[Samba-it] Esperimenti di eliminazione di windows nt4...

[Marco Gaiarin]

Mandi! Simo Sorce
  In chel di` si favelave...

> > Ok, bene. Ma allora come lo faccio il mapping tra UID/GID UNIX e SID
> > NT?
> Lo fa samba associando l'utente windows all'utente unix con lo stesso
> nome.

...o non ci capiamo, o io non capisco. Nel file ho messo,
essenzialmente:

  passdb backend = ldapsam:ldap://localhost
  idmap backend = ldap:ldap://localhost
[...]
  idmap uid = 10000-20000
  idmap gid = 10000-20000

il primo, essendo in security=domain probabilmente non serve a una
mazza. Gli ultimi due mi *tocca* metterli, altrimenti winbindd non
parte:

  [2004/03/22 17:32:29, 0] nsswitch/winbindd_util.c:winbindd_param_init(487)   winbindd: idmap uid range missing or invalid
  [2004/03/22 17:32:29, 0] nsswitch/winbindd_util.c:winbindd_param_init(488)   winbindd: cannot continue, exiting.

In questa configurazione, ovviamente funzionante, se creo una cartella
me la crea con user e group corretti (unix):

  gaio at neobe:/users/Test$ ls -la
  totale 12
  drwxrwxr-x    2 root     ced          4096 mar 22 17:40 .
  drwxrwxr-x    5 gaio     ced          4096 mar 22 17:40 ..

ma se cerco di settare le ACL parte a fare mapping algoritmico:

  gaio at neobe:/users/Test$ getfacl .
  # file: .
  # owner: root
  # group: ced
  user::rwx
  user:10000:rwx
  user:10001:r-x
  user:10002:r-x
  user:10003:r-x
  group::r-x
  mask::rwx
  other::r-x
  default:user::rwx
  default:user:10000:rwx
  default:user:10001:r-x
  default:user:10002:r-x
  default:user:10003:r-x
  default:group::---
  default:mask::rwx
  default:other::---

e non lo fa nel server ldap, anche se la frase sibillina:

  If idmap backend has been specified as ldapsam:url then instead of
  using a local mapping Winbind will obtain this information from the
  LDAP database.

che si trova su:

  http://www.samba.org/samba/docs/man/winbind.html#id2955558

lo lascerebbe intendere: nessun sambaSamAccount viene aggiunto a LDAP.


> Si, e se tipare puoi anche evitare di usare pam_winbindd a sto punto, e
> mantenere l'autenticazione su macchine unix completamente separata.

Mi serve l'autenticazione centralizzata (pop server su linux ;), ma non
ho problemi a sostituire pam_smb_auth con pam_winbind!


> > o non mi torna qualcosa... ;(((
> solo "qualche" cosa? :-)
> se vuoi sono disponibile per un corso approfondito.

...cos'è, una proposta?! ;)


> Ti do un suggerimento:
> - se il tuo problema è che i DC spesso vanno giù di notte e quindi hai
> il problema di un repository locale di utenti, una alternativa è quella
> di usare winbindd ma senza configurare nss_winbindd, ma semplicemente
> usando uno script che periodicamente si sacrica gli utenti via winbindd
> e crea un file passwd e/o group al volo.

...esattamente quello che faccio ora (a parte ovviamente che per ldap
creo l'utente a mano, ma prima lo facevo in automatico).

Mi va bene così, ma perchè non eccellere?! ;-)))

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  gaio(at)sv.lnf.it		tel +39-0434-842711    fax +39-0434-842797

   Abbiamo dato il timone del paese a un imbonitore pubblicitario, a un
    fiscalista e a una broker; il loro sapere è importante in società
  votate ai consumi e al profitto. Devo appena ricordare che il mondo dei
   saperi di base e applicati è immensamente più vasto. Di questo immenso
  mondo intellettuale costoro sono ignari come pargoli. (Tullio de Mauro)

			http://www.nonunodimeno.it/