[Samba-it] R: Openldap e SaMBa AD DC

Luigi Iotti luigi at iotti.biz
Tue Mar 9 16:56:03 UTC 2021 

> Da: samba-it <samba-it-bounces at lists.samba.org> Per conto di Marco
> Gaiarin
> Inviato: martedì 9 marzo 2021 11:17
> 
> > Per la prima volta ho migrato il mio vecchio DC SaMBa "a la NT4" ad
> > AD. Sono
> 
> 'classicupgrade', quindi?

Sì esatto, non so se esistano alternative:)

> > su una CentOS8, ed utilizzo pacchetti RPM ricompilati in casa presi da
> > Fedora Rawhide. Dopo un po' di prove per capire come fare, la
> > migrazione è andata bene ed il DC funge. Avrei un paio di domande di
> contorno:
> 
> Buon per te! ;-)

Haha comincio ad avere la sensazione di essere una mosca bianca:) Scherzo,
oggi ho migrato un altro server che invece usava ldapsam, funziona (sempre
modulo qualche grattacapo che il sistemista scrupoloso avrebbe previsto a
monte, invece che buttarsi:)

> > 1) Il mio backend prima della migrazione NT4->AD era tdbsam. Ora vedo
> > che SaMBa implementa il proprio server ldap interno, occupando la porta
> 389.
> > Prima avevo un server OpenLDAP attivo che mi forniva una rubrica, che
> > ho dovuto quindi spegnere. Non è un gran problema, posso vivere senza,
> > ma mi chiedevo se potrei far girare SaMBa utilizzando OpenLDAP come
> > backend, come si faceva un tempo con il backend ldapsam. In
> > alternativa, chiedo se i due servizi ldap possano in qualche modo
> coesistere.
> 
> Fato salvo che lo schema AD dovrebbe essere abbastanza 'potente' da
> gestire una rubrica

Sì lo credo, chiedo solo: come implementarla? Si utilizza un qualche
software client di Windows, analogo a AD Users and computers? O posso usare
un qualsiasi client per ldap? Chiedo venia, ma mi sto addentrando nel tema
di Samba come server ldap solo ora per la prima volta. Se ci sono link a
qualche howto obbligatorio, volentieri.

> e può essere eventualmente esteso, la risposta è
> no: anche sese ne parla sempre, NON è possibile usare OpenLDAP come
> backend AD, ma per ora sembra solo il 'contrario':
> 	https://wiki.samba.org/index.php/OpenLDAP_as_proxy_to_AD

Infatti pensavo proprio a qualcosa del genere, ma nel caso descritto nel
documento, da quel che ne capisco, sarebbe OpenLDAP ad ascoltare sulla
389/tcp, e a redirigere a Samba una parte delle richieste al DIT. Quindi, in
pratica, Samba dovrebbe ascoltare su una porta differente dalla 389, e i
client Windows quando accedono al catalogo AD per i loro bisogni
passerebbero da OpenLDAP. Ho capito bene? Spero di essermi spiegato.

> Per la coesistenza... dovresti far partire OpenLDAP su una porta non
> standard, non vedo alternative.
> 
> 
> > 2) Sempre con il dominio di tipo NT4, utilizzavo le direttive unix
> > password sync e passwd chat per mantenere allineate le password unix e
> > samba dei miei utenti. Ora mi pare che queste due direttive vengano
> ignorate. Vi risulta?
> > Alternative?
> 
> Nn esiste un concetto di 'doppia password', ora l'unica password è quella
AD,
> e l'unica soluzione utilizzare winbind (occhio, NON sssd!) e i suoi moduli
> PAM/NSS per rendere visibili utenti, gruppi e password al sistema.

Ok chiaro, procedo in questo senso, grazie.

> 
> 	https://wiki.samba.org/index.php/Authenticating_Domain_Users_U
> sing_PAM
> 
> --
> dott. Marco Gaiarin				        GNUPG Key ID:
240A3D66
>   Associazione ``La Nostra Famiglia''
http://www.lanostrafamiglia.it/
>   Polo FVG   -   Via della Bontà, 7 - 33078   -   San Vito al Tagliamento
(PN)
>   marco.gaiarin(at)lanostrafamiglia.it   t +39-0434-842711   f
+39-0434-842797
> 
> 		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
>       http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
> 	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
> 
> _______________________________________________
> samba-it mailing list
> samba-it at lists.samba.org
> http://lists.samba.org/cgi-bin/mailman/listinfo/samba-it

More information about the samba-it mailing list