Temos um OpenLDAPservidor somente leitura que é usado para uma variedade de serviços de autenticação. Atualmente, estou tentando adicionar um sambaservidor (autônomo) a essa lista que deve ser usado apenas como espaço de armazenamento para backups. Não há necessidade de nada além da autenticação básica de nome de usuário/senha.
A incrível longa lista de tutoriais e instruções pressupõe um LDAPservidor recém-configurado com acesso total. Embora eu tenha as credenciais de administrador do servidor e ele já contenha todos os usuários e o esquema de samba preenchido, o LDAPservidor é apenas um espelho somente leitura.
Atualmente minha configuração ...
# LDAP Settings
passdb backend = ldapsam:ldap://192.168.100.11
ldap suffix = dc=our-domain,dc=de
ldap user suffix = ou=people
ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
ldap ssl = no
ldap passwd sync = yes
...falha com:
smbd version 4.2.14-Debian started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106, 0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
o que obviamente não é surpreendente. Este servidor não é conhecido LDAPe, como é somente leitura, uma nova entrada não pode ser criada. Não consigo entender por que é necessário adicionar qualquer informação sobre a máquina em primeiro lugar. Existe uma certa maneira que o smb precisa ser configurado para lidar com o acesso somente leitura LDAP?
Se eu definir explicitamente um netbios namemy smb.confque corresponda à entrada existente no LDAPservidor, tudo funcionará bem. Mas isso parece um hack e eu preferiria não mudar onetbios name
Isto é um pouco semelhante aesseque infelizmente cobre apenas a possibilidade de utilização de um servidor somente leitura e não a implementação do mesmo.
Responder1
sambaPRECISA ser de leitura e gravação LDAPpara adicionar/modificar máquinas, confiar em contas e em alguns usuários locais realmente necessários para que um domínio funcione (admin, ninguém e os administradores do domínio e grupos semelhantes).
A solução alternativa é: instalar um OpenLDAP no PDC do samba, ter uma ramificação replicada (digamos: ou=people) do seu master LDAPem somente leitura; use a gluesobreposição para aplicar esta ramificação em uma árvore de leitura e gravação com ramificações ou=users(usuários locais), ou=groups, ou=computers(autoexplicativo).
ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
# able to sort out if a user is a replicated user in 'ou=people'
# or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people