Ich habe einen OpenLDAP-Server, den ich zur Authentifizierung und Autorisierung für verschiedene Dienste verwende. Alle Benutzer sind vom Objekttyp inetOrgPerson
und meine Gruppen sind groupOfNames
.
Jetzt möchte ich Samba so konfigurieren, dass es sich auch gegenüber LDAP authentifiziert (mit gruppenbasierter Autorisierung). Ich kann/möchte Samba nicht als Domänencontroller verwenden, sondern nur als Dateiserver. Ich möchte Benutzerkonten auch nicht separat in Samba verwalten, da ich alle benötigten Informationen in LDAP habe (Benutzername, Passwort, Gruppenmitgliedschaften). Ich möchte auch vermeiden, mein DIT zu ändern. Soweit ich das aus meinen aktuellen Recherchen beurteilen kann, kann ich dies nicht direkt tun, da
smbpasswd
a) Samba verwendet einen eigenen Credential Store zur Authentifizierung, was bedeutet, dass ich dies für jeden vorhandenen LDAP-Benutzer tun muss.
b) Meine LDAP-Benutzer müssten Samba-Attribute haben
Nachdem ich mich noch ein wenig umgesehen habe, vermute ich, dass eine Lösung für mein Problem darin bestehen könnte, Kerberos zwischen Samba und LDAP zu verwenden.
Ich habe keine Erfahrung mit der Verwaltung von Kerberos. Bevor ich mich also damit beschäftige, möchte ich folgende Punkte klären:
- Sind meine Annahmen richtig?
- Kann ich den Authentifizierungsserver und das Schlüsselverteilungscenter von Kerberos auf einer Maschine ausführen und diese so konfigurieren, dass nur Genehmigungstickets auf dem lokalen Host bereitgestellt werden? (OpenLDAP und Samba werden auf derselben Maschine ausgeführt.)
- Kann ich durch die Verwendung von Kerberos mein DIT unverändert lassen und die Authentifizierung/Autorisierung ausschließlich mit den im LDAP enthaltenen Informationen durchführen?
- Gibt es bessere/einfachere Lösungen?
Ich verwende Ubuntu Server 14.04.
Vielen Dank für alle Hinweise im Voraus