[Samba-it] client ubuntu in dominio samba (NT)

Marco Gaiarin gaio at sv.lnf.it
Thu Jul 30 07:45:59 MDT 2009 

Mandi! ivan re
  In chel di` si favelave...

> Dopo aver messo nel dominio creato con samba le workstation windows adesso Devo
> mettere nel dominio un portatile con ubuntu 9.04.

Non uso winbind come provider di account e gruppi, ma LDAP, ma ad ogni
modo dopo esperimenti e prove mi sono fatto questi due file a mo' di
memo, che allego.
Sostanzialmente io uso ldap per nss, ldap per l'autenticazione e
winbind solo per il cambio password.


Ah, il primo è un file di configurazione di auth-client-config, che ti
consiglio di installare ed usare.

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  marco.gaiarin(at)sv.lnf.it	  tel +39-0434-842711  fax +39-0434-842797

		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
	   http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
-------------- next part --------------
#
# Configurazione mista che utilizza LDAP per i contesti password ed account
# mentre utilizza winbind per il contesto password, per permettere il
# cambiamento della pass con gli strumenti di windows.
#
# Alcune note:
#  + NSS non supporta shadow,
#     /usr/share/doc/libnss-ldap/LDAP-Permissions.txt.gz
#    ma posso ovviare con il contesto specifico 'account'
#  + onde evitare errori inutili, uso pam_localuser per identificare gli
#    utenti locali.
#  + la configurazione di winbind necessita solo del join e della corretta
#    configurazione dell'idmap nss.
# 
[ldap-wb]
nss_passwd=passwd: files ldap
nss_group=group: files ldap
nss_shadow=shadow: files 
pam_auth=auth	[success=ignore default=1]		pam_localuser.so
	auth	[success=1 default=ignore]		pam_unix.so nullok_secure
	auth	required				pam_ldap.so try_first_pass
	auth	required				pam_permit.so
pam_account=account	[success=ignore default=1]	pam_localuser.so
	account [success=1 default=ignore]		pam_unix.so
	account	required				pam_ldap.so
	account	required				pam_permit.so
pam_session=session required				pam_unix.so
pam_password=password	[success=ignore default=1]	pam_localuser.so
	password [success=1 default=ignore]		pam_unix.so nullok obscure min=4 max=8 md5
	password required				pam_winbind.so try_first_pass
	password required				pam_permit.so
-------------- next part --------------

1) occorre che la macchina sia in join a dominio, ma non serve che ci sia
 samba in esecuzione, basta samba-common e winbind.
Occorre configurare smb.conf al minimo, stile:

 [global]
	workgroup = SANVITO
	server string = %h server (Samba, Ubuntu)
	security = DOMAIN
	guest account = guest
	syslog = 0
	log file = /var/log/samba/log.%m
	max log size = 1000
	dns proxy = No
	wins server = 10.5.1.3
	panic action = /usr/share/samba/panic-action %d
	idmap domains = SANVITO
	winbind use default domain = Yes
	idmap config SANVITO:backend = nss
	idmap config SANVITO:readonly = yes
	idmap config SANVITO:default = yes


2) il mapping avviene attraverso il nome di utenti e gruppi e quindi
 QUESTO DEVE COINCIDERE, ovvero nomi POSIX e Win di utenti e gruppi
devono essere gli stessi.
Per i gruppi potrebbe bastare anche un mapping locale, ma è un hack
e potrebbe smettere di funzonare di punto in bianco.


More info su:

	http://lists.xsec.it/pipermail/samba-it/2008-December/007813.html

ed eventualmente tutto il thread precedente. ;)

More information about the samba-it mailing list