[Samba-it] client ubuntu in dominio samba (NT)
ivan re
re.ivan at gmail.com
Fri Jul 31 08:45:40 MDT 2009
grazie alla tua descrizione inizio a capire meglio cosa succede.
Come devo configurare common-account per dirgli di non tener conto di
"password expired" ?
Ivan
2009/7/30 Marco Gaiarin <gaio at sv.lnf.it>
> Mandi! ivan re
> In chel di` si favelave...
>
> > il problema che il server su cui installato samba in uso (non di
> prova)
> > e non ha ldap. (e' un dominio NT-style)
> > Non so se sia possibile passare agevolmente da PDC NT-style con tdbsam ad
> ldap
> > senza dover modificare le macchine windows e senza bloccare il lavoro
> degli
> > utenti.
>
> ...ti basta usare winbind come 'provider' di utenti e password.
>
>
> > Il problema del password expired non lo ottengo perch in qualche modo
> voglio
> > cambiare la password di un utente di dominio direttamente dal client
> ubuntu.
> > QUesto problema si ha ogni volta che provo il login grafico, con
> qualsiasi
> > utente.
>
> ...e questo perchè gdm o chi per lui cerca di fare un controllo di
> account sul tuo utente e non lo trova; occorre che tu configuri pam di
> modo che utilissi winbind per il controllo di account.
>
>
> > Dubbio: sia gli utenti che i gruppi presenti sul server devono essere
> replicati
> > anche sul client? Se si perch questo non richiesto da windows che
> > normalmente pi contorto?
>
> No, le cose sono così:
>
> 1) NSS esporta («rende visibili») al sistema utenti (e gruppi), detto
> brutalmente 'estende' /etc/passwd andando a pescare dati 'da qualche
> parte' (ldap, winbind, ...)
>
> 2) pam permette di verificare gli account, e in particolare verifica:
> a) che la password sia giusta (in auth)
> b) che l'account non sia scaduto (in account)
>
> Se 'importi' utenti con nss, abiliti shadow ma lasci indefinita la
> parte account, le cose si comportano un po' a caso perchè... nss sa
> esportare parzialmente le informazioni di shadow, e quindi per qualche
> modulo (ldap) va e qualche altro (winbind) no.
>
>
> Consiglio? Evita di usare in nss 'ldap' o 'winbind' nel database shadow
> e usa esplicitamente 'account' in pam per l'enforcing della scadenza
> account.
>
> --
> dott. Marco Gaiarin GNUPG Key ID: 240A3D66
> Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
> Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
> marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797
>
> Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
> http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
> (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20090731/9c3ca3bb/attachment.html>
More information about the samba-it
mailing list