[gaio at sv.lnf.it: [Samba-it] Presentazione e domandona a bruciapelo...]

[Simo Sorce]

On Tue, 2004-02-17 at 12:52, Marco Gaiarin wrote:
> Mi è arrivata una nuova macchina (neobe) che manderà in pensione il
> vecchio server (mouse), e siccome amo le sperimentazioni, ho installato
> una bella woody, ma con qualche backport mirato per avere kernel 2.6.2
> (per le ACL) e samba3.

Interessante, in realtà le ACL si possono avere anche su un 2.4.x ma
dicono che samba con il 2.6.x guadagna almeno il 40% dei performance :-)

> Finora le macchine samba erano configurate ``duplicando'' la gestione
> degli accunt, avevo provato ad usare winbindd ma non mi era piaciuto
> per nulla, specie il fatto di dover gestire account del tipo
> SANVITO/gaio.

c'è un parametro apposta che si chiama "winbindd use default domain" che
ti fa vedere gli utenti senza dominio davanti .. da usare con cautela ma
funziona bene in molte situazioni.

> Da un annetto scarso ho centralizzato la gestione degli account via
> LDAP, gestendo sempre il tutto in due posti (NT, con i tool suoi, LDAP
> per le macchine unix) e mantenendo manualmente la corrispeondenza tra
> utenti e gruppi NT e utenti e gruppi LDAP/unix. L'autenticazione la
> faccio con pam_smb.

ti consiglierei sempre più vivamente di usare winbindd e pam_winbindd
che pam_smb è sempre meno manutenuto.

> Volevo quindi sperimentare oggi essenzialmente due cose:
> 
> 1) vedere se anche in modo security = domain c'era la possibilità di
> gestire con qualche automatismo gli account su LDAP.

di che tipo?

> Direi che questa cosa non è proprio possibile, ... ideale sarebbe
> essere BDC della macchina nT, ma non si può... ;(((

no purtroppo ancora no si può, ma puoi far diventare samba il PDC e
usare altri samba come BDC condividendo il database utenti tra tutti via
LDAP e mandare l'NT in pensione :-)

> 2) fare degli esperimenti con le ACL.
> 
> Anche qui sono finito scornato. Il problema non sono le ACL in se che
> funzionano (non ho fatto esperimenti complicati, però ;), ma il fatto
> che se acedo con una macchina di classe NT allo share per poter fare
> Options->Security->Permission posso modificare i permessi *solo* se
> scelgo come dominio quello locale (insomma, se definisco i permessi per
> NEOBE/gaio e non per SANVITO/gaio), se scelgo il dominio non ottengo
> nessun errore ma le modifiche non vengono applicate.

questo è perchè la macchina non si trova nel dominio allora.
sicuro che tu abbia security = domain e non security = server/user

> Preso da un raptus di onnipotenza ho anche provato, pur rimanendo in
> security = domain, ad abilitare il backend LDAP, aggiungendo
> manualmente agli utenti e gruppi LDAP interessati i SID che ho
> prelevato da /etc/passwd del server NT (cygwin rulez! ;), ma comunque
> quello che ottengo è sempre nessun gruppo e nessun utente disponibile.

?!?

> Credo che mi manchi qualche background su come funzionano questi
> benedetti SID, anche se credo (spero?!) che sia possibile imbrogliare
> samba e/o NT e fare in modo che io possa definire le ACL sullo share.

o funzionano correttamente o le acl te le scordi :-)

> Un grazie a chi mi saprà illuminare. ;-)))

con samba 3.0 per usare le acl di un server di dominio la cosa migliore
è usare winbindd e definire un range idmap

Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399