[FoLUG] SAMBA + LDAP

samuele samuele enlargeyourlinux@yahoo.it
Dom 26 Feb 2006 15:02:06 CET 

>GG Noris <gigi@pclinx.it> ha scritto: 


> ok. a conferma di questo io se creo un utente in
> passwd uguale all'utente che ho in ldap allora da un
> client win posso accedere al server specificando
> user e pwd. inoltre se elimino l'utente da ldap ma
> lo lascio in passwd allora samba non mi fa piu'
> accedere. Per questo penso che la configurazione
> anche se' un po' zoppicante, (da perfezionare )
> funziona.

Si dovrebbe andare.

> vorrei evitare di gestire manualmente la creazione
> del doppio utente. e avevo capito che i tools
> disponibili con samba tipo : smbldap-useradd
> creassero l'utente in ldap ma anche il loro
> corrisspettivo in passwd. mentre se uso il suddetto
> tool creo l'utente in ldap ma non in passwd.

Il setup che ho su per samba è
samba+ldap+smbldap-tools, ma per gestire gli utenti e
gruppi in maniera automatica non uso direttamente gli
smbldap-toools, ma mi limito ad usare lo usare manager
for domain da un client windows. basta configurare le
direttive nel file smb.conf e far lanciare a samba gli
scirpt giusti e tutto funziona a meraviglia. In + di
un anno di utilizzo gli unici problemi che ho avuto
erano dovuti a un baco del net rpc vampire che non mi
aveva creato gli utenti in maniera corretta quando ho
migrato il dominio da nt4. Ho duvuto armarmi di
pazienza + perl e fare uno script che mi aggiustasse
gli oggetti su ldap.

> io non ho la necessita' di eliminare passwd, ma di
> tenerlo poi sincronizzato. nsswitch.conf l'ho
> modificato ma non so' nemmeno che programma
> configura. l'ho trovato in etc e come da howto poi
> l'ho cambiato ma sono andato... in fiducia..:)

Ti ripeto il consiglio. Se non hai la necessità di
avere un backup domain controller io userei tdb come
backend. Puoi ottenere un setup correttamente
funzionante anche con tdb. Basta che invece degli
smbldap-tools fai lanciare uno scirpt di shell a samba
per aggiornare i file passwd e group quando usi lo
"user manager for domains". In rete ne trovi una marea
già fatti e pronti all'uso. Se pulci la doc di samba
(samba 3 how to collection e samba3 by example che
trovi nel sito di smba) ci sono degli esempi
perfettamente funzionanti. In questo modo avreti una
gestione trasparente degli utenti. In + per esperienza
personale lo "user manager for domain" mi è servito
spesso come campanello di allarme per individuare dei
malfunzionamenti della configurazione. Qaundo funziona
al 100% allora sei sicuro che il setup è corretto.
Un altro vantaggio di utilizzare lo user manager for
domains è che anche chi non conosce nulla di linux
puo' gestire gli utenti. Nel mio caso è stato
utilissimo perchè avevo un dominio nt 4 e i miei
colleghi non hanno dovuto imparare nulla di nuovo.

> ha ecco. per cui pam+pam_ldap*nss_ldap servono per
> sostituire passwd. visto che io conosco meglio
> passwd allora potrei magari usare ldap ma con
> passwd.

come ti ho detto sopra mancandoti pam mi sembra nel
tuo caso una complicazione inutile. Il backend ldap è
irrinunciabile quando si hanno molti utenti e quando
devi avere un backup domain controller e ti devi
appoggiare ai meccanismi di replica di ldap per avere
la sincronizzazione dei db. 
Una pezza potrebbe essere quella di modificare gli
smbldap-tools per fargli aggiornare passwd e group, ma
mi sembra una fatica inutile.

> ok posso farlo. in prima battuta posso creare i
> gruppi in group creati di default da
> smbldap-populate. poi vedere se ci capisco e
> modificare i tools in modo da aggiungere un useradd
> in corrispondenza a ldap. tenendo uid e gid. potrei
> comunque crearli con /bin/false ? tanto accederanno
> solo con samba e con imap per qmail-ldap.
> 

puo' essere una soluzione. Io gli utenti li creo tutto
con home /dev/null e shell /bin/false. Così non mi si
loggano su linux, ma accedono al filesystem. 
OT - anche io usavo qmail-ldap. Un gioiello di mta.
Purtroppo l'ho docuto abbandonare per postfix+cyrus
quando ho messo su open-xchange. Lo rimpiango tutte le
volte che metto mano alla conf di postfix. Mi ero
anche fatto tutta una serie di script in perl per
gestirmi gli utenti di qmail-ldap in maniera
automatica tipo gli smbldap-tools.

> assolutamente, ti ringrazio per il tempo che ti fo'
> perdere.

di nulla :-). spero che i miei consigli ti tornino utili.


	

	
		
___________________________________ 
Yahoo! Mail: gratis 1GB per i messaggi e allegati da 10MB 
http://mail.yahoo.it

Maggiori informazioni sulla lista FoLUG