У нас есть сервер только для чтения OpenLDAP, который используется для различных служб аутентификации. В настоящее время я пытаюсь добавить (автономный) sambaсервер в этот список, который будет использоваться только как место для хранения резервных копий. Нет необходимости ни в чем, кроме базовой аутентификации по имени пользователя/паролю.
Невероятно длинный список руководств и howtos предполагает новый настроенный LDAPсервер с полным доступом. Хотя у меня есть учетные данные администратора для сервера, и он уже содержит всех пользователей и заполненную схему samba, сервер LDAPявляется просто зеркалом только для чтения.
В настоящее время моя конфигурация ...
# LDAP Settings
passdb backend = ldapsam:ldap://192.168.100.11
ldap suffix = dc=our-domain,dc=de
ldap user suffix = ou=people
ldap admin dn = cn=adminacc,ou=daemonadmins,dc=our-domain,dc=de
ldap ssl = no
ldap passwd sync = yes
...не удается с:
smbd version 4.2.14-Debian started.
Copyright Andrew Tridgell and the Samba Team 1992-2014
[2017/01/13 12:52:49.367065, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for SBACKUP failed with NT_STATUS_UNSUCCESSFUL
[2017/01/13 12:52:49.367106, 0] ../source3/passdb/pdb_ldap.c:6534(pdb_ldapsam_init_common)
pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
[2017/01/13 12:52:49.367116, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name)
pdb backend ldapsam:ldap://192.168.100.11 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
что, конечно, неудивительно. Этот сервер неизвестен LDAPи поскольку он доступен только для чтения, новая запись не может быть создана. Я не понимаю, зачем вообще нужно добавлять какую-либо информацию о машине. Есть ли определенный способ настройки smb, чтобы справиться с доступом только для чтения к LDAP?
Если я явно устанавливаю netbios nameв my smb.conf, который соответствует одной существующей записи на LDAPсервере, все работает нормально. Но это немного похоже на хак, и я бы предпочел не менятьnetbios name
Это немного похоже наэтотчто, к сожалению, охватывает только возможность использования сервера только для чтения, а не его реализацию.
решение1
sambaНУЖНО иметь права на чтение и запись LDAPдля добавления/изменения машин, доверительных учетных записей и нескольких локальных пользователей, действительно необходимых для работы домена (администратор, никто и администраторы домена и т.п. группы).
Обходной путь: установите OpenLDAP на Samba PDC, создайте реплицированную ветку (например: ou=people) с вашего главного сервера, LDAPдоступную только для чтения; используйте glueналожение, чтобы применить эту ветку к дереву с доступом для чтения и записи ou=users(локальные пользователи), ou=groups, ou=computers(не требует пояснений).
ldap machine suffix = ou=computers
ldap suffix = dc=our-domain,dc=de
# do not set the following; OpenLDAP is
# able to sort out if a user is a replicated user in 'ou=people'
# or a local user in 'ou=users'
# ldap group suffix = ou=groups
# ldap user suffix = ou=people