認証にLDAPサーバーを使用するようにSambaサーバーを設定しようとしています。ただただし、SSSD、PAMなどからすべてのアカウント情報(ユーザーIDなど)を抽出します。デフォルトでは、サーバーは、ユーザー名とパスワードがLDAPに対して解決されることを除いて、スタンドアロンサーバーのように機能する必要があります。
LDAPサーバーはオブジェクトクラスのみを提供し、posixAccount変更InetOrgPersonすることはできません。
Samba を LDAP と連携させる方法に関する多くの情報がインターネット上にありますが、これには常に LDAP スキーマの変更が含まれます。私たちの場合、これはオプションではありません。そうする必要はありません。ただユーザー名とパスワードに基づいてユーザーを認証したいと思います。
しかし、私はSambaが匿名バインドを使用した認証を許可しないことを知っています(パスワードはハッシュされて送信されるためです)。私が知る限り、これはLDAP管理DNを提供することによって解決される別の問題です。
システムは、SSSDを介して同じLDAPサーバーへのローカルログイン、SSHなどの認証用に設定されます。これはうまくいき、よくテストされました。
ソフトウェア:RedHat 7.3、Samba 4.4.4、LDAPサーバーはOracle LDAPです(おそらくOpenLDAPベースですが、制御できません)。
これを行う方法についてのガイドラインを探しています。
ベストアンサー1
答えは、少なくともパスワードハッシュをオフにし、セキュリティを深刻に損なうことなく不可能であるようです。
問題は、最初にsmbpasswdファイルとユーティリティを生成した問題と基本的に同じです。つまり、Sambaサーバーはプレーンテキストパスワードを表示できません。パスワードは常にハッシュされます。ハッシュアルゴリズムは長年にわたって変更されました。通常のLDAPスキーマに保存されているパスワードもハッシュされますが、別のアルゴリズムを使用します。
この問題を解決する唯一の方法は、LDAPスキーマを変更する(多くのサイトで提案されているように)、smbpasswdを使用するか、認証にKerberosを使用することです。