[Samba-it] Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza?

[Simo]

Ben detto Diego,
non é tutta una cospirazione quella di MS, e negli utlimi anni c'é stat
grande collaboirazione con il Samba Team.

I domini NT4 sono purtropo roba vecchia e vanno piano piano ritirati,
spero riusciremo presto a provvedere pacchetti ufficiali con AD DC per
Fedora e RHEL, ci stiamo lavorando da tempo.

Per quanto riguarda FreeIPA, che e stato menzionato, devo fare
innanzitutto un mea culpa, che é una mia creazione :-)
L'unica cosa che voglio dire peró é che é penmsato per gestire macchine
Linux e non Windows. Se uno ha pochi client Windows li puó anche
integrare ma con grosse limitazioni di gestibilitá. Il nostro consiglio
é di usare Samba/AD per le macchine windows e FreeIPA per i server
Linux e fare una trust tra i due domini: best of both worlds.

Simo.

On Tue, 2016-08-30 at 22:58 +0200, NdK wrote:
> Il 27/08/2016 11:19, Dario Lesca ha scritto:
> 
> > 
> > Si certo, LORO problemi di sicurezza ... meglio ricordarlo.
> Beh, tutti i sistemi hanno problemi di sicurezza. Perfino in BSD ne
> hanno trovati...
> 
> > 
> > Sono anni che continuano a correggere problemi di sicurezza, e
> > spesso
> > questa "scusa" è utilizzata per "pilotare il mercato" a loro
> > vantaggio.
> Beh, certo. Ovviamente sono sul mercato per guadagnare.
> 
> > 
> > Ma è mai possibile che con i S.O. MS (lo noto perchè a volte mi
> > tocca
> > assistere al riavvio di qualche PC) si debbano scaricare
> > settimanalmente Giga e Giga di software per poi riavviare e
> > trovarsi
> > ... tutto come prima?
> Si chiama "compatibilità".
> > 
> > Basta guardare la storia del Boot UEFI: serviva come soluzione
> > contro i
> > virus. E adesso che lo abbiamo, spendendo tempo ed energia per
> > gestirlo
> > anche nel mondo Open Source, i virus per "loro" sono per caso
> > diminuiti? No, per nulla! anzi, con CryptoLocker sono pure
> > peggiorati.
> Certamente. Se mantieni la compatibilità con sistemi vecchi di 20
> anni o
> giù di lì, te ne tiri dietro i problemi. Però non sempre è tutta
> colpa
> loro... IIRC è da W95 che MS dice che gli autori di SW *non* devono
> andare a scrivere nelle cartelle di Win, eppure continuano a farlo. E
> quando MS ha tentato di bloccare questa pratica da tempo deprecata
> c'è
> stata una mezza insurrezione perchè "non funziona più un ca%%o!"... e
> quindi è stato nuovamente permesso l'accesso, con gli ovvi problemi.
> 
> > 
> > La "convinzione" (in loro) poi, dovrà venire da se, per quello io
> > non
> > posso farci nulla.
> Io ad alcuni sono arrivato a dire "questa è l'ultima volta che ti
> sistemo Win: la prossima volta che mi chiami o ti installo Linux o
> non
> sto neanche a venire".
> 
> > 
> > Ovvio che per implementare una soluzione analoga ad AD con GPO in
> > reti
> > Enterprise con Cliente MS per ora è quasi impossibile, senza usare
> > Samba AD. Più semplice, forse, potrebbe essere se i Client fossero
> > Linux (e forse anche MAC).
> Problema appena avuto coi Mac joinati ad AD: il primo login di un
> utente
> è possibile solo con connessione Ethernet, se la wifi usa 802.1x (nel
> nostro caso PEAP/MSCHAPv2). E, mentre nei vecchi Mac era possibile
> creare facilmente un profilo di rete, con gli ultimi è un macello:
> bisogna creare un profilo generico con un tool da scaricare e poi ci
> sono istruzioni *molto* frammentarie per modificare l'XML generato
> per
> farlo diventare un LoginWindow profile... e non funziona granché bene
> (spesso pare perdere la connessione). Mi sa che dovrò pubblicare una
> entry nel mio blog per tentare di documentare un po' la cosa...
> 
> > 
> > Mi pare, (anche se non l'ho mai provato/approfondito, quindi poteri
> > dire una stupidaggine) che FreeIPA[1] potrebbe "occuparsi" più o
> > meno
> > di queste cose. 
> Non l'ho mai provato neppure io. Comunque pare avere moltissimo in
> comune con AD. Poi il diavolo è nei dettagli:
> - come sono i tool di gestione?
> - come scala su domini grossi (il nostro ha più di 100k utenti e 200k
> gruppi... listarli con wbinfo ha richiesto svariate *ore* quando per
> errore l'ho fatto...) ?
> - come si integrano i client?
> 
> > 
> > Ma questa (cambiare i Cliente Win con Linux) è un altra storia,
> > nella
> > quale gli "elementi in gioco" sono altri piuttosto che il buon
> > senso,
> > l'etica, la solidarietà, la condivisione, il sacrificio, la
> > pazienza,
> > la semplicità.... la Libertà. E vanno al di la dell'Informatica.
> Beh, una volta tanto la legge italiana giocherebbe a favore dell'Open
> Source... Peccato che tutti se ne impipino. Almeno fin quando la
> Corte
> dei Conti non inizia a fare le pulci alle PA sulle spese per sw
> proprietario.
> 
> BYtE,
>  Diego
> 
> _______________________________________________
> samba-it mailing list
> samba-it at lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it