R: R: [Samba-it] Cambio password

[Ottavio Campana]

Piviul wrote:
> Ma scusa Otavvio se non vuoi che gli utenti ldap si possano loggare sul 
> server come bisogna fare se non mettere la shell a /bin/false? ...ho 
> detto un'altra c.zz..a?

semplice: samba si basa su pam. Basta fare in modo nessun altro servizio 
che si basa su pam usi pam_ldap . Oppure puoi fare una finezza ancora 
più evoluta, ti puoi programmare uno schema da associare ai vari account 
in cui salvi i diritti di accesso ai vari servizi e poi imposti pam_ldap 
affinché per ogni servizio usi un file di configrazione diverso e in 
ogni file di configurazione imposti un filtro che fa autenticare solo 
gli utenti abilitati.

E' un po' un casino spiegare tutto il funzionamento di ldap e pam in una 
mail, ti faccio un esempio del sistema che ho sviluppato (scopiazzando 
da novel nds). Io ho creato uno schema chiamato services in cui, tra le 
altre cose, ho i campi UserCanLoginWithSsh e PermittedLoginWithSshOn .
Sui server impongo come filtro

pam_filter &(UserCanLoginWithSsh=1)(PermittedLoginWithSshOn=nomeserver)

quindi su quel server  si potranno loggare in ssh solo gli utenti 
abilitati ad usare ssh e che possono attaccarsi a quel particolare 
server. Diciamo che il secondo campo dice chi si può attaccare dove, 
mentre il primo mi serve per poter disabilitare tutti i login di un 
utente in u colpo solo, in caso di urgenza e necessità.

Nel mio schema ho poi definito simile regole per smtp, pop, imap, proxy, 
zope, webmail, cambiopassword e samba. Molto comodo, e facile da gestire 
con phpldapadmin, perché i clienti non sanno lavorare bene su shell.

In questo modo in rete non si muove bit che io non voglia :-)

-- 
Non c'è più forza nella normalità, c'è solo monotonia.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 256 bytes
Desc: OpenPGP digital signature
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20040729/66a572b6/attachment.pgp>