2016年即将到来。 我们仍然使用openldap。
我已经从现有的用户从Ubuntu 12.04的OpenLDAP服务器。 它除了通过sssd在ubuntu主机上包含用户,组和机器账户信息外,还提供了authentication层。
我在Ubuntu上有samba文件服务器,它通过pam和非标准系统帐户对用户进行身份validation。 我使用pam_smbpass.so pam模块在文件服务器上的tdb samba db中同步用户名/密码。 这不是一个好的解决方法,因为用户必须首先在FTP服务上通过身份validation。 然后他们可以访问samba共享。
我决定从12.04到14.04迁移ldap服务器,并在14.04发现了一个新的slapd-smbk5pwd软件包。 它将包含smbk5pwd openldap模块。 此模块可以更新samba特定属性的密码,如sambaNTPassword 。
我在testing容器上使用sambascheme成功地在新版本的ubuntu上迁移了ldap目录,用于testingsmbk5pwd模块。 但面临缺乏桑巴特定的属性。
我必须编写一个脚本,用sambaSamAccount等适当的samba属性更新现有的用户。在ibm kb上有很好的文档logging。 对我来说没有问题。
但在这种情况下,我已经很难algorithm(我使用phpldapadmin添加新用户)变得更加复杂。 有必要手动向新用户添加其他属性。 每次必须生成新的sambaSID,并使用模板化的ldif文件更新目录中的用户。
有smbldap-tools软件包和smbldap-useradd工具。 但我从来没有用过它们。 也许我应该只通过smbldap-useradd创build用户? 对于ubuntu机器的auth和samba服务器来说就足够了?
我可以在这样的计划中遇到什么问题?
在我的情况下是否有更简单的方法来支持用户?
Samba4必须使用许多标准的unix模式进行扩展。 在现实世界中可能吗?
我们大部分的桌面系统都是ubuntu和macosx系统。 我们还需要sudoers和ppolicyscheme来locking帐户,并受到暴力保护。
只是分享我的经验。
我的组织数据在OpenLDAP上。 OpenLDAP将保持。
我们计划在AD支持下将OpenLDAP与samba4配对。 这是另一个目录服务:它不能基于OpenLDAP(也许是4.4版,但现在没有人确定)。
但是有一个方便的工具来将数据从OpenLDAP迁移到AD(samba4是兼容的): lsc
当然,你需要一些特殊的魔法机器来保持密码同步:但我认为你可以devise它。
只是一个真实的用例,
我正在Univention工作,除非您想重新发明轮子,否则我build议您查看Univention Corporate Server(UCS),这是一个免费的,基于Debian的企业级操作系统。 它应该能够满足您的需求,因为它适用于异构环境的域/身份pipe理。 它提供了您提到的function:
所有这一切都得到了Univention的支持,所以如果你需要专业的支持,就有人来打电话。 如果你想使用免费的“核心版”,这是全function的,你也可以联系Univention论坛提出问题。 更多关于UCS的信息在Univention的网站上 。
我希望,我能够帮助你!
最好的问候,玛仁
顺便说一下,以防万一:有一个简单的方法来configurationsudoers与下一个勘误更新之一。 密码策略通过Univention策略实现,参见UCS手册