Contamos con un OpenLDAPservidor de solo lectura que se utiliza para una variedad de servicios de autenticación. Actualmente estoy intentando agregar un sambaservidor (independiente) a esa lista que solo debe usarse como espacio de almacenamiento para copias de seguridad. No hay necesidad de nada más que la autenticación básica de nombre de usuario/contraseña.
La increíble y larga lista de tutoriales y procedimientos suponen un LDAPservidor recién configurado con acceso completo. Si bien tengo las credenciales de administrador para el servidor y ya contiene todos los usuarios y el esquema samba completo, el LDAPservidor es simplemente un espejo de solo lectura.
Actualmente mi configuración...
# LDAP Settings
passdb backend = ldapsam:ldap://192.168.100.11
ldap suffix = dc=our-domain,dc=de
ldap user suffix = ou=people
ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
ldap ssl = no
ldap passwd sync = yes
...falla con:
smbd version 4.2.14-Debian started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106, 0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
lo cual, por supuesto, no es sorprendente. Este servidor no es conocido por el servidor LDAPy, dado que es de solo lectura, no se puede crear una nueva entrada. No entiendo por qué es necesario agregar información sobre la máquina en primer lugar. ¿Existe alguna forma determinada de configurar smb para hacer frente al acceso de solo lectura LDAP?
Si configuro explícitamente una netbios nameentrada smb.confque coincida con la entrada existente en el LDAPservidor, todo funciona bien. Pero esto de alguna manera parece un truco y preferiría no cambiar elnetbios name
Esto es algo similar aesteque lamentablemente solo cubre la posibilidad de utilizar un servidor de solo lectura y no la implementación del mismo.
Respuesta1
sambaNECESITA lectura y escritura LDAPpara agregar/modificar máquinas, cuentas de confianza y algunos usuarios locales realmente necesarios para que un dominio funcione (administrador, nadie y los administradores del dominio y grupos similares).
La solución es: instalar OpenLDAP en el PDC de samba, tener una rama replicada (digamos: ou=people) de su maestro LDAPen modo de solo lectura; use la gluesuperposición para aplicar esta rama debajo de un árbol de lectura y escritura con ramas ou=users(usuarios locales), ou=groups( ou=computersse explica por sí mismo).
ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
# able to sort out if a user is a replicated user in 'ou=people'
# or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people