Re: Migrar autenticação do Samba para LDAP
André Ribas wrote:
André Ribas wrote:
Olá lista.
Atualmente possuo um servidor em produção rodando debian 4.0 (etch).
Sua principal função é atuar como PDC (Samba) autenticando usuários e
compartilhando arquivos. Esta máquina será substituída por uma nova
máquina onde já instalei o debian 5.0 (lenny) porém desejo aproveitar
esta mudança para implantar autenticação via LDAP no Samba.
A minha principal dúvida agora é quanto a migração dos dados. Tentei
copiar os diretórios /etc/samba e /var/lib/samba para a nova máquina
e criar os diretorios referentes aos compartilhamentos. Tudo
funcionou perfeitamente. Então resolvi tentar migrar os dados.
Googlando por aí encontrei o comando [pdbedit -i tdbsam -e ldapsam]
que parecia fazer exatamente o que eu precisava. Executei-o e
realmente ele adicionou todos os usuários já cadastrados no samba à
base LDAP. Porém os usuários criados desta forma são bem mais
incompletos que os criados com o ldap-account-manager(LAM) ou o
phpldapadmin a ponto de o LAM não reconhecer os usuários cadastrados
como usuários do Samba.
Depois de configurar o Samba para autenticar no LDAP (nsswitch.conf,
pam.d/common-*, slapd.conf e smb.conf) a autenticação parou de
funcionar. Claro que pode ser (e eu até acredito que seja) alguma
configuração errada. Mas estou preocupado com a validade desses dados
que migrei. Então, essa é realmente a melhor forma de manter a
estrutura de usuários/grupos/dominio migrando para uma base LDAP?
Abraços.
--
André Ribas
Encontrei os erros. Esqueci de atualizar os arquivos
/etc/libnss-ldap.secret e /etc/pam_ldap.secret após executar um
dpkg-reconfigure slapd e alterar a senha do LDAP. Além disso estava
faltando a linha "passdb backend = ldapsam" no /etc/samba/smb.conf
apesar de todo o resto estar configurado.
Bom. Acho que realmente utilizar o pdbedit é a forma mais adequada
para se migrar os dados. Aparentemente está tudo em ordem agora. Só
falta transferir os dados e substituir a máquina.
Gostaria de aproveitar e perguntar sobre as precauções de segurança
que eu devo tomar agora com o ldap.
Abraços.
--
André Ribas
Meus temores no primeiro e-mail se concretizaram. Os usuários do Samba
realmente foram migrados, porém os respectivos usuários POSIX não. Eu
havia conseguido logar apenas porque eu havia copiado os arquivos
passwd, shadow, group e gshadow do servidor antigo para o novo. Quando
voltei para os arquivos originais o sistema não foi mais capaz de
encontrar os usuários (getent passwd).
Preciso migrar os usuários POSIX também. Ou modificar os usuários do
Samba e adicionar as objectClasses necessárias, porém não imagino como
fazer isso de forma não manual. Alguém poderia me dar uma luz?
Abraços.
--
André Ribas
Reply to: