[Samba-it] Samba 3.0 e gruppi locali

Simo Sorce simo.sorce at xsec.it
Sun Oct 12 22:43:01 MDT 2003 

On Fri, 2003-10-10 at 19:10, Simone Sorato wrote:

> Il separatore non centra; ho provato pure con un "_". Per quanto
> riguarda le maiuscule dipende dalle pam (credo);

Non credo, le pam servono sol oper l'autenticazione, è il sistema
nsswitch che gestisce utenti e gruppi e non mi risulta che ci siano
limitazioni su maiuscole o minuscole.

>  ho sempre fatto i test
> su una Gentoo e se provi ad eseguire un groupadd PROVA fallisce.

probabilmente è un controllo che esegue il programma groupadd di gentoo
per motivi suoi.

> Viceversa su Debian nessun problema; resta il fatto che anche su Debian
> le acl no vanno.

Quali acl? Per le acl ci vuole una patch al kernel.

> Ora se tolgo il nome del dominio dall'account e con gpasswd -a account
> gruppo aggiungo l'account al gruppo e poi setto le acl sulla base di
> quest'ultimo tutto funziona.

Il problema è che il sistema nsswitch non prevede lo scambio di dati tra
più sottosistemi. È un po' complesso da spiegare, ma se usi utenti da
winbind dovresti anche usare gruppi da winbind per essere sicuro che le
cose funzioni correttamente.

> Da segnalare che le acl basate sui gruppi (DOMINIO\gruppo) definiti nel PDC 
> (quindi gestiti da winbind) funzionano sempre. Bel casino !!

Vedi sopra.

> A questo punto mi viene il dubbio che ci sia qualche manovra da fare a
> livello di pam.

Le pam non c'entrano proprio nulla con utenti e gruppi, c'entrano solo
con l'autenticazione, mi spiace.

> > > Esiste un altro modo per
> > > raggruppare gli account in gruppi e poi usare tali gruppi come base
> > > per le acl ?
> > 
> > Oltre a creare un gruppo? Non vedo come.
> 
> Intendevo qualcosa di alternativo a /etc/group; pensavo a LDAP. Non lo
> conosco ma sinceramente non ho molta voglia di provarlo ..

mah credo che otterresti gli stessi risultati.
Quello che puoi fare invece è non usare winbind e creare gli account
direttamente in /etc/group se hai di queste esigenze (automatizzando
eventualmente).

Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Durando 10 Ed. G - 20158 - Milano
mobile: +39 329 328 7702
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

More information about the samba-it mailing list