[Samba-it] [Disabilitazione automatica degli account...]

Fri Apr 7 16:35:01 MDT 2006

On Fri, 2006-04-07 at 11:15 +0200, Marco Gaiarin wrote:
> Mandi! simo
>   In chel di` si favelave...
> 
> > > Sostanzialmente, a parte questo problema della disabilitazione degli
> > > account, credo risolvibile con uno script (ma possibile che nessuno lo
> > > abbia già fatto?), c'è un'altra questione.
> > Non capisco quale sia il problema della disabilitazione, che ha
> > smbpasswd -d che non va ?
> 
> ...che vengono disabilitati gli account windows, non quelli posix. Per
> il sistema in se potrei usare pam_winbind senza remore, ma il
> dozzilione di interfacce web che si autenticano direttamente via LDAP
> come faccio? Usare l'autenticazione pam in apache, php e confratelli è
> un bel casino...

a questo non c'e' soluzione semplice, shadow non ti cambierebbe
assolutamente nulla, perche' anche quello richiede che tu usi pam.

In altro posto ho risolto con uno script notturno che aggiungeva
qualcosa tipo [DISABLED] in testa al campo userPassword in modo da poter
ripristinare l'account senza perdere la password successivamente.

> > Secondo me devi decidere quale' la parte autoritativa, se vuoi usare
> > shadow usi obey pam restriction = yes e gestisci tutto dal lato linux
> > con shadow, altrimenti usi pam_winbindd e usi tutto in modalita'
> > windows, se vuoi altre forme ibride devi pensarci da te.
> 
> Piano. Fermi tutti.
> Ovvero se io metto obey pam restriction = yes samba automaticamente
> *legge* e *scrive* le informazioni sulla scadenza della password e
> ammennicoli vari da shadow? Con la stessa ``potenza'' disponibile con
> l'utilizzo dei suoi campi/tool?

Beh non esageriamo, legge e basta, samba non tocca il file shadow.

> Ho il forte sospetto invece che samba faccia il possibile per *leggere*
> i dati da shadow, e che poi la parte di gestione (scadenze, lunghezza,
> durata, ...) debba essere gestita a manina con i tool shadow.
> Giusto?

Giusto.

Secondo me se vai di pam_winbindd e mod_ntlm_winbidd(*) risolvi
elegantemente tutti i problemi.

> L'idea è, semplicemente, di fare uno script che, usando un wrapper a
> passwd program o con check password script, semplicemente imposti la
> stessa scadenza della password in shadow (e in eventuali altre scadenza
> annegate in shadow)

Lo feci anche io cosi'.

> L'ideale sarebbe fare un ``trigger'' (passami il termine da database)
> al server LDAP che alla richiesta di cambio password provveda
> atomicamente e univocamente ad aggornare una serie di informazioni.

Beh io avevo risolto obbligando la gente a cambiare la password via web,
ma ogni soluzione e' buona.

> Oppure istruire samba ad usare shadow, ma questo credo che sia
> impossibile... ;(((

Difficile si, impossibile no.

Simo.

* http://samba.org/ftp/unpacked/lorikeet/ qui si trova il modulo da
ricompilare su apache, l'ultima volta che l'ho usato compilava solo per
apache 1.3 per il resto e' comodissimo e permette per esempio,
l'autenticazione trasparente sia con IE che con FireFox usando le
credenziali dell'utente loggato via ntlm.