[Samba-it] Esperimenti di eliminazione di windows nt4...
Marco Gaiarin
gaio at sv.lnf.it
Thu Mar 18 16:46:01 MST 2004
Allora, vi tedio sempre con le mie domandine sulle mie instalazioni
samba al lavoro.
Come avevo scritto, una installazione ex novo, con samba PDC con
backend ldap è andata a buon fine e sono pienamente soddisfatto.
Ora resta lo scoglio dell'integrazione delle macchine samba in una rete
NT, con l'obiettivo a medio termine di fare fuori NT, ovviamente.
Finora l'integrazione era avvenuta usando, ovviamente security=server,
join al dominio, add user script per l'autocreazione degli utenti e
pam_smb_auth per l'autenticazione pam.
Non ho usato winbind per alcuni motivi:
+ utenti stile DOMINIO/user, anche se ora samba3 ovvia con l'apposita
opzione a questo.
+ i server NT vengono spesso spenti la notte, e se uso winbind perdo
la posta (rimbalzo per no such user)
+ con l'idea di migrare a samba, mi piaceva l'idea di usare ldap, che
è poi di facile integrazione in una miriade di altre cose, specie
interfaccie varie web
finora, samba 2, definivo nei server smaba degli share di servizio, in
cui i parametri di configurazione ie i permessi standard UNIX erano più
che sufficienti.
Ma ora che abbiamo le acl mi sono ovviamente posto nell'ottica di
definire sotto samba degli share completi di annessi e connessi, ovvero
ACL e le particolari configurazioni che uno può avere in mente. ;) [1]
Come già accennavo, avevo provato a rimanere in security=domain e
tenere gli account in ldap, ma non ci sono santi, le ACL non vanno,
perchè gli utenti del server samba vengono considerati utenti della
macchina locale (alla stregua di una workstation NT) e non del dominio.
Visto che c'ero ho anche provato a disattivare per un attimo ldap e
attivare winbind, e ovviamente le ACL funzionano perfettamente. [2]
Ho anche letto un articolo di Daniele Verzelloni sul numero 37 di
Linux&c in cui parla del vampire mode, ma pur essendo un ottimo articolo
non mi ha completamente chiarito la questione...
Ho capito che il problema sta nel mapping UID,GID<->SID, ma non vedo
perchè io non possa semplicemente reperire i SID del mio server NT e
manualmente associarli ai miei utenti LDAP (o tdb, ma stiamo sul mio
esempio).
Ottenere i SID non è un problema, ad esempio basta che guardi
/etc/passwd sul server nt visto che ho installato cygwin...
Insomma, perchè il mapping UID/GID<->SID funziona perfettamente in
security=domain usando winbind, funziona perfettamente con
security=user (e samba PDC) e mapping in LDAP e non funziona invece una
situazione mista?
Probabilmente mi manca un po' di background, ma non riesco veramente a
capire dove stia il problema...
Leggendo quell'articolo sul vampire mode mi pare di capire che questo
non faccia altro che fare quello che io voglio fare manualmente, ovvero
rapire dalla rete tutti i SID e creare gli account unix simili per poi
associarli a questi.
Quindi ancora di più mi chiedo perchè non sia possibile forzare una
associazione manualmente, in un backend ldap come nel mio caso poi è un
dettaglio...
Grazie a chiunque mi scioglierà questi dubbi... ;-)))
[1] mettiamo che funzioni, cosa posso fare per preservare le ACL
copiando files da uno share NT a uno share samba?
[2] Simo, mi spieghi perchè per fare andare la configurazione con
winbind ho dovuto abilitare il modulo pam omonimo in /etc/pam.d/samba?
Samba, per l'esistenza dell'account su unix, fa sempre riferimento a
pam?
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
gaio(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
Abbiamo dato il timone del paese a un imbonitore pubblicitario, a un
fiscalista e a una broker; il loro sapere è importante in società
votate ai consumi e al profitto. Devo appena ricordare che il mondo dei
saperi di base e applicati è immensamente più vasto. Di questo immenso
mondo intellettuale costoro sono ignari come pargoli. (Tullio de Mauro)
http://www.nonunodimeno.it/
More information about the samba-it
mailing list