freebsd에 7개의 우분투 서버와 스토리지 서버가 있습니다. 저는 이 7개 서버 중 하나에 OpenLDAP를 배포하여 이러한 서버가 중앙 집중식 사용자 데이터베이스와 Active Directory와 유사한 인증 메커니즘을 가질 수 있도록 고려하고 있지만 어떻게 해야 할지 잘 모르겠습니다.
나는 하나의 서버에 OpenLDAP를 배포하고 동일한 서버를 Samba(AD 컨트롤러 구성 포함)로 구성한다고 가정합니다. 그런 다음 다른 6개의 Linux 서버를 이 도메인에 가입시킵니다.
OpenLDAP/Samba 서버에서 생성된 사용자가 다른 6개 서버에 로그인할 수 있습니까? 그렇다면 사용자에게 루트 액세스 권한이 어떻게 부여됩니까?
스토리지 서버의 디렉터리를 사용자와 공유하여 사용자가 서버에 로그인할 때마다 로그인한 서버 6개 중 어떤 서버에 관계없이 간단히 마운트하고 액세스를 시작할 수 있도록 하고 싶습니다.
답변1
내가 가정하는 것은 하나의 서버에 OpenLDAP를 배포하고 동일한 서버를 삼바(AD 컨트롤러 구성 포함)로 구성한다는 것입니다.
그것은 작동하지 않으며 필요하지도 않습니다. AD의 LDAP 구현(스키마, 백엔드 로직 등)은 OpenLDAP가 수행할 수 있는 것과 크게 다르므로 Samba의 LDAP 구현을 사용해야 합니다.내장대신 LDAP 서버.
Samba AD 배포 단계로 바로 이동하면 자동으로 LDAP 서비스가 포함됩니다.
(그러고보니 거기서해왔다수많은 오버레이 모듈을 통해 이 조합을 실현하려고 시도하지만 프로덕션 준비 상태에는 전혀 가깝지 않습니다.)
Windows 클라이언트가 필요하지 않은 경우 FreeIPA 또는 일반 OpenLDAP를 대안으로 사용할 수 있습니다. Salt/Ansible을 통해 로컬 계정을 배포하고 공유 인증(어쨌든 AD 인증 기능의 핵심)을 위해 Kerberos만 설정할 수도 있습니다.
OpenLDAP/Samba 서버에서 생성된 사용자가 나머지 6개 서버에 로그인할 수 있습니까?
예 – 이것이 도메인 가입의 핵심입니다. 그렇지 않습니까?
그러나 서버에서 직접 생성된 사용자(기존 useradd)는 AD에 자동으로 표시되지 않습니다. 예를 들어 samba-toolLDAP를 사용하거나 Windows RSAT GUI를 사용하여 Samba에서 특별히 AD 계정을 만들어야 합니다 .
그렇다면 이 사용자에게 루트 액세스 권한을 어떻게 부여할 수 있습니까?
평소와 같은 방식으로 sudoers에 추가합니다.
(SSSD에는 Windows GPO를 sudoers 항목으로 자동 변환하는 메커니즘이 있다고 생각하지만 아직 시도하지 않았습니다.)