Samba:只读LDAP +其他本地用户

Question

我的服务器可以访问只读LDAP，其中大约99%的用户帐户将驻留在那里。在我的服务器上，我希望将Samba配置为使用LDAP进行身份验证。

偶尔会有一些额外的用户没有LDAP上的帐户。我应该如何管理他们的身份验证数据并使Samba意识到这一点？

在Samba文档中：

Samba-3的早期版本实现了与多个帐户后端并发工作的新功能。从Samba 3.0.23的发布开始，这个功能就被删除了。从Samba 3.0.23开始，可以只使用一个指定的passwd后端。

因此，Samba似乎只能支持一个后端身份验证。有什么解决办法吗？

Answer 1

这里讨论的密码后端涉及Samba用户密码的本地存储。对于作为本地Samba用户设置的用户，他们的密码可以以多种方式存储(tdbsam、ldapsam、smbpasswd等)。

如果/当您有一个本地目录服务器正在运行，并且希望将LDAPSam用户密码存储到它，而不是一个TDB或平面文件时，则使用Samba后端。由于您提到了“您可以访问只读LDAP”，因此我假定此LDAP服务不是在本地运行的，而是希望根据LDAP验证用户，其中已经存储了用户帐户信息？两者之间有一个微妙的区别。一个是“我应该使用哪个后端存储本地帐户信息”，另一个是“我应该去哪里对用户进行身份验证？”

如果是这样的话，我认为您要寻找的是Samba使用的身份验证模型，主要是用户、域和广告模型(google "Samba安全模式“)。您可能最感兴趣的是域/ADS模型，它允许您连接到ActiveDirecory或LDAP服务来验证用户帐户以访问Samba共享。

对于不在LDAP服务中的用户，您的选项可能是简单的本地Samba用户帐户，然后存储这些帐户--回到前面提到的后端--在您选择的任何后端中:)

如果您要经常使用Samba，我可能建议您出去拿一些类似O‘’Reilly指南的东西。目前最常用的Samba文档是“Samba-3-howto”。虽然这是一个很好的参考，但很容易发现自己有过时的信息，这会导致更长时间的故障排除。

Answer 2

您可以复制只读LDAP服务器，并将用户添加到此本地LDAP服务器。