[gaio at sv.lnf.it: [Samba-it] Presentazione e domandona a bruciapelo...]
Simo Sorce
simo.sorce at xsec.it
Wed Feb 18 12:40:01 MST 2004
On Tue, 2004-02-17 at 12:52, Marco Gaiarin wrote:
> Mi è arrivata una nuova macchina (neobe) che manderà in pensione il
> vecchio server (mouse), e siccome amo le sperimentazioni, ho installato
> una bella woody, ma con qualche backport mirato per avere kernel 2.6.2
> (per le ACL) e samba3.
Interessante, in realtà le ACL si possono avere anche su un 2.4.x ma
dicono che samba con il 2.6.x guadagna almeno il 40% dei performance :-)
> Finora le macchine samba erano configurate ``duplicando'' la gestione
> degli accunt, avevo provato ad usare winbindd ma non mi era piaciuto
> per nulla, specie il fatto di dover gestire account del tipo
> SANVITO/gaio.
c'è un parametro apposta che si chiama "winbindd use default domain" che
ti fa vedere gli utenti senza dominio davanti .. da usare con cautela ma
funziona bene in molte situazioni.
> Da un annetto scarso ho centralizzato la gestione degli account via
> LDAP, gestendo sempre il tutto in due posti (NT, con i tool suoi, LDAP
> per le macchine unix) e mantenendo manualmente la corrispeondenza tra
> utenti e gruppi NT e utenti e gruppi LDAP/unix. L'autenticazione la
> faccio con pam_smb.
ti consiglierei sempre più vivamente di usare winbindd e pam_winbindd
che pam_smb è sempre meno manutenuto.
> Volevo quindi sperimentare oggi essenzialmente due cose:
>
> 1) vedere se anche in modo security = domain c'era la possibilità di
> gestire con qualche automatismo gli account su LDAP.
di che tipo?
> Direi che questa cosa non è proprio possibile, ... ideale sarebbe
> essere BDC della macchina nT, ma non si può... ;(((
no purtroppo ancora no si può, ma puoi far diventare samba il PDC e
usare altri samba come BDC condividendo il database utenti tra tutti via
LDAP e mandare l'NT in pensione :-)
> 2) fare degli esperimenti con le ACL.
>
> Anche qui sono finito scornato. Il problema non sono le ACL in se che
> funzionano (non ho fatto esperimenti complicati, però ;), ma il fatto
> che se acedo con una macchina di classe NT allo share per poter fare
> Options->Security->Permission posso modificare i permessi *solo* se
> scelgo come dominio quello locale (insomma, se definisco i permessi per
> NEOBE/gaio e non per SANVITO/gaio), se scelgo il dominio non ottengo
> nessun errore ma le modifiche non vengono applicate.
questo è perchè la macchina non si trova nel dominio allora.
sicuro che tu abbia security = domain e non security = server/user
> Preso da un raptus di onnipotenza ho anche provato, pur rimanendo in
> security = domain, ad abilitare il backend LDAP, aggiungendo
> manualmente agli utenti e gruppi LDAP interessati i SID che ho
> prelevato da /etc/passwd del server NT (cygwin rulez! ;), ma comunque
> quello che ottengo è sempre nessun gruppo e nessun utente disponibile.
?!?
> Credo che mi manchi qualche background su come funzionano questi
> benedetti SID, anche se credo (spero?!) che sia possibile imbrogliare
> samba e/o NT e fare in modo che io possa definire le ACL sullo share.
o funzionano correttamente o le acl te le scordi :-)
> Un grazie a chi mi saprà illuminare. ;-)))
con samba 3.0 per usare le acl di un server di dominio la cosa migliore
è usare winbindd e definire un range idmap
Simo.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
More information about the samba-it
mailing list