对于LDAPpipe理员帐户,属性sambaLMPassword / sambaNTPassword的最低权限是什么,以便Samba只是启用它来用于ldapsam后端的身份validation。
这似乎是auth是不够的,这是真的吗?
在cn=config表单中我使用了类似于:
olcAccess: {0}to attrs=userPassword,shadowLastChange by self write by anonymous auth by dn="cn=admin,dc=example,dc=org" write by * none olcAccess: {1}to attrs=sambaLMPassword,sambaNTPassword by dn.base="cn=admin,d c=example,dc=org" write by dn.base="cn=sambaservers,dc=example,dc=org" write by anonymous auth by self write by * none olcAccess: {2}to dn.subtree="ou=Computers,dc=example,dc=org" by dn.base=" cn=sambaservers,dc=example,dc=org" manage by * read olcAccess: {3}to dn.subtree="ou=Group,dc=example,dc=org" by dn.base="cn=s ambaservers,dc=example,dc=org" manage by * read olcAccess: {4}to dn.exact="sambaDomainName=DOMAINNAME,dc=example,dc=org" by dn.base="cn=sambaservers,dc=example,dc=org" write by * read olcAccess: {5}to dn.base="" by * read
ou=Computers和ou=Group条目是可选的,只对smbldap工具很重要。 samba对密码的写入权限也是可选的。 如果你愿意的话,你实际上可以脱身而不用samba写入sambaDomainName=DOMAINNAME,dc=example,dc=org 。
Samba读取哈希值,不会使用它们进行身份validation。