Commenti a: Samba e Active Directory (3 di 3): configurare pam per l’autenticazione locale http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/ Perché niente è impossibile da capire... Se lo spieghi bene ! Mon, 02 Jan 2012 11:31:22 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Di: Raoul Scarazzini http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2032 Raoul Scarazzini Thu, 26 May 2011 14:21:40 +0000 http://www.miamammausalinux.org/?p=628#comment-2032 La soluzione è proprio quella che hai descritto. Sono davvero felice che sei riuscito a raggiungere il tuo obiettivo, eliminando il 777 (che è il MALE :-D). La soluzione è proprio quella che hai descritto. Sono davvero felice che sei riuscito a raggiungere il tuo obiettivo, eliminando il 777 (che è il MALE :-D ).

]]> Di: Andrea Z http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2031 Andrea Z Thu, 26 May 2011 14:02:32 +0000 http://www.miamammausalinux.org/?p=628#comment-2031 Ciao Raoul, innanzitutto ancora mille grazie per la celerità e la professionalità con la quale rispondi. Come seconda cosa volevo dirti che effettivamente cambiando il gruppo di appartenenza della directory, sono riuscito a fare tutto. Avevo già provato a cambiare gruppo tramite "chgrp" ma stupidamente non avevo considerato le virgolette nella sintassi e per questo non mi riconosceva il comando. Ultima domanda, è possibile abilitare più gruppi a una directory tramite "chgrp"? No vero? Altrimenti si avrebbero più proprietari su una stessa directory, dico bene? Questo perché nel dominio AD sono presenti davvero molti gruppi diversi, e magari più utenti sono in gruppi diversi contemporaneamente, ma magari potrebbero dover avere accesso anche in scrittura alla stessa directory. Questo eventualmente si può risolvere appunto come dicevo prima, ovvero dando come proprietario della dir il gruppo generico "Domain Users" di AD, e poi gestire tramite SAMBA le writelist più opportune. Che dire, rinnovo ancora i miei complimenti e i ringraziamenti! Ciao e a presto! Ciao Raoul,

innanzitutto ancora mille grazie per la celerità e la professionalità con la quale rispondi.
Come seconda cosa volevo dirti che effettivamente cambiando il gruppo di appartenenza della directory, sono riuscito a fare tutto. Avevo già provato a cambiare gruppo tramite “chgrp” ma stupidamente non avevo considerato le virgolette nella sintassi e per questo non mi riconosceva il comando.

Ultima domanda, è possibile abilitare più gruppi a una directory tramite “chgrp”? No vero? Altrimenti si avrebbero più proprietari su una stessa directory, dico bene?
Questo perché nel dominio AD sono presenti davvero molti gruppi diversi, e magari più utenti sono in gruppi diversi contemporaneamente, ma magari potrebbero dover avere accesso anche in scrittura alla stessa directory.
Questo eventualmente si può risolvere appunto come dicevo prima, ovvero dando come proprietario della dir il gruppo generico “Domain Users” di AD, e poi gestire tramite SAMBA le writelist più opportune.

Che dire, rinnovo ancora i miei complimenti e i ringraziamenti!

Ciao e a presto!

]]> Di: Raoul Scarazzini http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2030 Raoul Scarazzini Thu, 26 May 2011 12:57:09 +0000 http://www.miamammausalinux.org/?p=628#comment-2030 Ciao Andrea, stai ignorando la principale questione: chi è il proprietario di quei file? Se l'utente con cui stai cercando di scrivere non è il proprietario o non fa parte del gruppo, con i permessi 770 non ci accederai mai. Anche se in SAMBA il tuo utente è abilitato. La sequenza è quella che indichi tu ed anche la soluzione è quella che hai scritto: <pre lang="console"># chgrp -R "DOMINIO.IT\gruppo" <directory></pre> o se vuoi modificare user e group in una volta sola: <pre lang="console"># chown -R "DOMINIO.IT\utente":"DOMINIO.IT\gruppo" <directory></pre> A presto! Ciao Andrea,
stai ignorando la principale questione: chi è il proprietario di quei file? Se l’utente con cui stai cercando di scrivere non è il proprietario o non fa parte del gruppo, con i permessi 770 non ci accederai mai. Anche se in SAMBA il tuo utente è abilitato.
La sequenza è quella che indichi tu ed anche la soluzione è quella che hai scritto:

# chgrp -R "DOMINIO.IT\gruppo" <directory>

o se vuoi modificare user e group in una volta sola:

# chown -R "DOMINIO.IT\utente":"DOMINIO.IT\gruppo" <directory>

A presto!

]]> Di: Andrea Z http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2029 Andrea Z Thu, 26 May 2011 12:22:58 +0000 http://www.miamammausalinux.org/?p=628#comment-2029 Ciao Raoul, grazie per la velocità di risposta. Ho appena provato a settare un chmod 770 sulla directory che voglio condividere ma sorge un problema; ovvero che non riesco nemmeno ad accedere alla cartella. Se metto 775 ci accedo ma non posso scrivere/cancellare, in barba al parametro "write list = DOMINIO.IT\nome.utente" che teoricamente dovrebbe darmi abilitazione alla scrittura... Perché il sistema non categorizza i gruppi Active Directory come la seconda cifra numerica, che di norma è quella che interessa i Gruppi, appunto? (non è forse "Owner", "Groups", "Others" la sequenza delle tre cifre?) A quanto pare per abilitare i gruppi o gli utenti di Active Directory devo settare la cifra corrispondente ad "altri" sul 7, altrimenti nisba. A questo punto stavo pensando... forse farei prima a cambiare il gruppo d'appartenza della directory con 'chgrp' e impostandolo sul gruppo generico "Domain Users" di AD, e poi servirmi di Samba per gestire le policy... Il problema è che non so che comando dare per fargli capire di usare il gruppo di AD e non uno di sistema (quale root, utente, etc)... Non so se mi sono spiegato, in caso me ne scuso. Ti ringrazio già anticipatamente per i preziosi consigli e per il tempo che mi dedicherai, non c'è alcuna fretta in ogni caso. Ti auguro una buona giornata! Andrea Ciao Raoul, grazie per la velocità di risposta.

Ho appena provato a settare un chmod 770 sulla directory che voglio condividere ma sorge un problema; ovvero che non riesco nemmeno ad accedere alla cartella. Se metto 775 ci accedo ma non posso scrivere/cancellare, in barba al parametro
“write list = DOMINIO.IT\nome.utente” che teoricamente dovrebbe darmi abilitazione alla scrittura…

Perché il sistema non categorizza i gruppi Active Directory come la seconda cifra numerica, che di norma è quella che interessa i Gruppi, appunto? (non è forse “Owner”, “Groups”, “Others” la sequenza delle tre cifre?)
A quanto pare per abilitare i gruppi o gli utenti di Active Directory devo settare la cifra corrispondente ad “altri” sul 7, altrimenti nisba.

A questo punto stavo pensando… forse farei prima a cambiare il gruppo d’appartenza della directory con ‘chgrp’ e impostandolo sul gruppo generico “Domain Users” di AD, e poi servirmi di Samba per gestire le policy…
Il problema è che non so che comando dare per fargli capire di usare il gruppo di AD e non uno di sistema (quale root, utente, etc)…
Non so se mi sono spiegato, in caso me ne scuso.

Ti ringrazio già anticipatamente per i preziosi consigli e per il tempo che mi dedicherai, non c’è alcuna fretta in ogni caso. Ti auguro una buona giornata!

Andrea

]]> Di: Raoul Scarazzini http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2028 Raoul Scarazzini Wed, 25 May 2011 15:01:34 +0000 http://www.miamammausalinux.org/?p=628#comment-2028 Ciao Andrea e grazie per i complimenti. In merito alle osservazioni: - Assolutamente d'accordo con il discorso NTP, ha certamente più senso sfruttare l'NTP del server AD; - "service" è ormai standard, ma onde evitare qualsiasi dubbio, il buon vecchio /etc/init.d/ è certamente valido; - I permessi 777 sono il male :-) lo vado ripetendo in tutti i corsi che tengo, perché è una verità. Risolvere un problema di accesso dando accesso a tutti è un errore, che inoltre espone a numerosi rischi di sicurezza. Non farlo mai. Se il sistema non permette la scrittura, allora sarà necessario impostare le corrette appartenenze di file e gruppi. Ricorda ad esempio che volendo potresti assegnare una cartella ad un gruppo di utenze AD, con permessi 770 e saresti tutelato da accessi indesiderati. Ad ogni modo il 777, no, non serve praticamente mai. Detto questo, se vuoi approfondire ulteriormente la tua configurazione, fornisci maggiori dettagli in merito a cosa vuoi fare, vedrai che una soluzione diversa dal 777 si trova sempre, te lo garantisco. A presto. Ciao Andrea e grazie per i complimenti.
In merito alle osservazioni:
- Assolutamente d’accordo con il discorso NTP, ha certamente più senso sfruttare l’NTP del server AD;
- “service” è ormai standard, ma onde evitare qualsiasi dubbio, il buon vecchio /etc/init.d/ è certamente valido;
- I permessi 777 sono il male :-) lo vado ripetendo in tutti i corsi che tengo, perché è una verità. Risolvere un problema di accesso dando accesso a tutti è un errore, che inoltre espone a numerosi rischi di sicurezza. Non farlo mai. Se il sistema non permette la scrittura, allora sarà necessario impostare le corrette appartenenze di file e gruppi. Ricorda ad esempio che volendo potresti assegnare una cartella ad un gruppo di utenze AD, con permessi 770 e saresti tutelato da accessi indesiderati. Ad ogni modo il 777, no, non serve praticamente mai.

Detto questo, se vuoi approfondire ulteriormente la tua configurazione, fornisci maggiori dettagli in merito a cosa vuoi fare, vedrai che una soluzione diversa dal 777 si trova sempre, te lo garantisco.

A presto.

]]> Di: Andrea Z http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-2027 Andrea Z Wed, 25 May 2011 14:39:11 +0000 http://www.miamammausalinux.org/?p=628#comment-2027 Ciao, innanzitutto voglio farti i miei complimenti per questi tre articoli, scritti in modo veramente chiaro e completo; non se ne trovano di guide fatte così bene sulla Rete! Grazie alla lettura di questa tua guida, infatti, son riuscito nell'intento di mettere sotto dominio Windows una macchina linux, con tanto di gestione delle utenze e delle policies dei gruppi. Volevo farti notare due piccole precisazioni al fine di migliorare ulteriormente il tuo articolo: Riguardo ntpdate, trovo più utile interfacciare la macchina direttamente con l'orario del server di dominio che andremo ad utilizzare, per farlo basta digitare l'indirizzo IP del server al posto di "time.ien.it". Riguardo Samba, con le ultime versioni il demone si avvia/ferma tramite il comando: # service smbd stop | start | restart E invece per la questione delle policy di accesso\lettura\scrittura sulle cartelle condivise, ci ho perso la testa per capire bene il funzionamento, dato che su Internet tutti dicono una cosa diversa. Posso dire di avere risolto ogni problema mediante un semplice passaggio che non risulta nell'articolo. Praticamente prima di poter "validare" gli users in lettura o scrittura tramite Samba, bisogna dare i permessi a tutti sul filesystem tramite: # chmod -R 777 /directory/da/usare e poi tramite Samba usando i parametri che hai descritto nella guida; anche se io al posto di "read list" preferisco usare "valid users". È tutto, rinnovo ancora i miei complimenti e ti ringrazio per l'ottimo lavoro. :) Ciao, innanzitutto voglio farti i miei complimenti per questi tre articoli, scritti in modo veramente chiaro e completo; non se ne trovano di guide fatte così bene sulla Rete!
Grazie alla lettura di questa tua guida, infatti, son riuscito nell’intento di mettere sotto dominio Windows una macchina linux, con tanto di gestione delle utenze e delle policies dei gruppi.

Volevo farti notare due piccole precisazioni al fine di migliorare ulteriormente il tuo articolo:

Riguardo ntpdate, trovo più utile interfacciare la macchina direttamente con l’orario del server di dominio che andremo ad utilizzare, per farlo basta digitare l’indirizzo IP del server al posto di “time.ien.it”.

Riguardo Samba, con le ultime versioni il demone si avvia/ferma tramite il comando:

# service smbd stop | start | restart

E invece per la questione delle policy di accesso\lettura\scrittura sulle cartelle condivise, ci ho perso la testa per capire bene il funzionamento, dato che su Internet tutti dicono una cosa diversa. Posso dire di avere risolto ogni problema mediante un semplice passaggio che non risulta nell’articolo.

Praticamente prima di poter “validare” gli users in lettura o scrittura tramite Samba, bisogna dare i permessi a tutti sul filesystem tramite:

# chmod -R 777 /directory/da/usare

e poi tramite Samba usando i parametri che hai descritto nella guida;
anche se io al posto di “read list” preferisco usare “valid users”.

È tutto, rinnovo ancora i miei complimenti e ti ringrazio per l’ottimo lavoro. :)

]]> Di: Raoul Scarazzini http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-1892 Raoul Scarazzini Mon, 07 Jun 2010 08:22:51 +0000 http://www.miamammausalinux.org/?p=628#comment-1892 No, non si capisce molto da questi log, ma continuo ad essere convinto che il problema dipenda da Winbind. Prova a ricontrollare le conf. C'è di sicuro qualcosa che non torna lì. No, non si capisce molto da questi log, ma continuo ad essere convinto che il problema dipenda da Winbind.

Prova a ricontrollare le conf. C’è di sicuro qualcosa che non torna lì.

]]> Di: adolfo enrique http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-1891 adolfo enrique Mon, 07 Jun 2010 07:58:13 +0000 http://www.miamammausalinux.org/?p=628#comment-1891 grazie per la tua pazienza. quali log di preciso? qui riporto un sunto di 'log.winbindd-idmap' ----------------- [2010/05/27 13:21:19, 0] winbindd/idmap.c:149(smb_register_idmap) Idmap module nss already registered! [2010/06/03 08:38:50, 0] winbindd/idmap.c:201(smb_register_idmap_alloc) idmap_alloc module tdb already registered! [2010/06/03 08:38:50, 0] winbindd/idmap.c:149(smb_register_idmap) Idmap module passdb already registered! [2010/06/03 08:38:50, 0] winbindd/idmap.c:149(smb_register_idmap) Idmap module nss already registered! -------------- e di 'log.winbindd-dc-connect' -------------- [2010/04/06 08:26:11, 1] libads/cldap.c:154(recv_cldap_netlogon) no reply received to cldap netlogon [2010/04/29 13:56:42, 1] libads/cldap.c:154(recv_cldap_netlogon) no reply received to cldap netlogon -------------- indubbiamente non sono allettanti, ma non saprei come correggere. grazie per la tua pazienza.
quali log di preciso?
qui riporto un sunto di ‘log.winbindd-idmap’
—————–
[2010/05/27 13:21:19, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
[2010/06/03 08:38:50, 0] winbindd/idmap.c:201(smb_register_idmap_alloc)
idmap_alloc module tdb already registered!
[2010/06/03 08:38:50, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module passdb already registered!
[2010/06/03 08:38:50, 0] winbindd/idmap.c:149(smb_register_idmap)
Idmap module nss already registered!
————–
e di ‘log.winbindd-dc-connect’
————–
[2010/04/06 08:26:11, 1] libads/cldap.c:154(recv_cldap_netlogon)
no reply received to cldap netlogon
[2010/04/29 13:56:42, 1] libads/cldap.c:154(recv_cldap_netlogon)
no reply received to cldap netlogon
————–
indubbiamente non sono allettanti, ma non saprei come correggere.

]]> Di: Raoul Scarazzini http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-1890 Raoul Scarazzini Fri, 04 Jun 2010 10:37:01 +0000 http://www.miamammausalinux.org/?p=628#comment-1890 Di conseguenza il problema è relativo al demone winbind. E' avviato? Cosa dicono i log? Di conseguenza il problema è relativo al demone winbind. E’ avviato? Cosa dicono i log?

]]> Di: adolfo enrique http://www.miamammausalinux.org/2009/05/samba-e-active-directory-3-di-3-configurare-pam-per-lautenticazione-locale/comment-page-1/#comment-1889 adolfo enrique Fri, 04 Jun 2010 09:57:26 +0000 http://www.miamammausalinux.org/?p=628#comment-1889 scusa per il ritardo! infatti e' evidente che qualcosa non e' corretto nella configurazione. la risposta alla stringa d'interrogazione è "Could not get info for user .NOME_UTENTE." (anche dopo aver fatto un kinit -V e da sudo) il problema è che ho una 20na di utenti che già lavorano nelle condivisioni di SAMBA, altrimenti piallavo e ripartivo daccapo scusa per il ritardo! infatti e’ evidente che qualcosa non e’ corretto nella configurazione. la risposta alla stringa d’interrogazione è
“Could not get info for user .NOME_UTENTE.”
(anche dopo aver fatto un kinit -V e da sudo)
il problema è che ho una 20na di utenti che già lavorano nelle condivisioni di SAMBA, altrimenti piallavo e ripartivo daccapo

]]>