Integración de Samba con LDAP

De Deseño, implantación e configuración dun dominio/rede Linux.
Ir a la navegación Ir a la búsqueda
  • Unha vez temos instalado o servidor de Samba como controlador de dominio e o servidor LDAP, só nos queda configurar o servidor de samba para que autentifique aos usuarios contra o servidor LDAP e teñamos así un único almacén de usuarios centralizado no dominio.

Instalación dos paquetes necesarios

  • En primeiro lugar, instalaremos o paquete smbldap-tools, que contén un conxunto de scripts para manter a interacción entre o servidor samba e o LDAP.


Configurar Samba para que autentifique contra o LDAP

  • Podemos usar swat ou editar o ficheiro de configuración de samba para modificar os seguintes parámetros na configuración:
    • Indicámoslle a samba que use o ldap para almacenar os usuarios:
passdb backend = ldapsam:ldap://localhost
    • Estes scripts permiten que o servidor de samba poida dar de alta máquinas no LDAP (por exemplo, cando se agrega un equipo no dominio) e xestionar os usuarios e grupos, de forma que se podes así manipular con ferramentas de xestión de Windows:
add user script = /usr/sbin/smbldap-useradd -a -m '%u'
delete user script = /usr/sbin/smbldap-userdel '%u'
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u'  '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u'  '%g'
set primary group script = /usr/sbin/smbldap-groupmod -g '%g'  '%u'
add machine script = /usr/sbin/smbldap-useradd -w '%u'
    • Parámetros para a conexión co LDAP e localizar os distintos elementos:
ldap admin dn = cn=Manager,dc=omeudominio,dc=local
ldap group suffix = ou=group
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=machines
ldap passwd sync = Yes
ldap suffix = dc=omeudominio,dc=local
ldap ssl = no
ldap user suffix = ou=People
    • Con estes parámetros samba usará o servidor LDAP para obter a asignación entre UIDs e GIDs cos identificadores dos usuarios en Windows:
idmap backend = ldap:ldap://localhost
idmap uid = 10000-20000
idmap gid = 10000-20000
  • Para rematar, temos que proporcionarlle ao servidor de samba a clave do administrador do LDAP para que poida acceder a este servizo con privilexios administrativos. Esta clave non se almacena como un parámetro máis do servidor de samba porque o ficheiro de configuración de samba pode ser lido por todos os usuarios.
  • Para subministrar a clave usaremos o comando smbpasswd
smbpasswd -w clave


Cubrir a estrutura base do LDAP para o dominio Windows

  • Agora é necesario introducir no LDAP a estrutura de usuarios e grupos necesaria para un controlador de dominio (grupos de administradores de dominio, ordenadores do dominio, etc.). Debemos editar dous ficheiros de configuración do paquete smbldap-tools:
    • /etc/smbldap-tools/smbldap.conf: Modificaremos os seguintes parámetros:
SID="S-1-5-21-3596143854-3156901602-3839263879" (obtémolo de net getlocalsid)
sambaDomain="omeudominio"
ldapTLS="0"
suffix="dc=omeudominio,dc=local"
    • /etc/smbldap-tools/smbldap_bind.conf: Quedaŕá da seguinte forma:
slaveDN="cn=Manager,dc=omeudominio,dc=local"
slavePw="ldap123."
masterDN="cn=Manager,dc=omeudominio,dc=local"
masterPw="ldap123."
  • Executamos o comando smbldap-populate, que creará as entradas no LDAP e ao rematar nos pedirá a clave para o root do dominio (abc123.):
smbldap-populate
  • É recomendable eliminar posteriomente o ficheiro smbldap_bind.conf por motivos de seguridade, ou quitar del a clave do administrador de LDAP.

Modificar os usuarios migrados de Linux

  • Por defecto, os usuarios migrados de Linux cos scripts do paquete migrationtools non están incluídos como usuarios do dominio samba nas propiedades de LDAP, e tampouco teñen a clave de samba configurada.
  • Deberemos modificar os usuarios que nos interese pasar ao dominio, cambiando as súas propiedades no apartado Samba 3:

Lam password.jpg


Lam password1.jpg