用 Samba 取代 AD?OpenLDAP 能不能當後端?——可行性、選型與遷移指南

Posted on by Rico

  • Samba AD DC 不支援以 OpenLDAP 當後端儲存庫(Samba 4 的 AD 必須用自身 LDB/sam.ldb)。
  • 一定要建網域嗎?不一定。若僅需「檔案分享權限控管」,且前端已由 ipguard 管理,可不建網域;但RDS/Terminal Services 與長期 ACL 維運會明顯受限。
  • 實務上最穩健的是:最小化 Samba AD(不一定要用 GPO)做身分與 Kerberos 底座,檔案伺服器與 RDS 全部加入網域;舊系統若仍需 OpenLDAP,改走單向同步

需求背景

  • 目標:檔案分享的權限控管為主;前端 PC 由 ipguard 管理,不使用 GPO
  • 現況:仍有 Microsoft Terminal Services(RDS) 供使用者遠端登入。
  • 問題:能不能不用網域? 只用 OpenLDAP 做帳號認證可否滿足?

關鍵事實:Samba AD DC 與 OpenLDAP 的關係

  • 不可行:Samba AD DC 後端「不能」改成 OpenLDAP。Samba 4 的 AD 架構(含 Kerberos、複寫、ACL、目錄結構)建立在 sam.ldb(LDB) 上。
  • 可行:把 AD 的 LDAP 介面提供給應用程式查詢,或單向輸出屬性到 OpenLDAP 給舊系統讀(非後端、是旁路/鏡像)。

是否一定要建「網域」?

不一定,但要看你在意什麼

不用網域也能跑 檔案分享與 RDS,但你會遇到:

  • 帳號/群組分散:每台伺服器各自維護一份帳號,或自行寫同步機制;密碼政策難一致。
  • ACL 維運成本高:SMB ACL 綁本機 SID,搬遷/新增伺服器容易亂。
  • RDS 管理受限:多台 RDS 的授權(特別是 per-user CAL)、SSO、漫遊環境、RemoteApp 整合都不順。
  • 缺乏 Kerberos SSO:跨服務常重複輸入密碼。

建「最小網域(Samba AD)」的好處(就算你不打算用 GPO):

  1. 單一身分與 SSO(Kerberos):一套帳號管檔案/RDS/內部服務。
  2. 一致的群組與 ACL:以網域群組授權,搬遷/擴充不炸 ACL。
  3. RDS 體驗正常化:授權追蹤、RemoteApp、Gateway、Connection Broker、檔案主資料夾等都較好管理。
  4. 資安與稽核:密碼/鎖定/到期策略集中;後續導入 MFA/雲端整合彈性高。
  5. 長期 TCO 較低:新增伺服器/服務不用重複造帳號輪子。

三種可行架構

A. Samba AD DC 取代 AD(建議、最務實)

  • 用途:Windows 加網域、Kerberos、檔案 ACL、RDS、(可選)GPO。
  • Linux 整合:安裝 AD 時選 --use-rfc2307,Linux 端用 sssd/winbind
  • 限制:不支援把 OpenLDAP 當 AD 後端;若你有 Exchange on-prem / AAD Connect 混合,官方不支援 Samba AD,需額外評估(可保留最小 Windows AD 或改 Cloud-only)。

B. Samba AD 為主 + OpenLDAP 做旁路鏡像

  • 用途:舊系統暫時只能讀 OpenLDAP。
  • 做法:由 AD 單向同步「必要屬性」至 OpenLDAP(用 LSC 或自寫匯出程式)。
  • 目標:中期讓應用改直接查 AD,最後淘汰 OpenLDAP。

C. 無網域:OpenLDAP/本機帳號 + Samba 成員伺服器

  • 用途:只做檔案分享、極少台伺服器、極少變更。
  • 限制:ACL 維運、RDS 授權管理、SSO/擴充性都較差;長期成本通常高於想像。

快速決策表

情境建議
只有 1 台檔案伺服器 + 1 台 RDS,幾乎不擴充可先不建網域(C),但要接受人工同步帳號與 ACL 成本
兩台以上檔案/RDS、權限常變動、考慮擴充最小 Samba AD(A),不一定要用 GPO
仍有舊系統依賴 OpenLDAPA + B:Samba AD 為主,對 OpenLDAP 單向同步過渡

不建網域時的最小安全/維運清單

  1. 統一帳號/群組命名規範,用腳本在所有伺服器對齊。
  2. 以群組授權為主,避免直接授權到個人帳號。
  3. 密碼同步策略:若用 OpenLDAP,規劃與 Samba 的密碼同步或明確變更流程。
  4. RDS 授權模式:優先 per-device CAL(無網域較易合規)。
  5. 備援與搬遷 SOP:保存每台機器 SID/帳號/ACL 對應,定期演練搬遷。

最小化 PoC(1 週就能驗證)

  1. 兩台 VM 建 Samba AD DC--use-rfc2307 --dns-backend=SAMBA_INTERNAL),加第二台 DC 做複寫與 SYSVOL rsync。
  2. 讓一台 Windows 測試機與一台 Linux(sssd)加入網域,測 Kerberos 與 SMB 權限。
  3. 把現有檔案伺服器做「新機並行」測試:以網域群組配置 ACL,比對搬遷成本。
  4. 若需 OpenLDAP,挑 3–5 個屬性做單向同步 PoC,驗證舊系統可讀。

結論

  • 若想降低長期權限與帳號維運成本、並讓 RDS/檔案 穩定擴充,建議採用 最小 Samba AD 架構(A),不必急著導入 GPO;
  • 舊系統短期依賴 OpenLDAP 的,採 單向同步 過渡(B);
  • 僅在規模極小且穩定時,才考慮完全不建網域(C)。