Menggunakan Samba4 dengan OpenLDAP pada server yang sama untuk mengautentikasi akun klien Windows

1

Saya sudah memiliki direktori OpenLDAP dengan beberapa layanan melakukan otentikasi terhadapnya (OpenVPN, Jabber, Freeradius, redmine, dll ...). Dan yang masih perlu saya lakukan adalah menjadikan server saya pengontrol domain untuk memungkinkan klien Windows untuk masuk ke Windows menggunakan nama pengguna dan kata sandi yang sama dengan layanan lain di server saya.

Saya menginstal Samba4 dan mengaturnya sebagai DC, tetapi masalahnya adalah, bahwa Samba4 dibangun di server LDAP, dan oleh karena itu saya tidak dapat menjalankan layanan OpenLDAP (slapd) secara bersamaan dengan Samba (karena mereka menggunakan port yang sama ).

Adakah yang bisa membantu saya untuk membuatnya bekerja? (TANPA mengubah port OpenLDAP, dan dengan NO pGina).

Jadi pada musim panas, apa yang ingin saya lakukan adalah: Mendapatkan pengontrol domain Samba4 dan OpenLDAP untuk berjalan di server yang sama, dan membuat Samba4 mengotentikasi terhadap OpenLDAP untuk memungkinkan pengguna Windows untuk masuk ke Windows menggunakan nama pengguna dan kata sandi dari previus saya yang dibuat OpenLDAP direktori.

Saya sangat menghargai bantuan apa pun, saya menghabiskan lebih dari seminggu mencari tanpa hasil).

Mohammed Noureldin
sumber

Jawaban:

3

Kamu tidak bisa melakukan itu. Pertama, tidak ada metode otentikasi yang digunakan Windows - baik Kerberos modern maupun NTLM yang lebih lama - tidak dapat digunakan dengan kata sandi hash apa pun yang Anda simpan di OpenLDAP. Walaupun Samba 3 dapat menggunakan OpenLDAP sebagai backendnya, Samba 3 tetap membutuhkan penyimpanan hash kata sandi yang kompatibel dengan NTLM secara terpisah dari yang biasa userPassword. Linux pam_ldap mungkin senang hanya dengan mengirim kata sandi mentah ke server untuk verifikasi; Windows tidak melakukan itu.

Kedua, Active Directory lebih dari sekedar otentikasi - bahkan KDC Kerberos nyata tidak menduplikasi semua fungsi yang dilakukan oleh KDC terintegrasi Samba4 (terutama, melampirkan PAC ke tiket Kerberos, berisi UID pengguna dan hal-hal lain yang diambil dari LDAP), tapi itu hanya awal. Windows juga mengharapkan AD DC juga memiliki entri LDAP sesuai dengan skema LDAP Direktori Aktif, dan untuk mendukung berbagai layanan MS-RPC - untuk menggabungkan komputer itu sendiri ke domain, untuk mendapatkan informasi akun, dan sebagainya.

grawity
sumber
Jadi semua perusahaan, yang menggunakan nama pengguna dan kata sandi yang sama untuk semua layanan (termasuk login windows) menggunakan Windows Active Directory? Dan satu-satunya solusi saya adalah pGINA? (Dalam hal ini menurut Anda apakah pGINA adalah solusi lingkungan produksi dan jangka panjang yang cocok?
Mohammed Noureldin
Yah beberapa dari mereka masih menggunakan Novell Netware (atau apa pun namanya), tetapi terus terang itu bahkan lebih buruk. Setidaknya Anda dapat memiliki Samba4 yang melayani klien Windows AD dan klien LDAP biasa. (Untuk FreeRADIUS, ntlm_auth dapat menangani PAP dan MSCHAPv2.)
grawity
Maaf saya tidak mengerti apa yang Anda maksud, bisakah Anda mengklarifikasi lebih banyak?
Mohammed Noureldin