LINUX.ORG.RU
ФорумAdmin

Samba 4 AD member ldaps

 , ,


0

2

Приветствую коллеги. Возможно ли использовать самбу 4 в АД домене и взаимодействовать с ним по ldaps? Закачал на хост с сембой 4 корневой сертификат с виндовс станции. Проверил - ldapsearch работает. Далее, конфигурирую smb.conf, указываю ldap ssl = start_tls. Далее в конфиге passdb backend = ldapsam:ldaps://windowsserver.mydom.local:636/ ldap admin dn = cn=userr,cn=users,dc=mydom,dc=local idmap config MYDOM : ldap_url = ldaps://windowsserver.mydom.local:636/ idmap config MYDOM : ldap_base_dn = cn=users,dc=mydom,dc=local idmap config MYDOM : ldap_user_dn = cn=userr,cn=users,dc=mydom,dc=local. Не работает. По логам ощущение такое, что этот ldap бекенд она ищет не в венде, а внутри себя. Не находит и отваливается. Меняю в настройках обратно ldaps на ldap - работает, вроде бы. В чем же дело. Сертификат ssl точно валидный. Openldap клиент настроен правильно и работает. Есть ли мануалы, как это настроить, что почитать? Ничего толком не нагугливается.

Возможно ли использовать самбу 4 в АД домене и взаимодействовать с ним по ldaps?

Не очень понятно, я так понял AD на винде. И зачем на самбе4 доступ напрямую к его ldap ? Не понятно.

mx__ ★★★★★ ()

Какова роль машины с Samba4 в домене? Судя по тому, что Вы пишете, Вы хотите ввести ее в домен в качестве еще одного контроллера домена? В таком случае необходима полная репликация данных (в том числе и LDAP) и поиск внутри себя вполне оправдан.

Serge10 ★★★★★ ()
Ответ на: комментарий от Serge10

Самба4 уже в домене в качестве мембера. А теперь контроллеры(их там много) свой ldap будут раздавать только по ldaps на порту 636. Теперь самбу4 надо перенастроить, чтобы она общалась с контроллерами домена только по ldaps. C третьей получилось, насколько могу судить по трафику в tcpdump. Но третью я использовать не могу, потому что,как выяснилось, вопреки написанному на сайтах, она умеет только SMB1. А он отключен на всех AD контроллерах.

armtriangle ()
Ответ на: комментарий от bigbit

Со своим текущим конфигом smb.conf я запускал, смотрел. Часть коннектов на виндовые ad контроллеры шла(до моих правок) или идет по ldaps. Но не всё. Так понимаю, при корректной настройке весь ldap-траф будет ходить по ldaps.

armtriangle ()

Коллеги, неужели никто не сталкивался? Это же популярный кейс. Самба как мембер ad домена. Cамба сейчас четвертая, врятли кто использует третью. И по ldaps, недавние обновления на виндовс серверы делают его использование дефолтным. Нагугливались статьи с редхат саппорта. Но редхат саппорта у меня нет, поэтому не могу увидеть их полное содержимое.

armtriangle ()
Ответ на: комментарий от zgen

Моя задача - перенастроить мои самбы4, которые сейчас являются членами мемберами АД домена, чтобы они общались с котроллерами(венда 2012 r2) этого домена только по ldaps. Потому что нашими айтибезопасниками было выдвинуто такое требование.

Как сформулировать еще точнее. Есть самба4. Она мембер ад домена. Не контроллер домена, а рядовой мембер. Контроллер же этого домена(их несколько, но не суть важно), который вендовый сервер, теперь будет с мемберами общаться только по ldaps, никак иначе. Сейчас у него два порта торчат наружу -389(ldap) и 636(ldaps). А через некоторое время, так понимаю, будет торчать только порт 636. я залил корневой сертификат с венды на этот хост с самбой4, настроил и протестировал openldap клиента. Работает. Теперь надо разобраться с самой самбой.

armtriangle ()
Ответ на: комментарий от armtriangle

Открываешь доку, и смотришь рекомендации MS по конфигурации firewall:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-...

И не ебешь мозг, потому что кроме LDAP есть еще другие службы, которые составляют важную часть AD, тот же DNS и Kerberos и некоторые остальные. И они, сюрприз блять, работает не через порт 636

Еще вопросы?

zgen ★★★★★ ()
Ответ на: комментарий от bigbit

Да я видимо криво настраиваю в smb.conf. Поэтому вместо того, чтобы использовать ldaps, самба все равно ломится по ldap. Подумаю еще. Возможно, забью на самбу и буду искать обходные пути.

armtriangle ()
Ответ на: комментарий от armtriangle

то что ты криво настраиваешь - это понятно и так. start_tls предполагает начало шифрованной сессии на порту 389

А ldaps - это 636
«LDAP Over SSL vs LDAP with STARTTLS
There are two ways to encrypt LDAP connections with SSL/TLS.

Traditionally, LDAP connections that needed to be encrypted were handled on a separate port, typically 636. The entire connection would be wrapped with SSL/TLS. This process, called LDAP over SSL, uses the ldaps:// protocol. This method of encryption is now deprecated.

STARTTLS is an alternative approach that is now the preferred method of encrypting an LDAP connection. STARTTLS “upgrades” a non-encrypted connection by wrapping it with SSL/TLS after/during the connection process. This allows unencrypted and encrypted connections to be handled by the same port. This guide will utilize STARTTLS to encrypt connections.»

zgen ★★★★★ ()
Ответ на: комментарий от armtriangle

В чем вопрос - настрой да проверь. Мне лень ставить и настраивать smb4 чтобы проверять. Пока тут не о чем говорить, у тебя только общие слова - настроено изначально неверно, понимания особо нет, логов нет, ошибок нет, конфиг указан не полностью.

Что мы тут обсуждаем вообще?

zgen ★★★★★ ()