[Samba-it] [Disabilitazione automatica degli account...]
simo
simo.sorce at xsec.it
Fri Apr 7 05:57:01 MDT 2006
On Mon, 2006-04-03 at 13:02 +0200, Marco Gaiarin wrote:
> Visto che nessuno mi ha ancora risposto, rilancio e allargo il tema.
>
> Sostanzialmente, a parte questo problema della disabilitazione degli
> account, credo risolvibile con uno script (ma possibile che nessuno lo
> abbia già fatto?), c'è un'altra questione.
Non capisco quale sia il problema della disabilitazione, che ha
smbpasswd -d che non va ?
> In un ambiente misto con LDAP la gestione delle password avviene per il
> lato windows, e le eventuali scadenze vengono bellamente ignorate dalla
> parte unix.
> Ok, potrei usare winbind per l'autenticazione (modulo pam_winbind), ma
> mi chiedo semplicemente perchè gli smbldap tools, visto che tengono
> sincronizzate le informazoni di password NT/LM e unix, non possono
> tenere sincronizzate anche le informazioni di shadow.
>
> Il fatto che, a quanto vedo, le informazioni di shadow in ldap non
> vengono toccate da nessuno (sono in bianco, completamente) mi fa
> pensare a qualcosa di brutto, ma prima di fare ipotesi mi piacerebbe
> sentire qualcuno (simo? ;), oppure se avete qualche puntatore a qualche
> documento al riguardo...
Secondo me devi decidere quale' la parte autoritativa, se vuoi usare
shadow usi obey pam restriction = yes e gestisci tutto dal lato linux
con shadow, altrimenti usi pam_winbindd e usi tutto in modalita'
windows, se vuoi altre forme ibride devi pensarci da te.
> [a naso anche qui basterebbe fare una piccola estensione a
> smbldap-passwd che usi chage...]
Come ben sai siamo solo distributori dei tool che vengono sviluppati da
Idealix, se pensi sia una cosa utili puoi sottomettere loro una
richiesta di estensione delle features.
...
Ah ora ho letto la parte commentata :-)
No non esiste un sistema automatico di rilievo degli account
inutilizzati, a naso direi che la cosa piu' semplice e' imporre la
scadenza delle password e periodicamente fare un report degli account
con password scaduta ed eventualmente disabilitarli. E' lasciato come
esercizio per gli amministratori individuare la procedura migliore :-)
Simo.
More information about the samba-it
mailing list