[Samba-it] R: Openldap e SaMBa AD DC
Luigi Iotti
luigi at iotti.biz
Tue Mar 9 16:56:03 UTC 2021
> Da: samba-it <samba-it-bounces at lists.samba.org> Per conto di Marco
> Gaiarin
> Inviato: martedì 9 marzo 2021 11:17
>
> > Per la prima volta ho migrato il mio vecchio DC SaMBa "a la NT4" ad
> > AD. Sono
>
> 'classicupgrade', quindi?
Sì esatto, non so se esistano alternative:)
> > su una CentOS8, ed utilizzo pacchetti RPM ricompilati in casa presi da
> > Fedora Rawhide. Dopo un po' di prove per capire come fare, la
> > migrazione è andata bene ed il DC funge. Avrei un paio di domande di
> contorno:
>
> Buon per te! ;-)
Haha comincio ad avere la sensazione di essere una mosca bianca:) Scherzo,
oggi ho migrato un altro server che invece usava ldapsam, funziona (sempre
modulo qualche grattacapo che il sistemista scrupoloso avrebbe previsto a
monte, invece che buttarsi:)
> > 1) Il mio backend prima della migrazione NT4->AD era tdbsam. Ora vedo
> > che SaMBa implementa il proprio server ldap interno, occupando la porta
> 389.
> > Prima avevo un server OpenLDAP attivo che mi forniva una rubrica, che
> > ho dovuto quindi spegnere. Non è un gran problema, posso vivere senza,
> > ma mi chiedevo se potrei far girare SaMBa utilizzando OpenLDAP come
> > backend, come si faceva un tempo con il backend ldapsam. In
> > alternativa, chiedo se i due servizi ldap possano in qualche modo
> coesistere.
>
> Fato salvo che lo schema AD dovrebbe essere abbastanza 'potente' da
> gestire una rubrica
Sì lo credo, chiedo solo: come implementarla? Si utilizza un qualche
software client di Windows, analogo a AD Users and computers? O posso usare
un qualsiasi client per ldap? Chiedo venia, ma mi sto addentrando nel tema
di Samba come server ldap solo ora per la prima volta. Se ci sono link a
qualche howto obbligatorio, volentieri.
> e può essere eventualmente esteso, la risposta è
> no: anche sese ne parla sempre, NON è possibile usare OpenLDAP come
> backend AD, ma per ora sembra solo il 'contrario':
> https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD
Infatti pensavo proprio a qualcosa del genere, ma nel caso descritto nel
documento, da quel che ne capisco, sarebbe OpenLDAP ad ascoltare sulla
389/tcp, e a redirigere a Samba una parte delle richieste al DIT. Quindi, in
pratica, Samba dovrebbe ascoltare su una porta differente dalla 389, e i
client Windows quando accedono al catalogo AD per i loro bisogni
passerebbero da OpenLDAP. Ho capito bene? Spero di essermi spiegato.
> Per la coesistenza... dovresti far partire OpenLDAP su una porta non
> standard, non vedo alternative.
>
>
> > 2) Sempre con il dominio di tipo NT4, utilizzavo le direttive unix
> > password sync e passwd chat per mantenere allineate le password unix e
> > samba dei miei utenti. Ora mi pare che queste due direttive vengano
> ignorate. Vi risulta?
> > Alternative?
>
> Nn esiste un concetto di 'doppia password', ora l'unica password è quella
AD,
> e l'unica soluzione utilizzare winbind (occhio, NON sssd!) e i suoi moduli
> PAM/NSS per rendere visibili utenti, gruppi e password al sistema.
Ok chiaro, procedo in questo senso, grazie.
>
> https://wiki.samba.org/index.php/Authenticating_Domain_Users_U
> sing_PAM
>
> --
> dott. Marco Gaiarin GNUPG Key ID:
240A3D66
> Associazione ``La Nostra Famiglia''
http://www.lanostrafamiglia.it/
> Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento
(PN)
> marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f
+39-0434-842797
>
> Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
> http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
> (cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
>
> _______________________________________________
> samba-it mailing list
> samba-it at lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it
More information about the samba-it
mailing list