[Samba-it] Accesso a Ubuntu 18.04 usando Winbind e PAM

Daniele Piccoli daniele.piccoli at riseup.net
Sat Feb 9 11:05:30 UTC 2019 

On 08/02/19 21:01, Giovanni Caini wrote:
> Ciao a tutti,

Ciao,

> Ho un dominio con DC AD emulato da Samba4 e va già benissimo da
> workstation Windows..
> Mi interesserebbe effettuare l'accesso anche da workstation con Ubuntu,
> usando le stesse credenziali.

Non uso direttamente Ubuntu, ma LinuxMint (sia ramo 17 che ramo 18) con
login utenti da samba4.

> Ho installato su una workstation Ubuntu 18.04, con l'ultima versione di
> Samba (la 4.9.4), seguendo il Wiki.
> Tutti i test funzionano (kinit, wbinfo -p, wbinfo -u, getent passwd
> "DIDATTICA\account").

Ok

> In nsswitch.conf ho aggiunto winbind sia a passwd che a group. Ho
> linkato le librerie (sia pam_winbind.so che libnss_winbind.so.2) come
> scritto nel wiki.

Ok

> La parte critica invece è far funzionare pam per l'autenticazione degli
> utenti, ovvero configurare i vari common-* . Sul wiki c'è un'indicazione
> generica ad un file di Red Hat che non combacia in niente con quelli
> presenti su Ubuntu 18.04..
> In rete, si trova molta roba diversa: ne ho provati tanti, ma la maggior
> parte finisce con l'escludere qualsiasi accesso al sistema (nessuno
> ovviamente funziona!)
> Qualcuno ha un'idea di come si debbano configurare i vari common-*?

Questo è quello che ho nel mio script di join di macchine linux a dominio:

#Creo una copia di sicurezza del file di configurazione pam
cp /etc/pam.d/common-auth /etc/pam.d/common-auth.default

#Aggiungo una nuova riga al file di pam per permettere la login degli
utenti di dominio
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0077"
>>/etc/pam.d/common-auth

#Sostituisco pam-common-account e pam-common-passw per consentire il
cambio password
cp pam.d/* /etc/pam.d/


Di seguito riporto i due file che sostituisco affinché il cambio
password funzioni:

**common-account**

#%PAM-1.0
#
# This file is autogenerated by pam-config. All changes
# will be overwritten.
#
# Account-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the account modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired.
#
account requisite       pam_unix.so     try_first_pass
account sufficient      pam_localuser.so
account required        pam_winbind.so  use_first_pass


**common-password**

#%PAM-1.0
#
# This file is autogenerated by pam-config. All changes
# will be overwritten.
#
# Password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define  the services to be
# used to change user passwords.
#
password sufficient pam_winbind.so
password requisite pam_cracklib.so
password optional pam_gnome_keyring.so use_authtok
password required pam_unix.so use_authtok nullok shadow try_first_pass

> Grazie,
> Giovanni Caini
> Per completezza, allego le configurazioni della workstation con Ubuntu
> 18.04 (smb.conf, krb5.conf, nsswitch.conf).
> (Al momento ho ripristinato tutti i file common-* come erano
> originariamente).
> 
> # /usr/local/samba/etc/smb.conf
> [global]
>         workgroup = DIDATTICA
>         realm = DIDATTICA.FERMI
>         netbios name = domainmember
>         security = ADS
>         log file = /usr/local/samba/var/%m.log
>         log level = 1
>         idmap config * : backend = tdb
>         idmap config * : range = 3000-7999
>         idmap config DIDATTICA : unix_nss_info = yes
>         idmap config DIDATTICA : unix_primary_group = yes
>         idmap config DIDATTICA : backend = ad
>         idmap config DIDATTICA : range = 20000-100000
>         idmap config DIDATTICA : schema_mode = rfc2307
>         username map = /usr/local/samba/etc/user.map
>         #template homedir = /home/%D/%U
>         template shell = /bin/bash
>         vfs objects = acl_xattr
>         map acl inherit = Yes
>         store dos attributes = Yes
>         winbind use default domain = yes
> 
> # /etc/krb5.conf
> [libdefaults]
>         default_realm = DIDATTICA.FERMI
>         dns_lookup_realm = false
>         dns_lookup_kdc = true
> 
> # /etc/nsswitch.conf
> passwd:       compat systemd winbind
> group:          compat systemd winbind
> shadow:         compat
> gshadow:        files
> hosts:          files dns
> networks:       files
> protocols:      db files
> services:       db files
> ethers:         db files
> rpc:            db files
> netgroup:       nis
> 

Ciao
Daniele

More information about the samba-it mailing list