[Samba-it] client ubuntu in dominio samba (NT)

ivan re re.ivan at gmail.com
Fri Jul 31 08:45:40 MDT 2009 

grazie alla tua descrizione inizio a capire meglio cosa succede.

Come devo configurare common-account per dirgli di non tener conto di
"password expired" ?
Ivan

2009/7/30 Marco Gaiarin <gaio at sv.lnf.it>

> Mandi! ivan re
>  In chel di` si favelave...
>
> > il problema   che il server su cui   installato samba   in uso (non   di
> prova)
> > e non ha ldap. (e' un dominio NT-style)
> > Non so se sia possibile passare agevolmente da PDC NT-style con tdbsam ad
> ldap
> > senza dover modificare le macchine windows e senza bloccare il lavoro
> degli
> > utenti.
>
> ...ti basta usare winbind come 'provider' di utenti e password.
>
>
> > Il problema del password expired non lo ottengo perch  in qualche modo
> voglio
> > cambiare la password di un utente di dominio direttamente dal client
> ubuntu.
> > QUesto problema si ha ogni volta che provo il login grafico, con
> qualsiasi
> > utente.
>
> ...e questo perchè gdm o chi per lui cerca di fare un controllo di
> account sul tuo utente e non lo trova; occorre che tu configuri pam di
> modo che utilissi winbind per il controllo di account.
>
>
> > Dubbio: sia gli utenti che i gruppi presenti sul server devono essere
> replicati
> > anche sul client? Se si perch  questo non   richiesto da windows che
> > normalmente   pi  contorto?
>
> No, le cose sono così:
>
> 1) NSS esporta («rende visibili») al sistema utenti (e gruppi), detto
>  brutalmente 'estende' /etc/passwd andando a pescare dati 'da qualche
>  parte' (ldap, winbind, ...)
>
> 2) pam permette di verificare gli account, e in particolare verifica:
>  a) che la password sia giusta (in auth)
>  b) che l'account non sia scaduto (in account)
>
> Se 'importi' utenti con nss, abiliti shadow ma lasci indefinita la
> parte account, le cose si comportano un po' a caso perchè... nss sa
> esportare parzialmente le informazioni di shadow, e quindi per qualche
> modulo (ldap) va e qualche altro (winbind) no.
>
>
> Consiglio? Evita di usare in nss 'ldap' o 'winbind' nel database shadow
> e usa esplicitamente 'account' in pam per l'enforcing della scadenza
> account.
>
> --
> dott. Marco Gaiarin                                 GNUPG Key ID: 240A3D66
>  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
>  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
>  marco.gaiarin(at)sv.lnf.it      tel +39-0434-842711  fax +39-0434-842797
>
>                Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
>           http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
>        (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.samba.org/pipermail/samba-it/attachments/20090731/9c3ca3bb/attachment.html>

More information about the samba-it mailing list