[Samba-it] Samba PDC LDAP - non va niente !

giuseppe pasqualotto giuseppe.pasqualotto at unifi.it
Tue Mar 8 09:38:01 MST 2005 

Simo Sorce wrote:

>On Mon, 2005-03-07 at 18:02 +0100, giuseppe pasqualotto wrote:
>
>  
>
>>La cosa mi interessa molto.
>>Hai ragione, il NameService e il Pam sono due cose diverse, ma nel corso 
>>del tempo
>>(parlo da RedHattista, e il Pam, se non ricordo male, e' stato 
>>introdotto ufficialmente
>>dalla release 5.2 - 1998/1999?) hanno stabilito una congiunzione 
>>inossidabile.
>>Non che sia impensabile o impossibile una risoluzione diversa da quella 
>>offerta dal pam
>>(del resto, cosa succedeva prima dell'avvento in grande stile del pam?), 
>>ma questa
>>oramai e' stata adottata in Linux come la comune e mi pare non ci siano 
>>alternative convenienti
>>e praticabili.
>>    
>>
>
>E chissene? :-)
>
>  
>
>>Per la maggior parte dei programmi base, da login a ssh, le informazioni 
>>relative
>>ad auth, session, account e password sono fornite da pam (dalla libreria 
>>e dai suoi moduli).
>>Non c'e' verso, e alcuni programmi pensati e scritti prima del pam si 
>>sono poi
>>"pamificati" per supportare lo standard e facilitare l'integrazione.
>>    
>>
>
>E con ciò? :-)
>
>  
>
>>Magari parliamo due lingue diverse, ma quello che dici tu non si scontra 
>>con l'esperienza comune?
>>    
>>
>
>No :)
>
>  
>
>>Se Samba avesse davvero l'indipendenza dal pam (posto che il pam, negli 
>>odierni sistemi Linux,
>>e' il sistema elementare di autenticazione degli utenti nel loro accesso 
>>e riconoscimento al sistema), perche'
>>dovrebbe appoggiarsi a utenti unix? Cioe', l'utente Samba, nella sua 
>>configurazione minimale (quella
>>locale, smbpasswd) presuppone un'utente unix ed e' indubbio che le 
>>informazioni di tale utente siano
>>raccolte via pam.
>>    
>>
>
>NO, bacchettata doppia carpiata sulle dita! :-)
>
>PAM si occupa di autenticazione . (PUNTO)
>
>NSS provvede a dare al kernel la risoluzione utente<->uid, gruppo<->gid
>
>Sono due cose distinte e separate tanto è vero che puoi usare
>tranquillamente un programma non pammificato (samba*) e al kernel non
>gliene può fregare di meno.
>
>Samba esegue da se l'autenticazione** degli utenti e sempre da se chiede
>al kernel di modificare l'euid del processo una volta che l'utente è
>stato autenticato da samba (e non da PAM).
>
>per quanto riguarda samba potresti tranquillamente fare un bel rm -
>f /etc/pam.d/* e non cambierebbe proprio nulla, certo poi login, ssh,
>xdm, ecc... ti sputerebbero in faccia l'autenticazione, ma questo è
>un'altro problema.
>
>Simo.
>
>*non è del tutto vero, ma samba gira benissimo senza PAM, perchè non gli
>serve e anche perchè vi sono ancora molti sistemi unix che pam non sanno
>nemmeno cosa sia.
>
>**non è che samba lo faccia per capriccio, è perchè PAM non è
>compatibile con i meccanismi di challenge response utilizzati da windos
>per l'autenticazione.
>
>  
>
Dunque, cerchiamo di fare il punto (i threads sull'argomento si sono 
moltiplicati).

1.     NSS e PAM sono due tecnologie distinte;
2.     PAM fornisce fondamentalmente autenticazione per utenti e servizi 
predisposti a 
l'utilizzo di librerie e moduli PAM (ordinariamente, in LINUX, per 
servizi di base quale
il login);
3.     SAMBA non e' tra queste applicazioni. E questo perche' - 
sostanzialmente - PAM
non e' in grado di gestire autenticazioni con password diverse dal 
chiaro o dal salt-crypt di unix;
4.     Infine, per quello che riguarda la richiesta che ha dato vita ai 
threads sull'argomento,
SAMBA su LDAP, ha solo bisogno di un'adeguata risoluzione dei nomi 
offerta dal NSS e dalla
libreria specifica (libnss_ldap, configurata attraverso /etc/ldap.conf).

Ditemi se ho capito il giusto.
Giuseppe

More information about the samba-it mailing list