Samba 4 AD member ldaps

https://wiki.samba.org/index.php/Configuring_LDAP_over_SSL_(LDAPS)_on_a_Samba...

Возможно ли использовать самбу 4 в АД домене и взаимодействовать с ним по ldaps?

Не очень понятно, я так понял AD на винде. И зачем на самбе4 доступ напрямую к его ldap ? Не понятно.

Какова роль машины с Samba4 в домене? Судя по тому, что Вы пишете, Вы хотите ввести ее в домен в качестве еще одного контроллера домена? В таком случае необходима полная репликация данных (в том числе и LDAP) и поиск внутри себя вполне оправдан.

Самба4 уже в домене в качестве мембера. А теперь контроллеры(их там много) свой ldap будут раздавать только по ldaps на порту 636. Теперь самбу4 надо перенастроить, чтобы она общалась с контроллерами домена только по ldaps. C третьей получилось, насколько могу судить по трафику в tcpdump. Но третью я использовать не могу, потому что,как выяснилось, вопреки написанному на сайтах, она умеет только SMB1. А он отключен на всех AD контроллерах.

Благодарю за ответ. Видел эту доку в самом начале, но так сделать не получилось. Это же для Samba AD DC. А у меня AD member. Или я ошибаюсь, и надо пробовать еще и повнимательнее?

Запусти tcpdump, посмотри трафик по порту 636.

Со своим текущим конфигом smb.conf я запускал, смотрел. Часть коннектов на виндовые ad контроллеры шла(до моих правок) или идет по ldaps. Но не всё. Так понимаю, при корректной настройке весь ldap-траф будет ходить по ldaps.

Коллеги, неужели никто не сталкивался? Это же популярный кейс. Самба как мембер ad домена. Cамба сейчас четвертая, врятли кто использует третью. И по ldaps, недавние обновления на виндовс серверы делают его использование дефолтным. Нагугливались статьи с редхат саппорта. Но редхат саппорта у меня нет, поэтому не могу увидеть их полное содержимое.

Тогда объясни что у тебя за задача, зачем тебе AD member'у вдруг ldaps

ты или плохо объясняешь или хочешь какую-то х*ню

Моя задача - перенастроить мои самбы4, которые сейчас являются членами мемберами АД домена, чтобы они общались с котроллерами(венда 2012 r2) этого домена только по ldaps. Потому что нашими айтибезопасниками было выдвинуто такое требование.

Как сформулировать еще точнее. Есть самба4. Она мембер ад домена. Не контроллер домена, а рядовой мембер. Контроллер же этого домена(их несколько, но не суть важно), который вендовый сервер, теперь будет с мемберами общаться только по ldaps, никак иначе. Сейчас у него два порта торчат наружу -389(ldap) и 636(ldaps). А через некоторое время, так понимаю, будет торчать только порт 636. я залил корневой сертификат с венды на этот хост с самбой4, настроил и протестировал openldap клиента. Работает. Теперь надо разобраться с самой самбой.

Открываешь доку, и смотришь рекомендации MS　по конфигурации firewall:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/config-...

И не ебешь мозг, потому что кроме LDAP есть еще другие службы, которые составляют важную часть AD, тот же DNS и Kerberos и некоторые остальные. И они, сюрприз блять, работает не через порт 636

Еще вопросы?

Благодарю. Надо подумать. Если будут вопросы еще, задам.

ldap работает, ldaps - нет?
Запускаешь tcpdump на порт 636, читаешь дамп, разбираешься, почему не работает.

Да я видимо криво настраиваю в smb.conf. Поэтому вместо того, чтобы использовать ldaps, самба все равно ломится по ldap. Подумаю еще. Возможно, забью на самбу и буду искать обходные пути.

то что ты криво настраиваешь - это понятно и так. start_tls предполагает начало шифрованной сессии на порту 389

А ldaps - это 636
«LDAP Over SSL vs LDAP with STARTTLS
There are two ways to encrypt LDAP connections with SSL/TLS.

Traditionally, LDAP connections that needed to be encrypted were handled on a separate port, typically 636. The entire connection would be wrapped with SSL/TLS. This process, called LDAP over SSL, uses the ldaps:// protocol. This method of encryption is now deprecated.

STARTTLS is an alternative approach that is now the preferred method of encrypting an LDAP connection. STARTTLS “upgrades” a non-encrypted connection by wrapping it with SSL/TLS after/during the connection process. This allows unencrypted and encrypted connections to be handled by the same port. This guide will utilize STARTTLS to encrypt connections.»

Окей,со start_tls я ошибся. Тогда вопрос. Возможно ли настроить самбу4 так, чтобы она все свои ldap запросы к контроллеру АД домена направляла на порт 636 по ldaps?

В чем вопрос - настрой да проверь. Мне лень ставить и настраивать smb4 чтобы проверять. Пока тут не о чем говорить, у тебя только общие слова - настроено изначально неверно, понимания особо нет, логов нет, ошибок нет, конфиг указан не полностью.

Что мы тут обсуждаем вообще?