[Samba-it] Esperimenti di eliminazione di windows nt4...

Thu Mar 18 16:46:01 MST 2004

Allora, vi tedio sempre con le mie domandine sulle mie instalazioni
samba al lavoro.

Come avevo scritto, una installazione ex novo, con samba PDC con
backend ldap è andata a buon fine e sono pienamente soddisfatto.

Ora resta lo scoglio dell'integrazione delle macchine samba in una rete
NT, con l'obiettivo a medio termine di fare fuori NT, ovviamente.
Finora l'integrazione era avvenuta usando, ovviamente security=server,
join al dominio, add user script per l'autocreazione degli utenti e
pam_smb_auth per l'autenticazione pam.

Non ho usato winbind per alcuni motivi:
 + utenti stile DOMINIO/user, anche se ora samba3 ovvia con l'apposita
  opzione a questo.
 + i server NT vengono spesso spenti la notte, e se uso winbind perdo
  la posta (rimbalzo per no such user)
 + con l'idea di migrare a samba, mi piaceva l'idea di usare ldap, che
  è poi di facile integrazione in una miriade di altre cose, specie
  interfaccie varie web

finora, samba 2, definivo nei server smaba degli share di servizio, in
cui i parametri di configurazione ie i permessi standard UNIX erano più
che sufficienti.

Ma ora che abbiamo le acl mi sono ovviamente posto nell'ottica di
definire sotto samba degli share completi di annessi e connessi, ovvero
ACL e le particolari configurazioni che uno può avere in mente. ;) [1]

Come già accennavo, avevo provato a rimanere in security=domain e
tenere gli account in ldap, ma non ci sono santi, le ACL non vanno,
perchè gli utenti del server samba vengono considerati utenti della
macchina locale (alla stregua di una workstation NT) e non del dominio.
Visto che c'ero ho anche provato a disattivare per un attimo ldap e
attivare winbind, e ovviamente le ACL funzionano perfettamente. [2]

Ho anche letto un articolo di Daniele Verzelloni sul numero 37 di
Linux&c in cui parla del vampire mode, ma pur essendo un ottimo articolo
non mi ha completamente chiarito la questione...

Ho capito che il problema sta nel mapping UID,GID<->SID, ma non vedo
perchè io non possa semplicemente reperire i SID del mio server NT e
manualmente associarli ai miei utenti LDAP (o tdb, ma stiamo sul mio
esempio).
Ottenere i SID non è un problema, ad esempio basta che guardi
/etc/passwd sul server nt visto che ho installato cygwin...

Insomma, perchè il mapping UID/GID<->SID funziona perfettamente in
security=domain usando winbind, funziona perfettamente con
security=user (e samba PDC) e mapping in LDAP e non funziona invece una
situazione mista?
Probabilmente mi manca un po' di background, ma non riesco veramente a
capire dove stia il problema...

Leggendo quell'articolo sul vampire mode mi pare di capire che questo
non faccia altro che fare quello che io voglio fare manualmente, ovvero
rapire dalla rete tutti i SID e creare gli account unix simili per poi
associarli a questi.
Quindi ancora di più mi chiedo perchè non sia possibile forzare una
associazione manualmente, in un backend ldap come nel mio caso poi è un
dettaglio...

Grazie a chiunque mi scioglierà questi dubbi... ;-)))

[1] mettiamo che funzioni, cosa posso fare per preservare le ACL
 copiando files da uno share NT a uno share samba?
[2] Simo, mi spieghi perchè per fare andare la configurazione con
 winbind ho dovuto abilitare il modulo pam omonimo in /etc/pam.d/samba?
 Samba, per l'esistenza dell'account su unix, fa sempre riferimento a
 pam?

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

   Abbiamo dato il timone del paese a un imbonitore pubblicitario, a un
    fiscalista e a una broker; il loro sapere è importante in società
  votate ai consumi e al profitto. Devo appena ricordare che il mondo dei
   saperi di base e applicati è immensamente più vasto. Di questo immenso
  mondo intellettuale costoro sono ignari come pargoli. (Tullio de Mauro)

			http://www.nonunodimeno.it/