headers
luca | 3 May 2009 22:50
Picon

Re: Firewall?

Il giorno ven, 24/04/2009 alle 18.27 +0200, NdK ha scritto:
> Alessandro Bono wrote:
> 
> > Multiple IEEE 802.1X users per port: provides authentication of up to
> > two IEEE 802.1X users per port; prevents user "piggybacking" on another
> > user's IEEE 802.1X authentication
> > 
> > c'e' di sicuro sui 2626 ma non credo sui 2524
> Ok. Grazie. Ora cerco nel manuale.
> 
> La mia fonte era wikipedia:
> http://en.wikipedia.org/wiki/802.1x
> sezione "Vulnerabilities".
> 
> Tks & BYtE!
> 
> Diego.

Ho realizzato molti test di autenticazione 802.1x su cavo usando
l'utente di dominio per l'assegnazione dinamica delle vlan.
Per i test ho usato switch HP serie 2600 e i nuovi 2610, come server
radius FreeRADIUS, i pc si autenticavano ad AD. Testato sia con Windows
(XP minimo SP2) che con linux (Ubuntu). Il tutto funzionava molto bene.
Gli switch HP consentono di specificare una VLAN di "default" dove porre
quei pc che non passano l'autenticazione (usavo due livelli di
autenticazione, 802.1x e MAC address per i dispositivi che non
supportavano il supplicant), dalla VLAN di default si accedeva solo al
captive portal (pfSense).
Ricordati di abilitare il GVRP per l'assegnazione dinamica delle VLAN e
impostare l'autenticazione 802.1x e abilitarla sulle porte che vuoi
(Continue reading)

Permalink | Reply | 0 comments |
headers
Paolo Sala | 4 May 2009 08:51
Picon
Favicon

Re: gruppi in dominio Samba

ivan re scrisse in data 30/04/2009 18:42:
> [...]
> vediamo se ho capito:
> a)dato che sul File Server non mi serve che gli utenti del dominio
> possano accedere tramite login (voglio solo root della macchina)
> allora pam_winbind non mi serve
sbagliato: come fa il file server membro a sapere se l'utente può essere
abilitato alla share e con quali permessi?

> b)dato che mi consigli, per avere stesso uid e gid di copiare
> /etc/passwd e /etc/group allora nss_winbind (ovvero nsswitch.conf) non
> mi serve
>
> a questo punto winbind a cosa mi serve? da quello che ho capito non
> devo più usarlo.
Hai sbagliato ancora: gli utenti e i gruppi ti servono per avere gli
stessi uid/gid del PDC. Ma a quale uid/gid corrisponde un certo rid lo
decide winbind.

Ciao

Piviul
Permalink | Reply | 6 comments |
headers
ivan re | 4 May 2009 18:03
Picon

Re: gruppi in dominio Samba



> b)dato che mi consigli, per avere stesso uid e gid di copiare
> /etc/passwd e /etc/group allora nss_winbind (ovvero nsswitch.conf) non
> mi serve
>
> a questo punto winbind a cosa mi serve? da quello che ho capito non
> devo più usarlo.
Hai sbagliato ancora: gli utenti e i gruppi ti servono per avere gli
stessi uid/gid del PDC. Ma a quale uid/gid corrisponde un certo rid lo
decide winbind.

Ho configurato il file server con la seguente smb.conf:

[global]
    workgroup = miodominio
    server string = %h - File Server - (Samba, Ubuntu)
    interfaces = 127.0.0.0/8, eth0
    bind interfaces only = Yes
    security = DOMAIN
    password server = *
    pam password change = Yes
    log level = 3
    syslog = 0
    log file = /var/log/samba/%m.log
    max log size = 1500
    name resolve order = host lmhosts bcast
    socket options = TCP_NODELAY  IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    logon path =
    os level = 33
    preferred master = No
    local master = No
    domain master = No
    dns proxy = No
    usershare allow guests = Yes
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    template shell = /bin/bash
    winbind separator = +
    winbind enum users = Yes
    winbind enum groups = Yes

[prova]
    comment = Cartella  dati
    path = /home/dati
    read only = No
    guest ok = Yes


dopodichè ho inserito winbind  in nsswitch (sempre sul FS)

Sul PDC ho definito i gruppi di dominio tramite
 net groupmap add ntgroup="vrb" unixgroup=vrb type=d
 gpasswd -a mioutente vrb

Ho poi copiato a mano dai file passwd e group del PDC (come suggerito da Simo ... grazie) sul FS sia mioutente che vrb.

Tutto sembra funzionare,anche con rsync.

Però ho ancora qualche dubbio:
sul PDC:   mioutente con UID 1000
                vrb con GID 1002

sul FS :
             ovviamente mioutente e vrb essendo stati copiati a amano hanno lo stesso uid/gid
             del PDC.

             se digito getent passwd  vedo:
             miodominio+mioutente:*:10028:10005: ....

             se digito getent group vedo:
             manager:x:1002:ivan
             miodominio+vrb:x:10008:ivan
            
             ovvero un pasticcio!!! o almeno così mi sembra.



come posso far si che il gruppo locale sul PDC sia associato ad un rid dal quale poi ricavo nuovamente il gid locale sul FS? E' possibile?

grazie
Ivan


_______________________________________________
Samba-it mailing list
Samba-it@...
https://lists.xsec.it/mailman/listinfo/samba-it
Permalink | Reply | 5 comments |
headers
ivan re | 6 May 2009 15:45
Picon

Re: gruppi in dominio Samba

nel smb.conf ho configurato idmap uid e idmap gid con range 10000-20000

Se faccio un getent group sul domaim member server  vedo che i gruppi hanno invece gid 1003, ecc...  Perchè?

Ivan


_______________________________________________
Samba-it mailing list
Samba-it@...
https://lists.xsec.it/mailman/listinfo/samba-it
Permalink | Reply | 4 comments |
headers
Paolo Sala | 6 May 2009 16:36
Picon
Favicon

Re: gruppi in dominio Samba

ivan re scrisse in data 06/05/2009 15:45:
> nel smb.conf ho configurato idmap uid e idmap gid con range 10000-20000
>
> Se faccio un getent group sul domaim member server  vedo che i gruppi
> hanno invece gid 1003, ecc...  Perchè?
Dopo aver stoppato winbind, cancella idmap_cache.tdb e poi riavvia winbind.

Ciao

Piviul
Permalink | Reply | 3 comments |
headers
ivan re | 6 May 2009 16:51
Picon

Re: gruppi in dominio Samba

grazie funziona

cosa contengono i file winbindd_cache.tdb e winbindd_idmap.tdb?

Ivan

2009/5/6 Paolo Sala <piviul <at> riminilug.it>
ivan re scrisse in data 06/05/2009 15:45:
> nel smb.conf ho configurato idmap uid e idmap gid con range 10000-20000
>
> Se faccio un getent group sul domaim member server  vedo che i gruppi
> hanno invece gid 1003, ecc...  Perchè?
Dopo aver stoppato winbind, cancella idmap_cache.tdb e poi riavvia winbind.

Ciao

Piviul
_______________________________________________
Samba-it mailing list
Samba-it-AderjAtKw5Q@public.gmane.org
https://lists.xsec.it/mailman/listinfo/samba-it

_______________________________________________
Samba-it mailing list
Samba-it@...
https://lists.xsec.it/mailman/listinfo/samba-it
Permalink | Reply | 2 comments |
headers
Paolo Sala | 6 May 2009 17:19
Picon
Favicon

Re: gruppi in dominio Samba

ivan re scrisse in data 06/05/2009 16:51:
> grazie funziona
>
> cosa contengono i file winbindd_cache.tdb e winbindd_idmap.tdb?
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/msdfs.html

Se vuoi puoi anche non usare idmap rid e associare tu a manina
uid/gid->sid...facendo moltissima attenzione. Dai un'occhiata a net
idmap dump/restore

Ciao

Piviul
Permalink | Reply | 1 comment |
headers
ivan re | 6 May 2009 17:55
Picon

Re: gruppi in dominio Samba

grazie
ciao
Ivan

2009/5/6 Paolo Sala <piviul <at> riminilug.it>
ivan re scrisse in data 06/05/2009 16:51:
> grazie funziona
>
> cosa contengono i file winbindd_cache.tdb e winbindd_idmap.tdb?
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/msdfs.html

Se vuoi puoi anche non usare idmap rid e associare tu a manina
uid/gid->sid...facendo moltissima attenzione. Dai un'occhiata a net
idmap dump/restore

Ciao

Piviul
_______________________________________________
Samba-it mailing list
Samba-it-AderjAtKw5Q@public.gmane.org
https://lists.xsec.it/mailman/listinfo/samba-it

_______________________________________________
Samba-it mailing list
Samba-it@...
https://lists.xsec.it/mailman/listinfo/samba-it
Permalink | Reply | 0 comments |
headers
Maurizio Marini | 7 May 2009 08:28

sync delle password tra AD e server linux membro

Ho il seguente problema:
l'utente pippo e' felicemente connesso alle share a cui ha diritto sul server 
linux abc, pippo si autentica con un server 2k AD, linux abc e' felicemente 
membro del dominio di AD con winbind etc etc, tutto funziona.

Cambio la password all'utente su AD, un attimo dopo per accedere alla share a 
cui era connesso all'utente viene richiesto di digitare user e password

Posso evitare cio' *forzando* il sync dela password dopo il cambio su AD?
Magari e' sufficiente il reload o il restart di samba e/o winbind sul linux 
membro? Oppure mi manca un qualche sync sulla conf del samba del server linux?

tia
	Maurizio

PS:
[08:27:23 root <at> xxx ~ ]# rpm -qa |grep samba
samba-doc-3.0.23d-1
samba-client-3.0.25b-1.el4_6.4
samba-common-3.0.23d-1
samba-common-3.0.25b-1.el4_6.4
samba-3.0.25b-1.el4_6.4
[08:27:38 root <at> xxx ~ ]# cat /etc/redhat-release
CentOS release 4.7 (Final)
Permalink | Reply | 0 comments |
headers
NdK | 7 May 2009 20:52
Picon
Gravatar

Home in DFS?

Ciao a tutti.

Qualcuno ha già provato a creare le home di un laboratorio su una coppia 
di server SAMBA con DFS ridondato (cioè con gli stessi dati in r/w 
duplicati su entrambi i server)?

Problemi rilevati? Gestione di eventuali partizionamenti di rete?

Nel mio caso avrei dei server AD che gestiscono l'autenticazione 
(purtroppo senza la schema extension SFU), ed i file server Samba 
sarebbero semplici membri (direi quindi costretti ad usare idmap rid).

Tks,
  Diego.
Permalink | Reply | 2 comments |

Gmane