[Pluto-security] winbind e doppio Dominio NT

Tom dido@sicurweb.com
Wed, 24 Jul 2002 00:01:37 +0000 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Ciao Rizio!
Innanzi tutto grazie, davvero un bel po'.... eh eh eh

> Ho due domini NT Server separati da un router (ti dice niente Tom ?!?!?!
> siamo ancora lì !!) 
eh, tragicamente si'..... Ho cambiato lavoro apposta!!! ;))

> e un server Samba su cui gira Winbind; il problema è
> che Winbind scarica gli utenti di un solo dominio e agli utenti del
> secondo dominio non è permesso l'accesso agli share, vedono il server
> Samba ma riescono ad effetture in nessun modo l'accesso
> (NOME_DOM_UNO\UTENTE_AUTORIZZATO ed altro).

La prima cosa che mi viene in mente è: ma quando avete (ehm, abbiamo...) 
chiesto le specifiche degli accessi, non avevano giurato e spergiurato che il 
secondo dominio non doveva accedere a nulla?!!?!?

> L'unica idea che mi è venuta è l'attivazione del trusting bidirezionale
> sui due domini NT ma non so some si comportano le policy degli utenti
> dei due domini, se vengono sovrascritte o intaccate in qualche modo.

In teoria, il trusting basterebbe unidirezionale....visto che tu devi dare 
accesso non incrociato, giusto? Ma non sono per niente convinto che windbind 
poi saprebbe come usarlo.. dovrei rileggere la docs, ma ammetto di essere 
veramente poco fiducioso...
A me invece viene in mente una seconda ipotesi (tutta da provare): winbind è 
un demone che si connette a un pdc, ne scarica la lista utenti e li 
"aggiunge" virtualmente agli utenti di sistema, assegnando loro un uid 
progressivo che parte ad es da 10000 (lo setti tu in smb.conf). Non potresti 
fare esegure contemporaneamente una seconda istanza di winbind, con partenza 
da 30000, ad esempio? secondo me potrebbe benissimo funzionare! Ovviamente, 
devi fornire un file di config a parte per ogni winbind che esegui, 
altrimenti entrambi provano a partire da 10000 (usi winbindd -s fileconf1 
ecc)
Prova, se puoi, e facci sapere!!!

> Grazie in anticipo per ogni consiglio.
Prego, se funzionano!!!

> P.S. Bell'articolo Tom, complimenti, chiaro e preciso.... aspettiamo il
> prossimo sul trasparet-bridging no ?!?!

Grazie ancora!!!! Per il prox....beh, ho molto di più! Ma senza fretta, come 
al solito...

- -- 
- -------------------------------------
Dido

PGP Public Key
http://web.tiscali.it/di_do/dido.asc
- -------------------------------------
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE9Pe5hQe/GGXXd6zQRAjz5AJ0ZxMUuj3oqwr6y+24NQn26ETNVSwCgmLoz
y9TTJ+sE5Yn8NPgLmAo0wik=
=nYEZ
-----END PGP SIGNATURE-----