[Samba-it] join Debian 8 to AD

Marco Gaiarin gaio at sv.lnf.it
Wed Apr 26 14:37:56 UTC 2017


> Il punto comunque mi pare sssd.

Allora, vista l'insoddisfazione con winbind, ho provato sssd.


Installazione e configurazione semplicissime, farlo partire è tutta
un'altra storia perchè, ad esempio, non ho trovato da nessuna parte che
abbisogna di /etc/krb5.keytab, e che in un DC questo deve essere un
link a /var/lib/samba/private/secrets.keytab . Sono andato a intuito.

Inoltre è un po' pignolo in merito al resolving (credo sia kerberos, li
il problema), e io avendo clonato la macchina di produzione per farne
una di test avevo un po' di casino in /etc/hosts.

Ad ogni modo funziona.

 root a lupus:~# getent passwd gaio
 gaio:*:1000:1012:gaio:/home/gaio:/bin/bash
 root a lupus:~# id gaio
 uid=1000(gaio) gid=1012(ced) gruppi=1012(ced),512(domain admins),513(domain users),30038(administrators),30039(users)
 root a lupus:~# getent group ced
 ced:*:1012:gaio,amaronese

solo che, non funziona il contesto shadow:

 root a lupus:~# getent shadow gaio
 root a lupus:~# 

leggendo in giro, mi pare di capire che questa sia una cosa ''by
design'': anche nel caso che il contesto shadow sia mappabile 1:1 su
quello locale (ad esempio, l'apposito schema LDAP), di default non
viene mappato MA viene verificato ''backend side''.

Ovvero, i dati di scadenza della password vengono verificati dal
backend (dal dominio, in questo caso), semplicemente non vengono
visualizzati.

Mi dispiace perdere il contesto shadow, ma veramente sembra non ci
siano alternative.

Di buono sono contento di avere un sistema che fa caching: con
OpenLDAP/nslcd/nscd il problema era spesso anche riavviare il server
LDAP (dove ce n'era uno solo). Timeout infiniti e server SMTP che
bounciava email perchè l'utente non esisteva...


Non capisco se abbandonare winbind e usare sssd in un AD sia prono a
problemi, ma mi pare di leggere in giro che non sono l'unico ad averlo
fatto.


> Quante domande... Simooooo..... ;-)))

Io continuo ad evocare la luce... ;-)))

-- 
dott. Marco Gaiarin				        GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''          http://www.lanostrafamiglia.it/
  Polo FVG   -   Via della Bontà, 7 - 33078   -   San Vito al Tagliamento (PN)
  marco.gaiarin(at)lanostrafamiglia.it   t +39-0434-842711   f +39-0434-842797

		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
      http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)



More information about the samba-it mailing list