Eu tenho 7 servidores Ubuntu e um servidor de armazenamento no freebsd. Estou pensando em implantar o OpenLDAP em um desses 7 servidores para que esses servidores possam ter um banco de dados de usuários centralizado e um mecanismo de autenticação semelhante ao Active Directory, mas não tenho certeza de como fazer isso.
Presumo que irei implantar o OpenLDAP em um servidor e configurar o mesmo servidor com samba (com a configuração do controlador AD). Em seguida, junte os outros 6 servidores Linux a este domínio.
Os usuários criados no servidor OpenLDAP/Samba poderão fazer login nos outros 6 servidores? Se sim, como o acesso root é concedido aos usuários?
Quero compartilhar os diretórios no servidor de armazenamento com os usuários para que sempre que eles fizerem login em um servidor, eles possam simplesmente montá-lo e começar a acessá-lo, independentemente de qual servidor entre esses 6 servidores eles estejam logados.
Responder1
O que estou assumindo é que irei implantar o OpenLDAP em um servidor e configurar o mesmo servidor com samba (com a configuração do controlador AD)
Isso não funcionará (e não é necessário). A implementação do LDAP do AD (o esquema, a lógica de back-end, etc.) é muito diferente do que o OpenLDAP pode fazer, então você terá que usar o Sambaconstruídas emservidor LDAP.
Basta ir direto para as etapas de implantação do Samba AD e ele incluirá automaticamente o serviço LDAP.
(Dito isto, háfoitenta fazer essa combinação acontecer, por meio de uma tonelada de módulos de sobreposição slapd, mas não está nem perto do estado pronto para produção.)
Se você não precisa de clientes Windows, você pode usar o FreeIPA ou o OpenLDAP simples como alternativa. Você pode até implantar contas locais via Salt/Ansible e configurar apenas Kerberos para autenticação compartilhada (que é o núcleo dos recursos de autenticação do AD de qualquer maneira).
Os usuários criados no servidor OpenLDAP/Samba conseguiriam fazer login no restante dos 6 servidores?
Sim – esse é o objetivo da adesão ao domínio, não é?
Porém, os usuários criados diretamente no servidor (useradd tradicional) não aparecerão automaticamente no AD. Você deve criar contas AD especificamente no Samba, por exemplo, usando samba-tool(ou via LDAP, ou usando Windows RSAT GUI).
se sim, como o acesso root pode ser concedido a este usuário?
Da mesma forma de sempre: adicione-os aos sudoers.
(Acredito que o SSSD tenha um mecanismo para traduzir automaticamente GPOs do Windows em entradas sudoers, mas não tentei isso.)