我有一個 OpenLDAP 伺服器,用於對各種服務進行身份驗證和授權。所有使用者都是物件類型inetOrgPerson,我的群組是groupOfNames.
現在我想設定 Samba 以針對 LDAP 進行身份驗證(使用基於群組的授權)。我不能/不想使用 samba 作為網域控制器,而只是作為文件伺服器。我也不想在 samba 中單獨管理使用者帳戶,因為我在 LDAP 中擁有所需的所有資訊(使用者名稱、密碼、群組成員資格)。我還想避免更改我的 DIT。據我目前的研究所知,我不能直接這樣做,因為
a) Samba 使用自己的憑證儲存進行驗證,這表示我必須smbpasswd對每個現有 LDAP 使用者進行驗證
b) 我的 LDAP 使用者必須具有 samba 屬性
經過更多研究後,我懷疑解決我的問題的方法可能是在 samba 和 LDAP 之間使用 Kerberos。
我沒有管理 Kerberos 的經驗,因此在投入精力之前,我想澄清以下主題:
- 我的假設正確嗎?
- 我可以在一台電腦上運行 Kerberos 的身份驗證伺服器和金鑰分發中心並將其配置為僅在本地主機上提供授予票證服務嗎? (OpenLDAP和samba在同一台機器上運作)
- 使用 Kerberos 是否允許我保持 DIT 不變並僅使用 LDAP 中的資訊執行身份驗證/授權?
- 有更好/更簡單的解決方案嗎?
我使用的是 Ubuntu 伺服器 14.04。
非常感謝您提前提供任何提示