[Samba-it] [Disabilitazione automatica degli account...]
Marco Gaiarin
gaio at sv.lnf.it
Fri Apr 7 11:16:01 MDT 2006
Mandi! simo
In chel di` si favelave...
> > Sostanzialmente, a parte questo problema della disabilitazione degli
> > account, credo risolvibile con uno script (ma possibile che nessuno lo
> > abbia già fatto?), c'è un'altra questione.
> Non capisco quale sia il problema della disabilitazione, che ha
> smbpasswd -d che non va ?
...che vengono disabilitati gli account windows, non quelli posix. Per
il sistema in se potrei usare pam_winbind senza remore, ma il
dozzilione di interfacce web che si autenticano direttamente via LDAP
come faccio? Usare l'autenticazione pam in apache, php e confratelli è
un bel casino...
> Secondo me devi decidere quale' la parte autoritativa, se vuoi usare
> shadow usi obey pam restriction = yes e gestisci tutto dal lato linux
> con shadow, altrimenti usi pam_winbindd e usi tutto in modalita'
> windows, se vuoi altre forme ibride devi pensarci da te.
Piano. Fermi tutti.
Ovvero se io metto obey pam restriction = yes samba automaticamente
*legge* e *scrive* le informazioni sulla scadenza della password e
ammennicoli vari da shadow? Con la stessa ``potenza'' disponibile con
l'utilizzo dei suoi campi/tool?
Ho il forte sospetto invece che samba faccia il possibile per *leggere*
i dati da shadow, e che poi la parte di gestione (scadenze, lunghezza,
durata, ...) debba essere gestita a manina con i tool shadow.
Giusto?
> > [a naso anche qui basterebbe fare una piccola estensione a
> > smbldap-passwd che usi chage...]
> Come ben sai siamo solo distributori dei tool che vengono sviluppati da
> Idealix, se pensi sia una cosa utili puoi sottomettere loro una
> richiesta di estensione delle features.
Si, non è una cattiva idea...
> Ah ora ho letto la parte commentata :-)
> No non esiste un sistema automatico di rilievo degli account
> inutilizzati, a naso direi che la cosa piu' semplice e' imporre la
> scadenza delle password e periodicamente fare un report degli account
> con password scaduta ed eventualmente disabilitarli. E' lasciato come
> esercizio per gli amministratori individuare la procedura migliore :-)
Ok, vediamo se riesco a fare qualcosa con la mia perlignoranza. ;)
L'idea è, semplicemente, di fare uno script che, usando un wrapper a
passwd program o con check password script, semplicemente imposti la
stessa scadenza della password in shadow (e in eventuali altre scadenza
annegate in shadow)
L'ideale sarebbe fare un ``trigger'' (passami il termine da database)
al server LDAP che alla richiesta di cambio password provveda
atomicamente e univocamente ad aggornare una serie di informazioni.
Oppure istruire samba ad usare shadow, ma questo credo che sia
impossibile... ;(((
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
More information about the samba-it
mailing list