[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Debian als Client an Samba-Domäne



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am 02.08.2011 20:48, schrieb Martin Reising:
> On Tue, Aug 02, 2011 at 03:28:16PM +0200, Rico Koerner wrote:
>> Am 02.08.2011 12:22, schrieb Martin Reising:
>>> Wie kann man denn PAM und NSS ohne Rootrechte verwenden, im 
>>> gefragten Kontext?
>> 
>> NSS geht grundsätzlich ohne Rootrechte, /etc/passwd ist von jedem
>> lesbar. PAM benötigt Rootrechte, wenn es auf /etc/shadow zugreifen
>> muß. Im Falle von LDAP gibt es 2 Möglichkeiten, einen bind mit
>> einer bestimmten DN, um das Passwort zu lesen oder ein AUTH gegen
>> LDAP. Beides kommt ohne Rootrechte im System aus.
> 
> Ich hatte schon vermutet das du mit System den Samba-Server meinst
> und nicht die Linux Workstation die sich die 
> Benutzer/Gruppen-Informationen eben dort erfragt. Auf der Workstation
> läuft der [gkx]dm zwangsläufig als root.

Das ist unerheblich, ob auf dem Client irgendein Programm als root
läuft, das wird es wahrscheinlich immer geben. Und das hat ja nun noch
viel weniger mit Samba oder LDAP zu tun. Danach wurde ja noch gar nicht
gefragt. Könnte es sein, daß hier nur die Anmeldung bzgl.
File/Druckservice gefragt war? Und ggf. die Aufnahme des Clients in die
Domäne?

>> Ich meinte damit, daß ich z.B. Benutzer in unterschiedlichen OUs
>> ablege und PAM dann sagen möchte, daß nur die posixAccounts aus
>> einer bestimmten OU für einen bestimmten Service zu verwenden
>> sind.
> 
> Dafür setzt man doch die Searchbase, die Filter und die Attribute in 
> /etc/ldap.conf

Das ist ja nun mal eine Konfiguration, die als Default für alle gilt,
aber nicht für spezielle Programme.

>> Dann frag ich mich, warum du lib[pam|nss]-ldap überhaupt erst in
>> Runde geworfen hast, wenn das in dem Kontext gar nicht relevant
>> ist?
> 
> Wie sollen denn ohne libpam-ldap die Informationen vom Samba-Server 
> erfragt werden?

pam_smb?

Ich sagte nicht, daß LDAP hier falsch ist. Das war deine Aussage.
Im Gegenteil, ich bin für LDAP, sonst hätte ich mich ja auch nicht mit
dem ldapscripts-Problem auseinandergesetzt und wahrscheinlich auch nicht
für lib[pam|nss]-ldapd plädiert.


Gruß
Rico
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJOOPPRAAoJEO1lFpl7wThSb0kH/RXp+lpPRi64YwJNuZvI4iFd
y4n4+1sGq+/iccfiscpdeAFaNCnkbZtuBpeL8jkyZVyCW/7RnORgOG3aGhnSHAb4
vGag/aeifq3IZ1TfX2xNXhn6uDtOO2fPZk1zBCAnp+42h1EZBkGM/XGP0bYaI2ng
wDcagJv0lKeKZVwDbF5bs3Pxh7OPveiGzWqRYcRLdCwBuKhz0IXQrj4V0Qv/gOV2
Uu1BRT2AdNJzqj2gJUKeRv4CM1wkUzCSHlFFwNsJcYb1FPRTf7MvJNKDNinXTEau
1jcVGOyo9fSQW4S49Sl0PbCszdGT3ur+qtxuEyyOQNt1diYaNDkxnCEKs3wLcxU=
=VkjE
-----END PGP SIGNATURE-----

Attachment: smime.p7s
Description: S/MIME Kryptografische Unterschrift


Reply to: