OpenLDAP, MIT Kerberos 및 Bind9를 실행하는 네트워크 도메인이 있습니다. 이제 특정 MS Windows 호스트가 NAS에 액세스하도록 허용하여 사용자 자격 증명이 내 LDAP 및 Kerberos 인프라 내에 유지되도록 하고 싶습니다. 분명히 이 질문에 대한 답은 Samba인 것 같았지만 몇 주간 통합 작업을 한 후에(저는 주로 자가 훈련을 위해 이 네트워크를 집에서 운영하고 있어서 하루에 몇 시간 이상 투자할 수 없었습니다), 통합 작업을 했습니다. 내 환경과 Samba가 너무 복잡한 것 같습니다.
이 시점에서 유일한 유효한 통합 옵션은 AD 모드(자체 LDAP 및 DNS와 함께 제공되지만 MIT Kerberos와 통합되어야 함)에서 Samba를 설정한 다음 내 LDAP 및 DNS 정보와 Samba의 통합을 해결하는 것입니다. 동기화 스크립트. 내 생각에 이 옵션은 오류가 발생하기 쉽고 리소스를 많이 소모합니다.
내 네트워크 설정은 꽤 표준적이라고 생각합니다. 그렇다면 이 경우 MS Windows 호스트와 파일을 공유하는 일반적인 방법은 무엇입니까? 큰 그림에서 뭔가 빠진 것 같은 느낌이 듭니다. 아마도 Samba가 올바른 솔루션이 아닐까요?
답변1
여러 번의 실패한 통합 작업 끝에 저는 제가 원하는 것이 현재 불가능하다는 결론에 도달했습니다. 다른 사람들도 유사한 시나리오에서 동일한 결론에 도달했습니다[1][2]. Andre Bartlett(Samba 팀의 인증 개발자)의 다음 답변에서는 인증 위임 옵션이 AD 또는 Samba 도메인[3]으로 제한된다는 점을 명확하게 설명합니다.
[...]
Samba4와 Cyrus SASL을 사용하여 외부 LDAP 서버에 인증을 위임할 수 있는 가능성에 대해 질문이 있습니다.
[...]
아니요, 불가능합니다. Samba는 인증 프로토콜이 일반 텍스트 비밀번호를 공개하지 않기 때문에 다른 LDAP 서버나 SASL이 아닌 AD 또는 Samba 도메인에만 인증을 위임할 수 있습니다. AD 및 Samba 도메인은 NTLM 통과 메커니즘을 지원하며 Kerberos 서버에서 발행한 Kerberos 티켓을 허용할 수 있습니다. '
AD DC가 되려면 암호에 대한 정보의 출처가 되어야 합니다. OpenLDAP 서버가 Samba AD DC와 통신하는 반대 배열을 제안할 수 있습니다.
또한 Samba를 도메인 컨트롤러로 배포하려고 시도했지만 자체 내부 LDAP 배포만 사용하고(즉, 실행 중인 LDAP와 통합되지 않음)[4] MIT Kerberos 지원이 매우 제한적이라는 것을 알게 되었습니다...[5]
비밀번호 기밀성을 희생하면서 PAM 인증[6]을 활성화할 수도 있지만 그것은 나에게 옵션이 아닙니다.
나는 이 질문을 열어두고 이 문제에 대한 누군가의 성공 사례를 듣고 싶습니다.
[1]https://serverfault.com/questions/644145/ubuntu-server-samba-pam-apple-opendirectory [2]https://serverfault.com/questions/264421/samba-file-server-pam-berkeley-db-or-samba-pam [삼]https://lists.samba.org/archive/samba/2015-March/189871.html [4]https://wiki.samba.org/index.php/FAQ#Is_It_Planned_to_Support_OpenLDAP_as_Back_End_for_Samba_AD.3F [5] 주요 Linux 배포판은 Heimdal Kerberos만 지원하는 Samba 패키지를 유지하는 것으로 보입니다. MIT Kerberos를 지원하는 Samba를 구축하기 위해 작성한 Dockerfile을 게시했습니다. 이 작업에 도움이 필요하면 다음 저장소에서 확인할 수 있습니다.https://github.com/glalejos/docker-debian-samba-mit-kerberos [6]https://www.samba.org/samba/docs/current/man-html/smb.conf.5.html#OBEYPAMRESTRICTIONS