Tengo un servidor OpenLDAP que uso para autenticación y autorización para varios servicios. Todos los usuarios son de tipo objeto inetOrgPerson
y mis grupos son groupOfNames
.
Ahora quiero configurar Samba para que se autentique también contra LDAP (con autorización basada en grupo). No puedo/no quiero usar samba como controlador de dominio, sino únicamente como servidor de archivos. Tampoco quiero administrar cuentas de usuario por separado en samba, porque tengo toda la información que necesito en LDAP (nombre de usuario, contraseña, membresías de grupos). También quiero evitar cambiar mi DIT. Por lo que puedo decir de mi investigación actual, no puedo hacer esto directamente porque
a) Samba usa su propio almacén de credenciales para la autenticación, lo que significa que yo tendría que hacerlo smbpasswd
para cada usuario LDAP existente
b) Mis usuarios LDAP tendrían que tener atributos de samba
Después de mirar un poco más, sospecho que una solución a mi problema podría ser usar Kerberos entre samba y LDAP.
No tengo experiencia en la administración de Kerberos, así que antes de esforzarme en eso, quiero aclarar los siguientes temas:
- ¿Son correctas mis suposiciones?
- ¿Puedo ejecutar el servidor de autenticación y el centro de distribución de claves de Kerberos en una máquina y configurarlo para que solo proporcione tickets en localhost? (OpenLDAP y samba se ejecutan en la misma máquina)
- ¿El uso de Kerberos me permitirá mantener mi DIT sin cambios y realizar autenticación/autorización exclusivamente con la información que está en LDAP?
- ¿Existen soluciones mejores/más fáciles?
Estoy en Ubuntu Server 14.04.
Muchas gracias por cualquier sugerencia de antemano.