[Samba-it] [Disabilitazione automatica degli account...]

Marco Gaiarin gaio at sv.lnf.it
Fri Apr 7 11:16:01 MDT 2006 

Mandi! simo
  In chel di` si favelave...

> > Sostanzialmente, a parte questo problema della disabilitazione degli
> > account, credo risolvibile con uno script (ma possibile che nessuno lo
> > abbia già fatto?), c'è un'altra questione.
> Non capisco quale sia il problema della disabilitazione, che ha
> smbpasswd -d che non va ?

...che vengono disabilitati gli account windows, non quelli posix. Per
il sistema in se potrei usare pam_winbind senza remore, ma il
dozzilione di interfacce web che si autenticano direttamente via LDAP
come faccio? Usare l'autenticazione pam in apache, php e confratelli è
un bel casino...


> Secondo me devi decidere quale' la parte autoritativa, se vuoi usare
> shadow usi obey pam restriction = yes e gestisci tutto dal lato linux
> con shadow, altrimenti usi pam_winbindd e usi tutto in modalita'
> windows, se vuoi altre forme ibride devi pensarci da te.

Piano. Fermi tutti.
Ovvero se io metto obey pam restriction = yes samba automaticamente
*legge* e *scrive* le informazioni sulla scadenza della password e
ammennicoli vari da shadow? Con la stessa ``potenza'' disponibile con
l'utilizzo dei suoi campi/tool?
Ho il forte sospetto invece che samba faccia il possibile per *leggere*
i dati da shadow, e che poi la parte di gestione (scadenze, lunghezza,
durata, ...) debba essere gestita a manina con i tool shadow.
Giusto?


> > [a naso anche qui basterebbe fare una piccola estensione a
> > smbldap-passwd che usi chage...]
> Come ben sai siamo solo distributori dei tool che vengono sviluppati da
> Idealix, se pensi sia una cosa utili puoi sottomettere loro una
> richiesta di estensione delle features.

Si, non è una cattiva idea...


> Ah ora ho letto la parte commentata :-)
> No non esiste un sistema automatico di rilievo degli account
> inutilizzati, a naso direi che la cosa piu' semplice e' imporre la
> scadenza delle password e periodicamente fare un report degli account
> con password scaduta ed eventualmente disabilitarli. E' lasciato come
> esercizio per gli amministratori individuare la procedura migliore :-)

Ok, vediamo se riesco a fare qualcosa con la mia perlignoranza. ;)

L'idea è, semplicemente, di fare uno script che, usando un wrapper a
passwd program o con check password script, semplicemente imposti la
stessa scadenza della password in shadow (e in eventuali altre scadenza
annegate in shadow)


L'ideale sarebbe fare un ``trigger'' (passami il termine da database)
al server LDAP che alla richiesta di cambio password provveda
atomicamente e univocamente ad aggornare una serie di informazioni.

Oppure istruire samba ad usare shadow, ma questo credo che sia
impossibile... ;(((

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  marco.gaiarin(at)sv.lnf.it	  tel +39-0434-842711  fax +39-0434-842797

More information about the samba-it mailing list