[Samba-it] Samba PDC LDAP - non va niente !
giuseppe pasqualotto
giuseppe.pasqualotto at unifi.it
Mon Mar 7 16:08:01 MST 2005
Simo Sorce wrote:
>On Mon, 2005-03-07 at 14:08 +0100, giuseppe pasqualotto wrote:
>
>
>
>>Samba non utilizza direttamente PAM; ha bisogno del pam - a un livello
>>inferiore - per recuperare informazioni
>>sugli utenti qualora stiano su altre base dati (come LDAP, per esempio)
>>rispetto a quella del /etc/passwd.
>>
>>
>
>In realtà pam è del tutto opzionale per samba e può essere abilitato
>semplicemente per utilizzare caratteristiche quali i controlli su
>scadenza di account o cose del genere (ma mai per il controllo della
>password).
>
>
>
Non credo che il Samba possa completamente fare a meno del pam (parlo della
libpam, della sua logica e della sua implementazione). Almeno questo
e' quello che sono riuscito a capire dallo studio di pam e dalle prove
effettuate
con Samba. Una certa risoluzione e' necessaria a Samba per stabilire se un
utente (locale, ldap, sql, ecc.) esista e da qui in poi, e qui mi
trovo d'accordo, Samba si arrangia nel modo piu' libero e non ha bisogno
di pam
per ottenere o settare, per esempio, le password.
Non di meno, in una situazione Samba/LDAP, un'interrogazione effettuata
con pdbedit
genera una doppia chiamata: la bind via nss_ldap e' fatta precedere alla
bind e alla search effettuata da Samba. Questa cosa risulta evidente se
si adottano
due credenziali distinte (l'utente del file di configurazione nss_ldap
e' diverso
da quello definito nel file di configurazione di Samba) e si analizzano
i log.
E' vero che la chiamata con pdbedit va a buon fine ugualmente
(si tratta di una search standard ldap), ma e' vero anche se la prima bind,
quella nss_ldap non e' riuscita non sara' possibile poi, alcuna
autenticazione
(ne' Windows, ne' Unix).
In breve, Samba, a un livello primitivo, ha bisogno di pam per ottenere
la lista
di utenti disponibili in quel sistema.
O mi sbaglio?
>>Per questo devi installare le librerie pam_ldap e configurare /etc/nsswitch.
>>
>>
>
>Qui probabilmente intendi nss, al sistema serve libnss_ldap per poter
>leggere dal database dap invece che dal database /etc/passwd i dati
>riguardanti gli utenti.
>
>la cosa fondamentale è quindi NSS e non PAM.
>
>
Certo, perche' utilizzando il pam di sistema (pam_unix) non c'e' alcun
settaggio da fare e gli errori si commettono tipicamente in fase di
configurazione
quando vengono utilizzati moduli pam diversi (come pam_ldap).
>se i comandi "getent passwd" e "getent group" ritornano le giuste
>informazioni allora il problema "nss" non c'è e il problema è altrove.
>se non vanno è inutile proseguire perchè se questi non funzionano non
>funzionerà altro.
>
>Simo.
>
>
>
Giuseppe
More information about the samba-it
mailing list