非網域File Server 是否可以整合ad ldap 作目錄權限管理?

file server ldap ldaps

Kailis 2024-05-06 17:19:36 ‧ 743 瀏覽

分享至

今天遇到奇怪的需求,
Windows 2019 File Server 在特定網段未加入AD, 但網段可連到AD ,
想請教是否有可能在不加入網域的情況, 讓AD 使用者能用AD帳密存取這台非網域File Server( 不建立新帳號的情況下) , 以前完全沒有這需求,所以沒研究過
問題如標題,想請問能辦到嗎?

感覺類似這個 (如何在 Windows Server 中啟用 LDAP 簽署)
https://www.richesinfo.com.tw/index.php/mxmail/mxmail-faq/286-faq-ad-ldap

窮嘶發發發 iT邦高手 1 級 ‧ 2024-05-06 22:25:07 檢舉

給樓主一條路
安裝 ISCSI TARGET
然後去任何一台 AD SERVER 連結這台 ISCSI
然後就簡單了 ...

froce iT邦大師 1 級 ‧ 2024-05-07 08:21:40 檢舉

只用samba，辦不到。
用web base的協作平台如nextcloud就行。

Kailis iT邦研究生 1 級 ‧ 2024-05-07 09:59:55 檢舉

瞭解了, 這件事也不是非做不可, 就當做不行, 感謝大家的回覆了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2024-05-06 21:56:14

最佳解答

簡單回答:

No. 辦不到

詳細回答:

存取 SMB Based File Server (例如: Windows 2019) 的時候, 其實是要做兩件事情:

使用者通過身分驗證 (Authentication)
授權取用資源給使用者 (Authorization)

第一點, AD User 可以透過 LDAP 驗證身分, 這點沒有問題; 但是...
第二點, 你要如何授權 File Server 的資源給特定使用者?

關於第二點, 在 SMB Based File Server 其實需要一組 SID, 來做身分授權的綁定, 例如下面這句話:

將 C:\DATA 授權給 Domain\User1 擁有 R/W 的權限

這句話會引發下面這個動作:

由 AD 取出 User1 的 SID 之後, 綁定在 C:\DATA 這個資料夾, 然後標記成 R/W

透過 LDAP 雖然可以驗證身分, 但是 LDAP Client 沒有能力取得 AD 的 SID, 所以也無法在 File Server 上面, 授權某個 SID 可以有操作這個資源的權限

今天如果將 SMB Based File Server 換成 NFS Based File Server 的話, 授權這件事情可能就沒有問題了, 因為 NFS 允許用 LDAP 的帳號格式來綁定資源授權.

回應 1
分享
檢舉

Kailis iT邦研究生 1 級 ‧ 2024-05-07 09:58:31 檢舉

好的, 看完大神的回覆, 也有想過Win2019 安裝cygwin , 但還沒試過, 不知道有沒有辦法使用cygwin 搭配samba & winbindd (Authenticate Domain Users)
不過查了一下資料 winbindd 也是要加入網域,那就多此一舉了 , 感謝大家的回覆了

登入發表回應