[Samba-it] Esperimenti di eliminazione di windows nt4...

[Simo Sorce]

On Thu, 2004-03-18 at 16:45, Marco Gaiarin wrote:
> Allora, vi tedio sempre con le mie domandine sulle mie instalazioni
> samba al lavoro.
> 
> Come avevo scritto, una installazione ex novo, con samba PDC con
> backend ldap è andata a buon fine e sono pienamente soddisfatto.
> 
> 
> Ora resta lo scoglio dell'integrazione delle macchine samba in una rete
> NT, con l'obiettivo a medio termine di fare fuori NT, ovviamente.
> Finora l'integrazione era avvenuta usando, ovviamente security=server,
> join al dominio, add user script per l'autocreazione degli utenti e
> pam_smb_auth per l'autenticazione pam.

ALT!
join al dominio e security=server NON vanno assolutamente d'accordo.
pam_smb_auth inoltre è praticamente obsoleto.

se vuoi partecipare realmente ad un dominio devi mettere security=domain
e ti consiglio di usare pam_winbindd

> Non ho usato winbind per alcuni motivi:
>  + utenti stile DOMINIO/user, anche se ora samba3 ovvia con l'apposita
>   opzione a questo.

non sei obbligato ad usare nss_winbindd

>  + i server NT vengono spesso spenti la notte, e se uso winbind perdo
>   la posta (rimbalzo per no such user)

ahah sarà per questo che exchange lo consigliano caldamente su un BDC?
:-)
comunque non sei obbligato ad usare nss_winbindd

>  + con l'idea di migrare a samba, mi piaceva l'idea di usare ldap, che
>   è poi di facile integrazione in una miriade di altre cose, specie
>   interfaccie varie web

no problem

> finora, samba 2, definivo nei server smaba degli share di servizio, in
> cui i parametri di configurazione ie i permessi standard UNIX erano più
> che sufficienti.
> 
> Ma ora che abbiamo le acl mi sono ovviamente posto nell'ottica di
> definire sotto samba degli share completi di annessi e connessi, ovvero
> ACL e le particolari configurazioni che uno può avere in mente. ;) [1]
> 
> 
> Come già accennavo, avevo provato a rimanere in security=domain e

prima hai accennato a security=server ...

> tenere gli account in ldap,

no! se hai security=domain o server, in ldap al massimo ci puoi tenere i
posixAccount ma non ci devi mettere i samba(Sam)Account

>  ma non ci sono santi, le ACL non vanno,
> perchè gli utenti del server samba vengono considerati utenti della
> macchina locale (alla stregua di una workstation NT) e non del dominio.

appunto questo avviene quando usi security=server e/o utenti "samba" in
ldap.

> Visto che c'ero ho anche provato a disattivare per un attimo ldap e
> attivare winbind, e ovviamente le ACL funzionano perfettamente. [2]

funzionano anche con utenti locali a patto di usare security=domain e
non mettere utenti samba nell'ldap ma solo utenti posix (usando
ovviamente nss_ldap per fornirly al sistema).

> Ho anche letto un articolo di Daniele Verzelloni sul numero 37 di
> Linux&c in cui parla del vampire mode, ma pur essendo un ottimo articolo
> non mi ha completamente chiarito la questione...

No, vampire va bene solo per ciucciare via un dominio non per coesistere
(oddio si potrebbe anche coesistere ma le implicazioni sono tante tale e
sottili che si finirebbe normalmente solo per fare più casino che altro)

> Ho capito che il problema sta nel mapping UID,GID<->SID, ma non vedo
> perchè io non possa semplicemente reperire i SID del mio server NT e
> manualmente associarli ai miei utenti LDAP (o tdb, ma stiamo sul mio
> esempio).

Perchè non serve, se configuri samba correttamente ci pensa già lui.

> Ottenere i SID non è un problema, ad esempio basta che guardi
> /etc/passwd sul server nt visto che ho installato cygwin...
> 
> Insomma, perchè il mapping UID/GID<->SID funziona perfettamente in
> security=domain usando winbind, funziona perfettamente con
> security=user (e samba PDC) e mapping in LDAP e non funziona invece una
> situazione mista?

In realtà mi fai sorgere un dubbio per cui mi segno mentalmente di
controllare una cosa ma in teoria dovrebbe funzionare.

> Probabilmente mi manca un po' di background, ma non riesco veramente a
> capire dove stia il problema...


> Leggendo quell'articolo sul vampire mode mi pare di capire che questo
> non faccia altro che fare quello che io voglio fare manualmente, ovvero
> rapire dalla rete tutti i SID e creare gli account unix simili per poi
> associarli a questi.

non associarli, sostituirsi.

> Quindi ancora di più mi chiedo perchè non sia possibile forzare una
> associazione manualmente, in un backend ldap come nel mio caso poi è un
> dettaglio...

troppo lungo da spiegare, è un'area in cui ho cercato di operare
recentemente, ma è molto delicata e non ne sono per nulla soddisfatto.
Purtroppo è talemnte centrale che non si può modificare a cuor leggero.

> Grazie a chiunque mi scioglierà questi dubbi... ;-)))

Dubbi grossi, keep it simple ;-)

> [1] mettiamo che funzioni, cosa posso fare per preservare le ACL
>  copiando files da uno share NT a uno share samba?

usare xcpoy ?

> [2] Simo, mi spieghi perchè per fare andare la configurazione con
>  winbind ho dovuto abilitare il modulo pam omonimo in /etc/pam.d/samba?
>  Samba, per l'esistenza dell'account su unix, fa sempre riferimento a
>  pam?

forse perchè hai impostato "obey pam restrictions = yes" mettilo a no se
non ti serve.


Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399