[Samba-it] samba membro di ads
Simo Sorce
simo.sorce at xsec.it
Fri Oct 7 10:06:01 MDT 2005
On Wed, 2005-10-05 at 09:28 +0200, kklugcr at tiscali.it wrote:
> 1) leggendo "samba by example" si evince che la migliore configurazione
> sarebbe quella di avere openldap come backend degli utenti unito a
> krb5 per le comunicazioni con win2003 ads.
> Significa forse che al posto dell'accoppiata /etc/passwd e smbpasswd
no, la migliore configurazione per un membro di dominio è usare winbind
e la modalità securitys (che fa uso di kerberos)
> openldap eredita le informazioni degli utenti dal server win2003 e
> quindi utilizza queste informazioni per assegnare gli appropriati
> UID e GID ai file che vengono scritti sul filesystem ?
no
> 2) Sul server win2003-ads l'assegnazione di UID e GID (inteso come numer
> o)
> avviene automaticamente oppure può essere stabilita manualmente ?
> Faccio questa domanda perchè in caso di migrazione avrei il problem
> a
> di
> non saper come fare per i file e cartelle già esistenti che apparte
> ngono
> già a determinati UID e GID
questo dipende da winbindd e non da w2k3, ci sono vari baceknd idmap (il
sottosistema che si occupa di tenere la mappa uid<->gid, quello di
default va già bene, per forzare un certo uid/gid associato ad uno
specifico SID devi stoppare tutto fare un dump del db modificare quello
che devi e fare un restore (vedi il comando net)
> 3) le limitazioni sugli share sia sul filesystem (con l'uso di chmod)
> sia a livello di smb.conf (es. valid users= , create mode , ecc)
> mantengono la stessa validità oppure bisogna fare tutto operando da
> l
>
> server win2003 ?
non ho capito la domanda
> 4) attualmente gli utenti hanno nel file /etc/passwd '/sbin/false' per l
> a
>
> shell e una directory specifica come 'home dir' che è comune a tutt
> i
>
> gli utenti perchè è la chroot quando utilizzano ftp.
> in pratica un utente ftp (che è anche l'utente del dominio) quando
> si
>
> connette al server samba si trova alla radice di tutti gli share espo
> rtati
> i quali mantengono comunque le autorizzazioni prestabilite.
> da chi sarebbe gestita questa personalizzazione nell'ipotesi
> di migrazione esposta ?
la configurazione di samba, vedi i parametri di winbindd
> NB: non so se lo avete gia dedotto ma io di ldap e krb5 non ci ho ancora
> capito
> un tubo, nonostante abbondanti letture.
e per questo caso puoi continuare senza capirci un tubo :-)
> scusate la lunghezza di questo mio post ma mi risultava non dare una visi
> one
> complessiva del problema.
> non mandatemi sulla forca ... :-)
e perchè no? :-P
Simo.
--
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399
More information about the samba-it
mailing list