我正在设置 Samba AD/DC 服务器,据我所知,我必须使用 Samba 提供的“内置”LDAP 服务器。我的问题是,Samba LDAP 服务器是一个功能齐全的 LDAP 服务器吗?我可以替换现有的 LDAP 服务器,改用 Samba 服务器吗?重点当然是拥有一个包含用户名和密码的数据库,并最终将 Samba LDAP 重新用于支持 LDAP 的所有其他服务/设备,即网络路由器、电子邮件服务器等。为了确认,我得出的结论是正确的,Samba v4 AD 不支持第三方 LDAP 服务器,或者至少不支持 OpenLDAP?
谢谢您的任何建议。
答案1
引用桑巴维基:
从 4.0 版本开始,Samba 能够作为 Active Directory (AD) 域控制器 (DC) 运行。
因此,大多数可以使用 AD 完成的事情都可以使用原生 samba ldap 服务器完成。您可以将其用于网络设备的 radius,将其集成到您的电子邮件软件中等等。但您为什么不亲自尝试一下呢?
至于你关于 openldap 的问题,它是一个samba wiki 中的常见问题解答:
Active Directory 需要 LDAP 服务器不支持的功能,例如存储在目录中的 ACL 和不同的架构。
人们要求将 OpenLDAP 作为 AD 的后端的主要原因之一是,他们目前使用 OpenLDAP 后端将 Samba 作为 NT4 PDC 运行,并且希望迁移到 Samba AD,而无需手动将目录数据传输到 AD。但是,即使 OpenLDAP 成为 Samba AD DC 上受支持的后端,目录架构也将是 AD 架构。这意味着,您必须更新使用来访问目录的外部应用程序,例如,当您使用 Samba 内部 LDAP 服务器时,您必须这样做。此外,您还必须从旧 LDAP 服务器手动导入未包含在 AD 架构中的属性。
是否计划支持 OpenLDAP 作为 Samba AD 的后端?
目前,该项目尚未开展任何活跃工作。
最大的问题是 AD DC 的复杂性很大一部分在于 LDB 模块。创建通用的 OpenLDAP 后端需要在标准 Samba 编程环境之外重写许多这些模块作为 OpenLDAP 覆盖。
具体问题包括:
the metadata required for both DRS replication and dirsync
schema manipulation
transactions
access control lists (ACL)
Samba 团队决定不将此作为开发途径,并且没有提出重新开放此功能的有效方法。