[Samba-it] Modifica a samba.schema

Cristian Manfredini c.manfredini at gmail.com
Fri Sep 8 09:53:01 MDT 2006


Si certo, per quanto mi riguarda anche il logging (openldap) settato a 256 è
troppo oneroso: mi inchioda il DC su un dominio di 600 utenti.
Quindi come al solito si tratta di trovare il compromesso migliore e nel mio
caso, avendo 2 slave, è accettabile aggiornare il sambaLogonTime anche
quando al mattino dalle 8 alle 8.30 molti utenti si collegano
contemporaneamente.

-- breve off topic --
Per inciso: adottando la soluzione di uno script

[netlogon]
   root preexec = /usr/local/sbin/updatesambaLogonTime.sh "%u"

non ho riscontrato un apprezzabile calo delle prestazioni.
-- fine off topic --

Tornando a noi!
Vorrei chiedere un consiglio di "buon senso" a chi ha più esperienza di me:
mi conviene spendere un po' di tempo per testare lo schema modificato o
adottando questa soluzione rischierei l' infarto  ad ogni aggiornamento di
Samba?
A me sembrano modifiche particolarmente utili.....

Cristian

2006/9/8, simo <simo.sorce at xsec.it>:
>
> On Thu, 2006-09-07 at 18:33 +0200, Cristian Manfredini wrote:
> > Salve a tutti,
> > nel gestire un DC samba3 con backend LDAP mi sono posto il problema di
> > automatizzare la disabilitazione degli utenti dopo 6 mesi di
> > inattività (come da L. 196/03).
> >
> > La search piu' efficente che mi è venuta in mente è la seguente:
> >
> > #! /bin/bash
> > let "DEADLINE=`date +%s` - 15552000"
> > `ldapsearch -x -b ou=users,ou=dominio,o=provinciare
> > '(&(uid=*)(!(sambaAcctFlags=[d*))(sambaLogonTime<='$DEADLINE'))' uid`
> >
> > Il problema è che con lo schema attuale sambaAcctFlags non fa match
> > con una sottostringa e sambaLogonTime non è confrontabile con un altro
> > intero.
> >
> > Quindi ho modifcato lo samba.schema come segue:
> >
> > attributetype ( 1.3.6.1.4.1.7165.2.1.26 NAME 'sambaAcctFlags'
> >         DESC 'Account Flags'
> >         EQUALITY caseIgnoreIA5Match
> >         SUBSTR caseIgnoreSubstringsMatch
> >         SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{16} SINGLE-VALUE )
> >
> > attributetype ( 1.3.6.1.4.1.7165.2.1.30 NAME 'sambaLogonTime'
> >         DESC 'Timestamp of last logon'
> >         EQUALITY integerMatch
> >         ORDERING integerOrderingMatch
> >         SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )
> >
> > Funziona!
> >
> > ...vengo alla domanda:
> > Quali garanzie ho che samba continui a funzionare correttamente avendo
> > modificato lo schema di openldap?
>
> Nessuna ovviamente :-)
> Comunque il tuo problema e' che samba non aggiorna il sambaLogonTime,
> abbiamo scoperto che e' un'operazione troppo onerosa in caso di Ldap
> replicati e in caso di login multipli che avvengono tutti allo stesso
> momento, per cui non aggiorniamo piu' questo parametro.
>
> Simo.
>
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20060908/ea6f1486/attachment.html>


More information about the samba-it mailing list