[Samba-it] client ubuntu in dominio samba (NT)
Marco Gaiarin
gaio at sv.lnf.it
Thu Jul 30 07:45:59 MDT 2009
Mandi! ivan re
In chel di` si favelave...
> Dopo aver messo nel dominio creato con samba le workstation windows adesso Devo
> mettere nel dominio un portatile con ubuntu 9.04.
Non uso winbind come provider di account e gruppi, ma LDAP, ma ad ogni
modo dopo esperimenti e prove mi sono fatto questi due file a mo' di
memo, che allego.
Sostanzialmente io uso ldap per nss, ldap per l'autenticazione e
winbind solo per il cambio password.
Ah, il primo è un file di configurazione di auth-client-config, che ti
consiglio di installare ed usare.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
-------------- next part --------------
#
# Configurazione mista che utilizza LDAP per i contesti password ed account
# mentre utilizza winbind per il contesto password, per permettere il
# cambiamento della pass con gli strumenti di windows.
#
# Alcune note:
# + NSS non supporta shadow,
# /usr/share/doc/libnss-ldap/LDAP-Permissions.txt.gz
# ma posso ovviare con il contesto specifico 'account'
# + onde evitare errori inutili, uso pam_localuser per identificare gli
# utenti locali.
# + la configurazione di winbind necessita solo del join e della corretta
# configurazione dell'idmap nss.
#
[ldap-wb]
nss_passwd=passwd: files ldap
nss_group=group: files ldap
nss_shadow=shadow: files
pam_auth=auth [success=ignore default=1] pam_localuser.so
auth [success=1 default=ignore] pam_unix.so nullok_secure
auth required pam_ldap.so try_first_pass
auth required pam_permit.so
pam_account=account [success=ignore default=1] pam_localuser.so
account [success=1 default=ignore] pam_unix.so
account required pam_ldap.so
account required pam_permit.so
pam_session=session required pam_unix.so
pam_password=password [success=ignore default=1] pam_localuser.so
password [success=1 default=ignore] pam_unix.so nullok obscure min=4 max=8 md5
password required pam_winbind.so try_first_pass
password required pam_permit.so
-------------- next part --------------
1) occorre che la macchina sia in join a dominio, ma non serve che ci sia
samba in esecuzione, basta samba-common e winbind.
Occorre configurare smb.conf al minimo, stile:
[global]
workgroup = SANVITO
server string = %h server (Samba, Ubuntu)
security = DOMAIN
guest account = guest
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 10.5.1.3
panic action = /usr/share/samba/panic-action %d
idmap domains = SANVITO
winbind use default domain = Yes
idmap config SANVITO:backend = nss
idmap config SANVITO:readonly = yes
idmap config SANVITO:default = yes
2) il mapping avviene attraverso il nome di utenti e gruppi e quindi
QUESTO DEVE COINCIDERE, ovvero nomi POSIX e Win di utenti e gruppi
devono essere gli stessi.
Per i gruppi potrebbe bastare anche un mapping locale, ma è un hack
e potrebbe smettere di funzonare di punto in bianco.
More info su:
http://lists.xsec.it/pipermail/samba-it/2008-December/007813.html
ed eventualmente tutto il thread precedente. ;)
More information about the samba-it
mailing list