Dokumentation2.3. Samba-Konfiguration
Es gibt mehrere Möglichkeiten, Samba zu konfigurieren. Einzelheiten zu einigen gängigen Konfigurationen finden Sie in Kapitel 18, Samba [p. 305]. Um Samba für die Verwendung von LDAP zu konfigurieren, bearbeiten Sie die Konfigurationsdatei /etc/samba/smb.conf Auskommentieren der Standardeinstellung passdb-Backend Parameter und das Hinzufügen einiger LDAP-bezogener Parameter. Stellen Sie sicher, dass Sie dieselben Werte verwenden, die Sie beim Ausführen von smbldap-populate verwendet haben:
# passdb backend = tdbsam workgroup = BEISPIEL
# LDAP-Einstellungen
passdb backend = ldapsam:ldap://hostname ldap suffix = dc=example,dc=com
LDAP-Benutzersuffix = ou=Personen LDAP-Gruppensuffix = ou=Gruppen
LDAP-Maschinensuffix = ou=Computer LDAP-IDMAP-Suffix = ou=Idmap
ldap admin dn = cn=admin,dc=example,dc=com
# oder aus, wenn TLS/SSL nicht konfiguriert ist. ldap ssl = start tls
ldap passwd sync = ja
Ändern Sie die Werte entsprechend Ihrer Umgebung.
Das smb.conf Wie im Paket geliefert, ist es ziemlich lang und enthält viele Konfigurationsbeispiele. Eine einfache Möglichkeit, es ohne Kommentare zu visualisieren, besteht darin, testparm -s auszuführen.
Informieren Sie Samba nun über das Passwort des rootDN-Benutzers (das bei der Installation des slapd-Pakets festgelegte Passwort):
sudo smbpasswd -W
Als letzten Schritt, damit Ihre LDAP-Benutzer eine Verbindung zu Samba herstellen und sich authentifizieren können, müssen diese Benutzer auch im System als „Unix“-Benutzer angezeigt werden. Eine Möglichkeit hierfür ist die Verwendung von libnss-ldap. Detaillierte Anweisungen finden Sie im Abschnitt 1.10, „LDAP-Authentifizierung“ [S. 134] Abschnitt, aber wir brauchen nur den NSS-Teil.
1. Installieren Sie libnss-ldap
sudo apt install libnss-ldap
Es ist nicht erforderlich, die LDAP-RootDN-Anmeldeinformationen zu verwenden, sodass Sie diesen Schritt überspringen können.
2. Konfigurieren Sie das LDAP-Profil für NSS:
sudo auth-client-config -t nss -p lac_ldap
3. Starten Sie die Samba-Dienste neu:
sudo systemctl restart smbd.service nmbd.service
4. Um das Setup schnell zu testen, prüfen Sie, ob getent die Samba-Gruppen auflisten kann:
Getent-Gruppe
...
Kontooperatoren:*:548: Druckoperatoren:*:550: Sicherungsoperatoren:*:551: Replikatoren:*:552:
Wenn Sie bereits LDAP-Benutzer haben, die Sie in Ihr neues LDAP-gestütztes Samba einbinden möchten, müssen diesen natürlich auch einige der zusätzlichen Samba-spezifischen Attribute zugewiesen werden. Das Dienstprogramm smbpasswd kann dies für Sie tun:
sudo smbpasswd -a Benutzername
Sie werden aufgefordert, ein Passwort einzugeben. Es wird als neues Passwort für diesen Benutzer betrachtet. Es ist sinnvoll, es wie zuvor zu machen. Beachten Sie, dass dieser Befehl nicht zum Erstellen eines neuen Benutzers von Grund auf in LDAP verwendet werden kann (es sei denn, Sie verwenden ldapsam:vertrauenswürdig und ldapsam:editposix, in diesem Handbuch nicht behandelt).
Um Benutzer-, Gruppen- und Maschinenkonten zu verwalten, verwenden Sie die Dienstprogramme, die im Paket smbldap-tools bereitgestellt werden. Hier sind einige Beispiele:
• So fügen Sie einen neuen Benutzer mit einem Home-Verzeichnis hinzu:
sudo smbldap-useradd -a -P -m Benutzername
Das -a Option fügt die Samba-Attribute hinzu und die -P Die Option ruft das Dienstprogramm smbldap-passwd auf, nachdem der Benutzer erstellt wurde, sodass Sie ein Kennwort für den Benutzer eingeben können. Endlich, -m erstellt ein lokales Home-Verzeichnis. Testen Sie mit dem getent-Befehl:
getent passwd-Benutzername
Wenn Sie keine Antwort erhalten, ist Ihre libnss-ldap-Konfiguration falsch.
• So entfernen Sie einen Benutzer:
sudo smbldap-userdel Benutzername
Verwenden Sie im obigen Befehl die -r Option zum Entfernen des Home-Verzeichnisses des Benutzers.
• So fügen Sie eine Gruppe hinzu:
sudo smbldap-groupadd -a Gruppenname
Was smbldap-useradd betrifft, so gilt das -a fügt die Samba-Attribute hinzu.
• So machen Sie einen vorhandenen Benutzer zu einem Mitglied einer Gruppe:
sudo smbldap-groupmod -m Benutzername Gruppenname
Das -m Mit dieser Option können Sie mehr als einen Benutzer gleichzeitig hinzufügen, indem Sie diese im durch Kommas getrennten Format auflisten.
• So entfernen Sie einen Benutzer aus einer Gruppe:
sudo smbldap-groupmod -x Benutzername Gruppenname
• So fügen Sie ein Samba-Maschinenkonto hinzu:
sudo smbldap-useradd -t 0 -w Benutzername
Ersetzen Benutzername mit dem Namen des Arbeitsplatzrechners. Der -t 0 Option erstellt das Maschinenkonto ohne Verzögerung, während die -w Die Option gibt den Benutzer als Maschinenkonto an. Beachten Sie auch die Maschinenskript hinzufügen Parameter in /etc/samba/smb.conf wurde geändert, um smbldap-useradd zu verwenden.
Es gibt Dienstprogramme im Paket smbldap-tools, die hier nicht behandelt wurden. Hier ist eine vollständige Liste:
smbldap-groupadd37 smbldap-groupdel38 smbldap-groupmod39 smbldap-Gruppenshow40 smbldap-passwd41 smbldap-populate42 smbldap-useradd43 smbldap-userdel44 smbldap-userinfo45 smbldap-Benutzerliste46 smbldap-usermod47 smbldap-usershow48