电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 将 LDAP 目录用于 Samba 认证-简述 [打印本页]

作者: look_w 时间: 2018-4-18 20:20 标题: 将 LDAP 目录用于 Samba 认证-简述

教程概述未来之路本教程详细讲述了将 LDAP（轻量级目录访问协议，Lightweight Directory Access Protocol）目录用于存储 Samba 用户帐户信息（通常存储在 smbpasswd 文件中）所需的步骤。这里概述的过程是基于和的当前稳定发行版的，在撰写本文时它们分别是 2.2.4 和 2.0.23。如果您正在从头构建系统，除非您有不这样做的特殊需求或理由，那么建议您总是使用 Samba 和 OpenLDAP 的最新版本。对于 Samba 尤其是如此，因为目前正在进行大量关于程序的 LDAP 和 Windows 域集成的开发。Samba 当前的 CVS HEAD 分支（它是最新的开发树，最终将成为 Samba 3.0）将使得与 LDAP 的集成更为轻松，因为管理员将不必象现在这样担心两种用户帐户（UNIX smbpasswd 帐户和 Windows 域帐户）的同步；Samba 3.0 将取消对现有 smbpasswd 帐户的需求。
学完本教程后，您应该对下列内容有清晰的理解：

如何收集、构建和／或安装必需的软件。
如何配置以便使用 OpenLDAP 服务器。
如何配置 Samba，以及如何将用户、组和机器帐户添加到 OpenLDAP 服务器。
还有如何维护（删除和修改）帐户信息。

本教程不详细讲述配置 Samba 担任 PDC（主域控制器，Primary Domain Controller）的机制。可以在 IBM eServer 开发者园地上另一篇题为的教程上获得这些信息。
假定条件本教程假定以下条件：

一个可正常运行的、完全配置好的 Linux/UNIX 系统。本教程是基于 R7.3 的。它也在 RedHat 7.2 和（用于高级用户的“元分发版（metadistribution）”）上测试过。理论上，给定的指示信息应该可以在任何 *NIX 操作系统上工作；路径名和约定因分发版而异。
可正常运行的、配置好的 Samba PDC 安装。除了上一页提到的 IBM eServer 开发者园地中的教程之外，F. Hagethorn 还创建了一组很棒的脚本，以帮助您快速地使用 Samba 创建 PDC。他将自己的产品称为 VASC（十分高级的 Samba 配置，Very Advanced Samba Configuration），您可以在找到它。
对 LDAP 所用概念和术语的基本理解（例如，专有名称、组织单元、对象类等）。即使是对正确地实现 LDAP 服务器过程中背后的基本概念作一个简介，其篇幅也可以轻易地达到密密麻麻的 50 页内容。Adam Tauno Williams 为 LDAP 结构和约定准备了很好的介绍；可以下载其 PDF 格式。有关详细信息，请参阅一章。
对常用管理术语和过程（如文件权限、创建用户帐户、移动和复制文件等）的基本理解。
您需要足够的计算机来处理文件共享和目录查找的负载（假定 Samba 和 OpenLDAP 在同一机器上运行― 这是小到中型企业比较常用的配置），尽管对某些人来说这个问题可能很明显。本教程是根据在具有三个磁盘 ServeRAID 阵列、双 P3 1.2 GHz 处理器和 1GB RAM 的 IBM eServer 上编写和测试的。根据配置，这台机器可以轻松地为 250-350 个用户服务，这个数量取决于所服务的文件大小和并发用户的数目。

为什么使用 LDAP 目录？在传统的 Samba 安装中，用户帐户和密码信息存储在 /usr/local/samba/private/smbpasswd 中（或者，根据配置，有时存储在 /etc/smbpasswd 中）。因为 LM/NT 密码散列和 smbpasswd 散列之间的不兼容性，所以用户必须首先存在于服务器的 /etc/passwd 文件中，然后将该用户手工添加到 smbpasswd 文件中。对于少量用户这很好，但随着用户群逐渐增大，这种方法的不利方面也随之显现。例如：

必须串行执行所有认证查找。假定每次域登录大约进行两次查找（一次用于正常的会话连接，另一次在映射网络驱动器或打印机时执行），对于大型站点，这是一个性能瓶颈。我们所需要的是象数据库中所使用的那种建立索引的方法。
想要将 smbpasswd 文件复制到多个 Samba 服务器的管理员只得使用外部工具（如 rsync 和 ssh），或者编写定制的、内部脚本。
smbpasswd 文件的结构缺少用来存储属性的字段，这些属性包括主目录、密码到期时间／日期以及其它密码详细信息（例如，能／不能更改）和用户／组 RID（相对标识符，Relative Identifier）。

使用 LDAP 目录服务会减轻这些限制，以及其它限制，并允许将集中资源用于所有用户管理。
有两件事是 Samba/LDAP 安装无法“开包”即可完成的：

从 Windows 2000 活动目录（Active Directory）服务器检索用户帐户信息。
减少对 /etc/passwd 的需求。

暂定于 2002 年夏末发布的 Samba 3.0 发行版将解决这两个问题。

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)