On Sat, Oct 30, 2010 at 08:45:44AM +0200, rghetta wrote: > On 10/30/2010 12:25 AM, Marco Ciampa wrote: > >>In ufficio ho un setup simile, usando ldapsam:trusted/editposix. > >>Non so se ti possa essere utile ... > > > >Può darsi, chiarisci, non sono un'esperto. > ldapsam:trusted è un'ottimizzazione che essenzialmente dice a samba > di ignorare nss e prendere i dati degli utenti da ldap. > ldapsam:editposix significa grosso modo che samba può direttamente > modificare ldap. In pratica non servono gli script smbldap-tools, > fa tutto samba nativamente. > Le informazioni disponibili sono un po' limitate, ma vedi > http://wiki.samba.org/index.php/Ldapsam_Editposix > > Visto che usi gli script, le cose funzionano in modo un po' diverso. mooooolto interessante...grazie, non conoscevo...approfondirò... > > >io ho un gruppo di administrators. Se lavoro come utente di quel gruppo, > >i comandi che samba dovrebbe dare tramite smbldap-tools fanno casino > >(funzionano male). Se li lancio da root, funzionano come si deve. Per > >es. getent si blocca. Se lo eseguo da root no. > hmm, per ldap non dovrebbe contare che tu sia root o mazzafazula, > visto che ha la sua security. Nel tuo caso, se ti colleghi /sempre/ > come cn=admin,dc=lsgalilei,dc=org dovrebbe /sempre/ funzionare > tutto. > Se il problema si verifica solo se l'utente linux non è root, forse > qualche file/comando è accessibile solo da root, o il bind è > eseguito diversamente. > Hai provato a dare un net rpc rights esplicito su un utente del > gruppo admin per vedere se il problema è di privilegi samba ? > > >Se osservo LDAP dal phpldapadmin come root vedo tutto. > >Se accedo come utente anonimo non vedo alcuni utenti. > Non so se sia legato, ma questo sembra un problema di diritti ldap. siccome non so una fava di diritti ldap...sono nelle peste... > > >(root) > >#getent passwd ----> elenca tutti gli utenti > > > >(utente nel grupp adm) > >#getent passwd ----> l'elenco si blocca ad un certo punto > Sembrerebbe legato a quello sopra. Nel tuo libnss-ldap hai specificato > rootbinddn, quindi se sei root nss binda come cn=adminbongabonga, > se non sei root, mancando binddn, binda come anonymous. > Pertanto se non vedi tutti gli utenti da phpldapadmin non li vedrai > nemmeno da getent. > A livello di slapd.conf mi sembra tutto ok. Non sono sicuro, ma mi > pare sia possibile mettere diritti anche nel database. Forse è il > tuo caso ? > Aumentando il livello di log slapd dovresti vedere cosa succede. Ad > esempio se fai id user dovresti vedere la query fatta e anche > l'eventuale risultato. anche qui controllerò al rientro al lavoro, grazie mille! -- Marco Ciampa +--------------------+ | Linux User #78271 | | FSFE fellow #364 | +--------------------+ -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx