Samba 4 + OpenLDAP

[oleynik]

Здравствуйте, возможна ли реализовать аутентификации пользователей в samba 4 (AD) через OpenLDAP? Интересуют любые идеи реализации данной схемы.

[oleynik]

Так же интересует вопрос если аутентификацию пользователей через внешний OpenLDAP нельзя настроить можно ли хотя бы синхронизировать Samba4 LDAP с OpenLDAP 

[egor]

Здравствуйте!

Здравствуйте, возможна ли реализовать аутентификации пользователей в samba 4 (AD) через OpenLDAP? Интересуют любые идеи реализации данной схемы.

Как я понял, вопрос интеграции samba4 и OpenLDAP так ничем и не решился. Что касается какого-либо рода прокси-аутентификации к имеющемуся OpenLDAP-каталогу, то тут вряд-ли получится что-то путное, поскольку в "родном" каталоге samba4 слишком сложная структура данных (это же копия AD), и в процессе своей работы samba4 очень плотно взаимодействует со своим каталогом, причём не только на чтение.

Так же интересует вопрос если аутентификацию пользователей через внешний OpenLDAP нельзя настроить можно ли хотя бы синхронизировать Samba4 LDAP с OpenLDAP 

Тоже вряд ли -- выцепить из samba4 пароли практически невозможно.

Возможные варианты:
1. Использовать samba4 как основной ldap-каталог и привязывать другие сервисы к нему (см. http://pro-ldap.ru/books/samba4/ldap/schema.html).
2. Настроить OpenLDAP как прокси к samba4 через slapd-ldap (см. http://pro-ldap.ru/forum/index.php?topic=53.msg203#msg203).
3. Наконец, "приклеить" ветку из samba4 к уже имеющемуся каталогу OpenLDAP -- всё тот же slapd-ldap c директивой subordinate настраивается ПЕРЕД имеющейся БД, примерно так:

Код: [Выделить]

include         /etc/openldap/schema/core.schema
include         <...>

moduleload      back_mdb.la
moduleload      back_ldap.la


# Первая база
database        ldap
readonly        yes
rebind-as-user  yes
suffix          "ou=Users,dc=samba4,dc=mycompany,dc=ru"
uri             ldap://192.168.0.20/
subordinate

idassert-bind   bindmethod=simple
                binddn="CN=Some User,CN=Users,DC=samba4,DC=mycompany,DC=ru"
                credentials="somePassword"
                mode=self   
idassert-authzFrom     "dn:*"
                           
overlay                 rwm
rwm-rewriteEngine       on
rwm-suffixmassage       "ou=Users,dc=samba4,dc=mycompany,dc=ru" "cn=Users,dc=samba4,dc=mycompany,dc=ru"

# Вторая база
database        mdb
suffix          "dc=mycompany,dc=ru"
<...>

Егор

[oleynik]

Спасибо огромное! 

[travis_bickle]

Привет!

Прошу автора темы или других отписать о выполнении задачи! Получилось ли?

Или более подробно объяснить как настроить авторизацию в домене SAMBA4 AD используя OpenLDAP каталог. Каким-либо образом. C учетом того, что slapd.conf является устаревшим

Очень прошу откликнуться!

[egor]

Здравствуйте! Я написал автору темы, попросил откликнуться.

Моё мнение с прошлого раза не изменилось -- samba4 с OpenLDAP не интегрируется. Варианты решения я тоже уже приводил, посмотрите ссылки в указанном посте.

Егор

[travis_bickle]

Спасибо, egor

Насчет первого варианта из предложенных - понятно.

Правильно ли я понимаю, вариант прокси подразумевает периодическую репликацию каталогов , т.е. каталоги д.б. идентичны?

Объясните пожалуйста в общих чертах механизм работы  варианта три - "приклеить" ветку AD к OpenLDAP?

Иными словами, первый вариант (расширение схемы каталога AD) мне подходит. Но тогда придется переносить данные из уже имеющегося OpenLDAP каталога, через который уже работает авторизация нескольких сервисов, и который содержит атрибуты, которых нет в стандартной AD схеме.

Позволяют ли второй и третий варианты избежать репликации?

Спасибо за помощь и терпение)

[egor]

Здравствуйте!

Правильно ли я понимаю, вариант прокси подразумевает периодическую репликацию каталогов , т.е. каталоги д.б. идентичны?

Объясните пожалуйста в общих чертах механизм работы  варианта три - "приклеить" ветку AD к OpenLDAP?

Позволяют ли второй и третий варианты избежать репликации?

Как и любой прокси-сервер, slapd в конфигурации прокси просто выступает посредником между клиентом и удалённым сервером. Клиент делает поисковый запрос в базой в каком-то контексте именования. slapd видит, что этот контекст именования обслуживается прокси-механизмом (back_ldap) и делает запрос на удалённый сервер согласно настроек этого механизма. Полученный ответ может быть каким-то образом преобразован (или не преобразован) и возвращён клиенту. Это может быть сделано, например, для организации анонимного доступа к определённым веткам AD чтобы получать оттуда данные в адресные книги почтовых клиентов, для преобразования контекстов именования в нужные и т.п. Советую посмотреть man-страницу slapd-ldap. Ни о какой репликации речь не идёт. Только запросы, ничего более.

Различие между вторым и третьим вариантом в форме представления контекстов именования. Например, у Вас есть OpenLDAP с настроенной БД с суффиксом dc=mycompany,dc=ru, и есть AD. Тогда во втором варианте Вы настраиваете вторую БД в OpenLDAP с механизмом ldap и суффиксом dc=mycompany-ad,dc=ru, и обращаетесь, по мере необходимости, то туда, то туда. В третьем варианте Вы настраиваете  вторую БД в OpenLDAP с механизмом ldap и суффиксом ou=AD,dc=mycompany,dc=ru, и с помощью директивы subordinate "приклеиваете" её к уже имеющемуся каталогу. Тогда обращения Ваши будут как-бы с единым контекстом именования, slapd сам распределит, куда направить запрос. Надеюсь, более-менее понятно. Часть данных будет в OpenLDAP, часть -- в AD, но получить и те, и другие можно будет одним запросом, а не двумя.

Иными словами, первый вариант (расширение схемы каталога AD) мне подходит. Но тогда придется переносить данные из уже имеющегося OpenLDAP каталога, через который уже работает авторизация нескольких сервисов, и который содержит атрибуты, которых нет в стандартной AD схеме.

Всё зависит от того, зачем Вам понадобился samba4. Если Вы решили проводит в нём аутентификацию всех своих пользователей, то так или иначе придётся переносить туда данные о них. Что касается атрибутов, которых нет в AD, так моя статья как раз и рассказывает о том, как туда их добавить =) .

Егор

[travis_bickle]

Большое спасибо, теперь ясно.

Мой вариант - расширять схему. Ваш мануал по ссылке из пункта 1 действительно хорошо объясняет процесс.

Но по сути мне не хватает в стандартной AD схеме только возможности добавлять фотографии. Остальные необходимые атрибуты я могу заменить используя уже имеющиеся в AD - все равно все переносить. Сам Майкрософт расширяет схему AD путем добавления Exchange или SharePoint - тогда появляется возможность добавлять фотки и т.д.

Я думаю в сторону расширения схемы Samba AD путем добавления аналогичной Exchange схемы.
Почему?
Я планирую использовать впредь стандартный виндовый интерфейс Remote Server Administration Tools (RSAT) для корректного добавления новых пользователей.
Я рассчитываю, что расширение схемы таким образом расширит, в свою очередь, сам интерфейс добавления пользователя (не факт), как это происходит. когда все на винде. Т.е. появится вкладка Exchange и там добавление фото.

Для работы с OpenLDAP мне было удобно пользоваться Apache Directory Studio, но для добавления пользователей AD он не подходит (или я чего-то не понимаю). Через него было удобно добавлять фотографии в OpenLDAP и даже открывался удобный интерфейс добавления фото, преобразующий бинарный формат. Однако при работе с AD этот интерфейс не вызывается, и нельзя увидеть уже загруженное фото. Это конечно полбеды.

Главное, не хочется сначала добавлять юзеров через виндовый RSAT, а потом через Apache Directory Studio лепить фотографии. Хочется пользоваться одним инструментом.

Стоит ли двигаться в этом направлении, или есть более разумные или простые варианты? Вероятно, Вам лучше видно с высоты Вашего опыта и понимания системы.

[egor]

Здравствуйте! Простите, что так долго не отвечал -- был вне интернета =) .

На самом деле, большого опыта работы с samba4 у меня нет: несколько недель экспериментов и перевод на samba4-домен одного небольшого подразделения (опять же, в качестве эксперимента). Так что у меня сейчас работает третий вариант: основная часть пользователей в каталоге на OpenLDAP и "приклеенная" к нему ветка из samba4. Именно поэтому мне нужны были нестандарные атрибуты, которые для программ, получающих данные из каталога, как раз являются "стандартными". В общем, чтобы не делать глобальных изменений, я добавил в AD-схему samba4 нужные мне элементы. Кстати, их можно просмотреть через RSAT, нужно включить в AD UAC Вид->Дополнительные компоненты (View->Advanced Features).

Вам удалось добавить Exchange-схему? Привело ли это к нужным изменениям в RSAT?

Хотелось бы узнать, что у Вас получилось.

Егор