Re: sistema di autenticazione ldap su server debian

[stefano <stefano.malini@gmail.com>]

Grazie Marco.
sto studiandomi i file di configurazione libnss-ldapd, smb.conf, 
smbldap_bind.conf e smbldap.conf e mi sono soffermato sulla necessità di 
creare un ramo per le macchine nell'albero di directory, su cui credo di 
avere un pò di confusione.
vi chiedo un chiarimento:
se ho capito giusto, dato che in in un domain controller windows sono 
previste due tipologie di utenti, quelli associati ad una persona e 
quelli associati ad una macchina, deve essere aggiunto il ramo 
"Computers" che dovrà contenere gli identifcativi dei pc fissi nell'aula 
(che hanno ubuntu).
Due domande:
1. quale identificativo e quindi quale objectClass devo usare per 
identifcare i computers?
2. per i pc windows che si autenticheranno tramite freeradius è 
necessario aggiungere i loro identificativi?






On 03/10/2012 11:38 PM, Marco Gaiarin wrote:
> Mandi! stefano
>    In chel dì si favelave...
>
> Premessa: gestisco da tempo dele reti con client windows (xp) e server
> debian.
> Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le
> risorse unix alla rete winodws.
> In particolare, per scelte tecnologiche di fondo profondamente diverse,
> le password tra i due mondi non sono compatibili, ergo non è possibile
> usare una unica password.
>
> Si presentano più strade:
>
> 1) usare solo le password linux; scelta che obbliga a tenere le
>   password windows in chiaro, ormai tecnicamente non possibile.
>
> 2) usare solo le password windows, ovvero si veda alla voce 'winbind'.
>
> 3) usare un sistema che tenga ''in sincronia'' le password windows e
>   unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già
> in samba 3 c'è una gestione nativa di queste cose.
>
> Io uso gli smbldap-tools.
>
>
> s>  mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e
> s>  riporto questi miei interrogativi:
>
> s>  - come si imposta l'autenticazione al momento della connessione alla
> s>  rete locale?
>
> Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam
> (unix) come hai già fatto.
> Se parli di accesso fisico alla rete, la strada è quella di freeradius,
> che funziona perfettamente sia con LDAP che con ntlm (winbind).
>
>
> s>  - come si impostano poi i diversi permessi sui siti internet
> s>  consultabili a seconda del gruppo di appartenenza dell'utente?
>
> Impostando l'autenticazione ntlm in squid (il che implica ancra
> winbind) e scrivendo corrette ACL (o usando helper esterni come
> squidguard).
>
>
> s>  - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad
> s>  alcune cartelle presenti sul server?
>
> Con le ACL, come in windows (più omeno; non hai infatti un concetto di
> ACL negativa).
> Vedi altro thread se usi anche NFS, c'è un limite al numero delle
> entry.
>
> s>  - la dimensione della home per ogni utente ha un minimo necessario?
>
> La home quello che vuoi; il profilo (roaming profile) è bene che sia
> invece piccolo (1-2GB) onde evitare casini fotonici.
>
>
> s>  online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma
> s>  non riesco a farmi il quadro generale di realizzazione di questo mio
> s>  progetto.
> s>  potete essermi d'aiuto in qualche modo consigliandomi anche risorse
> s>  "didattiche" online?
>
> Leggiti la dcumentazione di samba dall'inizio alla fine, con calma.
>
> Poi rileggitela. ;-)