[Samba-it] Presentazione e domandona a bruciapelo...

[Marco Gaiarin]

Buongiorno a tutti, era tanto che meditavo l'iscrizione a questa lista,
sempre rimandata perchè alla fin fine google e la ottima documentazione
placavano la sete di sapere prima. ;)


Ma veniamo al sodo.

Presso l'associazione dove lavoro è presente un server NT4sp6
(morpheus) che gestisce un dominio (SANVITO), con annesso di gruppi,
utenti e compagnia cantando.
Da un paio d'anni sono affiancati a questo una serie di macchine Debian
GNU/Linux con samba che fano le cose più disparate, tutte configurate
con security = domain e password server = morpheus, dopo ovviamente
averle fatte entrare nel dominio (join, insomma).

Mi è arrivata una nuova macchina (neobe) che manderà in pensione il
vecchio server (mouse), e siccome amo le sperimentazioni, ho installato
una bella woody, ma con qualche backport mirato per avere kernel 2.6.2
(per le ACL) e samba3.
[si, nonostante reloaded e revolution non siano assolutamente
all'altezza del primo matrix, ho voluto onorare morpheus con la sua
compagna, con cui condividerà il tavolo ;]


Finora le macchine samba erano configurate ``duplicando'' la gestione
degli accunt, avevo provato ad usare winbindd ma non mi era piaciuto
per nulla, specie il fatto di dover gestire account del tipo
SANVITO/gaio.

Da un annetto scarso ho centralizzato la gestione degli account via
LDAP, gestendo sempre il tutto in due posti (NT, con i tool suoi, LDAP
per le macchine unix) e mantenendo manualmente la corrispeondenza tra
utenti e gruppi NT e utenti e gruppi LDAP/unix. L'autenticazione la
faccio con pam_smb.


Volevo quindi sperimentare oggi essenzialmente due cose:

1) vedere se anche in modo security = domain c'era la possibilità di
gestire con qualche automatismo gli account su LDAP.

Direi che questa cosa non è proprio possibile, ... ideale sarebbe
essere BDC della macchina nT, ma non si può... ;(((

2) fare degli esperimenti con le ACL.

Anche qui sono finito scornato. Il problema non sono le ACL in se che
funzionano (non ho fatto esperimenti complicati, però ;), ma il fatto
che se acedo con una macchina di classe NT allo share per poter fare
Options->Security->Permission posso modificare i permessi *solo* se
scelgo come dominio quello locale (insomma, se definisco i permessi per
NEOBE/gaio e non per SANVITO/gaio), se scelgo il dominio non ottengo
nessun errore ma le modifiche non vengono applicate.

Preso da un raptus di onnipotenza ho anche provato, pur rimanendo in
security = domain, ad abilitare il backend LDAP, aggiungendo
manualmente agli utenti e gruppi LDAP interessati i SID che ho
prelevato da /etc/passwd del server NT (cygwin rulez! ;), ma comunque
quello che ottengo è sempre nessun gruppo e nessun utente disponibile.


Credo che mi manchi qualche background su come funzionano questi
benedetti SID, anche se credo (spero?!) che sia possibile imbrogliare
samba e/o NT e fare in modo che io possa definire le ACL sullo share.


Un grazie a chi mi saprà illuminare. ;-)))

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

			Informazione & Democrazia
  Dobbiamo tutti lavorare insieme per costruire un'alternativa concreta al
   monopolio informativo e ridare forza alla democrazia del nostro paese.

		     http://www.sosinformazione.org/