遠いです。
Windows クライアントが必要ない場合は、代わりに FreeIPA または単純な OpenLDAP を使用できます。Salt/Ansible 経由でローカル アカウントを展開し、共有認証用に Kerberos のみを設定することもできます (これは AD の認証機能の中核です)。
OpenLDAP/Samba サーバーで作成されたユーザーは、残りの 6 台のサーバーにログインできますか?
はい、それがドメイン参加の目的ですよね?
ただし、サーバー上で直接作成されたユーザー (従来の useradd) は、AD に自動的に表示されません。AD アカウントは、たとえば Samba を使用してsamba-tool(または LDAP 経由で、あるいは Windows RSAT GUI を使用して) 作成する必要があります。
はいの場合、このユーザーにルートアクセス権を付与するにはどうすればよいでしょうか?
いつもと同じ方法: sudoers に追加します。
(SSSD には Windows GPO を sudoers エントリに自動的に変換するメカニズムがあると思いますが、試したことはありません。)