OpenLDAP、MIT Kerberos、およびBind9を実行するネットワークドメインがあります。これで、特定のMS WindowsホストがNASにアクセスできるようにして、ユーザーの資格情報が私のLDAPおよびKerberosインフラストラクチャ内に維持されるようにしたいと思います。明らかに、この質問に対する答えはSambaのようですが、数週間の統合作業を行った後(私は主に自家訓練のためにこのネットワークを自宅で運営していて、1日に数時間以上投資することはできませんでした)、統合作業をしました。 。私の環境とSambaが複雑すぎるようです。
この時点で唯一の有効な統合オプションは、ADモード(独自のLDAPおよびDNSに付属していますがMIT Kerberosと統合する必要があります)でSambaを設定してから、LDAPおよびDNS情報とSambaの統合を解決することです。同期スクリプト。私の考えでは、このオプションはエラーが発生しやすく、リソースを大量に消費します。
私のネットワーク設定はかなり標準的だと思います。それでは、この場合、MS Windowsホストとファイルを共有する一般的な方法は何ですか?大きな絵から何か抜けたような気がします。おそらくSambaは正しい解決策ではないでしょうか?
ベストアンサー1
何度も失敗した統合作業の終わりに、私は私が望むものが現在不可能であるという結論に達しました。他の人も同様のシナリオで同じ結論に達しました[1][2]。 Andre Bartlett(Sambaチームの認証開発者)の次の答えは、認証委任オプションがADまたはSambaドメイン[3]に制限されることを明確に説明しています。
[...]
Samba4とCyrus SASLを使用して外部LDAPサーバーに認証を委任する可能性について質問があります。
[...]
いいえ、できません。 Sambaは、認証プロトコルがプレーンテキストパスワードを公開しないため、他のLDAPサーバーまたはSASL以外のADドメインまたはSambaドメインにのみ認証を委任できます。 ADドメインとSambaドメインはNTLMパススルーメカニズムをサポートし、Kerberosサーバーによって発行されたKerberosチケットを許可できます。 '
AD DCになるには、パスワードに関する情報のソースにする必要があります。 OpenLDAPサーバーがSamba AD DCと通信する逆の配列を提案できます。
また、Sambaをドメインコントローラとして展開しようとしましたが、独自の内部LDAP展開のみを使用し(つまり、実行中のLDAPと統合されていない)[4] MIT Kerberosのサポートが非常に限られていることがわかりました... [5]
パスワードの機密性を犠牲にしてPAM認証[6]を有効にすることもできますが、それは私にとってオプションではありません。
私はこの質問を開いて、この問題に関する誰かの成功事例を聞きたいと思います。
[1]https://serverfault.com/questions/644145/ubuntu-server-samba-pam-apple-opendirectory [2]https://serverfault.com/questions/264421/samba-file-server-pam-berkeley-db-or-samba-pam [サム]https://lists.samba.org/archive/samba/2015-March/189871.html [4]https://wiki.samba.org/index.php/FAQ#Is_It_Planned_to_Support_OpenLDAP_as_Back_End_for_Samba_AD.3F [5]主要なLinuxディストリビューションは、Heimdal KerberosのみをサポートするSambaパッケージを維持しているようです。 MIT KerberosをサポートするSambaを構築するために作成したDockerfileを公開しました。この作業にヘルプが必要な場合は、次のリポジトリで確認できます。https://github.com/glalejos/docker-debian-samba-mit-kerberos [6]https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#OBEYPAMRESTRICTIONS