Использование Samba4 с OpenLDAP на одном сервере для аутентификации учетных записей клиентов Windows

Question

У меня уже есть каталог OpenLDAP с некоторыми службами, выполняющими аутентификацию на нем (OpenVPN, Jabber, Freeradius, redmine и т.д.). И что мне еще нужно сделать, это сделать мой сервер контроллером домена, чтобы клиенты Windows могли входить в Windows, используя то же имя пользователя и пароль, что и другие службы на моем сервере.

Я установил Samba4 и настроил его как DC, но проблема была в том, что Samba4 имеет встроенный LDAP-сервер, и поэтому я не смог запустить службу OpenLDAP (slapd) одновременно с Samba (потому что они используют один и тот же порт) ).

Кто-нибудь может помочь мне заставить это работать? (БЕЗ смены порта OpenLDAP и без ПГИ).

Итак, в общем, я хочу сделать так: заставить контроллер домена Samba4 и OpenLDAP работать на одном сервере и заставить Samba4 проходить аутентификацию на этом OpenLDAP, чтобы позволить пользователям Windows входить в Windows, используя имя пользователя и пароль из моего ранее созданного OpenLDAP каталог.

Я очень ценю любую помощь, я потратил больше недели на поиски безуспешно).

Answer 1

Тебе этого не сделать. Во-первых, ни один из методов аутентификации, которые использует Windows - ни современный Kerberos, ни более старый NTLM - не может использоваться с любыми хешированными паролями, которые вы сохранили в OpenLDAP. Несмотря на то, что Samba 3 может использовать OpenLDAP в качестве бэкэнда, ему все же необходимо хранить NTLM-совместимые хеши паролей отдельно от обычного userPassword . Linux pam_ldap может быть доволен простой отправкой необработанного пароля на сервер для проверки; Windows не делает этого.

Во-вторых, Active Directory - это больше, чем просто проверка подлинности - даже настоящий Kerberos KDC не дублирует все функции, выполняемые встроенным KDC Samba4 (в первую очередь, присоединение PAC к билетам Kerberos, содержащим UID пользователя и другие вещи, взятые из LDAP), но это только начало. Windows также ожидает, что AD DC также будет иметь записи LDAP в соответствии со схемой LDAP Active Directory и поддерживать различные службы MS-RPC - для присоединения самого компьютера к домену, для получения информации об учетной записи и так далее.