headers
Maurizio Marini | 3 Jan 2011 12:24

wsus senza AD e senza GPO

Come e' ben noto, senza AD e senza GPO si deve mettere mano ai registri con
regedit
E' possibile in qualche modo automatizzare questo processo mettendo nel logon
di ciascun utente (siamo in dominio samba) una riga con la quale importare nei
registri queste righe di regedit?
Non avendo trovato nulla al riguardo non credo proprio, ma la speranza e'
sempre l'ultima ....;)

-- maurizio
Permalink | Reply | 2 comments |
headers
Marco Gaiarin | 3 Jan 2011 15:28
Picon

Re: wsus senza AD e senza GPO

Mandi! Maurizio Marini
  In chel di` si favelave...

> Come e' ben noto, senza AD e senza GPO si deve mettere mano ai registri con
> regedit
> E' possibile in qualche modo automatizzare questo processo mettendo nel logon
> di ciascun utente (siamo in dominio samba) una riga con la quale importare nei
> registri queste righe di regedit?
> Non avendo trovato nulla al riguardo non credo proprio, ma la speranza e'
> sempre l'ultima ....;)

Pasticciare con il registro è sempre possibile, ad esempio:

1) per il registro macchina, usando cose come WPKG (http://wpkg.org)

2) per il registro utente, usando logon script o estensioni a
 questo.

Il problema reale è che le GPO sono in grado anche di forzare o
predisporre interi rami di registro, di modo che l'utente non possa
modificarle.
Ovvero, un conto è ad ogni logon abilitare la password allo
screensaver, un conto è fare in modo che l'utente non possa
disabilitare la richiesta password.

Per questa cosa dovrebbe poter essere possibile utilizzare le LGPO
(Local GPO), nella lista wpkg si è fatto riferimento a questo, e nel
dettaglio lo ha fatto l'autore di wpkg-gp, quindi ravanando in:

	http://code.google.com/p/wpkg-gp/
(Continue reading)

Permalink | Reply | 0 comments |
headers
Marco Gaiarin | 3 Jan 2011 15:30
Picon

Re: wsus senza AD e senza GPO

Mandi! Maurizio Marini
  In chel di` si favelave...

> Non avendo trovato nulla al riguardo non credo proprio, ma la speranza e'
> sempre l'ultima ....;)

...dimenticavo la fine: questo in generale, su WSUS nello specifico non
ho visto nulla, ma alla fin fine non credo che sia nulla di più che uno
specifico template amministrativo.

Se scvi qualcosa, è gradito feedback. ;)

--

-- 
dott. Marco Gaiarin				    GNUPG Key ID: 240A3D66
  Associazione ``La Nostra Famiglia''                http://www.sv.lnf.it/
  Polo FVG  -  Via della Bontà, 7 - 33078  -  San Vito al Tagliamento (PN)
  marco.gaiarin(at)sv.lnf.it	  tel +39-0434-842711  fax +39-0434-842797

		Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
	   http://www.lanostrafamiglia.it/chi_siamo/5xmille.php
	(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
Permalink | Reply | 0 comments |
headers
Piviul | 3 Jan 2011 17:21
Picon
Favicon

autenticazione con winbind

Ciao a tutti, sto cercando di fare in modo che su un portatile con
ubuntu 10.10 (samba 3.5.4) si possano autenticare gli utenti di un
dominio samba (samba pdc: 3.4.3) tramite winbind.

Ho legato il portatile al dominio:
> $ sudo net rpc testjoin
> Join to 'DOMINIOCSA' is OK

wbinfo -u/-g rispondono correttamente mostrando gli utenti/gruppi del
dominio ma getent passwd/group no (mostrano soltanto gli utenti/gruppi
locali). Questo è il mio nsswitch.conf:
> $cat /etc/nsswitch.conf
> passwd:         files winbind
> group:          files winbind
> shadow:         files
>
> hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4 wins
> networks:       files
>
> protocols:      db files
> services:       db files
> ethers:         db files
> rpc:            db files
>
> netgroup:       nis

Ovviamente in smb.conf winbind enum users/groups è settato to yes:
> $ testparm -s | grep enum
> Load smb config files from /etc/samba/smb.conf
> rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
(Continue reading)

Permalink | Reply | 1 comment |
headers
Piviul | 4 Jan 2011 08:34
Picon
Favicon

Re: autenticazione con winbind

Piviul scrisse in data 03/01/2011 17:21:
> Ciao a tutti, sto cercando di fare in modo che su un portatile con
> ubuntu 10.10 (samba 3.5.4) si possano autenticare gli utenti di un
> dominio samba (samba pdc: 3.4.3) tramite winbind.
>   
Scusate a tutti, era una questione di idmap.

Ciao e grazie

Piviul
Permalink | Reply | 0 comments |
headers
Piviul | 4 Jan 2011 09:35
Picon
Favicon

offline logon

Scusate, ritorno ancora sull'argomento.

Su un notebook (ubuntu 10.10, samba 3,5,4) ho impostato l'autenticazione
ad un dominio samba (samba 3.4.3) tramite winbind e tutto funziona molto
bene.

Ho allora impostato l'offline logon e le credenziali vengono
effettivamente prese in cache ma soltanto finché winbind non viene
riavviato. Nei log in effetti ad ogni avvio di winbind trovo:
> [2011/01/04 09:14:30.739196,  1]
> lib/tdb_validate.c:470(tdb_validate_and_backup)
>   tdb '/var/cache/samba/winbindd_cache.tdb' is invalid
> [2011/01/04 09:14:30.739394,  1]
> lib/tdb_validate.c:476(tdb_validate_and_backup)
>   No backup found.
> [2011/01/04 09:14:30.739655,  1]
> lib/tdb_validate.c:494(tdb_validate_and_backup)
>   Corrupt tdb stored as '/var/cache/samba/winbindd_cache.tdb.corrupt'
> [2011/01/04 09:14:30.739789,  0]
> winbindd/winbindd_cache.c:4094(winbindd_cache_validate_and_initialize)
>   winbindd cache tdb corrupt and no backup could be restored.
> [2011/01/04 09:14:30.740279,  0]
> winbindd/winbindd_cache.c:3076(initialize_winbindd_cache)
>   initialize_winbindd_cache: clearing cache and re-creating with
> version number 1

Dai log quindi sembra che in effetti ad ogni avvio di winbind la cache
sia corrotta. Anche voi riscontrate questo problema?

Veramente ho anche un'altro problema. Se winbind viene avviato mentre la
(Continue reading)

Permalink | Reply | 4 comments |
headers
Aldo Bortot | 4 Jan 2011 10:27
Picon

Re: offline logon

> Scusate, ritorno ancora sull'argomento.
>
> Su un notebook (ubuntu 10.10, samba 3,5,4) ho impostato l'autenticazione
> ad un dominio samba (samba 3.4.3) tramite winbind e tutto funziona molto
> bene.
...
>
> Dai log quindi sembra che in effetti ad ogni avvio di winbind la cache
> sia corrotta. Anche voi riscontrate questo problema?
>
> Veramente ho anche un'altro problema. Se winbind viene avviato mentre la
> rete è giù, winbind non è in grado di autenticare l'utente per il
> problema sopra (la cache non è valida). La cosa fastidiosa però è che
> una volta ristabilito il collegamento di rete winbind non è ancora in
> grado di autenticare sul dominio e per riuscire a risolvere il problema
> è necessario riavviare winbind. Anche questo è un bug noto? Esiste
> qualche workaround?
Per quest'ultimo aspetto, se non trovi di meglio, proverei a mettere 
qualcosa in /etc/network/if-up.d/  che ti faccia un riavvio di winbind

ciao
aldo

>
> Grazie
>
> Piviul
Permalink | Reply | 1 comment |
headers
Piviul | 4 Jan 2011 14:39
Picon
Favicon

Re: offline logon

Aldo Bortot scrisse in data 04/01/2011 10:27:
> Per quest'ultimo aspetto, se non trovi di meglio, proverei a mettere
> qualcosa in /etc/network/if-up.d/  che ti faccia un riavvio di winbind
Come workaround ha funzionato e te ne ringrazio moltissimo.

Ho cercato parecchio con google ma non ho trovato niente riguardo al
fatto che winbind non riesca ad accedere alle credenziali in cache dopo
un riavvio... qualcuno che usa l'offline logon di winbind non ha voglia
di provare se l'offline logon funziona anche dopo un riavvio di winbind?

Grazie

Piviul
Permalink | Reply | 0 comments |
headers
Simo Sorce | 4 Jan 2011 15:22
Picon

Re: offline logon

IIRC questo è un baco che è stato risolto upstream.
Chiedi a Ubuntu di fare il backport.

Simo.

----- Original Message -----
From: "Piviul" <piviul@...>
To: "Lista italiana utenti Samba" <samba-it@...>
Sent: Tuesday, January 4, 2011 3:35:41 AM
Subject: [Samba-it] offline logon

Scusate, ritorno ancora sull'argomento.

Su un notebook (ubuntu 10.10, samba 3,5,4) ho impostato l'autenticazione
ad un dominio samba (samba 3.4.3) tramite winbind e tutto funziona molto
bene.

Ho allora impostato l'offline logon e le credenziali vengono
effettivamente prese in cache ma soltanto finché winbind non viene
riavviato. Nei log in effetti ad ogni avvio di winbind trovo:
> [2011/01/04 09:14:30.739196,  1]
> lib/tdb_validate.c:470(tdb_validate_and_backup)
>   tdb '/var/cache/samba/winbindd_cache.tdb' is invalid
> [2011/01/04 09:14:30.739394,  1]
> lib/tdb_validate.c:476(tdb_validate_and_backup)
>   No backup found.
> [2011/01/04 09:14:30.739655,  1]
> lib/tdb_validate.c:494(tdb_validate_and_backup)
>   Corrupt tdb stored as '/var/cache/samba/winbindd_cache.tdb.corrupt'
> [2011/01/04 09:14:30.739789,  0]
(Continue reading)

Permalink | Reply | 1 comment |
headers
Piviul | 5 Jan 2011 14:20
Picon
Favicon

Re: offline logon

Simo Sorce scrisse in data 04/01/2011 15:22:
> IIRC questo è un baco che è stato risolto upstream.
> Chiedi a Ubuntu di fare il backport.
>   
Grazie Simo, ho aperto un bug report, vediamo se ubuntu mi considera...

Non ho però capito se entrambi i malfunzionamenti da me segnalati sono
stati risolti nell'upstream. Uno riguarda l'inaccessibilità della cache
dopo un riavvio di winbind, l'altro che winbind non è in grado di
autenticare se è partito prima della connessione di rete. Riavviando
winbind il problema si risolve, ma si risolve anche soltanto eseguendo
il comando net rpc testjoin... Combinando quindi il suggerimento di Aldo
ho inserito in if-up.d il seguente file:
> $ cat /etc/network/if-up.d/winbind
> #!/bin/sh
> # winbind non autentica se avviato prima che la rete
> # sia attiva e basta un testjoin per farlo rinsavire.
> net rpc testjoin 2>1 /dev/null

Grazie mille

Piviul
Permalink | Reply | 0 comments |

Gmane