Tengo 7 servidores ubuntu y un servidor de almacenamiento en freebsd. Estoy considerando implementar OpenLDAP en uno de estos 7 servidores para que estos servidores puedan tener una base de datos de usuarios centralizada y un mecanismo de autenticación similar a Active Directory, pero no estoy seguro de cómo hacerlo.
Supongo que implementaré OpenLDAP en un servidor y configuraré el mismo servidor con samba (con la configuración del controlador AD). Luego una los otros 6 servidores Linux a este dominio.
¿Los usuarios creados en el servidor OpenLDAP/Samba podrán iniciar sesión en los otros 6 servidores? En caso afirmativo, ¿cómo se concede acceso root a los usuarios?
Quiero compartir los directorios en el servidor de almacenamiento con los usuarios para que cada vez que inicien sesión en un servidor puedan simplemente montarlo y comenzar a acceder a él independientemente de en qué servidor entre estos 6 servidores hayan iniciado sesión.
Respuesta1
Lo que estoy asumiendo es que implementaré OpenLDAP en un servidor y configuraré el mismo servidor con samba (con la configuración del controlador AD).
Eso no funcionará (y no es necesario). La implementación LDAP de AD (el esquema, la lógica de backend, etc.) es muy diferente de lo que puede hacer OpenLDAP, por lo que tendrás que usar Samba.incorporadoServidor LDAP en su lugar.
Simplemente vaya directamente a los pasos de implementación de Samba AD y automáticamente incluirá el servicio LDAP.
(Dicho esto, hayha sidointenta hacer que esta combinación suceda, a través de una tonelada de módulos de superposición slapd, pero no está ni cerca del estado listo para producción).
Si no necesita clientes de Windows, puede utilizar FreeIPA u OpenLDAP simple como alternativa. Incluso podría implementar cuentas locales a través de Salt/Ansible y configurar solo Kerberos para la autenticación compartida (que de todos modos es el núcleo de las funciones de autenticación de AD).
¿Los usuarios creados en el servidor OpenLDAP/Samba podrían iniciar sesión en el resto de los 6 servidores?
Sí, ese es el objetivo de unirse a un dominio, ¿no?
Sin embargo, los usuarios creados directamente en el servidor (useradd tradicional) no aparecerán automáticamente en AD. Debe crear cuentas AD específicamente en Samba, por ejemplo, usando samba-tool(o mediante LDAP, o usando la GUI RSAT de Windows).
En caso afirmativo, ¿cómo se le puede dar acceso root a este usuario?
De la misma forma que siempre: agrégalos a sudoers.
(Creo que SSSD tiene un mecanismo para traducir automáticamente los GPO de Windows a entradas sudoers, pero no lo he probado).