[Samba-it] Re: Autenticazione tramite AD con domini trusted e home in NFS

[NdK ClanBO]

Scusate se mi auto-quoto, ma potrebbe risultare utile ad altri (e
probabilmente qualcuno dirà che era banale...).

2008/12/17 NdK ClanBO <ndk.clanbo at gmail.com>:

[...]
> Il problema: in Linux, permettere il login di utenti accreditati
> tramite Active Directory e farli accedere solo alla propria home da
> tutte le macchine di due laboratori.
[...]
> Purtroppo la macchina è joinata ad un dominio che autentica una
> piccola parte degli utenti, mentre il grosso degli utenti è su un
> altro dominio, in trust (e questo mi frega RID :-( da quanto sono
> riuscito a vedere... anche se la sintassi mi faceva ben sperare).
Ed infatti è bastato utilizzare la sintassi alternativa, con qualche
piccola modifica:

        winbind uid = 100000-1000000
        winbind gid = 100000-1000000

        idmap domains = PERSONALE STUDENTI
        idmap config STUDENTI:default = yes

        idmap config PERSONALE:backend = rid
        idmap config PERSONALE:base_rid  = 500
        idmap config PERSONALE:range = 100000 - 499999
        idmap config STUDENTI:backend = rid
        idmap config STUDENTI:base_rid  = 500
        idmap config STUDENTI:range = 500000 - 599999

E pare proprio funzionare, almeno per la parte UID:
[root at localhost samba]# ls -ln /home/*/
/home/PERSONALE/:
totale 0
drwxr-xr-x 3 108036 100013 256 2008-12-19 11:08 utente.dominiopers/

/home/STUDENTI/:
totale 0
drwxr-xr-x 3 585779 500013 256 2008-12-19 11:08 utente.dominiostud/

Alcuni problemi rimangono però aperti:
- il GID è uguale per i due domini
- il dominio di default è ancora PERSONALE (quello a cui è joinata la
macchina) invece di STUDENTI (quello indicato in configurazione)
- è ancora necessario usare DOMINIO+user.name quando non si utilizza
il dominio di default invece del più comodo formato ad "indirizzo
mail" che invece il login win accetta

Qualcuno ha idea di come si possano aggirare i problemi residui?

Grazie,
 Diego.