[Samba-it] Samba PDC LDAP - non va niente !
giuseppe pasqualotto
giuseppe.pasqualotto at unifi.it
Tue Mar 8 09:38:01 MST 2005
Simo Sorce wrote:
>On Mon, 2005-03-07 at 18:02 +0100, giuseppe pasqualotto wrote:
>
>
>
>>La cosa mi interessa molto.
>>Hai ragione, il NameService e il Pam sono due cose diverse, ma nel corso
>>del tempo
>>(parlo da RedHattista, e il Pam, se non ricordo male, e' stato
>>introdotto ufficialmente
>>dalla release 5.2 - 1998/1999?) hanno stabilito una congiunzione
>>inossidabile.
>>Non che sia impensabile o impossibile una risoluzione diversa da quella
>>offerta dal pam
>>(del resto, cosa succedeva prima dell'avvento in grande stile del pam?),
>>ma questa
>>oramai e' stata adottata in Linux come la comune e mi pare non ci siano
>>alternative convenienti
>>e praticabili.
>>
>>
>
>E chissene? :-)
>
>
>
>>Per la maggior parte dei programmi base, da login a ssh, le informazioni
>>relative
>>ad auth, session, account e password sono fornite da pam (dalla libreria
>>e dai suoi moduli).
>>Non c'e' verso, e alcuni programmi pensati e scritti prima del pam si
>>sono poi
>>"pamificati" per supportare lo standard e facilitare l'integrazione.
>>
>>
>
>E con ciò? :-)
>
>
>
>>Magari parliamo due lingue diverse, ma quello che dici tu non si scontra
>>con l'esperienza comune?
>>
>>
>
>No :)
>
>
>
>>Se Samba avesse davvero l'indipendenza dal pam (posto che il pam, negli
>>odierni sistemi Linux,
>>e' il sistema elementare di autenticazione degli utenti nel loro accesso
>>e riconoscimento al sistema), perche'
>>dovrebbe appoggiarsi a utenti unix? Cioe', l'utente Samba, nella sua
>>configurazione minimale (quella
>>locale, smbpasswd) presuppone un'utente unix ed e' indubbio che le
>>informazioni di tale utente siano
>>raccolte via pam.
>>
>>
>
>NO, bacchettata doppia carpiata sulle dita! :-)
>
>PAM si occupa di autenticazione . (PUNTO)
>
>NSS provvede a dare al kernel la risoluzione utente<->uid, gruppo<->gid
>
>Sono due cose distinte e separate tanto è vero che puoi usare
>tranquillamente un programma non pammificato (samba*) e al kernel non
>gliene può fregare di meno.
>
>Samba esegue da se l'autenticazione** degli utenti e sempre da se chiede
>al kernel di modificare l'euid del processo una volta che l'utente è
>stato autenticato da samba (e non da PAM).
>
>per quanto riguarda samba potresti tranquillamente fare un bel rm -
>f /etc/pam.d/* e non cambierebbe proprio nulla, certo poi login, ssh,
>xdm, ecc... ti sputerebbero in faccia l'autenticazione, ma questo è
>un'altro problema.
>
>Simo.
>
>*non è del tutto vero, ma samba gira benissimo senza PAM, perchè non gli
>serve e anche perchè vi sono ancora molti sistemi unix che pam non sanno
>nemmeno cosa sia.
>
>**non è che samba lo faccia per capriccio, è perchè PAM non è
>compatibile con i meccanismi di challenge response utilizzati da windos
>per l'autenticazione.
>
>
>
Dunque, cerchiamo di fare il punto (i threads sull'argomento si sono
moltiplicati).
1. NSS e PAM sono due tecnologie distinte;
2. PAM fornisce fondamentalmente autenticazione per utenti e servizi
predisposti a
l'utilizzo di librerie e moduli PAM (ordinariamente, in LINUX, per
servizi di base quale
il login);
3. SAMBA non e' tra queste applicazioni. E questo perche' -
sostanzialmente - PAM
non e' in grado di gestire autenticazioni con password diverse dal
chiaro o dal salt-crypt di unix;
4. Infine, per quello che riguarda la richiesta che ha dato vita ai
threads sull'argomento,
SAMBA su LDAP, ha solo bisogno di un'adeguata risoluzione dei nomi
offerta dal NSS e dalla
libreria specifica (libnss_ldap, configurata attraverso /etc/ldap.conf).
Ditemi se ho capito il giusto.
Giuseppe
More information about the samba-it
mailing list