Samba-認証にのみLDAPを使用しますか?
認証にLDAPサーバーを使用するようにSambaサーバーをセットアップしようとしていますのみが、SSSD、PAMなどからすべてのアカウント情報(ユーザーIDなど)をプルします。基本的に、サーバーはユーザー名とパスワードがLDAPに対してチェックされることを除いて、スタンドアロンサーバー。
LDAPサーバーはposixAccountおよびInetOrgPersonオブジェクトクラスのみを提供し、私の管理下にはありません。変更できません。
SambaをLDAPで機能させることについては、インターネット上に多くの情報がありますが、常にLDAPスキーマの変更が含まれます。それは私たちの状況では選択肢ではありません。私はのみユーザー名とパスワードに対してユーザーを認証したいので、それも必要ではありません。
ちなみに、Sambaは匿名バインドによる認証を許可しないことを知っています(パスワードはハッシュ化されて送信されるため)。私の知る限り、これはLDAP管理DNを提供することで対処される別の問題です。
システムは、SSSDを介して同じLDAPサーバーへのローカルログイン、SSHなどを認証するようにすでに設定されています。これは機能し、十分にテストされています。
ソフトウェア:RedHat 7.3、Samba 4.4.4、LDAPサーバーはOracle LDAPです(おそらくOpenLDAPに基づいていますが、私の管理外です)。
これを実現する方法についての説明を探しています。
答えは、少なくともパスワードハッシュをオフにし、セキュリティを大幅に損なうことなしには実行できないようです。
この問題は基本的に、最初にsmbpasswdファイルとユーティリティの作成につながったものと同じです。Sambaサーバーはプレーンテキストのパスワードを見ることはありません。パスワードは常にハッシュされます。ハッシュアルゴリズムは何年にもわたって変更されました。通常のLDAPスキーマに格納されているパスワードもハッシュされますが、異なるアルゴリズムが使用されます。
これを解決する唯一の方法は、LDAPスキーマを変更する(多くのサイトが推奨する)か、smbpasswdを使用するか、認証にKerberosを使用することです。