[Samba-it] Ancora problemi su winbind
simo
idra at samba.org
Fri May 25 10:48:53 MDT 2012
On Fri, 2012-05-25 at 15:05 +0200, NdK wrote:
> Il 25/05/2012 10:42, Paolo Sala ha scritto:
>
> > no, sei fuori strada; il pdc è raggiungibile, semplicemente se usi
> > l'opzione winbind offline logon=true winbind memorizza le credenziali
> > dell'utente al logon e le usa non solo per successivi logon in caso in
> > cui il pdc/bdc non sia raggiungibile ma anche durante la sessione di
> > lavoro ogni qualvolta viene richiesta l'autenticazione ad una risorsa
> > smb un po' come fa windows (ogni volta che accedi ad una risorsa di rete
> > smb, non ti chiede di autenticarti ma usa le credenziali in cache).
> No. Per questo dovrebbe venire usato un ticket Kerberos.
> Login iniziale: mandi le credenziali al DC ed ottieni un TGT.
> Richiesta share: mandi TGT + dati share al DC ed ottieni un service
> ticket; mandi il service ticket al server che ospita la share ed ottieni
> l'accesso ai dati.
Questo é quello che viene fatto normalmente se il dominio é AD e l'auth
kerberos funziona.
> I service ticket non possono essere utilizzati per più di 5 minuti,
BS, i ticket sono normalmente validi tanto quanto il TGT.
> mentre il TGT è valido (normalmente) per 24 ore.
Il tempo dipende dalle impostazioni del KDC. Il default per domini AD e
24 + renewable per 1 settimana.
> È per questo che gli
> orologi delle macchine devono essere sincronizzati.
No non e per questo. il clock skew e di 5 minuti, ma i client posso
anche aggiustarsi al clock skew, la durata dei ticket c'entra nulla
peró.
> > Bene se questa impostazione è attiva se l'utente accede a risorse smb
> > messe a disposizione da server samba allora l'autenticazione riesce ma
> > se si cerca di accedere a risorse offerte da 'server' win2k, win2k o
> > win7 (altri non ne ho provati ma temo qualunque risorsa messa a
> > disposizione da server windows) l'autenticazione fallisce e per l'utente
> > non c'è alcun modo (se non disabilitando winbind offline logon e facendo
> > il restart di winbind) di accedervi e la cosa mi sembra piuttosto grave.
> Probabilmente perché i server Samba si "accontentano" di un login NTLM
> ed i Win invece pretendono Kerberos? Dovrebbe essere possibile sia
> "stringere" l'accesso a Samba sia "allargare" quello a win, ma così al
> volo non saprei dire come.
Anche sta roba qua sopra é BS, tutta sia domanda che risposta :-)
> PS: Provato anche con "smbcontrol winbind [on|off]line" ?
Simo.
P.S: scusate per la rudeness, vado di fretta ultimamente
--
Simo Sorce
Samba Team GPL Compliance Officer <simo at samba.org>
Principal Software Engineer at Red Hat, Inc. <simo at redhat.com>
More information about the samba-it
mailing list