[Samba-it] Ancora problemi su winbind

[NdK]

Il 25/05/2012 10:42, Paolo Sala ha scritto:

> no, sei fuori strada; il pdc è raggiungibile, semplicemente se usi
> l'opzione winbind offline logon=true winbind memorizza le credenziali
> dell'utente al logon e le usa non solo per successivi logon in caso in
> cui il pdc/bdc non sia raggiungibile ma anche durante la sessione di
> lavoro ogni qualvolta viene richiesta l'autenticazione ad una risorsa
> smb un po' come fa windows (ogni volta che accedi ad una risorsa di rete
> smb, non ti chiede di autenticarti ma usa le credenziali in cache).
No. Per questo dovrebbe venire usato un ticket Kerberos.
Login iniziale: mandi le credenziali al DC ed ottieni un TGT.
Richiesta share: mandi TGT + dati share al DC ed ottieni un service
ticket; mandi il service ticket al server che ospita la share ed ottieni
l'accesso ai dati.
I service ticket non possono essere utilizzati per più di 5 minuti,
mentre il TGT è valido (normalmente) per 24 ore. È per questo che gli
orologi delle macchine devono essere sincronizzati.

> Bene se questa impostazione è attiva se l'utente accede a risorse smb
> messe a disposizione da server samba allora l'autenticazione riesce ma
> se si cerca di accedere a risorse offerte da 'server' win2k, win2k o
> win7 (altri non ne ho provati ma temo qualunque risorsa messa a
> disposizione da server windows) l'autenticazione fallisce e per l'utente
> non c'è alcun modo (se non disabilitando winbind offline logon e facendo
> il restart di winbind) di accedervi e la cosa mi sembra piuttosto grave.
Probabilmente perché i server Samba si "accontentano" di un login NTLM
ed i Win invece pretendono Kerberos? Dovrebbe essere possibile sia
"stringere" l'accesso a Samba sia "allargare" quello a win, ma così al
volo non saprei dire come.

PS: Provato anche con "smbcontrol winbind [on|off]line" ?

BYtE,
 Diego.