Технология Stuff – Samba PDC + LDAP

Original version:http://www.zytrax.com/tech/howtos/samba.html

Эта страница в настоящее время ужасно устарела, но все же может предоставить полезный фон. Однажды, когда у нас нет ничего полезного, мы можем обновить его. В конце концов, это всего лишь номер 273 в нашем списке задач.

Мы решили заменить устаревший PDC NT4.0 решением FreeBSD + Samba + LDAP для поддержки нашей смешанной сети Windows, Linux и FreeBSD. Реализация, которую мы использовали, была:

Мы решили заменить устаревшую NT4.0 PDC с решением FreeBSD + Samba + LDAP для поддержки нашей смешанной сети для Windows, Linux, FreeBSD. Реализация мы использовали:

  1. Samba 3.0.6
  2. FreeBSD 4,10
  3. OpenLDAP 2.2.15

Мы стараемся указывать различия для наших менее удачливых братьев и сестер Linux – просто шутим! Этот HOWTO решает проблему настройки LDAP и Samba. Если вам нужна помощь в настройке samba, это не место для вас.

Содержание

  1. Обзор и справочная информация
  2. Диспетчер локальной сети NT
  3. LDAP Структура
  4. Настройка и распределение LDAP
  5. Файлы и примеры
  6. параметры smb.conf LDAP
  7. Руководство OpenLDAP

Обзор и справочная информация

Наша конечная цель – единый вход для удобства администратора, а не для достижения высоких целей. FreeBSD 4.10 дает нам временную проблему, поскольку не поддерживает системный вход в систему через LDAP. Это означает, что мы должны реплицировать тех пользователей, которым требуются системные ресурсы доступа как в LDAP, так и через add_user. Если вы являетесь пользователем Linux или FreeBSD 5.x, это не проблема. Несмотря на это, мы продолжили:

  1. Фактическое число пользователей, которым требуется доступ к системным ресурсам, невелико по сравнению с общим числом пользователей – мы сохраняем несистемные пользователи для электронной почты, FTP и веб-доступа в той же структуре LDAP (смотри эту таблицу).
  2. FreeBSD 5.x поддерживает вход в систему LDAP через службы NSS, поэтому, когда мы наконец переходим к 5.x, нам просто нужно прекратить ручную синхронизацию – например, прекратить стучать головой о стену, мы ожидаем, что это будет приятно, когда это произойдет.
  3. Мы решили, что базовая архитектура на основе каталогов является фундаментально «правильной вещью» для будущего – поэтому любая временная трудность – это просто удар по дороге в будущее (впечатляющий или что-то еще!).

    Поэтому мы установили Samba как PDC с аутентификацией, отличной от LDAP, и запустили ее как тестовую систему только для подтверждения конфигурации PDC. Впоследствии мы увидели, что это предложено в документации Samba, и рассмотрим его глубоко мудрые советы. Не начинайте с реализации LDAP, если вы не сделали все это раньше или у вас высокий порог боли.

Теперь мы пришли к добавлению LDAP к конфигурации, а также к проблемам и вопросам, которые были начаты, – и на самом деле это основной мотив написания этого HOWTO. Что делают все объектные классы Samba? Нам нужны они все? Как мы можем настроить LDAP для их использования? Мы много раз использовали и настраивали Samba и никогда даже не видели терминов SID и RID – только то, что они и что более важно ПОЧЕМУ мы должны знать о них?

Крайне важно понять, что последствием выбора реализации LDAP является то, что вы обязательно подвергаетесь воздействию всего этого нежелательного SID / RID-мусора, а также ряда других вещей, просто потому, что конфигурация LDAP (базы данных аутентификации) не находится под Контроль кода Samba – тогда как при аутентификации tdbsam код Samba управляет своей базой данных аутентификации и, следовательно, делает много автоматических вещей – что имеет верх, заставляя вас думать, что вы умнее, чем вы. В реализации LDAP вы – ace sys admin – должны выполнить всю работу, которая по умолчанию установлена в tdbsam, – которая имеет нижнюю сторону напоминания о том, насколько вы тупые!

Вы можете сэкономить много агонии, не используя LDAP. Мы решили, что другие преимущества LDAP (общий источник данных blah, blah, blah и т. Д.) Стоили боли. Вернее, однажды мы подвергнемся боли, и в результате крайней травмы она будет стерта из нашей памяти (похожей на детское рождение – или, как нам достоверно сказано). Или, может быть, мы просто испытываем боль!

Некоторые советы

Мы запутались очень легко – вот некоторые вещи, которые мы считаем очень важными, чтобы помнить или в некоторых случаях забыть:

  1. Если вы знаете LDAP лучше, чем Samba, даже не смотрите на схему Samba, пока не вникнете в реализацию – мы получили слепое (часто это происходит), пытаясь понять, что и где должны были быть определены все объектные классы – в В некоторых случаях Samba автоматически использует их. Обратное проектирование из схемы – Bad Thing ™.
  2. Если у вас нет существующей LDAP-системы, вы можете сделать это не хуже, чем слепо следовать IDEALX Samba Howto, который действительно является лучшим документом на Samba PDC плюс LDAP. IOHO, однако, они полагают, что вы либо знаете много, либо готовы принять жребий как должное. В нашем постоянном поиске истины и знания мы не попадали ни в одну категорию (это напыщенно или что-то). В качестве альтернативы вы можете предположить (возможно, более правильно), что мы просто слишком глупы, чтобы следовать инструкциям!
  3. Если у вас есть существующая LDAP-система и происходит слияние аутентификации Samba LDAP, вам нужно понять немного больше, но потратьте время, потому что если вы не используете некоторые из этих инструментов, это может привести к серьезным проблемам.
  4. Начните с понимания и определения параметров Samba LDAP smb.conf, а затем выясните, что вы должны сделать для OpenLDAP. Примечание: в отношении параметров smb.conf мы обнаружили ряд ссылок на нестабильную проверку параметров с помощью samba – когда мы посмотрели на код, чтобы получить точный формат пары параметров, мы обнаружили, что это не совсем правда. С тривиальными исключениями нет ВАРИАЦИИ ПАРАМЕТРОВ. Вы можете легко получить нежизнеспособную конфигурацию Samba, получив пару параметров smb.conf неправильно – теперь мы теперь считаем себя среди мировых экспертов в этой форме конфигурации Samba – нежизнеспособных конфигураций, которые есть! Поэтому, если Samba не работает, когда вы сначала загружаете его, забудьте дружественные файлы журналов и внимательно посмотрите на свои параметры.

 

NT LAN NTLM Manager)

Мы обнаружили, что нам нужно больше знать о LAN-менеджере, чем мы когда-либо хотели знать – или, скорее, чтобы понять процесс настройки Samba, мы продолжали спотыкаться о терминах и концепциях, что у нас было смутное подозрение, которое мы только наполовину поняли, – мы были в целом правильными В нашем подозрении – мы только наполовину их поняли! Мы собрали вместе справочную страницу, которую мы называем справочником по выжившим в NTLM. Мы также ссылаемся на эту страницу по мере необходимости из нижеследующего текста, чтобы предоставить дополнительную информацию.

 

LDAP Структура

LDAP Samba требует, чтобы вы определили 5 ключевых параметров (все параметры LDAP) и соответственно структурировали вашу иерархию LDAP:

  1. Где в иерархии LDAP хранятся учетные записи пользователей NTLM – с использованием параметра суффикса пользователя ldap. Каждая учетная запись пользователя NTLM должна сопоставляться с учетной записью UNIX (POSIX) в PDC. Выполняется с использованием объектного класса AUX sambaSamAccount.
  2. Где в иерархии LDAP хранятся группы NTLM – с помощью параметра суффикса группы ldap. Каждая группа, которая может быть встроенной или определяемой пользователем, должна сопоставляться с группой UNIX (POSIX) в PDC.
  3. Где в иерархии LDAP хранятся учетные записи NTLM машины – с помощью параметра суффикса машины ldap.
  4. Дополнительно Где в иерархии LDAP группы отображение NTLM хранится информация – с помощью LDAP IDMAP суффикса параметра.
  5. Kinda Optional  Пользователь и пароль, используя параметр ldap admin dn. Это может быть обычный параметр rootdn OpenLDAP – это, тем не менее, имеет тот недостаток, что Samba может писать в любое место в вашем LDAP DIT – если когда-нибудь Samba решит пойти немного дико, у вас может возникнуть несколько проблем. Это гораздо разумнее и рекомендуется, чтобы вы определяли отдельного пользователя в DIT, у которого есть разрешения на изменение, добавление и чтение только конкретных полей Samba (Недостатком является необходимость определения доступа к клаузуле). Жизнь никогда не бывает легкой.

LDAP DIT

Как вы определяете этот материал, будет зависеть от того, есть ли у вас существующий каталог LDAP или нет, и если у вас есть существующая реализация, то какие данные (objectclasses) она в настоящее время содержит. Давайте рассмотрим три случая:

Нет существующей реализации LDAP

Это самое простое состояние – следуйте за рабским руководством IDEALX Samba PDC. Они знают, что делают. Вы собираетесь создать LDAP-систему, адаптированную к Samba, поэтому DIT-структуру можно оптимизировать для этой цели.

Существующий LDAP – Только справочная информация

Если вы используете существующую реализацию каталога, например. На основе, скажем, лица или inetOrgPerson, и он не содержит информации безопасности для управления доступом к системным ресурсам, например. Системный вход в систему – но вы можете использовать его для проверки подлинности электронной почты, доступа LDAP, доступа к ftp и т. Д., Тогда вы должны сделать некоторые выборы. По умолчанию Samba использует атрибуты uid (управляемые параметром фильтра ldap).

Существующие LDAP – Информация о безопасности

Настройка и LDAP населения

В разработке

Файлы и примеры

В разработке

 


Leave a Reply

Your email address will not be published. Required fields are marked *