Ich habe 7 Ubuntu-Server und einen Storage-Server auf FreeBSD. Ich überlege, OpenLDAP auf einem dieser 7 Server einzusetzen, damit diese Server eine zentrale Benutzerdatenbank und einen Authentifizierungsmechanismus ähnlich wie Active Directory haben können, aber ich bin nicht sicher, wie ich das machen soll.
Ich gehe davon aus, dass ich OpenLDAP auf einem Server bereitstellen und denselben Server mit Samba konfigurieren werde (mit der AD-Controller-Konfiguration). Dann füge ich die anderen 6 Linux-Server dieser Domäne hinzu.
Können sich die auf dem OpenLDAP/Samba-Server erstellten Benutzer bei den anderen 6 Servern anmelden? Wenn ja, wie wird den Benutzern Root-Zugriff gewährt?
Ich möchte die Verzeichnisse auf dem Speicherserver für die Benutzer freigeben, sodass sie bei jeder Anmeldung bei einem Server diesen einfach mounten und darauf zugreifen können, unabhängig davon, bei welchem dieser sechs Server sie sich angemeldet haben.
Antwort1
Ich gehe davon aus, dass ich OpenLDAP auf einem Server bereitstelle und denselben Server mit Samba konfiguriere (mit der AD-Controller-Konfiguration).
Das funktioniert nicht (und ist auch nicht notwendig). Die LDAP-Implementierung von AD (das Schema, die Backend-Logik usw.) unterscheidet sich erheblich von dem, was OpenLDAP kann. Sie müssen also SambaseingebautStattdessen LDAP-Server.
Gehen Sie einfach direkt zu den Bereitstellungsschritten für Samba AD und der LDAP-Dienst wird automatisch integriert.
(Das heißt, esgewesen seinVersuche, diese Kombination durch eine Menge Slapd-Overlay-Module zu realisieren, sind aber noch lange nicht produktionsreif.)
Wenn Sie keine Windows-Clients benötigen, können Sie alternativ FreeIPA oder einfaches OpenLDAP verwenden. Sie können sogar lokale Konten über Salt/Ansible bereitstellen und nur Kerberos für die gemeinsame Authentifizierung einrichten (was ohnehin der Kern der Authentifizierungsfunktionen von AD ist).
Können sich die auf dem OpenLDAP/Samba-Server erstellten Benutzer bei den restlichen 6 Servern anmelden?
Ja, darum geht es beim Domänenbeitritt, nicht wahr?
Direkt auf dem Server erstellte Benutzer (herkömmliches useradd) werden jedoch nicht automatisch in AD angezeigt. Sie müssen AD-Konten speziell in Samba erstellen, z. B. mithilfe von samba-tool(oder über LDAP oder mithilfe der Windows RSAT-GUI).
wenn ja, wie kann diesem Benutzer Root-Zugriff gewährt werden?
Auf die gleiche Weise wie üblich: Fügen Sie sie zu sudoers hinzu.
(Ich glaube, SSSD verfügt über einen Mechanismus zum automatischen Übersetzen von Windows-GPOs in Sudoers-Einträge, aber das habe ich nicht ausprobiert.)