我有一个 OpenLDAP 服务器,用于各种服务的身份验证和授权。所有用户都是对象类型inetOrgPerson
,我的组是groupOfNames
。
现在我想将 Samba 配置为也针对 LDAP 进行身份验证(使用基于组的授权)。我不能/不想将 Samba 用作域控制器,而只用作文件服务器。我也不想在 Samba 中单独管理用户帐户,因为我在 LDAP 中拥有我需要的所有信息(用户名、密码、组成员身份)。我还想避免更改我的 DIT。据我目前的研究所知,我无法直接做到这一点,因为
a) Samba 使用自己的凭证存储进行身份验证,这意味着我必须smbpasswd
对每个现有的 LDAP 用户进行身份验证
b) 我的 LDAP 用户必须具有 Samba 属性
经过进一步研究后,我怀疑解决我的问题的方法可能是在 samba 和 LDAP 之间使用 Kerberos。
我没有管理 Kerberos 的经验,因此在付出努力之前,我想澄清以下主题:
- 我的假设正确吗?
- 我可以在一台机器上运行 Kerberos 的身份验证服务器和密钥分发中心,并将其配置为仅在本地主机上提供授予票证服务吗?(OpenLDAP 和 samba 在同一台机器上运行)
- 使用 Kerberos 是否允许我保持 DIT 不变并仅使用 LDAP 中的信息执行身份验证/授权?
- 有没有更好/更简单的解决方案?
我在 Ubuntu Server 14.04 上。
非常感谢你提前提供的任何提示