[Samba-it] Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza?

[NdK]

Il 27/08/2016 11:19, Dario Lesca ha scritto:

> Si certo, LORO problemi di sicurezza ... meglio ricordarlo.
Beh, tutti i sistemi hanno problemi di sicurezza. Perfino in BSD ne
hanno trovati...

> Sono anni che continuano a correggere problemi di sicurezza, e spesso
> questa "scusa" è utilizzata per "pilotare il mercato" a loro vantaggio.
Beh, certo. Ovviamente sono sul mercato per guadagnare.

> Ma è mai possibile che con i S.O. MS (lo noto perchè a volte mi tocca
> assistere al riavvio di qualche PC) si debbano scaricare
> settimanalmente Giga e Giga di software per poi riavviare e trovarsi
> ... tutto come prima?
Si chiama "compatibilità".
> Basta guardare la storia del Boot UEFI: serviva come soluzione contro i
> virus. E adesso che lo abbiamo, spendendo tempo ed energia per gestirlo
> anche nel mondo Open Source, i virus per "loro" sono per caso
> diminuiti? No, per nulla! anzi, con CryptoLocker sono pure peggiorati.
Certamente. Se mantieni la compatibilità con sistemi vecchi di 20 anni o
giù di lì, te ne tiri dietro i problemi. Però non sempre è tutta colpa
loro... IIRC è da W95 che MS dice che gli autori di SW *non* devono
andare a scrivere nelle cartelle di Win, eppure continuano a farlo. E
quando MS ha tentato di bloccare questa pratica da tempo deprecata c'è
stata una mezza insurrezione perchè "non funziona più un ca%%o!"... e
quindi è stato nuovamente permesso l'accesso, con gli ovvi problemi.

> La "convinzione" (in loro) poi, dovrà venire da se, per quello io non
> posso farci nulla.
Io ad alcuni sono arrivato a dire "questa è l'ultima volta che ti
sistemo Win: la prossima volta che mi chiami o ti installo Linux o non
sto neanche a venire".

> Ovvio che per implementare una soluzione analoga ad AD con GPO in reti
> Enterprise con Cliente MS per ora è quasi impossibile, senza usare
> Samba AD. Più semplice, forse, potrebbe essere se i Client fossero
> Linux (e forse anche MAC).
Problema appena avuto coi Mac joinati ad AD: il primo login di un utente
è possibile solo con connessione Ethernet, se la wifi usa 802.1x (nel
nostro caso PEAP/MSCHAPv2). E, mentre nei vecchi Mac era possibile
creare facilmente un profilo di rete, con gli ultimi è un macello:
bisogna creare un profilo generico con un tool da scaricare e poi ci
sono istruzioni *molto* frammentarie per modificare l'XML generato per
farlo diventare un LoginWindow profile... e non funziona granché bene
(spesso pare perdere la connessione). Mi sa che dovrò pubblicare una
entry nel mio blog per tentare di documentare un po' la cosa...

> Mi pare, (anche se non l'ho mai provato/approfondito, quindi poteri
> dire una stupidaggine) che FreeIPA[1] potrebbe "occuparsi" più o meno
> di queste cose. 
Non l'ho mai provato neppure io. Comunque pare avere moltissimo in
comune con AD. Poi il diavolo è nei dettagli:
- come sono i tool di gestione?
- come scala su domini grossi (il nostro ha più di 100k utenti e 200k
gruppi... listarli con wbinfo ha richiesto svariate *ore* quando per
errore l'ho fatto...) ?
- come si integrano i client?

> Ma questa (cambiare i Cliente Win con Linux) è un altra storia, nella
> quale gli "elementi in gioco" sono altri piuttosto che il buon senso,
> l'etica, la solidarietà, la condivisione, il sacrificio, la pazienza,
> la semplicità.... la Libertà. E vanno al di la dell'Informatica.
Beh, una volta tanto la legge italiana giocherebbe a favore dell'Open
Source... Peccato che tutti se ne impipino. Almeno fin quando la Corte
dei Conti non inizia a fare le pulci alle PA sulle spese per sw
proprietario.

BYtE,
 Diego