Hi Rodrigo, 针对你的场景——本地Samba域需要对接只读的远程AD用户库，同时不能直接切换到AD域（无机器加入权限），我整理了两个最可行的方案：

方案一：让Samba直接通过LDAP对接只读AD认证 #

AD本质是兼容LDAP协议的，所以可以直接配置Samba通过LDAP查询AD的用户信息来完成认证，不需要同步数据。关键配置步骤如下：

1. 修改Samba主配置文件smb.conf，指定LDAP后端指向你的AD服务器：

   passdb backend = ldapsam:ldap://your-ad-domain-controller
   # 如果需要加密传输，改用ldaps://和对应端口636
   # passdb backend = ldapsam:ldaps://your-ad-domain-controller:636
   

2. 配置AD的只读绑定账户、用户/组搜索路径：

   ldap admin dn = cn=your-readonly-ad-account,ou=Service Accounts,dc=yourdomain,dc=com
   ldap user suffix = ou=Users,dc=yourdomain,dc=com
   ldap group suffix = ou=Groups,dc=yourdomain,dc=com
   ldap passwd sync = no  # 因为只有AD只读权限，禁用密码同步
   

3. 配置LDAP连接的加密选项（避免明文传输）：

   ldap ssl = start_tls
   ldap tls ca cert file = /path/to/ad-ca-cert.pem
   

4. 重启Samba服务后，测试用户认证：用AD的用户名/密码尝试登录Samba域，验证是否能成功。

这种方案的优势是无数据同步开销，直接实时从AD获取用户信息，适合网络稳定且AD访问延迟低的场景。

方案二：单向同步AD用户到本地OpenLDAP，保留Samba原有架构 #

如果担心AD网络波动影响认证效率，或者需要对用户数据做本地二次处理，可以通过单向同步工具把AD用户同步到本地OpenLDAP，让Samba继续使用原有的OpenLDAP后端。具体实现方式：

• 使用开源同步工具：比如ldap-sync或者slapd的syncrepl模块（需要OpenLDAP服务器支持），配置单向从AD同步用户数据。
• 自定义脚本同步：用Python的ldap3库或Shell脚本定期从AD查询用户（用只读账户），然后将用户信息映射到OpenLDAP的属性格式后写入本地库。需要注意字段映射，比如AD的sAMAccountName对应OpenLDAP的uid，displayName对应cn等，同时同步用户的启用/禁用状态。

这种方案的优势是本地有用户副本，认证速度更快，且不受AD临时故障影响；缺点是需要维护同步机制，确保数据的时效性。

注意事项 #

• 不管用哪种方案，都要确保Samba服务器能连通AD的LDAP端口（389或636），且AD的只读账户有足够权限查询用户和组的基本信息及密码哈希（用于认证）。
• 方案一中，Samba的域SID可以保持原有本地域的SID，无需和AD一致，因为只是借助AD做用户认证，本地域的机器管理仍由Samba负责。

备注：内容来源于stack exchange，提问作者Rodrigo Antunes