Samba 身份验证和 LDAP

Samba 身份验证和 LDAP

我有一个 OpenLDAP 服务器,用于各种服务的身份验证和授权。所有用户都是对象类型inetOrgPerson,我的组是groupOfNames

现在我想将 Samba 配置为也针对 LDAP 进行身份验证(使用基于组的授权)。我不能/不想将 Samba 用作域控制器,而只用作文件服务器。我也不想在 Samba 中单独管理用户帐户,因为我在 LDAP 中拥有我需要的所有信息(用户名、密码、组成员身份)。我还想避免更改我的 DIT。据我目前的研究所知,我无法直接做到这一点,因为

a) Samba 使用自己的凭证存储进行身份验证,这意味着我必须smbpasswd对每个现有的 LDAP 用户进行身份验证
b) 我的 LDAP 用户必须具有 Samba 属性

经过进一步研究后,我怀疑解决我的问题的方法可能是在 samba 和 LDAP 之间使用 Kerberos。
我没有管理 Kerberos 的经验,因此在付出努力之前,我想澄清以下主题:

  • 我的假设正确吗?
  • 我可以在一台机器上运行 Kerberos 的身份验证服务器和密钥分发中心,并将其配置为仅在本地主机上提供授予票证服务吗?(OpenLDAP 和 samba 在同一台机器上运行)
  • 使用 Kerberos 是否允许我保持 DIT 不变并仅使用 LDAP 中的信息执行身份验证/授权?
  • 有没有更好/更简单的解决方案?

我在 Ubuntu Server 14.04 上。

非常感谢你提前提供的任何提示

相关内容