Hola a tothom... i gràcies per tot, per endavant. Amb l'ajuda de membres de la llista, he aconseguit configurar un PC amb Debian de manera que :
a) Aquest PC Debian veu i accedeix a recursos d'un domini Windows NT Server. Configurant correctament les credencials en /etc/fstab, puc muntar recursos de Windows en punts de muntatge de Debian i accedir-hi sense problemes. b) El PC Debian també ofereix carpetes (carpetes compartides) a usuaris del domini controlat per el Windows NT Server. Abans em calia emprar el fitxer smbpasswd (juntament amb el programa smbpasswd) per tal de mantenir una base de dades d'usuaris existents al PDC i que podien accedir als recursos del Debian. Com veureu en el punt c) això ja ho he superat... :-) c) Gràcies al winbind, per a que un usuari del domini accedeixi a un recurs del Debian, no cal donar d'alta aquest usuari al fitxer smbpasswd, sinó que el winbind passa les credencials que ha rebut client Windows directament al PDC per a que les validi. Cal haver configurat convenientment el fitxer /etc/nsswitch.conf I també el /etc/samba/smb.conf per que faci servir seguretat a nivell de domini (almenysjo ho tinc així) De moment però, encara he de donar d'alta un usuari al sistema Debian amb el mateix nom d'usuari que hi ha al PDC. O sigui, si dono d'alta l'usuari Pepet a Debian (que ja exiteix al PDC amb el seu propi password), des d'una màquina Windows on Pepet ha iniciat una sessió, puc accedir al recurs compartit de Debian i no em demana res més. No cal que el password de Pepet de Debian sigui el mateix que el del l'usuari Pepet de Windows; ni tampoc cal que tingui un shell assignat. ARA bé... Estic intentant anar un pas més enllà. Modificant el fitxer /etc/samba/smb.conf i els fitxers /etc/pam.d/common-auth (i el common-session i el common-account) hauria de poder fer un login des de la màquina Debian amb un nom d'usuari INEXISTENT a Debian, però que si que existís al domini Windows. (O sigui, estic intentant que la màquina Debian/Aamba sigui un membre del domini, igual que ho són les Windows 2K) Les proves que he fet... no han anat bé, del tot. A veure si m'en surto a explicar-ho. Si faig wbinfo -u obtinc tota la llista d'usuaris del domini, perfecte !!! Des d'un pantalla de terminal d'un usuari normal de Debian, si faig su manel on manel és un usuari del domini, inexistent a Debian, em diu que nanai de la xina, que l'id és deconegut : manel Als fitxers de configuració /etc/pam.d/common-auth /etc/pam.d/common-session hi ha una entrada referent a pam_mount.so Pel que entenc, pam_mount em permet muntar de forma transparent un recurs del servidor Windows a un punt de muntatge i desmuntar-lo al tancar la sessió. Donc bé, si a /etc/pam.d/common-auth hi trec l'entrada que diu auth required pam_mount.so, ja no puc fer "su" de cap mena. Em diu : Authentication information cannot be recovered. Tampoc puc, per exemple, accedir al servei HTTP://locahost:901 (swat). Aquí, quan hi poso root i password de root, res de res. Bé... com que m'agrada anar pas a pas i entendre que faig bé i què malament, m'agradaria de moment saber com fer un simple "su usuarideldomini" i que em validi correctament. El tema de muntar el /home/usuari/recurs_compartit_de_servidor_nt ja vindrà (suposo que via pam_mount) L'entrada des d'un gdm també arribarà, espero, perquè aquesta és la gràcia. Em podeu assessorar ? Aquí al final teniu la configuració d'alguns fitxers implicats en el tema /etc/samba/smb.conf # Global parameters [global] workgroup = DOMINI_1 server string = WorkStation %h (Samba %v) security = DOMAIN obey pam restrictions = Yes passdb backend = tdbsam, guest passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n . syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 announce as = NT Workstation preferred master = No domain master = No dns proxy = No wins server = 192.168.0.254 ldap ssl = no panic action = /usr/share/samba/panic-action %d template homedir = /home/domini/%U template shell = /bin/bash winbind enable local accounts = Yes winbind use default domain = Yes invalid users = root [homes] comment = Home Directories read only = No create mask = 0700 directory mask = 0700 browseable = No [printers] comment = All Printers path = /tmp create mask = 0700 printable = Yes browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/printers [public] comment = Carpeta d'acces public path = /home/public read only = No ---------------------------------------------------------------------------- ---- /etc/nsswitch.conf passwd : compat winbind group : compat winbind shadow : compat winbind hosts : dns files wins networks : files protocols : db files services : db files ethers : db files rpc : db files netgroup: nis ---------------------------------------------------------------------------- ---------------------- /etc/pam.d/common-auth auth required pam_mount.so auth sufficient pam_winbind.so use_first_pass auth required pam_unix.so nullok_secure use_first_pass ---------------------------------------------------------------------------- ---------------------- /etc/pam.d/common-session session required pam_unix.so session optional pam_mount.so use_first_pass ---------------------------------------------------------------------------- ---------------------- /etc/pam.d/common-account account sufficient winbind.so account required pam_unix.so ---------------------------------------------------------------------------- ---------------------- Gràcies per tot ... per endavant. PEP