這天在Q&A有精彩的討論....
不過小弟是用AD+Samba,其實之前也想用OpenLDAP,不過在這先不討論這部分.
倒是大家討論到OpenLDAP + Samba要在Samba在建立帳號,小弟也覺得OpenLDAP就是要解決帳號問題,使User可以單一帳號登入,不過在這次研討會上,看到還是要在Samba建立一次帳號,在不討論備援或是這台主機掛掉會怎樣或是限制服務,小弟也覺得應該是只要在LDAP或AD設定好帳號密碼,應該所有服務都可以用此帳號密碼登入,減輕管理員的負擔,也減輕User要記多組帳號密碼的困擾.
小弟在設定AD+Samba,有參考旗標出版的"異質系統整合"(書名不太記得,也絕版了),其實有提到兩個部分就是PAM與Winbind,我現在的環境,就只要在AD上建帳號,Samba不需要再額外設定或建立帳號,所以我猜想是否從這兩部分著手應該也可以達到OpenLDAP開完帳號,Samba不需要再開帳號,小弟沒有實作過,只是想說既然都走LDAP協定應該可行吧?提出來分享一下,不知道如三子前輩說的,SA上面的"S級"前輩會不會出來解釋一下
Winbind運作原理:
應用程式 (要求取得帳號資訊)---> 系統的glibc函式庫 (依據nsswitch.conf設定)---> Winbind的NSS函式庫
---->Winbind服務程序---->NT/AD網域
應用程式 (要求取得帳號資訊)---> 系統的PAM函式庫 (依據/etc/pam.d/設定) ---> Winbind的PAM函式庫
