93724
Feb 17, 2011, updated at 10:37:34 (UTC)
4522
0
0
Samba direkt gegen LDAP bzw. PAM authentifizieren
(Wie) ist es möglich, Samba-User direkt aus einem LDAP-Verzeichnis zu beziehen, ohne den NTLM-Hash separat speichern zu müssen?
Liebe Administratoren,
ich plane, für eine Arbeitsgruppe mit etwa 20 Benutzern einen (Linux-)Fileserver neu zu konfigurieren.
Dabei soll jetzt erstmals eine "Single-source-of-signon"-Lösung zum Einsatz kommen, um nicht an verschiedenen Stellen im Netzwerk Benutzerdaten gespeichert haben zu müssen.
Ich wollte dazu ein LDAP-Verzeichnis nutzen.
Mit PAM (und pam_ldap.so) und NSS läuft die Auth der Unix-Benutzer per SSH und direkt ohne Probleme.
Samba (mit ldapsam als passdb backend) speichert nun allerdings natürlich seine NTLM-Hashes und kann sich nicht direkt gegen einen DN im LDAP-Dir authentifizieren.
Gibt es eine Möglichkeit, das umzusetzen?
Das Problem ist jenes, dass die Daten zwar zentral im Verzeichnis gespeichert sind, aber in jedem DN dann eben wieder zwei Attribute Passwörter speichern.
Der zweite Punkt scheint mir am Sinnvollsten, aber auch keine saubere Lösung, wenn es auch anders gehen sollte.
Ich freu mich auf Antworten,
danke und viele Grüße,
Ferdinand
ich plane, für eine Arbeitsgruppe mit etwa 20 Benutzern einen (Linux-)Fileserver neu zu konfigurieren.
Dabei soll jetzt erstmals eine "Single-source-of-signon"-Lösung zum Einsatz kommen, um nicht an verschiedenen Stellen im Netzwerk Benutzerdaten gespeichert haben zu müssen.
- Genutzte Dienste sind hierbei:
- Samba3 (nicht als DC, sondern als Backup- und DataExchange-Medium)
- eine Webapp auf PHP-Basis (nur ggf.)
- SSH/Systemlogins
Ich wollte dazu ein LDAP-Verzeichnis nutzen.
Mit PAM (und pam_ldap.so) und NSS läuft die Auth der Unix-Benutzer per SSH und direkt ohne Probleme.
Samba (mit ldapsam als passdb backend) speichert nun allerdings natürlich seine NTLM-Hashes und kann sich nicht direkt gegen einen DN im LDAP-Dir authentifizieren.
Gibt es eine Möglichkeit, das umzusetzen?
Das Problem ist jenes, dass die Daten zwar zentral im Verzeichnis gespeichert sind, aber in jedem DN dann eben wieder zwei Attribute Passwörter speichern.
- Um das Passwort zu ändern bin ich also auf das CLI und smbpasswd (mit ldap passwd sync = Yes) angewiesen.
- Über eine Webapp den Benutzer das Passwort ändern zu lassen, ist also dann nur möglich, wenn ich
- PHP auf Apache direkt smbpasswd ausführen lasse (bzw. ein Shellscript schreibe, das mir das wrappt) (mit entsprechender Sudo-Config)
- mir selbst eine Lösung bastle, die mit PHP das DN-Passwort und den NTLM-Hash im DN modifiziert.
Der zweite Punkt scheint mir am Sinnvollsten, aber auch keine saubere Lösung, wenn es auch anders gehen sollte.
Ich freu mich auf Antworten,
danke und viele Grüße,
Ferdinand
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161006
Url: https://administrator.de/contentid/161006
Printed on: April 25, 2024 at 16:04 o'clock
