[Samba-it] samba membro di ads

Simo Sorce simo.sorce at xsec.it
Fri Oct 7 10:06:01 MDT 2005 

On Wed, 2005-10-05 at 09:28 +0200, kklugcr at tiscali.it wrote:

>  1) leggendo "samba by example" si evince che la migliore configurazione
>     sarebbe quella di avere openldap come backend degli utenti unito a
>     krb5 per le comunicazioni con win2003 ads.
>     Significa forse che al posto dell'accoppiata /etc/passwd e smbpasswd

no, la migliore configurazione per un membro di dominio è usare winbind
e la modalità security­s (che fa uso di kerberos)

>     openldap eredita le informazioni degli utenti dal server win2003 e
>     quindi utilizza queste informazioni per assegnare gli appropriati
>     UID e GID ai file che vengono scritti sul filesystem ?

no

>  2) Sul server win2003-ads l'assegnazione di UID e GID (inteso come numer
> o)
>     avviene automaticamente oppure può essere stabilita manualmente ?
>     Faccio questa domanda perchè in caso di migrazione avrei il problem
> a
> di
>     non saper come fare per i file e cartelle già esistenti che apparte
> ngono
>     già a determinati UID e GID

questo dipende da winbindd e non da w2k3, ci sono vari baceknd idmap (il
sottosistema che si occupa di tenere la mappa uid<->gid, quello di
default va già bene, per forzare un certo uid/gid associato ad uno
specifico SID devi stoppare tutto fare un dump del db modificare quello
che devi e fare un restore (vedi il comando net)

>  3) le limitazioni sugli share sia sul filesystem (con l'uso di chmod)
>     sia a livello di smb.conf (es. valid users= , create mode , ecc)
>     mantengono la stessa validità oppure bisogna fare tutto operando da
> l
> 
>     server win2003 ?

non ho capito la domanda

>  4) attualmente gli utenti hanno nel file /etc/passwd '/sbin/false' per l
> a
> 
>     shell e una directory specifica come 'home dir' che è comune a tutt
> i
> 
>     gli utenti perchè è la chroot quando utilizzano ftp.
>     in pratica un utente ftp (che è anche l'utente del dominio) quando 
> si
> 
>     connette al server samba si trova alla radice di tutti gli share espo
> rtati
>     i quali mantengono comunque le autorizzazioni prestabilite.
>     da chi sarebbe gestita questa personalizzazione nell'ipotesi
>     di migrazione esposta ?

la configurazione di samba, vedi i parametri di winbindd

> NB: non so se lo avete gia dedotto ma io di ldap e krb5 non ci ho ancora
> capito
>     un tubo, nonostante abbondanti letture.

e per questo caso puoi continuare senza capirci un tubo :-)

> scusate la lunghezza di questo mio post ma mi risultava non dare una visi
> one
> complessiva del problema.
> non mandatemi sulla forca ... :-)

e perchè no? :-P


Simo.

-- 
Simo Sorce - simo.sorce at xsec.it
Xsec s.r.l. - http://www.xsec.it
via Garofalo, 39 - 20133 - Milano
mobile: +39 329 328 7702
tel. +39 02 2953 4143 - fax: +39 02 700 442 399

More information about the samba-it mailing list