[Samba-it] Esperimenti di eliminazione di windows nt4...
Marco Gaiarin
gaio at sv.lnf.it
Mon Mar 22 18:07:01 MST 2004
Mandi! Simo Sorce
In chel di` si favelave...
> > Ok, bene. Ma allora come lo faccio il mapping tra UID/GID UNIX e SID
> > NT?
> Lo fa samba associando l'utente windows all'utente unix con lo stesso
> nome.
...o non ci capiamo, o io non capisco. Nel file ho messo,
essenzialmente:
passdb backend = ldapsam:ldap://localhost
idmap backend = ldap:ldap://localhost
[...]
idmap uid = 10000-20000
idmap gid = 10000-20000
il primo, essendo in security=domain probabilmente non serve a una
mazza. Gli ultimi due mi *tocca* metterli, altrimenti winbindd non
parte:
[2004/03/22 17:32:29, 0] nsswitch/winbindd_util.c:winbindd_param_init(487) winbindd: idmap uid range missing or invalid
[2004/03/22 17:32:29, 0] nsswitch/winbindd_util.c:winbindd_param_init(488) winbindd: cannot continue, exiting.
In questa configurazione, ovviamente funzionante, se creo una cartella
me la crea con user e group corretti (unix):
gaio at neobe:/users/Test$ ls -la
totale 12
drwxrwxr-x 2 root ced 4096 mar 22 17:40 .
drwxrwxr-x 5 gaio ced 4096 mar 22 17:40 ..
ma se cerco di settare le ACL parte a fare mapping algoritmico:
gaio at neobe:/users/Test$ getfacl .
# file: .
# owner: root
# group: ced
user::rwx
user:10000:rwx
user:10001:r-x
user:10002:r-x
user:10003:r-x
group::r-x
mask::rwx
other::r-x
default:user::rwx
default:user:10000:rwx
default:user:10001:r-x
default:user:10002:r-x
default:user:10003:r-x
default:group::---
default:mask::rwx
default:other::---
e non lo fa nel server ldap, anche se la frase sibillina:
If idmap backend has been specified as ldapsam:url then instead of
using a local mapping Winbind will obtain this information from the
LDAP database.
che si trova su:
http://www.samba.org/samba/docs/man/winbind.html#id2955558
lo lascerebbe intendere: nessun sambaSamAccount viene aggiunto a LDAP.
> Si, e se tipare puoi anche evitare di usare pam_winbindd a sto punto, e
> mantenere l'autenticazione su macchine unix completamente separata.
Mi serve l'autenticazione centralizzata (pop server su linux ;), ma non
ho problemi a sostituire pam_smb_auth con pam_winbind!
> > o non mi torna qualcosa... ;(((
> solo "qualche" cosa? :-)
> se vuoi sono disponibile per un corso approfondito.
...cos'è, una proposta?! ;)
> Ti do un suggerimento:
> - se il tuo problema è che i DC spesso vanno giù di notte e quindi hai
> il problema di un repository locale di utenti, una alternativa è quella
> di usare winbindd ma senza configurare nss_winbindd, ma semplicemente
> usando uno script che periodicamente si sacrica gli utenti via winbindd
> e crea un file passwd e/o group al volo.
...esattamente quello che faccio ora (a parte ovviamente che per ldap
creo l'utente a mano, ma prima lo facevo in automatico).
Mi va bene così, ma perchè non eccellere?! ;-)))
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
gaio(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
Abbiamo dato il timone del paese a un imbonitore pubblicitario, a un
fiscalista e a una broker; il loro sapere è importante in società
votate ai consumi e al profitto. Devo appena ricordare che il mondo dei
saperi di base e applicati è immensamente più vasto. Di questo immenso
mondo intellettuale costoro sono ignari come pargoli. (Tullio de Mauro)
http://www.nonunodimeno.it/
More information about the samba-it
mailing list