[Samba-it] winbind

Simo Sorce simo.sorce at xsec.it
Wed Jan 22 15:53:02 MST 2003 

On Tue, 2003-01-21 at 13:37, natale titotto wrote:
> Ho configurato winbind tranne la parte pam, che se ho ben capito serve solo per 
> autenticazioni login, ftp, telnet ecc. - che non mi servono. Devo solo 
> condividere risorse e mi pare che basti nss.

Corretto

> Funziona tutto come previsto, ma non ho capito come permettere ad un gruppo del 
> dominio NT (visibile tramite getent group e wbinfo -g) l'accesso ad una data 
> risorsa di samba come se si trattasse di un gruppo unix locale. Ho provato in 
> due modi:
> 
> a) chgrp DOMINIO+gruppo risorsa_condivisa. Funziona, ma preclude l'accesso 
> tramite i gruppi unix. (E' questo il modo ortodosso)?

Si.

> b) modificare /etc/group aggiungendo gli utenti del gruppo DOMINIO+gruppo (es. 
> DOMINIO+utente1, DOMINIO+utente2) al gruppo unix che possiede risorsa_condivisa 
> (per disperazione ho provato anche ad aggiungere DOMINIO+gruppo...) - ma cosi' 
> non funziona proprio.

Inserire gli utenti è possibile in un gruppo unix, bisogna però fare
attenzione a che il case dei nomi sia corretto, mentre windows non
distingue tra maiuscole e minuscole, unix al contrario non autenticherà
un utente con lettere di case differenti.
Inoltre i gruppi unix non permettono l'inclusione di gruppi quindi
aggiungere un intero gruppo non è possibile.

c'è da ricordare inoltre che le modifiche ai file /etc/group e
/etc/passwd non si riflettono immediatamente sui processi che stanno già
girando, in quanto l'assegnamento dei gid ad un processo viene
effettuato all'avvio del processo stesso, a meno di esplicite chiamate.
Samba modifica il proprio utente al momento della prima connessione,
quindi è necessario scollegarsi da tutte le share e ricollegarsi per
testare che la modifica funzioni correttamente in alcuni casi.

>  Il meccanismo di risoluzione non viene configurato da 
> nsswitch.conf?

si basta aggiungere winbind nella riga appropriata, il fatto stesso che
un getent ti ritorni i gruppi e gli utenti dal dominio windows è indice
che nsswitch.conf è già correttamente modificato e che puoi includere
utenti in /etc/group

>  Devo configurare anche pam? Dove sbaglio?

non ho capito esattamente qual'è il risultato che vuoi ottenere, però
posso consigliarti di dare un'occhiata alle direttive "force group" e
"read list"/"write list" come metodo per aggirare problemi con i gruppi.

> (tra l'altro questo secondo modo dovrebbe servirmi per includere 
> l'amministratore del dominio NT nel gruppo root di unix).

Questa è una cosa che tu _non_ vuoi fare vero? :-)

Purtroppo il supporto per i gruppi di dominio in samba 2.2 non è
eccezionale. Nella 3.0 stiamo già prevedendo un supporto migliore.

Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 232 bytes
Desc: This is a digitally signed message part
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20030122/88f1a2f7/attachment.pgp>

More information about the samba-it mailing list