2016年即将到来,我们依然使用openldap。
我有来自 ubuntu 12.04 的 openldap 服务器,其中有现有用户。它除了通过 sssd 包含 ubuntu 主机上的用户、组和机器帐户信息外,还提供身份验证层。
我在 ubuntu 上有 samba 文件服务器,它通过 pam 和标准系统帐户对用户进行身份验证。我使用pam_smbpass.sopam 模块在文件服务器上的 tdb samba db 中同步用户名/密码。这不是一个好的解决方法,因为用户必须先在 ftp 服务上通过身份验证。然后他们才能访问 samba 共享。
我决定将 ldap 服务器从 12.04 迁移到 14.04,并slapd-smbk5pwd在 14.04 中发现了一个新包。它将包含smbk5pwdopenldap 模块。该模块可以更新 samba 特定属性的密码,例如sambaNTPassword。
我成功地在测试容器上使用 samba 方案对新版 ubuntu 上的 ldap 目录进行了迁移,以测试 smbk5pwd 模块。但面临缺少 samba 特定属性的问题。
我必须编写一个脚本来更新现有用户的适当 Samba 属性,例如sambaSamAccount等。它有详细的文档,请访问IBM 知识库。对我来说没有问题。
但在这种情况下,我本来就很困难的算法(我使用 phpldapadmin 添加新用户)变得更加复杂。必须手动为新用户添加其他属性。每次我都必须生成新的 sambaSID,并使用模板化的 ldif 文件更新目录中的用户。
有smbldap-tools软件包和smbldap-useradd实用程序。但我从未使用过它们。也许我应该smbldap-useradd仅通过创建用户?这对于 ubuntu 机器身份验证和 samba 服务器来说足够了吗?
在这样的方案中我会面临什么问题?
就我的情况而言,是否有更简单的方法来支持用户?
迁移到 freeipa 或 samba4 怎么样?
Samba4 必须扩展许多标准 unix 模式。在现实世界中这可能吗?
我们的桌面大多数都是 ubuntu 和 macosx 系统。我们还需要 sudoers 和 ppolicy 方案来锁定账户并防止暴力破解。
答案1
只是分享我的经验。
我的组织的数据位于 OpenLDAP 上。OpenLDAP 将继续保留。
我们计划将 OpenLDAP 与支持 AD 的 samba4 配对。这是另一种目录服务:它目前还不能基于 OpenLDAP(可能是 4.4 版,但现在没人确定)。
但是有一个方便的工具可以将数据从 OpenLDAP 迁移到 AD(samba4 兼容):激光扫描
当然,您需要一些特殊的魔法机制来保持密码同步:但我认为您能够设计出它。
这只是实际用例,
答案2
我在 Univention 工作,除非你想重新发明轮子,否则我建议你看看 Univention Corporate Server (UCS),这是一款免费的、基于 Debian 的企业级操作系统。它应该能够满足您的需求,因为它也可以很好地用作异构环境的域/身份管理。它具有您提到的功能:
- OpenLDAP,您可以将所有 *nix 客户端连接到
- Samba (4) 您可以将各个 Windows 客户端连接到的 AD 目录
- 一项名为“univention-s4-connector”的服务,可立即同步两个目录服务之间的所有相关信息和属性
- 一个不错的基于 Web 的管理界面,比 phpldapadmin 漂亮多了;)
所有这些都由 Univention 提供支持,因此如果您需要专业支持,可以联系他们。如果您想使用功能齐全的免费“核心版”,也可以联系 Univention 论坛咨询问题。有关 UCS 的更多信息,请访问Univention 的网站。
我希望能够帮助您!
谨致问候,马伦
顺便说一句,以防万一:在下一次勘误更新中,将有一种简单的方法来配置 sudoers。密码策略是通过 Univention 策略实现的,请参阅UCS 手册