У меня есть 7 серверов Ubuntu и сервер Storage на FreeBSD. Я рассматриваю возможность развертывания OpenLDAP на одном из этих 7 серверов, чтобы эти серверы могли иметь централизованную базу данных пользователей и механизм аутентификации, аналогичный Active Directory, но я не уверен, как это сделать.
Я предполагаю, что разверну OpenLDAP на одном сервере и настрою тот же сервер с samba (с конфигурацией контроллера AD). Затем присоединю остальные 6 серверов linux к этому домену.
Смогут ли пользователи, созданные на сервере OpenLDAP/Samba, войти на остальные 6 серверов? Если да, то как пользователям предоставляется root-доступ?
Я хочу предоставить пользователям общий доступ к каталогам на сервере хранения данных, чтобы при каждом входе на сервер они могли просто смонтировать его и получить к нему доступ независимо от того, на какой из этих 6 серверов они вошли в систему.
решение1
Я предполагаю, что я разверну OpenLDAP на одном сервере и настрою тот же сервер с Samba (с конфигурацией контроллера AD)
Это не сработает (и не нужно). Реализация LDAP в AD (схема, внутренняя логика и т. д.) сильно отличается от того, что может сделать OpenLDAP, поэтому вам придется использовать SambaвстроенныйВместо этого используйте LDAP-сервер.
Просто перейдите к этапам развертывания Samba AD, и служба LDAP будет включена автоматически.
(При этом, естьБыл(Попытки реализовать эту комбинацию с помощью множества модулей наложения slapd, но они далеки от состояния, готового к производству.)
Если вам не нужны клиенты Windows, то вы можете использовать FreeIPA или простой OpenLDAP в качестве альтернативы. Вы даже можете развернуть локальные учетные записи через Salt/Ansible и настроить только Kerberos для общей аутентификации (которая в любом случае является ядром функций аутентификации AD).
Смогут ли пользователи, созданные на сервере OpenLDAP/Samba, войти в систему на остальных 6 серверах?
Да, в этом и есть весь смысл присоединения к домену, не так ли?
Однако пользователи, созданные непосредственно на сервере (традиционный useradd), не будут автоматически отображаться в AD. Вы должны создать учетные записи AD специально в Samba, например, используя samba-tool(или через LDAP, или используя Windows RSAT GUI).
если да, то как можно предоставить этому пользователю права root?
Так же, как обычно: добавьте их в sudoers.
(Я полагаю, что SSSD имеет механизм для автоматического преобразования объектов групповой политики Windows в записи sudoers, но я этого не пробовал.)