Il giorno 05 aprile 2011 15:45, Liga <alessioliga...@gmail.com> ha scritto:
> Il 04/04/2011 19:32, Antonio Doldo ha scritto: > > Il giorno 04 aprile 2011 15:12, Liga <alessioliga...@gmail.com> ha > scritto: > >> Ciao a tutta la lista! >> >> ho un pc portatile che viene utilizzato sia fuori che dentro la sede, >> l'utente deve poter accedere ai dati anche dal'esterno (no vpn) quindi >> salvarli su hd. >> autenticandosi in locale non vede le share di rete (non ha i permessi). >> > come posso muovermi? >> >> pensavo a un account locale uguale a quello ldap con lo stesso uid sul >> server e sul portatile... funzionerà? c'è un altro modo? >> >> > mi spiego meglio: > i pc aziendali sono legati ad una autenticazione su una directory ldap su > server che viene richiamata da ldap.conf. nella dir ldap ci sono tutti gli > utenti e le loro home. > questa è propagata solo sulla rete interna, quindi non è accessibile da > remoto, nemmeno le home che sono in rete tramite nfs. > i portatili vengono connessi alle più disparate connessioni e devono avere > le home locali e utenti locali ma inoltre devono poter accedere alle share > nfs in maniera autenticata (gli altri sono attaccati a ldap). > per questo ho pensato: autenticazione identica sia locale (passwd) che > remota quando sono in rete (ldap) con come prima l'ldap in modo che se è > presente viene utilizzato altrimenti si va su autenticazione locale (seconda > opzione). > Per come la vedo io bisogna distinguere l'autenticazione, ovvero se tu ti trovi in rete interna e tenti di accedere alle risorse LDAP non basta il tuo utente locale, la password verso il dominio viene passata via NTLM e questo si basa su kerberos (spero di non dire castronerie) il meccanismo sulla macchina locale linux basato su winbind dialoga con il server LDAP e, una volta passato il ticket, ti permette di accedere alle risorse. Nel caso tu avessi un UID e GID pari a quelli trovati da winbind questo quasi sicuramente non sarebbe sufficiente. Non mi è chiaro se la tua macchina accede con le credenziali di dominio alla rete e se si, se questo avviene con openldap o smb/winbind. La seconda di queste, seppur complessa, è performante e permette di lavorare in entrambe le direzioni, ovvero accesso utenti linux -> dominio e utenti dominio > risorse e logon su linux Tutto si puo fare modificando pam relativamente all'autenticazione Su openldap non so dirti molto, ma immagino che tu possa ricavare l'ID e il SID per verificare l'accesso in locale e in rete. Ciao, Antonio
