Tenho um servidor OpenLDAP que utilizo para autenticação e autorização para vários serviços. Todos os usuários são do tipo objeto inetOrgPerson
e meus grupos são groupOfNames
.
Agora quero configurar o Samba para autenticar também no LDAP (com autorização baseada em grupo). Não posso/não quero usar o samba como controlador de domínio, mas apenas como servidor de arquivos. Também não quero gerenciar contas de usuários separadamente no samba, porque tenho todas as informações necessárias no LDAP (nome de usuário, senha, participação em grupos). Também quero evitar alterar meu DIT. Tanto quanto posso perceber pela minha investigação actual, não posso fazer isto directamente porque
a) O Samba usa seu próprio armazenamento de credenciais para autenticação, o que significa que eu teria que fazer isso smbpasswd
para cada usuário LDAP existente
b) Meus usuários LDAP teriam que ter atributos do samba
Depois de olhar um pouco mais, suspeito que uma solução para o meu problema poderia ser usar o Kerberos entre o samba e o LDAP.
Não tenho experiência em administração de Kerberos, então antes de me esforçar nisso, quero esclarecer os seguintes tópicos:
- Minhas suposições estão corretas?
- Posso executar o servidor de autenticação e o centro de distribuição de chaves do Kerberos em uma máquina e configurá-lo para servir apenas a concessão de tickets no host local? (OpenLDAP e samba rodam na mesma máquina)
- O uso do Kerberos me permitirá manter meu DIT inalterado e realizar autenticação/autorização exclusivamente com as informações que estão no LDAP?
- Existem soluções melhores/mais fáceis?
Estou no Ubuntu Server 14.04.
Muito obrigado por qualquer dica antecipadamente