[Samba-it] Samba PDC LDAP - non va niente !

Simo Sorce simo.sorce at xsec.it
Mon Mar 7 18:27:44 MST 2005 

On Mon, 2005-03-07 at 18:02 +0100, giuseppe pasqualotto wrote:

> La cosa mi interessa molto.
> Hai ragione, il NameService e il Pam sono due cose diverse, ma nel corso 
> del tempo
> (parlo da RedHattista, e il Pam, se non ricordo male, e' stato 
> introdotto ufficialmente
> dalla release 5.2 - 1998/1999?) hanno stabilito una congiunzione 
> inossidabile.
> Non che sia impensabile o impossibile una risoluzione diversa da quella 
> offerta dal pam
> (del resto, cosa succedeva prima dell'avvento in grande stile del pam?), 
> ma questa
> oramai e' stata adottata in Linux come la comune e mi pare non ci siano 
> alternative convenienti
> e praticabili.

E chissene? :-)

> Per la maggior parte dei programmi base, da login a ssh, le informazioni 
> relative
> ad auth, session, account e password sono fornite da pam (dalla libreria 
> e dai suoi moduli).
> Non c'e' verso, e alcuni programmi pensati e scritti prima del pam si 
> sono poi
> "pamificati" per supportare lo standard e facilitare l'integrazione.

E con ciò? :-)

> Magari parliamo due lingue diverse, ma quello che dici tu non si scontra 
> con l'esperienza comune?

No :)

> Se Samba avesse davvero l'indipendenza dal pam (posto che il pam, negli 
> odierni sistemi Linux,
> e' il sistema elementare di autenticazione degli utenti nel loro accesso 
> e riconoscimento al sistema), perche'
> dovrebbe appoggiarsi a utenti unix? Cioe', l'utente Samba, nella sua 
> configurazione minimale (quella
> locale, smbpasswd) presuppone un'utente unix ed e' indubbio che le 
> informazioni di tale utente siano
> raccolte via pam.

NO, bacchettata doppia carpiata sulle dita! :-)

PAM si occupa di autenticazione . (PUNTO)

NSS provvede a dare al kernel la risoluzione utente<->uid, gruppo<->gid

Sono due cose distinte e separate tanto è vero che puoi usare
tranquillamente un programma non pammificato (samba*) e al kernel non
gliene può fregare di meno.

Samba esegue da se l'autenticazione** degli utenti e sempre da se chiede
al kernel di modificare l'euid del processo una volta che l'utente è
stato autenticato da samba (e non da PAM).

per quanto riguarda samba potresti tranquillamente fare un bel rm -
f /etc/pam.d/* e non cambierebbe proprio nulla, certo poi login, ssh,
xdm, ecc... ti sputerebbero in faccia l'autenticazione, ma questo è
un'altro problema.

Simo.

*non è del tutto vero, ma samba gira benissimo senza PAM, perchè non gli
serve e anche perchè vi sono ancora molti sistemi unix che pam non sanno
nemmeno cosa sia.

**non è che samba lo faccia per capriccio, è perchè PAM non è
compatibile con i meccanismi di challenge response utilizzati da windos
per l'autenticazione.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

More information about the samba-it mailing list