[Samba-it] Cambio password non da windows...

Paolo Sala piviul at riminilug.it
Mon Nov 17 04:10:06 MST 2008 

Marco Gaiarin scrisse in data 17/11/2008 10:49:
> Mandi! Paolo Sala
>   In chel di` si favelave...
>
>   
>> Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
>> di windows. Come lo crea? Quando fai il logon hai uno uid, quando
>> risolvi il nome con nsswitch ne hai un altro... questo non è bello.
>>     
>
> Il mapping tra UID/GID e SID è fatto sul PDC/BDC, andando a consultare
> l'albero LDAP e/o la sua cache locale .tdb.
>   
Da quel che so non si tratta di cache locale ma proprio un mapping fra
uid e sid. Il tipo di mapping dipende dai settaggi di idmap presenti in
smb.conf.

> Il client utilizza come repository degli account LDAP, quindi rispetto
> a PDC/BDC ha la stessa login (e vabbè) e lo stesso UID/GID.
>   
Non ha lo stesso uid/gid. Sicuramente hanno lo stesso sid ma non lo
stesso uid se non configuri correttamente idmap sul client.

> Sostanzialmente, per come la vedo io, il client perdura nella necessità
> di voler fare una conversione UID<->SID locale, senza demandare la cosa
> al server remoto.
>   
Se tu imposti idmap in ldap allora quello che dici è vero altrimenti gli
uid locali sono casuali e lo uid utilizzato dipende da quando il client
viene a conoscenza di quel sid e quindi crea uno uid alla bisogna.

> In questa maniera sono sostanzialmente costretto ad usare winbind come
> provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
> che, sinceramente, non mi serve a nulla.
>   
No, se usi idmap in ldap no!

> Oppure usare una idmap distribuita, come suggerisci con:
>
>   
>> La soluzione comunque è semplice. Prova a dare un'occhiata qua:
>> http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531
>>     
>
> Cosa che, insisto, non sto facendo; non so che cosa comporti abilitare
> sul server l'idmap, e non ho in questo momento una installazione di
> test da 'sacrificare'.
>   
Non succede proprio nulla, se imposti che il client non si inventi gli
uid ma li prenda da ldap cosa deve succedere? Semplicemente che aumenta
qualche interrogazione in più su ldap.

Non riesco a capire le tue obiezioni: configura il client ad usare ldap
come backend di idmap. Io purtroppo ldap sul pdc non ce l'ho e allora
sono costretto ad usare idmap rid come backend. Se poi vuoi fare il
backup delle home degli utenti di ubuntu è fondamentale utilizzare un
mapping uid-gid<=>sid univoco e condiviso fra i vari server.

In questo modo dovresti poter usare ldap per la risoluzione dei nomi
(come già del resto usi) e winbind per il cambio password (come del
resto hai già configurato).

Ciao

Piviul

More information about the samba-it mailing list