[Samba-it] Esperimenti di eliminazione di windows nt4...

Marco Gaiarin gaio at sv.lnf.it
Mon Mar 22 11:03:01 MST 2004 

Mandi! Simo Sorce
  In chel di` si favelave...

> ALT!
> join al dominio e security=server NON vanno assolutamente d'accordo.

...ho scritto una tremenda hazzata, come dice la Margherita Hack della
gialappa... ovviamente intendevo dire security=domain, sono in
security=domain.


> pam_smb_auth inoltre è praticamente obsoleto.

Sisi, lo so, non infierire... lasciami capire! ;)
Per ora lo uso solo perchè in gioventù ho avuto esperienze negative con
winbindd, e sono rimasto traumatizzato... ;)))


> > Non ho usato winbind per alcuni motivi:
> >  + utenti stile DOMINIO/user, anche se ora samba3 ovvia con l'apposita
> >   opzione a questo.
> non sei obbligato ad usare nss_winbindd

Ok, bene. Ma allora come lo faccio il mapping tra UID/GID UNIX e SID
NT?


> > tenere gli account in ldap,
> no! se hai security=domain o server, in ldap al massimo ci puoi tenere i
> posixAccount ma non ci devi mettere i samba(Sam)Account

...mi basterebbe avere i posixAccount, in questo momento sarebbe più
che sufficiente.


> > Visto che c'ero ho anche provato a disattivare per un attimo ldap e
> > attivare winbind, e ovviamente le ACL funzionano perfettamente. [2]
> funzionano anche con utenti locali a patto di usare security=domain e
> non mettere utenti samba nell'ldap ma solo utenti posix (usando
> ovviamente nss_ldap per fornirly al sistema).

...se era così semplice, faccio un gesto dissennato e autolesionista.
Quello che mi stai dicendo è che mi basta usare winbind solo per la
parte di autenticazione (pam) e non per la parte di account (nss) e
samba automaticamente mappa gli account NT nei rispettivi UNIX di
ugual nome?
Ovviamente ti incarti i gruppi, o c'è modo di recuperare anche quelli?!

...non credo che sia così semplice, o non mi sono spiegato ancora bene,
o non mi torna qualcosa... ;(((


> No, vampire va bene solo per ciucciare via un dominio non per coesistere

Infatti, almeno questa cosa l'ho capita bene. ;)


> > Ho capito che il problema sta nel mapping UID,GID<->SID, ma non vedo
> > perchè io non possa semplicemente reperire i SID del mio server NT e
> > manualmente associarli ai miei utenti LDAP (o tdb, ma stiamo sul mio
> > esempio).
> Perchè non serve, se configuri samba correttamente ci pensa già lui.

...per gli utenti posso anche capire, ma per i gruppi?
Poi, personalmente, perchè non permettere la pazzia di poter definire
un mapping manuale?

> In realtà mi fai sorgere un dubbio per cui mi segno mentalmente di
> controllare una cosa ma in teoria dovrebbe funzionare.

...ormai ti perseguito... ;)))


> > [1] mettiamo che funzioni, cosa posso fare per preservare le ACL
> >  copiando files da uno share NT a uno share samba?
> usare xcpoy ?

Si, infatti, poi ho letto meglio e trovato l'indicazione.


> > [2] Simo, mi spieghi perchè per fare andare la configurazione con
> >  winbind ho dovuto abilitare il modulo pam omonimo in /etc/pam.d/samba?
> >  Samba, per l'esistenza dell'account su unix, fa sempre riferimento a
> >  pam?
> forse perchè hai impostato "obey pam restrictions = yes" mettilo a no se
> non ti serve.

Infatti, grazie anche qui. ;)

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

   Abbiamo dato il timone del paese a un imbonitore pubblicitario, a un
    fiscalista e a una broker; il loro sapere è importante in società
  votate ai consumi e al profitto. Devo appena ricordare che il mondo dei
   saperi di base e applicati è immensamente più vasto. Di questo immenso
  mondo intellettuale costoro sono ignari come pargoli. (Tullio de Mauro)

			http://www.nonunodimeno.it/

More information about the samba-it mailing list