Ciao Giuseppe
Il 2017-05-22 12:23 Giuseppe Sacco ha scritto:
Chiarito che hai due utenti diversi, con lo stesso nome, e visto che
entrambi usano la stessa directory home, immagino che uno acceda
correttamente e tutto funzioni, mentre l'altro non dovrebbe poter
scrivere nella home e quindi darà una serie di problemi.
Non ho avuto alcun problema, ho fatto login con 'dominio\mioutente'
('DIPPP\dpp1058157') ed ho creato all'interno della mia home una
cartella nuova e al suo interno un file di testo, terminata questa
sessione ho eseguito login con il solo utente (dpp1058157) e ho
cancellato sia il file che la cartella creati in precedenza.
Il problema che riscontro è l'accesso alla rete aziendale: facendo login
con 'dominio\mioutente' mi chiedeva le credenziali per accedere, mentre
con il solo utente (dpp1058157) no e non ho mail salvato le credenziali
in passato. Già al primo accesso dopo aver effettuato il join ho avuto
accesso (e ho pensato che fosse normale visto che il mio utente dell'AD
ha accesso a quelle risorse)
A questo punto, visto che hai il parametro per non dover inserire il
nome del dominio, devi guardare l'ordine dei moduli pam in
/etc/pam.d/common-auth. Se viene prima quello winbind (o quello
kerberos) allora molto probabilmente utilizzi l'utenza di dominio,
altrimenti quella locale linux.
questo è il contenuto di /etc/pam.d/common-auth
auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth
krb5_ccache_type=FILE cached_login
è il contenuto che ho trovato e non ho modificato ma nelle guide da me
seguite erano indicate le seguenti righe che ho lasciato commentate:
## auth sufficient pam_winbind.so
## auth sufficient pam_unix.so nullok_secure use_first_pass
## auth required pam_deny.so
Se stai utilizzando una utenza di dominio, non so bene come fare per
essere certo che tu faccia parte del gruppo per accedere ai device USB.
Il fatto che in /etc/group ci sia il nome anziché lo UID è forse
fuorviante. Temo che il comando «groups» lo controlli anche se il tuo
utente (UID) non è stato definito in /etc/passwd.
La cosa più semplice per aggiustare le cose è assegnare lo stesso UID
alle tue utenze su Linux e su dominio. Visto che come backend per idmap
stai usando il trivial database, credo tu possa cancellare
l'associazione SID/UID con il comando tdbtool (per una semplice
descrizione di come operare vedi
http://eppesuigoccas.homedns.org/wordpress/index.php/archives/285 )
Poi devi ricreare l'associazione con lo stesso tdbtool (usando
l'argomento «insert»).
dopo le email di Piviul di ieri ho impostato il backend a rid sul
dominio di appartenenza,
idmap config DIPPP:range = 11000-20000
idmap config DIPPP:backend = rid
idmap config *:range = 21000-30000
idmap config * : backend = tdb
potrei modificarlo se fosse utile
Ciao,
Giuseppe
Gianni
---
--
______________________________________
Giovanni Bellonio
