[FoLUG] SAMBA + LDAP

GG Noris gigi@pclinx.it
Ven 24 Feb 2006 11:53:12 CET


> -----Original Message-----
> From: folug-bounces+gigi=pclinx.it@lists.linux.it 
> [mailto:folug-bounces+gigi=pclinx.it@lists.linux.it] On 
> Behalf Of samuele samuele
> Sent: Thursday, February 23, 2006 10:19 PM
> To: Forlí Linux User Group
> Subject: RE: [FoLUG] SAMBA + LDAP
> 
> 
> Nel tuo caso non avendo pam+pam_ldap+nss_ldap devi per
> forza avere l'utente win in passwd come se fosse un
> utente linux normale, altrimenti quando devi accedere
> al filesystem linux non sa che pesci pigliare.

ok. a conferma di questo io se creo un utente in passwd uguale all'utente che ho in ldap allora da un client win posso accedere al server specificando user e pwd. inoltre se elimino l'utente da ldap ma lo lascio in passwd allora samba non mi fa piu' accedere. Per questo penso che la configurazione anche se' un po' zoppicante, (da perfezionare ) funziona.
vorrei evitare di gestire manualmente la creazione del doppio utente. e avevo capito che i tools disponibili con samba tipo : smbldap-useradd creassero l'utente in ldap ma anche il loro corrisspettivo in passwd. mentre se uso il suddetto tool creo l'utente in ldap ma non in passwd.

> pam_ldap+nss_ldap è utile perchè sostituisce il file
> passwd e quando un utente accede al filesystem pam
> cerca attraverso pam_ldap l'utente il suo gid/uid su
> openldap. non avendo nss_ldap è inutile la modifica
> che hai fatto su nsswitch.conf.

io non ho la necessita' di eliminare passwd, ma di tenerlo poi sincronizzato. nsswitch.conf l'ho modificato ma non so' nemmeno che programma configura. l'ho trovato in etc e come da howto poi l'ho cambiato ma sono andato... in fiducia..:)

> Ricapitolando quando samba autentica l'utente "pippo"
> che si logga su windows cerca il suo rid per il suo
> account/gruppo sul database che ha come backend. il
> backend puo' essere ldap oppure tdb. Supponiamo che
> l'utente cerchi di accedere ad un file su una
> condivisione il file ha come utente "pippo" e gruppo
> "domain users". Il problema è che nel file non ci sono
> memorizzati i rid di windows, ma ci sono gli uid/gid
> dell'utente pippo su unix. A quel punto il sistema
> deve cercare pippo come utente unix e lo fa con passwd
> nel caso di tdb, mentre con ldap vengono chiamati in
> causa pam+pam_ldap*nss_ldap che interrogano ldap e
> trovano la corripondenza tra pippo e il suo uid/gid
> unix.

ha ecco. per cui pam+pam_ldap*nss_ldap servono per sostituire passwd. visto che io conosco meglio passwd allora potrei magari usare ldap ma con passwd.

 
> Nel tuo setup mancando questa componente sei costretto
> a creare anche l'utente in passwd e i gruppi un group.
> Se il file appartiene al gruppo "domain users" allora
> lui ha come rid in windows na roba tipo
> S-1-2-3-40928520-985705345-0985171-513 (è un esempio
> non so se il sid è corretto). Nel file Unix pero' c'e'
> il gid 1003. A quel punto pam_ldap+nss_lap pesca su
> ldap il gruppo esatto e quando fai un ls su unix vedi
> "domain users" come gruppo nel file. Se non hai quei
> componenti allora c'e' il problema di creare utenti e
> gruppi su passwd+group. Quando cambi il gruppo ad un
> file da windows vedi che gli cambia il gruppo windows
> (e quandi il sid), mentre samba si cura di trovare il
> gid unix e memorizza quello nel file. E' per questo
> che quando crei un utente/gruppo x samba devi creare
> l'utente windows e l'utente unix.

ok posso farlo. in prima battuta posso creare i gruppi in group creati di default da smbldap-populate. poi vedere se ci capisco e modificare i tools in modo da aggiungere un useradd in corrispondenza a ldap. tenendo uid e gid. potrei comunque crearli con /bin/false ? tanto accederanno solo con samba e con imap per qmail-ldap.

> La cosa che li
> accomuna è lo userid che deve essere lo stesso. Spero
> di essermi fatto capire. Nel tuo caso se non hai pam
> userei tdb. Scusami per la risposta kilometrica.
> 

assolutamente, ti ringrazio per il tempo che ti fo' perdere.



ciao
GG


Maggiori informazioni sulla lista FoLUG