Re: A proposito di Samba..

Si,
non è ancora possibile una migrazione completa come quella che vuoi tu
con samba 2.2.x, si può fare con HEAD (3.0 alpha) sulla quale ho
proveduto ad eliminare il mapping fisso RID->UID e stiamo completando un
sistema di assegnamento automatico per i SID remoti

Su winNT il sistema utilizza i SID Security ID al posto dei uid/gid
usati in unix e i SID identificano utenti e gruppi indifferentemente (e
altro tipo everyone, authenticated user, e altro ancora).

Il SID utente è composto da Domain SID + RID (Relative ID), il nome
dell'utente non ha alcuna importanza, quello che conta è solo il SID!
(infatti gli utenti si possono rinominare tranquillamente senza nessun
problema)

Inoltre alcontrario di unix, i SID sono "universali" ovvero in teoria
non dovresti trovare due SID uguali su tutto il pianeta, mentre gli
uid/gid in unix sono solo locali.

Ora per semplicità in samba 2.0.x abbiamo utilizzato un algoritmo che
mappava i RID pari come utenti e i dispari come gruppi. (RID =
(GID+1000)*2 +1 , RID = (UID+1000)*2 o viceversa non ricordo bene)

Ovviamente questo impedisce di portare correttamente SID da un dominio
MSwin esistente perchè utenti e gruppi possono essere sia pari che
dispari.

Per ora ti consiglio di non conservare il SID vecchio di dominio ma di
crearne uno nuovo e poi convertire i profili e i file degli utenti.

Per ovviare comunque puoi fare questa semplice operazione, vai sulla
macchina NT e apri la gestione dei profili trovi una lista, prendi
quello precedente (dovresti vederlo come unknown user) e digli di
cambiare tutti i permessi con quelli dell'utente nuovo (avendo cambiato
il SID è di fatto un utente nuovo), scusa l'approssimazione della
spiegazione ma ho fatto quet'operazione orami diversi anni fa su NT e
non ricordo bene i dettagli, ma ricordo distinatmente una finestrella
che indica tutti i profile utente attualmente salvati sulla macchina
(aspetta a disattivare il caching quindi). ...purtroppo non trovo cosa
analoga su w2k, forse con Security Administration Tools ...

e ricorda che anche i file che hanno delle ACL specifiche per utenti o
gruppi di domino sulle varie workstation vanno cambiati, pena
l'inaccessibilità ai nuovi utenti, questo è il motivo per cui non puoi
accedere alle vecchie directori e te ne crea di nuove con suffiso .001,
.022 ecc..

Se hai domande aggiuntive ti invito a scrivere sulla ml di supporto
degli utenti: samba@samba.org

Simo.

On Wed, 2002-08-07 at 03:24, Tom wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Ciao a tutti!
> 
> Sto preparando la migrazione di un dominio NT (con primary e backup) a Samba
> 2.2.5. I client sono dei win9x e win2000. Come sapete, creare un pdc usando
> samba è facile....ma migrare in maniera trasparente un pdc nt esistente no!
> I problemi sono essenzialmente dovuti al fatto che, per ogni macchina
>  NT/2000, sul pdc samba deve essere presente un account macchina. Bene, ho
>  trovato il modo di estrarre il SAM (database degli utenti di NT) tramite
>  pwdump, e con un semplice script riesco a ricreare tutti gli utenti in
>  samba. A questo punto, tutte le macchine 9x sono migrate, e gli utenti non
>  si accorgono di nulla. Quando però si parla dei client 2000.... Con pwdump
>  non si riescono a estrarre i dati dei machine account, ci vuole pwdump2.
>  Devo poi estrarre il cosiddetto domain sid, identificatore univoco del
>  dominio, e dire a samba di usare quello quando diventa pdc (lo si può
>  estrarre con psgetsid, e diventa il file MACHINE.SID). Ho provato ad
>  inserire questi dati nel file smbpasswd, e ottengo che le macchine si
>  connettono, ma poi non recuperano i profili locali degli utenti: in pratica, 
> quando mi connetto al dominio XYZ con l'utente pippo, win2000 crea una 
> directory c:\documents and settings\pippo, in cui sono salvate le 
> inpostazioni dell'utente. Dopo la migrazione, mi viene creata una nuova dir 
> c:\documents and settings\pippo.XYZ, e quindi perdo il profilo originale. 
> Sembra quasi che non riconosca che il dominio è lo stesso (ma in fase di 
> logon non ha problemi). In più, le modifiche fatte su questo nuovo profilo 
> non vengono salvate. Ah, per essere certo di non avere casini, ho 
> disabilitato il caching delle credenziali in win2000.
> Qualcuno ha avuto esperienze a riguardo?
> Grazie...
> 
> 
> - - --
> - - -------------------------------------
> Dido
> 
> PGP Public Key
> http://web.tiscali.it/di_do/dido.asc
> - - -------------------------------------
> - -
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.0.6 (GNU/Linux)
> Comment: For info see http://www.gnupg.org
> 
> iD8DBQE9UHbWQe/GGXXd6zQRAiKaAKDSp82FPDL3mDu3L6lSTpgPTERgEgCgs6h2
> dLCcoOK02iBte5w/7kvXX08=
> =5Zp5
> -----END PGP SIGNATURE-----
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
-- 
Simo Sorce - simo.sorce@xsec.it
Xsec s.r.l.
via Durando 10 Ed. G - 20158 - Milano
tel. +39 02 2399 7130 - fax: +39 02 700 442 399

This is a digitally signed message part