Discussion:
Cambio password non da windows...
(too old to reply)
Marco Gaiarin
2008-10-06 15:23:18 UTC
Permalink
Mi trovo a gestire una rete mista windows/linux (ubuntu) con server
samba3 e LDAP.

Finora le macchine windows sono state le principali, e le macchine
ubuntu secondarie, ma ora le cose dovrebbero cambiare, anche se mi
serve comunque che tutti possano accedere a windows, e anzi, ho scelto
di far risiedere i dati di scadenza password sugli oggetti samba, da
cui poi copio i dati negli oggetti posix (con uno script).

Inizialmente pensavo di usare una interfaccia web come LAM, ma vedo con
sommo dispiacere che proprio la funzionalità di cambio password (self
service) è nella versione pro a pagamento.
Senza contare che è leeeento da morire, su un dual PIII ci mette
qualche *minuto* a caricare la pagina... ;-(((
Vedo inoltre che esiste il modulo pam pam_smbpass, ma non mi è chiaro
se aggiorna solo NTLM hash oppure se aggiorna anche i contatori di
ultimo cambiamento password.


Vi siete mai trovati in una situazione del genere? Avete qualche
(buona) idea su come poter gestire il cambio password da Ubuntu (con i
tool di sistema PAM) o co una interfaccia web?


Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-10-07 09:03:14 UTC
Permalink
Post by Marco Gaiarin
Vi siete mai trovati in una situazione del genere? Avete qualche
(buona) idea su come poter gestire il cambio password da Ubuntu (con i
tool di sistema PAM) o co una interfaccia web?
Leggendo:

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/pam.html#id2660289

semvra che usare pam_smbpasswdin un contesto 'password' sia proprio
quello che mi serve, l'unico dubbio è che si fa riferimento solo ed
esclusivamente a password presenti in file (i vecchi
/etc/samba/smbpasswd) e non al nuovo schema pdb, tantomeno a LDAP.

Ok, potrei fare una prova, ma se riuscite a darmi una risposta... ;-)))
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-10-16 09:22:00 UTC
Permalink
Mandi! Marco Gaiarin
In chel di` si favelave...
Post by Marco Gaiarin
Ok, potrei fare una prova, ma se riuscite a darmi una risposta... ;-)))
Mandato messaggio in lista 'samba internascional', wit mai perfect
inglish.

Speriamo bene, se qualcuno risponde vi faccio sapere...
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-10-23 16:50:57 UTC
Permalink
Mandi! Marco Gaiarin
In chel di` si favelave...
Post by Marco Gaiarin
Speriamo bene, se qualcuno risponde vi faccio sapere...
Qualcuno ha risposto, ma sembra non esserci soluzione a un problema
che, probabilmente da ignorante, sembra a me molto stupido...

Ho alla fine scritto:

http://lists.samba.org/archive/samba/2008-October/144459.html

San simo, aiutami tu. ;)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Luigi Iotti
2008-10-24 16:45:07 UTC
Permalink
Inviato: giovedì 23 ottobre 2008 18.51
Post by Marco Gaiarin
Speriamo bene, se qualcuno risponde vi faccio sapere...
Qualcuno ha risposto, ma sembra non esserci soluzione a un problema
che, probabilmente da ignorante, sembra a me molto stupido...
http://lists.samba.org/archive/samba/2008-October/144459.html
Come ultima risorsa, pam_script potrebbe dare una mano?
Marco Gaiarin
2008-10-27 08:46:58 UTC
Permalink
Mandi! Luigi Iotti
In chel di` si favelave...
Post by Luigi Iotti
Post by Marco Gaiarin
http://lists.samba.org/archive/samba/2008-October/144459.html
Come ultima risorsa, pam_script potrebbe dare una mano?
Mi pare costruito solo per operare nei contesti 'session' e 'auth', non
in quello password...


Simo, io insisto: la strada di aggiungere a pam_smbpass il 'codice' di
smbpasswd che permette di definire un host remoto, è percorribile?

Come mi consigli di muovermi? Cerco di preparare una patch e alzo un
baco/feature request con patch allegata?
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Aldo Bortot
2008-11-06 11:42:50 UTC
Permalink
Post by Marco Gaiarin
Mi trovo a gestire una rete mista windows/linux (ubuntu) con server
samba3 e LDAP.
Finora le macchine windows sono state le principali, e le macchine
ubuntu secondarie, ma ora le cose dovrebbero cambiare, anche se mi
serve comunque che tutti possano accedere a windows, e anzi, ho scelto
di far risiedere i dati di scadenza password sugli oggetti samba, da
cui poi copio i dati negli oggetti posix (con uno script).
Inizialmente pensavo di usare una interfaccia web come LAM, ma vedo con
sommo dispiacere che proprio la funzionalità di cambio password (self
service) è nella versione pro a pagamento.
Senza contare che è leeeento da morire, su un dual PIII ci mette
qualche *minuto* a caricare la pagina... ;-(((
Vedo inoltre che esiste il modulo pam pam_smbpass, ma non mi è chiaro
se aggiorna solo NTLM hash oppure se aggiorna anche i contatori di
ultimo cambiamento password.
Vi siete mai trovati in una situazione del genere? Avete qualche
(buona) idea su come poter gestire il cambio password da Ubuntu (con i
tool di sistema PAM) o co una interfaccia web?
Grazie.
Forse non ho capito bene il problema. Qui abbiamo configurato diversi
Debian e Ubuntu come domain member server e non rilevo problemi sul
cambio della password.
Puoi chiarire meglio il problema?
ciao
aldo
Marco Gaiarin
2008-11-06 15:43:53 UTC
Permalink
Mandi! Aldo Bortot
In chel di` si favelave...
Post by Aldo Bortot
Forse non ho capito bene il problema. Qui abbiamo configurato diversi
Debian e Ubuntu come domain member server e non rilevo problemi sul
cambio della password.
Puoi chiarire meglio il problema?
Il problema è (era?) che:

1) ravanando in rete mi sembrava che pam_winbind non operasse in un
contesto 'password', ma su questa cosa mi ha già smentito simo
(offlist)

2) speravo che fosse possibile farlo senza per forza far diventare il
client un membro di dominio, ma sembra che questa sia una condizione
sine qua non.


Non ho ancora capito se devo avere samba (smbd e nmbd) e/o winbind in
esecuzione, o basta fare il join.

Vedo se riesco a fare qualche prova... ;-)))
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-06 16:03:07 UTC
Permalink
Post by Marco Gaiarin
Mandi! Aldo Bortot
In chel di` si favelave...
Post by Aldo Bortot
Forse non ho capito bene il problema. Qui abbiamo configurato diversi
Debian e Ubuntu come domain member server e non rilevo problemi sul
cambio della password.
Puoi chiarire meglio il problema?
1) ravanando in rete mi sembrava che pam_winbind non operasse in un
contesto 'password', ma su questa cosa mi ha già smentito simo
(offlist)
2) speravo che fosse possibile farlo senza per forza far diventare il
client un membro di dominio, ma sembra che questa sia una condizione
sine qua non.
Non ho ancora capito se devo avere samba (smbd e nmbd) e/o winbind in
esecuzione, o basta fare il join.
Ti serve solo winbindd, smbd e nmbd non sono generalmente necessari.
Marco Gaiarin
2008-11-07 15:54:50 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Aldo Bortot
Forse non ho capito bene il problema. Qui abbiamo configurato diversi
Debian e Ubuntu come domain member server e non rilevo problemi sul
cambio della password.
Puoi chiarire meglio il problema?
[...]
Post by simo
Ti serve solo winbindd, smbd e nmbd non sono generalmente necessari.
A questo punto ho provato e chiedo un mano ad Alberto e Simo.

Innazitutto, porca maiala, sono incappato su questo:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=457073

Ho modo di aggirare questo baco in qualche maniera, inserendo il record
di join a dominio a mano in qualche modo?

Ma ho trovato una macchina (la mia) che è stata messa in join due anni
fa, ci ho sempre aggiornato ubuntu ma il join è ancora valido:

***@harry:~/src/sapascosy$ sudo net rpc testjoin
[sudo] password for gaio:
Join to 'SANVITO' is OK

smb.conf è altamente elementare:

***@harry:~/src/sapascosy$ sudo testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
workgroup = SANVITO
server string = %h server (Samba, Ubuntu)
security = DOMAIN
guest account = guest
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 10.5.1.3
panic action = /usr/share/samba/panic-action %d

[...]

a questo punto ho messo dentro a /etc/pam.d/common-password:

password required pam_winbind.so debug

e provato un 'passwd':

***@harry:~$ passwd
passwd: Utente sconosciuto nel modulo di autenticazione sottostante
passwd: password unchanged
***@harry:~$ sudo passwd gaio
passwd: Utente sconosciuto nel modulo di autenticazione sottostante
passwd: password unchanged

il log mi dice:

Nov 7 16:41:52 harry passwd[22111]: pam_winbind(passwd:chauthtok): [pamh: 0x08056d28] ENTER: pam_sm_chauthtok (flags: 0x4000)
Nov 7 16:41:52 harry passwd[22111]: pam_winbind(passwd:chauthtok): username [gaio] obtained
Nov 7 16:41:52 harry passwd[22111]: pam_winbind(passwd:chauthtok): request failed
Nov 7 16:41:52 harry passwd[22111]: pam_winbind(passwd:chauthtok): user 'gaio' not found
Nov 7 16:41:52 harry passwd[22111]: pam_winbind(passwd:chauthtok): [pamh: 0x08056d28] LEAVE: pam_sm_chauthtok returning 10

mentre ovviamente esisto:

***@harry:~$ getent passwd gaio
gaio:x:1000:1004:Marco Gaiarin:/home/gaio:/bin/bash
***@harry:~$ id gaio
uid=1000(gaio) gid=1004(ced) gruppi=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),106(lpadmin),110(scanner),112(admin),123(informix),121(bacula),124(sambashare),109(vboxusers),513(domusers),512(domadms),1004(ced),1102(webmaster),550(printops)

e anche wbinfo -u e -g rispondono correttamente.


Ho provato sia con smbd/nmbd in esecuzione che non. Stesso
comportamento.


Cosa sbaglio? Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Paolo Sala
2008-11-07 16:20:30 UTC
Permalink
Post by Marco Gaiarin
[...]
gaio:x:1000:1004:Marco Gaiarin:/home/gaio:/bin/bash
uid=1000(gaio) gid=1004(ced) gruppi=4(adm),20(dialout),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),106(lpadmin),110(scanner),112(admin),123(informix),121(bacula),124(sambashare),109(vboxusers),513(domusers),512(domadms),1004(ced),1102(webmaster),550(printops)
Scusa ma sei sicuro di esistere ;-)? nel senso che l'utente gaio del
dominio dovrebbe essere SANVITO\gaio. Se avessi postato vbinfo -u mi
avresti risparmiato questa domanda, forse sciocca.

Ciao

Piviul
Marco Gaiarin
2008-11-07 16:56:57 UTC
Permalink
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Scusa ma sei sicuro di esistere ;-)? nel senso che l'utente gaio del
dominio dovrebbe essere SANVITO\gaio. Se avessi postato vbinfo -u mi
avresti risparmiato questa domanda, forse sciocca.
AARRGGHH!!!

Ma come, se esiste un dominio solo winbind non dovrebbe considerarlo di
default e provare anche 'senza'?!


Comunque può essere, alla fin fine... non uso infatti winbind per gli
account (dove uso direttamente ldap, e non vedo perchè fare
altrimenti...) e quindi può essere che pam_winbind provi con
SANVITO\gaio che non esiste...


Come posso fargli strippare 'SANVITO\'?
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-07 17:52:04 UTC
Permalink
Post by Marco Gaiarin
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Scusa ma sei sicuro di esistere ;-)? nel senso che l'utente gaio del
dominio dovrebbe essere SANVITO\gaio. Se avessi postato vbinfo -u mi
avresti risparmiato questa domanda, forse sciocca.
AARRGGHH!!!
Ma come, se esiste un dominio solo winbind non dovrebbe considerarlo di
default e provare anche 'senza'?!
Comunque può essere, alla fin fine... non uso infatti winbind per gli
account (dove uso direttamente ldap, e non vedo perchè fare
altrimenti...) e quindi può essere che pam_winbind provi con
SANVITO\gaio che non esiste...
Come posso fargli strippare 'SANVITO\'?
prova con "winbind use default domain = yes" ?

Simo.
Marco Gaiarin
2008-11-10 14:49:50 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
Come posso fargli strippare 'SANVITO\'?
prova con "winbind use default domain = yes" ?
Ok, ora wbinfo -u torna gli account 'strippati' di \SANVITO, ma il
cambio password ancora non va, stesso errore:

Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): [pamh: 0x08056920] ENTER: pam_sm_chauthtok (flags: 0x4000)
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): username [gaio] obtained
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): request failed
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): user 'gaio' not found
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): [pamh: 0x08056920] LEAVE: pam_sm_chauthtok returning 10

'mo che si fa? O;-)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-10 15:06:53 UTC
Permalink
Post by Marco Gaiarin
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
Come posso fargli strippare 'SANVITO\'?
prova con "winbind use default domain = yes" ?
Ok, ora wbinfo -u torna gli account 'strippati' di \SANVITO, ma il
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): [pamh: 0x08056920] ENTER: pam_sm_chauthtok (flags: 0x4000)
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): username [gaio] obtained
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): request failed
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): user 'gaio' not found
Nov 10 15:46:38 harry passwd[21043]: pam_winbind(passwd:chauthtok): [pamh: 0x08056920] LEAVE: pam_sm_chauthtok returning 10
'mo che si fa? O;-)
Si guarda il log di winbindd a livello 5 o 10 e si vede qual'e'
l'errore.

Simo.
Marco Gaiarin
2008-11-10 15:16:06 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
'mo che si fa? O;-)
Si guarda il log di winbindd a livello 5 o 10 e si vede qual'e'
l'errore.
Eccolo qui.

[2008/11/10 16:14:06, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(491)
[21537]: request interface version
[2008/11/10 16:14:06, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(524)
[21537]: request location of privileged pipe
[2008/11/10 16:14:06, 3] nsswitch/winbindd_user.c:winbindd_getpwnam(346)
[21537]: getpwnam gaio
[2008/11/10 16:14:06, 5] nsswitch/winbindd_async.c:winbindd_sid2uid_recv(347)
sid2uid returned an error
[2008/11/10 16:14:06, 5] nsswitch/winbindd_user.c:getpwsid_sid2uid_recv(266)
Could not query uid for user SANVITO\gaio

il problema sembra quindi sid2uid, come risolverlo...
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-11-12 08:48:53 UTC
Permalink
Mandi! Aldo Bortot
In chel di` si favelave...
Post by Aldo Bortot
Forse non ho capito bene il problema. Qui abbiamo configurato diversi
Debian e Ubuntu come domain member server e non rilevo problemi sul
cambio della password.
...visto che sono ancora fermo qui, Aldo, ti chiedo un piacere: tu usi
winbind anche per gli account, vero?

Potresti descrivere il tuo setup funzionante? Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Paolo Sala
2008-11-12 09:04:11 UTC
Permalink
Post by Marco Gaiarin
...visto che sono ancora fermo qui, Aldo, ti chiedo un piacere: tu usi
winbind anche per gli account, vero?
Potresti descrivere il tuo setup funzionante? Grazie.
Anch'io utilizzo winbind per cambiare la password e non ho mai avuto
grossi problemi... a parte il fatto che con debian testing non vengono
risolti i gruppi locali nonostante abbia correttamente configurato
nsswitch.conf; ho anche aperto un bug report sembra in glibc:
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=491686. Questo è
piuttosto grave perché gli utenti del dominio non possono utilizzare CD,
pen drive, audio...

In smb.conf comunque ho lasciato winbind use default domain = no e in
Post by Marco Gaiarin
password sufficient pam_winbind.so
password required pam_unix.so nullok obscure min=4 max=8 md5
Sono un po' anche imbarazzato a dare consigli a te dal momento che
considero me un novello di samba e te un boss (subito dopo Simo). :-[

Ciao

Piviul
Marco Gaiarin
2008-11-12 10:08:59 UTC
Permalink
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Anch'io utilizzo winbind per cambiare la password e non ho mai avuto
grossi problemi... a parte il fatto che con debian testing non vengono
risolti i gruppi locali nonostante abbia correttamente configurato
Quindi mi confermi che tu usi winbind anche come 'provider' nsswitch...
sono sempre più convinto che il mio problema sta li, nel senso che io
utilizzo invece direttamente LDAP come provider nsswitch, e non vedo
perchè dovrei afre altrimenti visto che i dati li ho già li... poi tu
mi segnali anche problemi...

Ad ogni modo:

***@harry:~$ wbinfo -n gaio
S-1-5-21-1458177777-355997386-270368766-1087 User (1)
***@harry:~$ wbinfo -S S-1-5-21-1458177777-355997386-270368766-1087
Could not convert sid S-1-5-21-1458177777-355997386-270368766-1087 to uid
***@harry:~$ wbinfo -U 1000
S-1-22-1-1000

che avvalora la mia tesi. Due domande.

1) c'è un modo per dire a winbind di considerare il mapping locale di
sistema come valido, che so attraverso idmap domain/config? Mi
scoccerebbe configurare un backend LDAP sui client...

2) e insisto, perchè una cosa semplice come 'smbpasswd -r <PDC>'
funziona senza colpo ferire, anche da macchine non a dominio? Come
posso replicare questo comportamento in un modulo PAM?
Post by Paolo Sala
Sono un po' anche imbarazzato a dare consigli a te dal momento che
considero me un novello di samba e te un boss (subito dopo Simo). :-[
Ma va!

Ho solo fatto la scelta, ormai 5 anni fa, di portare la mia azienda
verso samba da windows NT4, e sto semplicemente procedendo per coerenza
su quella strada.
Ho trovato in questa lista, quando ne ho avuto bisogno, un supporto
puntuale e efficace, e credo che sia doveroso, nell'economia del
software libero, ricambiare.

Si, ok, anche perchè mi piace. ;-)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Paolo Sala
2008-11-12 13:39:42 UTC
Permalink
Post by Marco Gaiarin
Quindi mi confermi che tu usi winbind anche come 'provider' nsswitch...
si, te lo confermo.
Post by Marco Gaiarin
sono sempre più convinto che il mio problema sta li, nel senso che io
utilizzo invece direttamente LDAP come provider nsswitch, e non vedo
perchè dovrei afre altrimenti visto che i dati li ho già li... poi tu
mi segnali anche problemi...
S-1-5-21-1458177777-355997386-270368766-1087 User (1)
...interessante; e cosa ti dice getent passwd gaio? e come hai
configurato l'idmap backend in smb.conf?

Comunque sono d'accordo con te, il tuo problema è l'idmap.
Post by Marco Gaiarin
[...]
1) c'è un modo per dire a winbind di considerare il mapping locale di
sistema come valido, che so attraverso idmap domain/config? Mi
scoccerebbe configurare un backend LDAP sui client...
non ho proprio capito la domanda. :-[
Post by Marco Gaiarin
2) e insisto, perchè una cosa semplice come 'smbpasswd -r <PDC>'
funziona senza colpo ferire, anche da macchine non a dominio? Come
posso replicare questo comportamento in un modulo PAM?
probabilmente perché gli passa lo username e non il sid.
Post by Marco Gaiarin
[...]
Ho solo fatto la scelta, ormai 5 anni fa, di portare la mia azienda
verso samba da windows NT4, e sto semplicemente procedendo per coerenza
su quella strada.
Io invece faccio il sistemista a tempo perso: gestisco qualche
server/client membro e poco più.
Post by Marco Gaiarin
[...]
Si, ok, anche perchè mi piace. ;-)
È una malattia che colpisce anche me, soprattutto da quando ho
abbandonato M$ per passare al software libero.

Ciao

Piviul
Marco Gaiarin
2008-11-14 11:55:07 UTC
Permalink
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Post by Marco Gaiarin
Quindi mi confermi che tu usi winbind anche come 'provider' nsswitch...
si, te lo confermo.
Ecco. Sinceramente mi sfugge però sul perchè questo possa essere un
problema, concordo con te che quello che manca realmente è l'idmap,
ovvero pam_winbind comunica tramite SID e non con la login...
Post by Paolo Sala
...interessante; e cosa ti dice getent passwd gaio? e come hai
***@harry:~$ getent passwd gaio
gaio:x:1000:1004:Marco Gaiarin:/home/gaio:/bin/bash
Post by Paolo Sala
configurato l'idmap backend in smb.conf?
Non l'ho configurato: finora ho avuto solo server PDC/BDC e client
windows, e quindi uso la 'idmap' annegata nell'albero LDAP; da quello
che ricordo, viene sostanzialmente usato un sistema di risoluzione che
tiene in una cache tdb i dati di ldap.

Il problema non è per me il provider NSS, ma manca un sistema per fare
traslazione tra id unix e SID, e winbind non è abbastanza intelligente
(o io non sono sufficientemente intelligente da aver capito come
funziona samba ;) da fregarsene e usare la login come 'chiave'.
Post by Paolo Sala
Post by Marco Gaiarin
2) e insisto, perchè una cosa semplice come 'smbpasswd -r <PDC>'
funziona senza colpo ferire, anche da macchine non a dominio? Come
posso replicare questo comportamento in un modulo PAM?
probabilmente perché gli passa lo username e non il sid.
Inizio ad essere perfettamente concorde con te.

Vedo due strade: o in qualche maniera creo e sposto l'idmap di modo che
possa essere 'replicata' ai client...

...oppure modifico pam_winbind e/o pam_smbpass di modo che si
comportino come smbpasswd.


Simo, che ne pensi?


PS: ma possibile che io sia l'unico pirla che ha sbattuto il naso su
questa cosa?
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Paolo Sala
2008-11-14 17:40:15 UTC
Permalink
Marco Gaiarin scrisse il 14/11/2008 12:55
Post by Marco Gaiarin
Ecco. Sinceramente mi sfugge però sul perchè questo possa essere un
problema, concordo con te che quello che manca realmente è l'idmap,
ovvero pam_winbind comunica tramite SID e non con la login...
Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
di windows. Come lo crea? Quando fai il logon hai uno uid, quando
risolvi il nome con nsswitch ne hai un altro... questo non è bello.

La soluzione comunque è semplice. Prova a dare un'occhiata qua:
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531

Ciao

Piviul
Marco Gaiarin
2008-11-17 09:49:18 UTC
Permalink
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
di windows. Come lo crea? Quando fai il logon hai uno uid, quando
risolvi il nome con nsswitch ne hai un altro... questo non è bello.
Il mapping tra UID/GID e SID è fatto sul PDC/BDC, andando a consultare
l'albero LDAP e/o la sua cache locale .tdb.

Il client utilizza come repository degli account LDAP, quindi rispetto
a PDC/BDC ha la stessa login (e vabbè) e lo stesso UID/GID.
Sostanzialmente, per come la vedo io, il client perdura nella necessità
di voler fare una conversione UID<->SID locale, senza demandare la cosa
al server remoto.

In questa maniera sono sostanzialmente costretto ad usare winbind come
provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
che, sinceramente, non mi serve a nulla.
Post by Paolo Sala
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531
Cosa che, insisto, non sto facendo; non so che cosa comporti abilitare
sul server l'idmap, e non ho in questo momento una installazione di
test da 'sacrificare'.

Simo, mi sai dire qualcosa?


Ad ogni modo: non capisco perchè per fare una cosa semplice sia
necessario caricare una sovrastruttura come questa... o meglio, posso
capire che in certi contensi veramente 'corporate' winbind sia la
soluzione, ma mi chiedo perchè non sia mai nata l'esigenza di una
soluzione più leggera e più unix-like.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Paolo Sala
2008-11-17 11:10:06 UTC
Permalink
Post by Marco Gaiarin
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
di windows. Come lo crea? Quando fai il logon hai uno uid, quando
risolvi il nome con nsswitch ne hai un altro... questo non è bello.
Il mapping tra UID/GID e SID è fatto sul PDC/BDC, andando a consultare
l'albero LDAP e/o la sua cache locale .tdb.
Da quel che so non si tratta di cache locale ma proprio un mapping fra
uid e sid. Il tipo di mapping dipende dai settaggi di idmap presenti in
smb.conf.
Post by Marco Gaiarin
Il client utilizza come repository degli account LDAP, quindi rispetto
a PDC/BDC ha la stessa login (e vabbè) e lo stesso UID/GID.
Non ha lo stesso uid/gid. Sicuramente hanno lo stesso sid ma non lo
stesso uid se non configuri correttamente idmap sul client.
Post by Marco Gaiarin
Sostanzialmente, per come la vedo io, il client perdura nella necessità
di voler fare una conversione UID<->SID locale, senza demandare la cosa
al server remoto.
Se tu imposti idmap in ldap allora quello che dici è vero altrimenti gli
uid locali sono casuali e lo uid utilizzato dipende da quando il client
viene a conoscenza di quel sid e quindi crea uno uid alla bisogna.
Post by Marco Gaiarin
In questa maniera sono sostanzialmente costretto ad usare winbind come
provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
che, sinceramente, non mi serve a nulla.
No, se usi idmap in ldap no!
Post by Marco Gaiarin
Post by Paolo Sala
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531
Cosa che, insisto, non sto facendo; non so che cosa comporti abilitare
sul server l'idmap, e non ho in questo momento una installazione di
test da 'sacrificare'.
Non succede proprio nulla, se imposti che il client non si inventi gli
uid ma li prenda da ldap cosa deve succedere? Semplicemente che aumenta
qualche interrogazione in più su ldap.

Non riesco a capire le tue obiezioni: configura il client ad usare ldap
come backend di idmap. Io purtroppo ldap sul pdc non ce l'ho e allora
sono costretto ad usare idmap rid come backend. Se poi vuoi fare il
backup delle home degli utenti di ubuntu è fondamentale utilizzare un
mapping uid-gid<=>sid univoco e condiviso fra i vari server.

In questo modo dovresti poter usare ldap per la risoluzione dei nomi
(come già del resto usi) e winbind per il cambio password (come del
resto hai già configurato).

Ciao

Piviul
simo
2008-11-17 13:11:43 UTC
Permalink
Post by Marco Gaiarin
Mandi! Paolo Sala
In chel di` si favelave...
Post by Paolo Sala
Sì però linux ha bisogno ha bisogno di uno uid numerico che non è il sid
di windows. Come lo crea? Quando fai il logon hai uno uid, quando
risolvi il nome con nsswitch ne hai un altro... questo non è bello.
Il mapping tra UID/GID e SID è fatto sul PDC/BDC, andando a consultare
l'albero LDAP e/o la sua cache locale .tdb.
Il client utilizza come repository degli account LDAP, quindi rispetto
a PDC/BDC ha la stessa login (e vabbè) e lo stesso UID/GID.
Sostanzialmente, per come la vedo io, il client perdura nella necessità
di voler fare una conversione UID<->SID locale, senza demandare la cosa
al server remoto.
In questa maniera sono sostanzialmente costretto ad usare winbind come
provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
che, sinceramente, non mi serve a nulla.
Non e' vero, nss_winbindd non e' utilizzato per il mapping, per cui non
ti serve usarlo.
Post by Marco Gaiarin
Post by Paolo Sala
http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2566531
Cosa che, insisto, non sto facendo;
... eh le teste dure ...
Post by Marco Gaiarin
non so che cosa comporti abilitare
sul server l'idmap, e non ho in questo momento una installazione di
test da 'sacrificare'.
E sul server non devi abilitare nulla infatti.
Post by Marco Gaiarin
Simo, mi sai dire qualcosa?
No idmap_ldap basta che lo configuri sul client.
Trovera' gia' tutte le informazioni necessarie che il server mette nei
veri account.
Post by Marco Gaiarin
Ad ogni modo: non capisco perchè per fare una cosa semplice sia
necessario caricare una sovrastruttura come questa...
Una alternativa e' di usare idmap_rid su tutti i server, ma hai gia'
tutte le info in ldap e ID->SID gia' esistenti li, non vedo a che pro
non usare quel;le informazioni.
Post by Marco Gaiarin
o meglio, posso
capire che in certi contensi veramente 'corporate' winbind sia la
soluzione, ma mi chiedo perchè non sia mai nata l'esigenza di una
soluzione più leggera e più unix-like.
Perche' non e' possibile, quello che si puo' fare e' nasconderla
cosicche' l'amministratore non la veda, ma purtroppo rendere le cose
piu' facili e' sempre difficile :)

Simo.
Marco Gaiarin
2008-11-17 13:34:25 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
In questa maniera sono sostanzialmente costretto ad usare winbind come
provider di account e gruppi e/o a mettere a dominio la macchina ubuntu
che, sinceramente, non mi serve a nulla.
Non e' vero, nss_winbindd non e' utilizzato per il mapping, per cui non
ti serve usarlo.
Ottima notizia!
Post by simo
E sul server non devi abilitare nulla infatti.
[...]
Post by simo
No idmap_ldap basta che lo configuri sul client.
Trovera' gia' tutte le informazioni necessarie che il server mette nei
veri account.
Piano. Io sul server LDAP non ho manco definito 'ldap idmap suffix',
non ho insomma la ou=Idmap.

Quello di cui tu stai parlando è quanto trovo in 'man idmap_ldap'?
Ovvero mi basta aggiungere una cosa stile:

idmap domains = SANVITO
idmap config SANVITO:default = yes
idmap config SANVITO:backend = ldap
idmap config SANVITO:ldap_base_dn = dc=sv,dc=lnf,dc=it
idmap config SANVITO:ldap_url = ldaps:://ldap.sv.lnf.it/
idmap config SANVITO:range = 1000 - 20000

?!
Guarda, sinceramente non capisco... fai finta che io non sappia nulla
di samba, è facile anche da pensare... ;-)))
Post by simo
Post by Marco Gaiarin
soluzione, ma mi chiedo perchè non sia mai nata l'esigenza di una
soluzione più leggera e più unix-like.
Perche' non e' possibile, quello che si puo' fare e' nasconderla
cosicche' l'amministratore non la veda, ma purtroppo rendere le cose
piu' facili e' sempre difficile :)
Nono, non voglio nascondere nulla, semplicemente non capisco alcuni
aspetti di questa cosa... :(((
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-11-27 16:55:03 UTC
Permalink
Post by Marco Gaiarin
Nono, non voglio nascondere nulla, semplicemente non capisco alcuni
aspetti di questa cosa... :(((
...e permango a non capire. Ho provato, ovvero:

***@harry:~# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
workgroup = SANVITO
server string = %h server (Samba, Ubuntu)
security = DOMAIN
guest account = guest
log level = 5
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 10.5.1.3
panic action = /usr/share/samba/panic-action %d
idmap domains = SANVITO
winbind use default domain = Yes
idmap config SANVITO:readonly = yes
idmap config SANVITO:range = 1000 - 20000
idmap config SANVITO:ldap_url = ldaps://ldap.sv.lnf.it
idmap config SANVITO:ldap_base_dn = dc=sv,dc=lnf,dc=it
idmap config SANVITO:backend = ldap
idmap config SANVITO:default = yes


tcpdump mi dice che c'è traffico LDAPS, ma essendo cifrato non vedo
domande e risposte, dovrei abilitare il debug su LDAP ma sinceramente
non ne ho l'intenzione.

Il log di winbind a livello 5, per il comando:

***@harry:~# wbinfo -U 1000
S-1-22-1-1000

mi dice solo:

[2008/11/27 17:50:58, 3] winbindd/winbindd_misc.c:winbindd_interface_version(757)
[14755]: request interface version
[2008/11/27 17:50:58, 3] winbindd/winbindd_misc.c:winbindd_priv_pipe_dir(790)
[14755]: request location of privileged pipe
[2008/11/27 17:50:58, 3] winbindd/winbindd_sid.c:winbindd_uid_to_sid(435)
[14755]: uid to sid 1000

mentre se provo un:

***@harry:~$ passwd
passwd: Utente sconosciuto nel modulo di autenticazione sottostante
passwd: password unchanged

ottengo:

[2008/11/27 17:52:50, 3] winbindd/winbindd_misc.c:winbindd_interface_version(757)
[14803]: request interface version
[2008/11/27 17:52:50, 3] winbindd/winbindd_misc.c:winbindd_priv_pipe_dir(790)
[14803]: request location of privileged pipe
[2008/11/27 17:52:50, 3] winbindd/winbindd_user.c:winbindd_getpwnam(373)
[14803]: getpwnam gaio
[2008/11/27 17:52:50, 5] winbindd/winbindd_idmap.c:winbindd_sid2uid_recv(289)
sid2uid returned an error
[2008/11/27 17:52:50, 5] winbindd/winbindd_user.c:getpwsid_sid2uid_recv(293)
Could not query uid for user SANVITO\gaio


AIUTO, vi prego. ;)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-27 19:47:45 UTC
Permalink
Post by Marco Gaiarin
Post by Marco Gaiarin
Nono, non voglio nascondere nulla, semplicemente non capisco alcuni
aspetti di questa cosa... :(((
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = SANVITO
server string = %h server (Samba, Ubuntu)
security = DOMAIN
guest account = guest
log level = 5
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 10.5.1.3
panic action = /usr/share/samba/panic-action %d
idmap domains = SANVITO
winbind use default domain = Yes
idmap config SANVITO:readonly = yes
idmap config SANVITO:range = 1000 - 20000
idmap config SANVITO:ldap_url = ldaps://ldap.sv.lnf.it
idmap config SANVITO:ldap_base_dn = dc=sv,dc=lnf,dc=it
idmap config SANVITO:backend = ldap
idmap config SANVITO:default = yes
tcpdump mi dice che c'è traffico LDAPS, ma essendo cifrato non vedo
domande e risposte, dovrei abilitare il debug su LDAP ma sinceramente
non ne ho l'intenzione.
basta che campi ldaps:// in ldap:// non credo che tenere le informazioni
idmap segerete mentre fai dei test sia indispensabile ...
Usa livello 10
Post by Marco Gaiarin
S-1-22-1-1000
[2008/11/27 17:50:58, 3] winbindd/winbindd_misc.c:winbindd_interface_version(757)
[14755]: request interface version
[2008/11/27 17:50:58, 3] winbindd/winbindd_misc.c:winbindd_priv_pipe_dir(790)
[14755]: request location of privileged pipe
[2008/11/27 17:50:58, 3] winbindd/winbindd_sid.c:winbindd_uid_to_sid(435)
[14755]: uid to sid 1000
cosa dice net rpc testjoin ?
Post by Marco Gaiarin
passwd: Utente sconosciuto nel modulo di autenticazione sottostante
passwd: password unchanged
[2008/11/27 17:52:50, 3] winbindd/winbindd_misc.c:winbindd_interface_version(757)
[14803]: request interface version
[2008/11/27 17:52:50, 3] winbindd/winbindd_misc.c:winbindd_priv_pipe_dir(790)
[14803]: request location of privileged pipe
[2008/11/27 17:52:50, 3] winbindd/winbindd_user.c:winbindd_getpwnam(373)
[14803]: getpwnam gaio
[2008/11/27 17:52:50, 5] winbindd/winbindd_idmap.c:winbindd_sid2uid_recv(289)
sid2uid returned an error
[2008/11/27 17:52:50, 5] winbindd/winbindd_user.c:getpwsid_sid2uid_recv(293)
Could not query uid for user SANVITO\gaio
AIUTO, vi prego. ;)
logs a livello 10 di tutti i file generati da winbindd, grazie

Simo.
Marco Gaiarin
2008-11-28 10:05:54 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
domande e risposte, dovrei abilitare il debug su LDAP ma sinceramente
non ne ho l'intenzione.
basta che campi ldaps:// in ldap:// non credo che tenere le informazioni
idmap segerete mentre fai dei test sia indispensabile ...
...mica ci avevo pensato, sai? ;-)

Ho verificato con tshark, ci capisco poco, ma sembra che la richiesta
venga fatta, ma che non ci sia poi nessun risposta. ;(

Da quello che capisco sembra che Samba insista a cercare entry che
hanno objectClass sambaIdmapEntry, cosa che mi fa supporre per
l'ennesima volta che devo abilitare il:

idmap backend = ldap:ldap://localhost

lato server per far funzionare questo accrocchio. ;(
Post by simo
cosa dice net rpc testjoin ?
***@harry:/var/log/samba# net rpc testjoin
Join to 'SANVITO' is OK
Post by simo
logs a livello 10 di tutti i file generati da winbindd, grazie
Allego in privato. Grazie a te.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-28 16:29:27 UTC
Permalink
Post by Marco Gaiarin
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
domande e risposte, dovrei abilitare il debug su LDAP ma sinceramente
non ne ho l'intenzione.
basta che campi ldaps:// in ldap:// non credo che tenere le informazioni
idmap segerete mentre fai dei test sia indispensabile ...
...mica ci avevo pensato, sai? ;-)
Ho verificato con tshark, ci capisco poco, ma sembra che la richiesta
venga fatta, ma che non ci sia poi nessun risposta. ;(
Da quello che capisco sembra che Samba insista a cercare entry che
hanno objectClass sambaIdmapEntry, cosa che mi fa supporre per
idmap backend = ldap:ldap://localhost
lato server per far funzionare questo accrocchio. ;(
No, non serve, il server non aggiungera' quell'objectclass ad account
veri. Credo che hai appena trovato un bug :/

Che version di samba usi sul client ?

Simo.
Marco Gaiarin
2008-11-28 16:39:02 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
No, non serve, il server non aggiungera' quell'objectclass ad account
veri. Credo che hai appena trovato un bug :/
Fico! ;-)
Post by simo
Che version di samba usi sul client ?
***@harry:~$ dpkg -l | grep samba
ii samba 2:3.2.3-1ubuntu3.3 a LanManager-like file and printer server fo
ii samba-common 2:3.2.3-1ubuntu3.3 Samba common files used by both the server a

standard ubuntu intrepid ibex. Se ce la faccio, ma dubito, domani provo
con una hardy.


Grazie e buon WE. A tutti. ;)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-28 16:58:00 UTC
Permalink
Post by Marco Gaiarin
Mandi! simo
In chel di` si favelave...
Post by simo
No, non serve, il server non aggiungera' quell'objectclass ad account
veri. Credo che hai appena trovato un bug :/
Fico! ;-)
Tecnicamente non sarebbe un bug, in quanto ho appena visto dove questa
cosa e' stata cambiata (wow 3.0.1), devo sentire Jerry e capire perche'
sia stato fatto e come risolvere la cosa esattamente.

Credo che al tempo non forzassimo la differenza tra DOMINIO\utente e
utente, per cui in teoria tutto dovrebbe funzionare semplicemente usando
nss_ldap, ma mi sa che con cambiamenti successivi questo probabilmente
si e' rotto.
Post by Marco Gaiarin
Post by simo
Che version di samba usi sul client ?
ii samba 2:3.2.3-1ubuntu3.3 a LanManager-like file and printer server fo
ii samba-common 2:3.2.3-1ubuntu3.3 Samba common files used by both the server a
standard ubuntu intrepid ibex. Se ce la faccio, ma dubito, domani provo
con una hardy.
Non serve.

Simo.
Marco Gaiarin
2008-11-28 17:09:51 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Post by Marco Gaiarin
Fico! ;-)
Tecnicamente non sarebbe un bug, in quanto ho appena visto dove questa
cosa e' stata cambiata (wow 3.0.1), devo sentire Jerry e capire perche'
sia stato fatto e come risolvere la cosa esattamente.
Grazie, spero che il weekend porti buone nuove... ;-)))
Post by simo
Credo che al tempo non forzassimo la differenza tra DOMINIO\utente e
utente, per cui in teoria tutto dovrebbe funzionare semplicemente usando
nss_ldap, ma mi sa che con cambiamenti successivi questo probabilmente
si e' rotto.
AAAhhhh.... beh, è venerdì. ;-)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-28 17:14:24 UTC
Permalink
Post by simo
Post by Marco Gaiarin
Mandi! simo
In chel di` si favelave...
Post by simo
No, non serve, il server non aggiungera' quell'objectclass ad account
veri. Credo che hai appena trovato un bug :/
Fico! ;-)
Tecnicamente non sarebbe un bug, in quanto ho appena visto dove questa
cosa e' stata cambiata (wow 3.0.1), devo sentire Jerry e capire perche'
sia stato fatto e come risolvere la cosa esattamente.
Credo che al tempo non forzassimo la differenza tra DOMINIO\utente e
utente, per cui in teoria tutto dovrebbe funzionare semplicemente usando
nss_ldap, ma mi sa che con cambiamenti successivi questo probabilmente
si e' rotto.
Post by Marco Gaiarin
Post by simo
Che version di samba usi sul client ?
ii samba 2:3.2.3-1ubuntu3.3 a LanManager-like file and printer server fo
ii samba-common 2:3.2.3-1ubuntu3.3 Samba common files used by both the server a
standard ubuntu intrepid ibex. Se ce la faccio, ma dubito, domani provo
con una hardy.
Non serve.
Ah mi rendo conto che forse non sono stato chiaro.
Se usi nss_ldap, idmap proprio non e' necessario sui client, il bug e'
altrove nel codice che consulta i SID in base al nome dell'utente.
uid --nss_ldap--> nome --rpc-a-DC--> SID
o
SID --rpc-a-DC--> nome --nss_ldap--> uid
Questo e' quello che dovrebbe succedere in un setup come il tuo.
Ma per qualche motivo il codice che deve risolvere nome in SID non
funziona correttamente nel tuo caso.

Se mi mandi gli altri file di log, (quello del dominio) potrei avere
un'idea del perche'.

Simo.
Marco Gaiarin
2008-11-28 17:29:25 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
Se usi nss_ldap, idmap proprio non e' necessario sui client, il bug e'
...mo vedi che avevo ragione io? ;-)
Post by simo
Se mi mandi gli altri file di log, (quello del dominio) potrei avere
un'idea del perche'.
No, devo assolutamente scappare, ti ho mandato quanto richiesto in
privato, se serve fare qualche test aggiuntivo anche server-side se ne
riparla lunedì.

Ancora buon WE a tutti. ;)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
simo
2008-11-28 18:48:16 UTC
Permalink
Post by Marco Gaiarin
Mandi! simo
In chel di` si favelave...
Post by simo
Se usi nss_ldap, idmap proprio non e' necessario sui client, il bug e'
...mo vedi che avevo ragione io? ;-)
No non esattamente, intendevo che idmap_ldap non e' necessario, ho
scritto male :)
Post by Marco Gaiarin
Post by simo
Se mi mandi gli altri file di log, (quello del dominio) potrei avere
un'idea del perche'.
No, devo assolutamente scappare, ti ho mandato quanto richiesto in
privato, se serve fare qualche test aggiuntivo anche server-side se ne
riparla lunedì.
Ancora buon WE a tutti. ;)
Ok allora lunedi' prova a settare questo sul client:

idmap domains = SANVITO
idmap config SANVITO:readonly = yes
idmap config SANVITO:backend = nss

Questo dice ad idmap di chiedere a NSS (ovvero nss_ldap) in base a
quello schemino che ho postato in una mail predente.

Infatti leggendo gli ultimi log che mi hai mandato si vede che la
chiamata RPC al Domain Controller va a buon fine, ma poi idmap non e' in
grado di associare le due cose perche' il backend di default e'
idmap_tdb non idmap_nss su un DOMAIN MEMBER.

Simo.
Marco Gaiarin
2008-12-01 10:11:46 UTC
Permalink
Mandi! simo
In chel di` si favelave...
Post by simo
No non esattamente, intendevo che idmap_ldap non e' necessario, ho
scritto male :)
Solo perchè FUNZIONA! ;)
Perfetto, finalmente il cambio password funziona perfettamente, ho
usato le impostazioni:

winbind use default domain = yes

idmap domains = SANVITO
idmap config SANVITO:default = yes
idmap config SANVITO:readonly = yes
idmap config SANVITO:backend = nss

Non mi è chiara la distinzione tra winbind use default domain = yes e
idmap config SANVITO:default = yes, ad ogni modo il primo è necessario
perchè funzioni.

Ho provato usando 'passwd' e il cambio password di gnome, e va che è
una meraviglia con entrambi.


Grazie.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-12-01 18:01:11 UTC
Permalink
Post by Marco Gaiarin
Ho provato usando 'passwd' e il cambio password di gnome, e va che è
una meraviglia con entrambi.
Mi rimangio parzialmente la questione. Avevo provato sul mio PC di
lavoro col dominio di lavoro, per comodità, ma effettivamente questa
cosa la dovevo provare su altri PC, su altro dominio.

***@giovanni:/var/log/samba# net rpc testjoin
Join to 'ACPN' is OK

***@giovanni:~# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = ACPN
server string = %h server (Samba, Ubuntu)
security = DOMAIN
password server = rita
guest account = ospite
log level = 10
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 10.172.1.1
panic action = /usr/share/samba/panic-action %d
idmap domains = ACPN
winbind use default domain = Yes
idmap config ACPN:backend = nss
idmap config ACPN:readonly = yes
idmap config ACPN:default = yes


eppure mi da il solito infame errore:

Dec 1 18:50:35 giovanni passwd[7062]: pam_winbind(passwd:chauthtok): [pamh: 0x08056d28] ENTER: pam_sm_chauthtok (flags: 0x4000)
Dec 1 18:50:35 giovanni passwd[7062]: pam_winbind(passwd:chauthtok): username [gaio] obtained
Dec 1 18:50:35 giovanni passwd[7062]: pam_winbind(passwd:chauthtok): request failed
Dec 1 18:50:35 giovanni passwd[7062]: pam_winbind(passwd:chauthtok): user 'gaio' not found
Dec 1 18:50:35 giovanni passwd[7062]: pam_winbind(passwd:chauthtok): [pamh: 0x08056d28] LEAVE: pam_sm_chauthtok returning 10


L'unica differenza con la precedente installazione è che questa volta
samba è (sono infatti su una ubuntu Hardy):

***@giovanni:~# dpkg -l | grep winbind
ii winbind 3.0.28a-1ubuntu4.7 service to resolve user and group informatio

e non so se è una differenza da poco... mando log a simo in privato, as
usual.
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Marco Gaiarin
2008-12-02 16:19:44 UTC
Permalink
Post by Marco Gaiarin
L'unica differenza con la precedente installazione è che questa volta
Scovato il problema: per qualche losco motivo sulla macchina di lavoro
il mapping dei gruppi bypassava i 'nomi lunghi' (Domain Admins), mentre
su quelle dell'altro dominio no.

Morale della favola: funziona, ma i nomi windows devono coincidere
esattamente con i nomi POSIX, oppure è possibile fare un mapping locale
a botte di 'net groupmap' ma come avvisa simo, non è portabile e prono
a 'rompersi' prima o poi. ;)

Spero la questione sia chiusa. ;)
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.sv.lnf.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)sv.lnf.it tel +39-0434-842711 fax +39-0434-842797

Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Continue reading on narkive:
Loading...