Re: Ldap e utenti locali

To: Liga <alessioligabue@gmail.com>
Cc: debian-italian@lists.debian.org
Subject: Re: Ldap e utenti locali
From: Antonio Doldo <antonio.doldo@gmail.com>
Date: Wed, 6 Apr 2011 12:55:03 +0200
Message-id: <[🔎] BANLkTimnmEAwnBD6P4aczM4idpnpQBt5nw@mail.gmail.com>
In-reply-to: <[🔎] 4D9B1CE6.2080003@gmail.com>
References: <[🔎] 4D99C3B3.40607@gmail.com> <[🔎] BANLkTik3PKwfT+aA+TcitNTFCBk3R_Nu-w@mail.gmail.com> <[🔎] 4D9B1CE6.2080003@gmail.com>

Il giorno 05 aprile 2011 15:45, Liga <alessioligabue@gmail.com> ha scritto:

Il 04/04/2011 19:32, Antonio Doldo ha scritto:

Il giorno 04 aprile 2011 15:12, Liga <alessioligabue@gmail.com> ha scritto:

Ciao a tutta la lista!

ho un pc portatile che viene utilizzato sia fuori che dentro la sede, l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi salvarli su hd.
autenticandosi in locale non vede le share di rete (non ha i permessi).

come posso muovermi?

pensavo a un account locale uguale a quello ldap con lo stesso uid sul server e sul portatile... funzionerà? c'è un altro modo?

mi spiego meglio:
i pc aziendali sono legati ad una autenticazione su una directory ldap su server che viene richiamata da ldap.conf. nella dir ldap ci sono tutti gli utenti e le loro home.
questa è propagata solo sulla rete interna, quindi non è accessibile da remoto, nemmeno le home che sono in rete tramite nfs.
i portatili vengono connessi alle più disparate connessioni e devono avere le home locali e utenti locali ma inoltre devono poter accedere alle share nfs in maniera autenticata (gli altri sono attaccati a ldap).
per questo ho pensato: autenticazione identica sia locale (passwd) che remota quando sono in rete (ldap) con come prima l'ldap in modo che se è presente viene utilizzato altrimenti si va su autenticazione locale (seconda opzione).

Per come la vedo io bisogna distinguere l'autenticazione, ovvero se tu ti trovi in rete interna e tenti di accedere alle risorse LDAP non basta il tuo utente locale, la password verso il dominio viene passata via NTLM e questo si basa su kerberos (spero di non dire castronerie)
il meccanismo sulla macchina locale linux basato su winbind dialoga con il server LDAP e, una volta passato il ticket, ti permette di accedere alle risorse.
Nel caso tu avessi un UID e GID pari a quelli trovati da winbind questo quasi sicuramente non sarebbe sufficiente.

Non mi è chiaro se la tua macchina accede con le credenziali di dominio alla rete e se si, se questo avviene con openldap o smb/winbind.
La seconda di queste, seppur complessa, è performante e permette di lavorare in entrambe le direzioni, ovvero accesso utenti linux -> dominio e utenti dominio > risorse e logon su linux

Tutto si puo fare modificando pam relativamente all'autenticazione

Su openldap non so dirti molto, ma immagino che tu possa ricavare l'ID e il SID per verificare l'accesso in locale e in rete.

Ciao,
Antonio

Reply to:

References:
- Ldap e utenti locali
  - From: Liga <alessioligabue@gmail.com>
- Re: Ldap e utenti locali
  - From: Antonio Doldo <antonio.doldo@gmail.com>
- Re: Ldap e utenti locali
  - From: Liga <alessioligabue@gmail.com>

Prev by Date: Re: problema con comando time
Next by Date: Incrementare performance con + sk rete
Previous by thread: Re: Ldap e utenti locali
Next by thread: Re: Ldap e utenti locali
Index(es):
- Date
- Thread