Samba - 인증에 LDAP만 사용하시겠습니까?

Samba - 인증에 LDAP만 사용하시겠습니까?

인증을 위해 LDAP 서버를 사용하도록 Samba 서버를 설정하려고 합니다.오직, 그러나 SSSD, PAM 등에서 모든 계정 정보(사용자 ID 등)를 추출합니다. 기본적으로 서버는 사용자 이름과 비밀번호가 LDAP에 대해 확인된다는 점을 제외하면 독립형 서버처럼 작동해야 합니다.

LDAP 서버는 객체 클래스만 제공 posixAccount하며 InetOrgPerson변경할 수 없습니다.

Samba를 LDAP와 함께 작동시키는 방법에 대한 많은 정보가 인터넷에 있지만, 여기에는 항상 LDAP 스키마 수정이 포함됩니다. 우리의 경우 이는 옵션이 아닙니다. 그럴 필요는 없으니까 내가오직사용자 이름과 비밀번호를 기반으로 사용자를 인증하고 싶습니다.

그런데 저는 Samba가 익명 바인드를 사용한 인증을 허용하지 않는다는 것을 알고 있습니다(비밀번호는 해시되어 전송되기 때문입니다). 제가 아는 한, 이는 LDAP 관리 DN을 제공함으로써 해결되는 별도의 문제입니다.

시스템은 SSSD를 통해 동일한 LDAP 서버에 대한 로컬 로그인, SSH 등 인증을 위해 설정됩니다. 이것은 작동하며 잘 테스트되었습니다.

소프트웨어: RedHat 7.3, Samba 4.4.4, LDAP 서버는 Oracle LDAP입니다(아마도 OpenLDAP 기반이지만 제어할 수 없습니다).

이 작업을 수행하는 방법에 대한 지침을 찾고 있습니다.

답변1

대답은 적어도 비밀번호 해싱을 끄고 보안을 심각하게 손상시키지 않고는 불가능하다는 것 같습니다.

문제는 처음에 smbpasswd 파일 및 유틸리티를 생성한 문제와 기본적으로 동일합니다. 즉, Samba 서버는 일반 텍스트 비밀번호를 볼 수 없습니다. 비밀번호는 항상 해시됩니다. 해시 알고리즘은 수년에 걸쳐 변경되었습니다. 일반 LDAP 스키마에 저장된 비밀번호도 해시되지만 다른 알고리즘을 사용합니다.

이 문제를 해결하는 유일한 방법은 LDAP 스키마를 수정하거나(많은 사이트에서 제안하는 대로), smbpasswd를 사용하거나 인증을 위해 Kerberos를 사용하는 것입니다.

관련 정보