[Samba-it] Samba PDC LDAP - non va niente !
Simo Sorce
simo.sorce at xsec.it
Mon Mar 7 18:27:44 MST 2005
On Mon, 2005-03-07 at 18:02 +0100, giuseppe pasqualotto wrote:
> La cosa mi interessa molto.
> Hai ragione, il NameService e il Pam sono due cose diverse, ma nel corso
> del tempo
> (parlo da RedHattista, e il Pam, se non ricordo male, e' stato
> introdotto ufficialmente
> dalla release 5.2 - 1998/1999?) hanno stabilito una congiunzione
> inossidabile.
> Non che sia impensabile o impossibile una risoluzione diversa da quella
> offerta dal pam
> (del resto, cosa succedeva prima dell'avvento in grande stile del pam?),
> ma questa
> oramai e' stata adottata in Linux come la comune e mi pare non ci siano
> alternative convenienti
> e praticabili.
E chissene? :-)
> Per la maggior parte dei programmi base, da login a ssh, le informazioni
> relative
> ad auth, session, account e password sono fornite da pam (dalla libreria
> e dai suoi moduli).
> Non c'e' verso, e alcuni programmi pensati e scritti prima del pam si
> sono poi
> "pamificati" per supportare lo standard e facilitare l'integrazione.
E con ciò? :-)
> Magari parliamo due lingue diverse, ma quello che dici tu non si scontra
> con l'esperienza comune?
No :)
> Se Samba avesse davvero l'indipendenza dal pam (posto che il pam, negli
> odierni sistemi Linux,
> e' il sistema elementare di autenticazione degli utenti nel loro accesso
> e riconoscimento al sistema), perche'
> dovrebbe appoggiarsi a utenti unix? Cioe', l'utente Samba, nella sua
> configurazione minimale (quella
> locale, smbpasswd) presuppone un'utente unix ed e' indubbio che le
> informazioni di tale utente siano
> raccolte via pam.
NO, bacchettata doppia carpiata sulle dita! :-)
PAM si occupa di autenticazione . (PUNTO)
NSS provvede a dare al kernel la risoluzione utente<->uid, gruppo<->gid
Sono due cose distinte e separate tanto è vero che puoi usare
tranquillamente un programma non pammificato (samba*) e al kernel non
gliene può fregare di meno.
Samba esegue da se l'autenticazione** degli utenti e sempre da se chiede
al kernel di modificare l'euid del processo una volta che l'utente è
stato autenticato da samba (e non da PAM).
per quanto riguarda samba potresti tranquillamente fare un bel rm -
f /etc/pam.d/* e non cambierebbe proprio nulla, certo poi login, ssh,
xdm, ecc... ti sputerebbero in faccia l'autenticazione, ma questo è
un'altro problema.
Simo.
*non è del tutto vero, ma samba gira benissimo senza PAM, perchè non gli
serve e anche perchè vi sono ancora molti sistemi unix che pam non sanno
nemmeno cosa sia.
**non è che samba lo faccia per capriccio, è perchè PAM non è
compatibile con i meccanismi di challenge response utilizzati da windos
per l'autenticazione.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
More information about the samba-it
mailing list