[Samba-it] Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza?

Dario Lesca d.lesca at solinos.it
Wed Aug 31 10:14:29 UTC 2016 

Il giorno mar, 30/08/2016 alle 23.04 -0400, Simo ha scritto:

Ben tornato Simo, felice di leggerti!

> Ben detto Diego,
> non é tutta una cospirazione quella di MS, e negli utlimi anni c'é
> stat grande collaboirazione con il Samba Team.

Mi dispiace essere stato così ... cospiratore e fuori tread, non era
mia intenzione. Ma purtroppo nel Mondo attuale "A pensar male ci si
azzecca sempre" e "Il Lupo perde il pelo ma non il vizio" ... Ma
probabilmente in questo caso mi sono sbagliato.

> I domini NT4 sono purtropo roba vecchia e vanno piano piano ritirati,
> spero riusciremo presto a provvedere pacchetti ufficiali con AD DC
> per Fedora e RHEL, ci stiamo lavorando da tempo.

C'è a tal proposito un tread su fedora-devel, dove ho postato una
richiesta di chiarimento a riguardo:
https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproject.org/thread/54ASZO5USOLKSAQ67LN24R4EKSUIZP7M/
 
Anche li confermano che ci stanno lavorando, anche se c'è chi sostiene
che la versione Heimdal Kerberos usata in Samba4 va più che bene e non
genera conflitti: 

        The integral Kerberos libraries in Samba when compiled for domain
        controller support work well, and are well segregated from the
        RHEL and Fedora provided Kerberos support.

Quindi basterebbe produrre un pacchetto sambaAD (come si fece per
samba4 su Centos6) e il gioco è fatto.

> Per quanto riguarda FreeIPA, che e stato menzionato, devo fare
> innanzitutto un mea culpa, che é una mia creazione :-)

Perchè un "mea culpa"? da quello che leggo in giro freeIPA è un buon
prodotto...

> L'unica cosa che voglio dire peró é che é penmsato per gestire
> macchine Linux e non Windows. Se uno ha pochi client Windows li puó
> anche integrare ma con grosse limitazioni di gestibilitá. Il nostro
> consiglio é di usare Samba/AD per le macchine windows e FreeIPA per i
> server Linux e fare una trust tra i due domini: best of both worlds.

A questo punto la domanda è d'obbligo:

Perchè non aggiungere a FreeIPA, visto che è un prodotto moderno e ben
strutturato (da quanto ho letto in giro), il supporto AD per Windows?

Grazie per le eventuali risposte.

Ciao

Dario

> On Tue, 2016-08-30 at 22:58 +0200, NdK wrote:
> > 
> > Il 27/08/2016 11:19, Dario Lesca ha scritto:
> > 
> > > 
> > > 
> > > Si certo, LORO problemi di sicurezza ... meglio ricordarlo.
> > Beh, tutti i sistemi hanno problemi di sicurezza. Perfino in BSD ne
> > hanno trovati...
> > 
> > > 
> > > 
> > > Sono anni che continuano a correggere problemi di sicurezza, e
> > > spesso
> > > questa "scusa" è utilizzata per "pilotare il mercato" a loro
> > > vantaggio.
> > Beh, certo. Ovviamente sono sul mercato per guadagnare.
> > 
> > > 
> > > 
> > > Ma è mai possibile che con i S.O. MS (lo noto perchè a volte mi
> > > tocca
> > > assistere al riavvio di qualche PC) si debbano scaricare
> > > settimanalmente Giga e Giga di software per poi riavviare e
> > > trovarsi
> > > ... tutto come prima?
> > Si chiama "compatibilità".
> > > 
> > > 
> > > Basta guardare la storia del Boot UEFI: serviva come soluzione
> > > contro i
> > > virus. E adesso che lo abbiamo, spendendo tempo ed energia per
> > > gestirlo
> > > anche nel mondo Open Source, i virus per "loro" sono per caso
> > > diminuiti? No, per nulla! anzi, con CryptoLocker sono pure
> > > peggiorati.
> > Certamente. Se mantieni la compatibilità con sistemi vecchi di 20
> > anni o
> > giù di lì, te ne tiri dietro i problemi. Però non sempre è tutta
> > colpa
> > loro... IIRC è da W95 che MS dice che gli autori di SW *non* devono
> > andare a scrivere nelle cartelle di Win, eppure continuano a farlo.
> > E
> > quando MS ha tentato di bloccare questa pratica da tempo deprecata
> > c'è
> > stata una mezza insurrezione perchè "non funziona più un ca%%o!"...
> > e
> > quindi è stato nuovamente permesso l'accesso, con gli ovvi
> > problemi.
> > 
> > > 
> > > 
> > > La "convinzione" (in loro) poi, dovrà venire da se, per quello io
> > > non
> > > posso farci nulla.
> > Io ad alcuni sono arrivato a dire "questa è l'ultima volta che ti
> > sistemo Win: la prossima volta che mi chiami o ti installo Linux o
> > non
> > sto neanche a venire".
> > 
> > > 
> > > 
> > > Ovvio che per implementare una soluzione analoga ad AD con GPO in
> > > reti
> > > Enterprise con Cliente MS per ora è quasi impossibile, senza
> > > usare
> > > Samba AD. Più semplice, forse, potrebbe essere se i Client
> > > fossero
> > > Linux (e forse anche MAC).
> > Problema appena avuto coi Mac joinati ad AD: il primo login di un
> > utente
> > è possibile solo con connessione Ethernet, se la wifi usa 802.1x
> > (nel
> > nostro caso PEAP/MSCHAPv2). E, mentre nei vecchi Mac era possibile
> > creare facilmente un profilo di rete, con gli ultimi è un macello:
> > bisogna creare un profilo generico con un tool da scaricare e poi
> > ci
> > sono istruzioni *molto* frammentarie per modificare l'XML generato
> > per
> > farlo diventare un LoginWindow profile... e non funziona granché
> > bene
> > (spesso pare perdere la connessione). Mi sa che dovrò pubblicare
> > una
> > entry nel mio blog per tentare di documentare un po' la cosa...
> > 
> > > 
> > > 
> > > Mi pare, (anche se non l'ho mai provato/approfondito, quindi
> > > poteri
> > > dire una stupidaggine) che FreeIPA[1] potrebbe "occuparsi" più o
> > > meno
> > > di queste cose. 
> > Non l'ho mai provato neppure io. Comunque pare avere moltissimo in
> > comune con AD. Poi il diavolo è nei dettagli:
> > - come sono i tool di gestione?
> > - come scala su domini grossi (il nostro ha più di 100k utenti e
> > 200k
> > gruppi... listarli con wbinfo ha richiesto svariate *ore* quando
> > per
> > errore l'ho fatto...) ?
> > - come si integrano i client?
> > 
> > > 
> > > 
> > > Ma questa (cambiare i Cliente Win con Linux) è un altra storia,
> > > nella
> > > quale gli "elementi in gioco" sono altri piuttosto che il buon
> > > senso,
> > > l'etica, la solidarietà, la condivisione, il sacrificio, la
> > > pazienza,
> > > la semplicità.... la Libertà. E vanno al di la dell'Informatica.
> > Beh, una volta tanto la legge italiana giocherebbe a favore
> > dell'Open
> > Source... Peccato che tutti se ne impipino. Almeno fin quando la
> > Corte
> > dei Conti non inizia a fare le pulci alle PA sulle spese per sw
> > proprietario.
> > 
> > BYtE,
> >  Diego
> > 
> > _______________________________________________
> > samba-it mailing list
> > samba-it a lists.samba.org
> > http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it
> 
> 
> _______________________________________________
> samba-it mailing list
> samba-it a lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it
-- 
Dario Lesca
(inviato dal mio Linux Fedora 24 Workstation)

More information about the samba-it mailing list