[Samba-it] Ancora problemi su winbind

simo idra at samba.org
Fri May 25 10:48:53 MDT 2012


On Fri, 2012-05-25 at 15:05 +0200, NdK wrote: 
> Il 25/05/2012 10:42, Paolo Sala ha scritto:
> 
> > no, sei fuori strada; il pdc è raggiungibile, semplicemente se usi
> > l'opzione winbind offline logon=true winbind memorizza le credenziali
> > dell'utente al logon e le usa non solo per successivi logon in caso in
> > cui il pdc/bdc non sia raggiungibile ma anche durante la sessione di
> > lavoro ogni qualvolta viene richiesta l'autenticazione ad una risorsa
> > smb un po' come fa windows (ogni volta che accedi ad una risorsa di rete
> > smb, non ti chiede di autenticarti ma usa le credenziali in cache).
> No. Per questo dovrebbe venire usato un ticket Kerberos.
> Login iniziale: mandi le credenziali al DC ed ottieni un TGT.
> Richiesta share: mandi TGT + dati share al DC ed ottieni un service
> ticket; mandi il service ticket al server che ospita la share ed ottieni
> l'accesso ai dati.

Questo é quello che viene fatto normalmente se il dominio é AD e l'auth
kerberos funziona.

> I service ticket non possono essere utilizzati per più di 5 minuti,

BS, i ticket sono normalmente validi tanto quanto il TGT.

> mentre il TGT è valido (normalmente) per 24 ore.

Il tempo dipende dalle impostazioni del KDC. Il default per domini AD e
24 + renewable per 1 settimana.

> È per questo che gli
> orologi delle macchine devono essere sincronizzati.

No non e per questo. il clock skew e di 5 minuti, ma i client posso
anche aggiustarsi al clock skew, la durata dei ticket c'entra nulla
peró.

> > Bene se questa impostazione è attiva se l'utente accede a risorse smb
> > messe a disposizione da server samba allora l'autenticazione riesce ma
> > se si cerca di accedere a risorse offerte da 'server' win2k, win2k o
> > win7 (altri non ne ho provati ma temo qualunque risorsa messa a
> > disposizione da server windows) l'autenticazione fallisce e per l'utente
> > non c'è alcun modo (se non disabilitando winbind offline logon e facendo
> > il restart di winbind) di accedervi e la cosa mi sembra piuttosto grave.
> Probabilmente perché i server Samba si "accontentano" di un login NTLM
> ed i Win invece pretendono Kerberos? Dovrebbe essere possibile sia
> "stringere" l'accesso a Samba sia "allargare" quello a win, ma così al
> volo non saprei dire come.

Anche sta roba qua sopra é BS, tutta sia domanda che risposta :-)

> PS: Provato anche con "smbcontrol winbind [on|off]line" ?

Simo.

P.S: scusate per la rudeness, vado di fretta ultimamente


-- 
Simo Sorce
Samba Team GPL Compliance Officer <simo at samba.org>
Principal Software Engineer at Red Hat, Inc. <simo at redhat.com>



More information about the samba-it mailing list