[Samba-it] Il sistema ha rilevato un possibile tentativo di compromissione della sicurezza?

Simo simo at samba.org
Wed Aug 31 17:54:25 UTC 2016 

On Wed, 2016-08-31 at 12:14 +0200, Dario Lesca wrote:
> Il giorno mar, 30/08/2016 alle 23.04 -0400, Simo ha scritto:
> 
> Ben tornato Simo, felice di leggerti!
> 
> > 
> > Ben detto Diego,
> > non é tutta una cospirazione quella di MS, e negli utlimi anni c'é
> > stat grande collaboirazione con il Samba Team.
> 
> Mi dispiace essere stato così ... cospiratore e fuori tread, non era
> mia intenzione. Ma purtroppo nel Mondo attuale "A pensar male ci si
> azzecca sempre" e "Il Lupo perde il pelo ma non il vizio" ... Ma
> probabilmente in questo caso mi sono sbagliato.
> 
> > 
> > I domini NT4 sono purtropo roba vecchia e vanno piano piano
> > ritirati,
> > spero riusciremo presto a provvedere pacchetti ufficiali con AD DC
> > per Fedora e RHEL, ci stiamo lavorando da tempo.
> 
> C'è a tal proposito un tread su fedora-devel, dove ho postato una
> richiesta di chiarimento a riguardo:
> https://lists.fedoraproject.org/archives/list/devel@lists.fedoraproje
> ct.org/thread/54ASZO5USOLKSAQ67LN24R4EKSUIZP7M/

Si ho forwardato il tuo messaggio ad Andreas e GD e ho chiesto loro di
commentare :)

> Anche li confermano che ci stanno lavorando, anche se c'è chi
> sostiene che la versione Heimdal Kerberos usata in Samba4 va più che
> bene e non genera conflitti: 
> 
>         The integral Kerberos libraries in Samba when compiled for
> domain
>         controller support work well, and are well segregated from
> the
>         RHEL and Fedora provided Kerberos support.
> 
> Quindi basterebbe produrre un pacchetto sambaAD (come si fece per
> samba4 su Centos6) e il gioco è fatto.

Questo é vero per il domain controller, non vero per libsmbclient & Co,
ci sono dei trucchi di linking che possono aiutare ad evitare certi
problemi, ma ci sono altre cose che non funzionano, Heimdal non ha
tutte le feature che usiamo su Fedora/RHEL (per esempio non capisce
keyring ccaches).

Se ti serve AD, é ok farsi il proprio pacchetto cuistom o usare qualche
repository di cui ti fidi, ma per rilasciarlo nella distro
ufficialmente abbiamo bisogno di qualcosa che sia supportabile.

> > 
> > Per quanto riguarda FreeIPA, che e stato menzionato, devo fare
> > innanzitutto un mea culpa, che é una mia creazione :-)
> 
> Perchè un "mea culpa"? da quello che leggo in giro freeIPA è un buon
> prodotto...
> 
> > 
> > L'unica cosa che voglio dire peró é che é penmsato per gestire
> > macchine Linux e non Windows. Se uno ha pochi client Windows li puó
> > anche integrare ma con grosse limitazioni di gestibilitá. Il nostro
> > consiglio é di usare Samba/AD per le macchine windows e FreeIPA per
> > i
> > server Linux e fare una trust tra i due domini: best of both
> > worlds.
> 
> A questo punto la domanda è d'obbligo:
> 
> Perchè non aggiungere a FreeIPA, visto che è un prodotto moderno e
> ben
> strutturato (da quanto ho letto in giro), il supporto AD per Windows?

Per motivi tecnici non si puó fare, ho un talk del lontano 2010 dato a
SambaXP che spiega come ci abbiamo provato e non si puó fare.
probabilmente puoi trovare ancora slides e registrazione audio
nell'archivio di sambaxp.org

> Grazie per le eventuali risposte.

My pleasure.

Simo.

> Ciao
> 
> Dario
> 
> > 
> > On Tue, 2016-08-30 at 22:58 +0200, NdK wrote:
> > > 
> > > 
> > > Il 27/08/2016 11:19, Dario Lesca ha scritto:
> > > 
> > > > 
> > > > 
> > > > 
> > > > Si certo, LORO problemi di sicurezza ... meglio ricordarlo.
> > > Beh, tutti i sistemi hanno problemi di sicurezza. Perfino in BSD
> > > ne
> > > hanno trovati...
> > > 
> > > > 
> > > > 
> > > > 
> > > > Sono anni che continuano a correggere problemi di sicurezza, e
> > > > spesso
> > > > questa "scusa" è utilizzata per "pilotare il mercato" a loro
> > > > vantaggio.
> > > Beh, certo. Ovviamente sono sul mercato per guadagnare.
> > > 
> > > > 
> > > > 
> > > > 
> > > > Ma è mai possibile che con i S.O. MS (lo noto perchè a volte mi
> > > > tocca
> > > > assistere al riavvio di qualche PC) si debbano scaricare
> > > > settimanalmente Giga e Giga di software per poi riavviare e
> > > > trovarsi
> > > > ... tutto come prima?
> > > Si chiama "compatibilità".
> > > > 
> > > > 
> > > > 
> > > > Basta guardare la storia del Boot UEFI: serviva come soluzione
> > > > contro i
> > > > virus. E adesso che lo abbiamo, spendendo tempo ed energia per
> > > > gestirlo
> > > > anche nel mondo Open Source, i virus per "loro" sono per caso
> > > > diminuiti? No, per nulla! anzi, con CryptoLocker sono pure
> > > > peggiorati.
> > > Certamente. Se mantieni la compatibilità con sistemi vecchi di 20
> > > anni o
> > > giù di lì, te ne tiri dietro i problemi. Però non sempre è tutta
> > > colpa
> > > loro... IIRC è da W95 che MS dice che gli autori di SW *non*
> > > devono
> > > andare a scrivere nelle cartelle di Win, eppure continuano a
> > > farlo.
> > > E
> > > quando MS ha tentato di bloccare questa pratica da tempo
> > > deprecata
> > > c'è
> > > stata una mezza insurrezione perchè "non funziona più un
> > > ca%%o!"...
> > > e
> > > quindi è stato nuovamente permesso l'accesso, con gli ovvi
> > > problemi.
> > > 
> > > > 
> > > > 
> > > > 
> > > > La "convinzione" (in loro) poi, dovrà venire da se, per quello
> > > > io
> > > > non
> > > > posso farci nulla.
> > > Io ad alcuni sono arrivato a dire "questa è l'ultima volta che ti
> > > sistemo Win: la prossima volta che mi chiami o ti installo Linux
> > > o
> > > non
> > > sto neanche a venire".
> > > 
> > > > 
> > > > 
> > > > 
> > > > Ovvio che per implementare una soluzione analoga ad AD con GPO
> > > > in
> > > > reti
> > > > Enterprise con Cliente MS per ora è quasi impossibile, senza
> > > > usare
> > > > Samba AD. Più semplice, forse, potrebbe essere se i Client
> > > > fossero
> > > > Linux (e forse anche MAC).
> > > Problema appena avuto coi Mac joinati ad AD: il primo login di un
> > > utente
> > > è possibile solo con connessione Ethernet, se la wifi usa 802.1x
> > > (nel
> > > nostro caso PEAP/MSCHAPv2). E, mentre nei vecchi Mac era
> > > possibile
> > > creare facilmente un profilo di rete, con gli ultimi è un
> > > macello:
> > > bisogna creare un profilo generico con un tool da scaricare e poi
> > > ci
> > > sono istruzioni *molto* frammentarie per modificare l'XML
> > > generato
> > > per
> > > farlo diventare un LoginWindow profile... e non funziona granché
> > > bene
> > > (spesso pare perdere la connessione). Mi sa che dovrò pubblicare
> > > una
> > > entry nel mio blog per tentare di documentare un po' la cosa...
> > > 
> > > > 
> > > > 
> > > > 
> > > > Mi pare, (anche se non l'ho mai provato/approfondito, quindi
> > > > poteri
> > > > dire una stupidaggine) che FreeIPA[1] potrebbe "occuparsi" più
> > > > o
> > > > meno
> > > > di queste cose. 
> > > Non l'ho mai provato neppure io. Comunque pare avere moltissimo
> > > in
> > > comune con AD. Poi il diavolo è nei dettagli:
> > > - come sono i tool di gestione?
> > > - come scala su domini grossi (il nostro ha più di 100k utenti e
> > > 200k
> > > gruppi... listarli con wbinfo ha richiesto svariate *ore* quando
> > > per
> > > errore l'ho fatto...) ?
> > > - come si integrano i client?
> > > 
> > > > 
> > > > 
> > > > 
> > > > Ma questa (cambiare i Cliente Win con Linux) è un altra storia,
> > > > nella
> > > > quale gli "elementi in gioco" sono altri piuttosto che il buon
> > > > senso,
> > > > l'etica, la solidarietà, la condivisione, il sacrificio, la
> > > > pazienza,
> > > > la semplicità.... la Libertà. E vanno al di la
> > > > dell'Informatica.
> > > Beh, una volta tanto la legge italiana giocherebbe a favore
> > > dell'Open
> > > Source... Peccato che tutti se ne impipino. Almeno fin quando la
> > > Corte
> > > dei Conti non inizia a fare le pulci alle PA sulle spese per sw
> > > proprietario.
> > > 
> > > BYtE,
> > >  Diego
> > > 
> > > _______________________________________________
> > > samba-it mailing list
> > > samba-it at lists.samba.org
> > > http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it
> > 
> > 
> > _______________________________________________
> > samba-it mailing list
> > samba-it at lists.samba.org
> > http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it

More information about the samba-it mailing list