[Samba-it] Cambio password non da windows...

simo simo.sorce at xsec.it
Mon Nov 17 06:11:43 MST 2008


On Mon, 2008-11-17 at 10:49 +0100, Marco Gaiarin wrote:
> Mandi! Paolo Sala
>   In chel di` si favelave...
> 
> > Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
> > di windows. Come lo crea? Quando fai il logon hai uno uid, quando
> > risolvi il nome con nsswitch ne hai un altro... questo non è bello.
> 
> Il mapping tra UID/GID e SID è fatto sul PDC/BDC, andando a consultare
> l'albero LDAP e/o la sua cache locale .tdb.
> 
> Il client utilizza come repository degli account LDAP, quindi rispetto
> a PDC/BDC ha la stessa login (e vabbè) e lo stesso UID/GID.
> Sostanzialmente, per come la vedo io, il client perdura nella necessità
> di voler fare una conversione UID<->SID locale, senza demandare la cosa
> al server remoto.
> 
> In questa maniera sono sostanzialmente costretto ad usare winbind come
> provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
> che, sinceramente, non mi serve a nulla.

Non e' vero, nss_winbindd non e' utilizzato per il mapping, per cui non
ti serve usarlo.

> Oppure usare una idmap distribuita, come suggerisci con:
> 
> > La soluzione comunque è semplice. Prova a dare un'occhiata qua:
> > http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531
> 
> Cosa che, insisto, non sto facendo;

... eh le teste dure ...

>  non so che cosa comporti abilitare
> sul server l'idmap, e non ho in questo momento una installazione di
> test da 'sacrificare'.

E sul server non devi abilitare nulla infatti.

> Simo, mi sai dire qualcosa?

No idmap_ldap basta che lo configuri sul client.
Trovera' gia' tutte le informazioni necessarie che il server mette nei
veri account.

> Ad ogni modo: non capisco perchè per fare una cosa semplice sia
> necessario caricare una sovrastruttura come questa...


Una alternativa e' di usare idmap_rid su tutti i server, ma hai gia'
tutte le info in ldap e ID->SID gia' esistenti li, non vedo a che pro
non usare quel;le informazioni.

>  o meglio, posso
> capire che in certi contensi veramente 'corporate' winbind sia la
> soluzione, ma mi chiedo perchè non sia mai nata l'esigenza di una
> soluzione più leggera e più unix-like.

Perche' non e' possibile, quello che si puo' fare e' nasconderla
cosicche' l'amministratore non la veda, ma purtroppo rendere le cose
piu' facili e' sempre difficile :)

Simo.





More information about the samba-it mailing list