[Samba-it] join Debian 8 to AD
Marco Gaiarin
gaio at sv.lnf.it
Wed Apr 26 14:37:56 UTC 2017
> Il punto comunque mi pare sssd.
Allora, vista l'insoddisfazione con winbind, ho provato sssd.
Installazione e configurazione semplicissime, farlo partire è tutta
un'altra storia perchè, ad esempio, non ho trovato da nessuna parte che
abbisogna di /etc/krb5.keytab, e che in un DC questo deve essere un
link a /var/lib/samba/private/secrets.keytab . Sono andato a intuito.
Inoltre è un po' pignolo in merito al resolving (credo sia kerberos, li
il problema), e io avendo clonato la macchina di produzione per farne
una di test avevo un po' di casino in /etc/hosts.
Ad ogni modo funziona.
root a lupus:~# getent passwd gaio
gaio:*:1000:1012:gaio:/home/gaio:/bin/bash
root a lupus:~# id gaio
uid=1000(gaio) gid=1012(ced) gruppi=1012(ced),512(domain admins),513(domain users),30038(administrators),30039(users)
root a lupus:~# getent group ced
ced:*:1012:gaio,amaronese
solo che, non funziona il contesto shadow:
root a lupus:~# getent shadow gaio
root a lupus:~#
leggendo in giro, mi pare di capire che questa sia una cosa ''by
design'': anche nel caso che il contesto shadow sia mappabile 1:1 su
quello locale (ad esempio, l'apposito schema LDAP), di default non
viene mappato MA viene verificato ''backend side''.
Ovvero, i dati di scadenza della password vengono verificati dal
backend (dal dominio, in questo caso), semplicemente non vengono
visualizzati.
Mi dispiace perdere il contesto shadow, ma veramente sembra non ci
siano alternative.
Di buono sono contento di avere un sistema che fa caching: con
OpenLDAP/nslcd/nscd il problema era spesso anche riavviare il server
LDAP (dove ce n'era uno solo). Timeout infiniti e server SMTP che
bounciava email perchè l'utente non esisteva...
Non capisco se abbandonare winbind e usare sssd in un AD sia prono a
problemi, ma mi pare di leggere in giro che non sono l'unico ad averlo
fatto.
> Quante domande... Simooooo..... ;-)))
Io continuo ad evocare la luce... ;-)))
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797
Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
More information about the samba-it
mailing list