У меня есть сервер OpenLDAP, который я использую для аутентификации и авторизации для различных сервисов. Все пользователи имеют тип объекта, inetOrgPerson
а мои группы — groupOfNames
.
Теперь я хочу настроить Samba для аутентификации также и через LDAP (с групповой авторизацией). Я не могу/не хочу использовать Samba как контроллер домена, а только как файловый сервер. Я также не хочу управлять учетными записями пользователей отдельно в Samba, потому что вся необходимая мне информация находится в LDAP (имя пользователя, пароль, членство в группах). Я также хочу избежать изменения моего DIT. Насколько я могу судить из моих текущих исследований, я не могу сделать это напрямую, потому что
а) Samba использует собственное хранилище учетных данных для аутентификации, то есть мне придется делать это smbpasswd
для каждого существующего пользователя LDAP.
б) Мои пользователи LDAP должны будут иметь атрибуты Samba.
Посмотрев вокруг еще немного, я подозреваю, что решением моей проблемы может быть использование Kerberos между samba и LDAP.
У меня нет опыта в администрировании Kerberos, поэтому, прежде чем приложить усилия, я хочу прояснить следующие темы:
- Верны ли мои предположения?
- Могу ли я запустить сервер аутентификации Kerberos и центр распространения ключей на одной машине и настроить его на обслуживание выдачи билетов только на локальном хосте? (OpenLDAP и Samba работают на одной машине)
- Позволит ли мне использование Kerberos сохранить DIT без изменений и выполнять аутентификацию/авторизацию исключительно с использованием информации, содержащейся в LDAP?
- Есть ли лучшие/более простые решения?
Я использую Ubuntu Server 14.04.
Спасибо большое за любые подсказки заранее