[FoLUG] SAMBA + LDAP

samuele samuele enlargeyourlinux@yahoo.it
Mer 22 Feb 2006 20:49:41 CET


--- GG Noris <gigi@pclinx.it> ha scritto: 

> Salve a tutti.
> 
> sto' seguendo della documentazione per installare su
> una distro slackware 10.2 samba + ldap. l'obbiettivo
> e' poi installare qmail-ldap.
> 
> ho installato openldap;
> ho installato samba ricompilandolo perche su slk non
> ha il supporto per ldap;
> ho configurato smb.conf in modo adeguato, ovvero
> come da documento ufficiale how-to.
> 
> il sistema non funziona perfettamente, ovvero io
> vorrei capire una cosa:
> 
> creo un utente in ldap, con gli attributi richiesti
> da samba.
> Quando uso il suddetto utente dalla rete ( esempio
> da un client win2k ), samba lo trova in ldap, ma poi
> non mi lascia accedere al server samba. allora io
> creo un utente uguale ( con lo stesso nome e una
> fake homedir) in /etc/passwd.
> in questo caso l'accesso da rete con il suddetto
> utente funziona.
> 
> La cosa mi sembra ovvia, samba deve avere una
> corrispondenza utente-linux = utente ldap  se poi
> voglio gestire le permission o l'accesso al sistema
> locale da rete. e' qui ce' il problema:
> non capisco che strumento devo usare perche tutta la
> doc che ho trovato parla di redhat o simili, per cui
> mi trovo spiazzato.
> 
> qualcuno ha qualche dritta da darmi ?
> 
> 
> GG

Premetto che non conosco slackware ma un mio amico
come te aveva cercato di moltare samba + openldap su
slackware e si è arenato perchè in slackware manca
proprio il pam.
Tutto mi fa pensare ad una errata
configurazione/mancanza di pam e dei componenti
relativi a pam_ldap e nss_ldap. Gli oggetti relativi
agli utenti hanno una parte con gli attributi di
windows, associati all'objectclass sambasamaccount e
una parte unix, associati all'objectclass unixaccount
(vado a memoria per i nomi delle objactclass).
Il problema è che gli utenti si autenticano perchè
samba in quella fase pesca solo da ldap e legge gli
attributi relativi a windows. Quando un utente va ad
accedere al filesystem allora l'utente windows con i
relativi permessi (rid e quant'altro) deve essere
"mappato" su un uid/gid unix. Questo avviene
attraverso i moduli pam_ldap e nss_ldap che permettono
all'ambiente unix di pescarli negli attributi uig e
gid dell'oggetto ldap dell'utente. Mancandoti il ponte
tra rid e gruppi windows e uid/gid unix dati da
pam+pam_ldap+nss_ldap, l'unico modo che hai è appunto
usare il file passwd, ma a quel punto a mio avviso
cade il motivo per usare ldap come backend.
Morale della favola, ha rifatto tutto su una distro
che aveva pam.
Ciao
   Samuele


		
___________________________________ 
Yahoo! Messenger with Voice: chiama da PC a telefono a tariffe esclusive 
http://it.messenger.yahoo.com


Maggiori informazioni sulla lista FoLUG