Wir haben einen Nur-Lese- OpenLDAPServer, der für verschiedene Authentifizierungsdienste verwendet wird. Ich versuche derzeit, sambadieser Liste einen (eigenständigen) Server hinzuzufügen, der nur als Speicherplatz für Backups verwendet werden soll. Außer der grundlegenden Authentifizierung per Benutzername und Passwort ist nichts weiter erforderlich.
Die unglaublich lange Liste der Tutorials und Anleitungen setzt einen neu konfigurierten LDAPServer mit Vollzugriff voraus. Obwohl ich die Administratoranmeldeinformationen für den Server habe und dieser bereits alle Benutzer und das ausgefüllte Samba-Schema enthält, LDAPist der Server lediglich ein schreibgeschützter Spiegel.
Derzeit ist meine Konfiguration ...
# LDAP Settings
passdb backend = ldapsam:ldap://192.168.100.11
ldap suffix = dc=our-domain,dc=de
ldap user suffix = ou=people
ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
ldap ssl = no
ldap passwd sync = yes
...schlägt fehl mit:
smbd version 4.2.14-Debian started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106, 0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
was natürlich nicht überraschend ist. Dieser Server ist dem nicht bekannt LDAPund da er schreibgeschützt ist, kann kein neuer Eintrag erstellt werden. Ich verstehe nicht, warum es überhaupt notwendig ist, Informationen über die Maschine hinzuzufügen. Gibt es eine bestimmte Art und Weise, wie smb konfiguriert werden muss, um mit dem schreibgeschützten Zugriff auf zurechtzukommen LDAP?
netbios nameWenn ich in meinem explizit ein setze, smb.confdas mit dem einen vorhandenen Eintrag auf dem LDAPServer übereinstimmt, funktioniert alles einwandfrei. Aber das fühlt sich irgendwie wie ein Hack an und ich würde es vorziehen, das nicht zu ändernnetbios name
Dies ist etwas ähnlichDasder leider nur die Möglichkeit der Nutzung eines Read-Only-Servers behandelt, nicht aber die Implementierung desselben.
Antwort1
sambaMUSS Lese-/Schreibzugriff haben, LDAPum Maschinen, Vertrauenskonten und einige lokale Benutzer hinzuzufügen/zu ändern, die für das Funktionieren einer Domäne wirklich erforderlich sind (Administrator, Niemand und die Domänenadministratoren und ähnliche Gruppen).
Die Problemumgehung besteht darin, ein OpenLDAP auf dem Samba-PDC zu installieren, einen replizierten Zweig (sagen wir: ou=people) von Ihrem Master LDAPschreibgeschützt zu haben und das glueOverlay zu verwenden, um diesen Zweig unter einem Lese-/Schreibbaum mit Zweigen ou=users(lokale Benutzer) anzuwenden (selbsterklärend) ou=groups.ou=computers
ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
# able to sort out if a user is a replicated user in 'ou=people'
# or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people