Ciao a tutti, l'altro giorno per caso installando ubuntu in una rete
active directory samba durante il setup ho provato a legarlo al dominio
AD e tutto ha funzionato... sono rimasto di stucco così ho guardato come
era stato configurato e ho visto che per l'autenticazione, usava sssd
invece di winbind. Mi sembra che sssd funzioni molto bene e soprattutto funzionano anche le cached credentials.

Allora volevo provare a vedere se riuscivo a configurare anche debian
con sssd. Ho seguito questa guida[¹]

Tutto sembra funzionare tranne che non riesco a fare il logon. in
auth.log trovo:

2023-12-05T14:30:40.701822+01:00 violetto login[1000]:
pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty2 ruser= rhost=  user=dominio\piviul 2023-12-05T14:30:41.152765+01:00 violetto login[1000]:
pam_sss(login:auth): authentication success; logname=LOGIN uid=0 euid=0 tty=/dev/tty2 ruser= rhost= user=dominio\piviul 2023-12-05T14:30:41.862475+01:00 violetto login[1000]:
pam_sss(login:account): Access denied for user dominio\piviul: 4 (System error)
2023-12-05T14:30:41.865286+01:00 violetto login[1000]: System error

Ho cercato in rete, molti riscontrano l'errore ma non sono riuscito a risolvere... a qualcuno per caso viene in mente qualcosa?

Grazie

Piviul

[¹] https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectorySssd

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 12/5/23 17:58, Diego Zuccato wrote:

[...]
Comunque dovrebbe esserci una riga dove si specifica quale gruppo di
dominio contiene gli utenti autorizzati ad accedere...

hai fatto bingo! io usavo "access_provider = ad" ma di opzioni per il
controllo degli accessi nel man di sssd-ad non ne ho trovate. Ma
cercando le ho trovate nel man di sssd-simple così ho impostato "access_provider = simple" e configurato l'opzione simple_groups e ha funzionato!

Grazie un monte

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Allora volevo provare a vedere se riuscivo a configurare anche debian
con sssd. Ho seguito questa guida[¹]

Tu pestare grossa merda... ;-)


SSSD nasce come un 'fork' di winbindd fatto da RH quando aveva bisogno di qualcosa che funzionasse con AD e il team samba era ancora troppo indietro.


Poi non so cosa sia successo, ma le due cose hanno inziato a divergere e da
una certa versione di samba in poi sssd è diventato sostanzialmente incompatibile con samba; va anche detto che ormai winbind fa decentemente quello che fa sssd.

Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti
ringhia dietro. ;-)


Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona perfettamente anche con winbind; unica nota, NON devi usare RFC2703,
attualmete c'è un baco e la cache non funziona.

--
Berlusconi: "Quando scendo io in campo per la sinistra non c'è scampo"
É proprio vero che siamo un paese di poeti, santi e navigatori...

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

This is a multi-part message in MIME format.
On 12/6/23 09:59, Marco Gaiarin wrote:

[...]
Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti ringhia dietro. ;-)

Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona perfettamente anche con winbind; unica nota, NON devi usare RFC2703, attualmete c'è un baco e la cache non funziona.

beh, redhat non sembra avere nessuna intenzione di mandare in pensione
sssd, ubuntu ha inserito il supporto al join di un dominio AD
nell'installer ed usa sssd... da parte mia posso dire che le cached
credentials con il conseguente offline logon sembrano funzionare molto
bene con sssd mentre con winbind... anche quando sono riuscito a farlo funzionare era altalenante, talvolta dovevo riavviare winbind per poter
fare il logon... un pianto. Ora avevo smesso di illudermi di poterlo
utilizzare e vedendo sssd andare con un filo di gas... certo non ho l'id mapping ma del resto non ho bisogno di configurare anche il server sui
clients.

Comunque se mi dici così provo su bookworm a configurare l'offline logon
con winbind... nel caso mi faccio sentire ;)

Buona giornata!

Piviul

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
</head>
<body>
<div class="moz-cite-prefix">On 12/6/23 09:59, Marco Gaiarin wrote:<br>
</div>
<blockquote type="cite"
cite="mid:rnp54k-4l9.ln1@hermione.lilliput.linux.it">[...]<span
style="white-space: pre-wrap">
</span>
<pre class="moz-quote-pre" wrap="">Se chiedi in lista samba di sssd, comunque, ottieni solo Rowland che ti
ringhia dietro. ;-)

Non so cosa di preciso tu voglia fare, ma se è l'offilne logon funziona perfettamente anche con winbind; unica nota, NON devi usare RFC2703,
attualmete c'è un baco e la cache non funziona.</pre>
</blockquote>
<p>beh, redhat non sembra avere nessuna intenzione di mandare in
pensione sssd, ubuntu ha inserito il supporto al join di un
dominio AD nell'installer ed usa sssd... da parte mia posso dire
che le cached credentials con il conseguente offline logon
sembrano funzionare molto bene con sssd mentre con winbind...
anche quando sono riuscito a farlo funzionare era altalenante,
talvolta dovevo riavviare winbind per poter fare il logon... un
pianto. Ora avevo smesso di illudermi di poterlo utilizzare e
vedendo sssd andare con un filo di gas... certo non ho l'id
mapping ma del resto non ho bisogno di configurare anche il server
sui clients.</p>
<p>Comunque se mi dici così provo su bookworm a configurare
l'offline logon con winbind... nel caso mi faccio sentire ;)<br>
</p>
<p>Buona giornata!</p>
<p>Piviul<br>
</p>
</body>
</html>

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Ho provato a configurare il winbind offline logon su debian 12 bookworm
e... va e non va.

Se avvio il pc senza connessione di rete per poter effettuare l'offline
logon devo entrare nella console e riavviare winbind, altrimenti non va.

Se avvio il pc con connessione di rete ma tolgo il cavo prima del logon
allora funziona.

A voi invece va sempre?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

A voi invece va sempre?

Si. Metti qui un 'testparm' che vediamo.

--
Dai diamanti non nasce niente
dal letame nascono i fior (F. De Andre`)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 12/8/23 17:14, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

A voi invece va sempre?

Si. Metti qui un 'testparm' che vediamo.

# Global parameters
[global]
    client ipc min protocol = NT1
    client max protocol = SMB3
    client min protocol = NT1
    lock directory = /var/cache/samba
    log file = /var/log/samba/log.%m
    logging = file
    map to guest = Bad User
    max log size = 1000
    obey pam restrictions = Yes
    pam password change = Yes
    panic action = /usr/share/samba/panic-action %d
    passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    passwd program = /usr/bin/passwd %u
    realm = AD.CSARICERCHE.COM
    security = ADS
    server role = standalone server
    server string = %h server
    template shell = /bin/bash
    unix password sync = Yes
    winbind enum groups = Yes
    winbind enum users = Yes
    winbind expand groups = 1
    winbind offline logon = Yes
    winbind refresh tickets = Yes
    winbind request timeout = 10
    workgroup = DOMINIOCSA
    idmap config dominiocsa : range = 10000-24999
    idmap config dominiocsa : backend = rid
    idmap config * : range = 3000-9999
    idmap config * : backend = tdb


[homes]
    browseable = No
    comment = Home Directories
    create mask = 0700
    directory mask = 0700


Grazie Marco!

Paolo

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Si. Metti qui un 'testparm' che vediamo.

# Global parameters

Scusa, ma questo è il domain member, vero?

[global]

[...]

    obey pam restrictions = Yes
    pam password change = Yes
    panic action = /usr/share/samba/panic-action %d
    passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    passwd program = /usr/bin/passwd %u
    unix password sync = Yes

se si, questi non servono a nulla...

    server role = standalone server

Direi idem...

    winbind enum groups = Yes
    winbind enum users = Yes
    winbind expand groups = 1

qui togli;

    winbind refresh tickets = Yes

questo non ricordo...

    winbind offline logon = Yes
    winbind request timeout = 10

Ottimo. segui:

https://wiki.samba.org/index.php/PAM_Offline_Authentication

dovrebbe bastare...

--
Che ruolo può avere all'interno di una società uno che non parla ed il cui
curriculum é misero? IL Presidente. (Si Può Fare - Nello)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 12/17/23 21:27, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

Si. Metti qui un 'testparm' che vediamo.

# Global parameters

Scusa, ma questo è il domain member, vero?

yes!

[global]

[...]

    obey pam restrictions = Yes
    pam password change = Yes
    panic action = /usr/share/samba/panic-action %d
    passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    passwd program = /usr/bin/passwd %u
    unix password sync = Yes

se si, questi non servono a nulla...

    server role = standalone server

Direi idem...

ok, grazie, tutto commentato.

[...]

    winbind offline logon = Yes
    winbind request timeout = 10

Ottimo. segui:

https://wiki.samba.org/index.php/PAM_Offline_Authentication

il documento lo avevo già guardato ed infatti i parametri sopra ne sono
la testimonianza insieme al parametro lock directory per il  bug #1468 (https://bugzilla.samba.org/show_bug.cgi?id=14618).

Cos'altro devo guardare?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

Cos'altro devo guardare?

Hai verificato che il file /etc/security/pam_winbind.conf esista e che
contanga quanto nel wiki?

--
E i professori dell'altroieri stanno affrettandosi a cambiare altare
hanno indossato le nuove maschere
e rincominciano a respirare (F. De Gregori)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 12/19/23 21:08, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

Cos'altro devo guardare?

Hai verificato che il file /etc/security/pam_winbind.conf esista e che contanga quanto nel wiki?

$ grep cached /etc/security/pam_winbind.conf
# request a cached login if possible
cached_login = yes

c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
rete per poter effettuare il logon offline devo entrare nella console e riavviare winbind.

sssd invece non sbaglia un colpo, ma vedrò di non farlo sapere a Rawland! ;)

Grazie

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
rete per poter effettuare il logon offline devo entrare nella console e riavviare winbind.

Guarda, avevo fatto tante prove con un portatile Ubuntu 22.04, ma che poi
vedo nessuno usa. Quindi magari è così...

sssd invece non sbaglia un colpo, ma vedrò di non farlo sapere a Rawland! ;)

Eh... ;-)

--
Utopia aveva una sorella maggiore,
che si chiamava Verita` senza errore (Nomadi)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

On 1/8/24 22:20, Marco Gaiarin wrote:

Mandi! Piviul
In chel di` si favelave...

c'è qualcos'altro? Tieni conto che l'offline logon funziona ma in modo
un po' a singhiozzi. Come dicevo se avvio il pc senza connessione di
rete per poter effettuare il logon offline devo entrare nella console e
riavviare winbind.

Guarda, avevo fatto tante prove con un portatile Ubuntu 22.04, ma che poi vedo nessuno usa. Quindi magari è così...

beh, non trovi che sia grave? Se la rete c'è, l'offline logon non serve
ma funziona e se la rete non c'è per poter fare il logon devo riavviare winbind oppure devo dirglielo esplicitamente che siamo offline con
smbcontrol winbind offline. Forse è per questo che nessuno usa quel
portatile ;)... oppure che sia perché ha Ubuntu invece di Debian :P?

Piviul

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)

Mandi! Piviul
In chel di` si favelave...

beh, non trovi che sia grave? Se la rete c'è, l'offline logon non serve

Oh si, certo; ma adesso non so dove è finito quel portatile, e non ho tempo
di andarlo a cercare... se mi verrà a cercare lui, vi faccio sapere. ;-)

--
We certainly would not want to have the same kind of democracy as they
have in Iraq (President Vladimir Putin, responding to U.S.
President George W. Bush's suggestion that Russia
should be more democratic, taken from NewsWeek)

--- SoupGate-Win32 v1.05
* Origin: fsxNet Usenet Gateway (21:1/5)