Windows istemciler hesaplarının kimliğini doğrulamak için Samba4'ü OpenLDAP ile aynı sunucuda kullanmak


1

Zaten bazı hizmetlere karşı kimlik doğrulaması yapan OpenLDAP dizinim var (OpenVPN, Jabber, Freeradius, redmine, vb.). Ve hala yapmam gereken, sunucumu Windows istemcilerinin sunucumdaki diğer hizmetlerle aynı kullanıcı adı ve şifreyi kullanarak Windows'da oturum açmasına izin verecek bir etki alanı denetleyicisi yapmak.

Samba4'ü kurdum ve DC olarak ayarladım, fakat sorun şu ki, Samba4'un LDAP sunucusunda yerleşik olması ve bu nedenle OpenLDAP (tokat) servisini aynı anda Samba ile çalıştıramadım (çünkü aynı portu kullanıyorlardı ).

Biri bunu işe almam için bana yardım edebilir mi? (OpenLDAP portunu değiştirmeden ve NO pGina ile).

Yani yaz aylarında yapmak istediğim şey: Samba4 etki alanı denetleyicisinin ve OpenLDAP'in aynı sunucuda çalışmasını sağlama ve Samba4'ün, Windows kullanıcılarının Windows'ta giriş yapmalarına izin veren OpenLDAP dizinindeki kullanıcı adı ve şifremi kullanarak oturum açmalarını sağlamak için bu OpenLDAP üzerinde kimlik doğrulamasını yapma.

Herhangi bir yardım için gerçekten minnettarım, bir haftadan fazla bir başarı ile arama yaparak geçirdim).

Yanıtlar:


3

Bunu yapamazsın. İlk olarak, Windows'un kullandığı kimlik doğrulama yöntemlerinden hiçbiri - ne modern Kerberos, ne de eski NTLM - OpenLDAP'te sakladığınız şifreli şifrelerle kullanılamaz. Samba 3, OpenLDAP'i arka uç olarak yapabilse de, NTLM uyumlu şifre karmalarını normalden ayrı olarak depolamak zorunda kaldı. userPassword. Linux pam_ldap doğrulama için sadece ham parolayı sunucuya göndermekten memnun olabilir; Windows bunu yapmaz.

İkincisi, Active Directory kimlik doğrulamasından öte bir şey değildir - gerçek bir Kerberos KDC bile Samba4'ün entegre KDC'si tarafından yapılan tüm işlevleri çoğaltmaz (öncelikle, PAC'leri kullanıcının UID'sini ve LDAP'den alınan diğer şeyleri içeren Kerberos biletlerine ekler) sadece başlangıç. Windows ayrıca AD DC'nin, Active Director'ın LDAP şemasına göre LDAP girişlerine sahip olmasını ve çeşitli MS-RPC hizmetlerini de desteklemesini bekler - bilgisayarın etki alanına katılması, hesap bilgileri vb. İçin.


Öyleyse, tüm hizmetler için aynı kullanıcı adlarını ve şifrelerini kullanan tüm şirketler (Windows oturumu dahil) Windows Active Directory kullanıyor mu? Ve benim tek çözümüm pGINA? (Bu durumda pGINA'nın uygun bir uzun vadeli ve üretim ortamı çözümü olduğunu düşünüyor musunuz?
Mohammed Noureldin

Bazıları hala Novell Netware kullanıyor (veya ismini değiştiren şey), ama açıkçası bu daha da kötü. En azından Samba4'a hem Windows AD istemcilerine hem de normal LDAP istemcilerinize hizmet verebilirsiniz. (FreeRADIUS için ntlm_auth, hem PAP hem de MSCHAPv2'yi kullanabilir.)
grawity

Üzgünüm tam olarak ne anlama geldiğini anlamadım, biraz daha netleştirebilir misiniz?
Mohammed Noureldin
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.