Re: utenza di dominio [era: Problema con montaggio chiavette usb]
Il giorno mar, 23/05/2017 alle 12.26 +0200, Giovanni Bellonio ha
scritto:
> Ciao Giuseppe
> Il 2017-05-22 12:23 Giuseppe Sacco ha scritto:
> > Chiarito che hai due utenti diversi, con lo stesso nome, e visto
> > che
> > entrambi usano la stessa directory home, immagino che uno acceda
> > correttamente e tutto funzioni, mentre l'altro non dovrebbe poter
> > scrivere nella home e quindi darà una serie di problemi.
>
> Non ho avuto alcun problema, ho fatto login con 'dominio\mioutente'
> ('DIPPP\dpp1058157') ed ho creato all'interno della mia home una
> cartella nuova e al suo interno un file di testo, terminata questa
> sessione ho eseguito login con il solo utente (dpp1058157) e ho
> cancellato sia il file che la cartella creati in precedenza.
Se entrambi possono scriverci, allora forse hai la directory
accessibile al gruppo, cosa che in genere viene sconsigliata. Potresti
controllare?
Prova a controllare l'UID del proprietario della directory home e del
file che hai creato. Sono lo stesso? Sono quello Linux o quello
definito tramite winbind?
> questo è il contenuto di /etc/pam.d/common-auth
> > > auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
> > > auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
> > > auth [success=1 default=ignore] pam_winbind.so krb5_auth
> krb5_ccache_type=FILE cached_login
qui la priorità va all'utenza kerberos, poi a quella linux, e per
ultima winbind. Difatti l'argomento success=N indica che in caso di
successo vanno saltati i successivi N moduli.
> è il contenuto che ho trovato e non ho modificato ma nelle guide da
> me
> seguite erano indicate le seguenti righe che ho lasciato commentate:
> ## auth sufficient pam_winbind.so
> ## auth sufficient pam_unix.so nullok_secure use_first_pass
> ## auth required pam_deny.so
Qui invece avresti dato la precedenza a winbind.
In Debian è consigliato utilizzare il comando pam-auth-update per la
gestione di questi moduli. Il comando te li fa abilitare o meno. Invece
la priorità è stabilita nei file di configurazione presenti nella
directory /usr/share/pam-configs.
Il modulo di kerberos, che è il primo della tua lista, nonché il primo
secondo la configurazione predefinita di Debian, cerca un server KDC,
che probabilmente è il tuo dominio windows. Da quello che so -- ma
posso sbagliarmi -- kerberos utilizza il nome utente, senza associare
nessuno user id. Una volta verificate le credenziali, il nome viene
cercato via NSS (cioè con i moduli elencati in /etc/nsswitch.conf) per
poter assegnare uid e gid.
Nel tuo caso hai l'autenticazione con kerberos, quindi usi la password
dell'utenza di dominio, ma UID/GID presi dal «compat» tramite NSS, cioè
quelli del file /etc/passwd.
Per fare la controprova, verifica se in /tmp hai il file cache con i
ticket del tuo utente (nome che inizia per krb5cc). Verifica come si
chiamano e a quale uid/gid corrispondono (usa «ls -ln nomefile»).
Il fatto di dare degli intervalli di UID al winbind, ti potrebbe
servire per disabilitare l'accesso tramite kerberos. Dovresti impostare
il parametro minimum_uid di pam_krb5 allo stesso valore della base
dell'intervallo di UID che dai a winbind. Ma questo funziona solo se
anche il nome dell'utenza non ha duplicati.
[...]
> dopo le email di Piviul di ieri ho impostato il backend a rid sul
> dominio di appartenenza,
> idmap config DIPPP:range = 11000-20000
> idmap config DIPPP:backend = rid
> idmap config *:range = 21000-30000
> idmap config * : backend = tdb
> potrei modificarlo se fosse utile
No, questo non incide sulle utenze che hanno già fatto un accesso a
Linux, difatti queste hanno già definita l'associazione SID/UID.
L'averlo cambiato ti servirà quando accederanno utenti che non hanno
ancora l'associazione.
Ciao,
Giuseppe
Reply to: