[gilug.org] clients linux server AD w2k3

Narcis Garcia - GiLUG informatica actiu net
2007-09-18 10:44:56 UTC


La lògica dels dominis Microsoft és la següent:

El servidor PDC manté un directori d'usuaris de tot el domini, i cada 
PC-client té de forma independent el seu propi directori d'usuaris local.
Quan un PC-client s'uneix al domini Microsoft (perquè hi és acceptat), 
manté el seu directori local d'usuaris i addicionalment adopta com a bo 
el directori d'usuaris del domini. Contràriament, el servidor PDC no 
reconeix el directori particular d'usuaris de cada PC-client, sinó que 
només treballa basant-se en la informació central i comuna.

Quan inicies una sessió d'usuari amb un PC-client, ho pots fer de dues 
maneres: validant les credencials al directrori local (sessió local) o 
validant-les al directori del domini/servidor (sessió en el domini).

Si inicies una sessió local (el què fins ara sempre deus haver fet), el 
teu PC et reconeixerà tots els drets per als recursos locals, però cap 
altre ordinador de la xarxa (el servidor tampoc) no té perquè reconeixer 
la teva sessió com a legítima a l'Active Directory (domini MS), és d 
dir, com si fossis un intrús.

Si inicies una sessió del domini (és el què hauries d'aconseguir), tot 
el què facis durant la sessió d'usuari comptarà amb els privilegis 
atorgats pel servidor PDC, els quals convé que reconegui el teu PC 
local. És com si el teu ordinador renunciés al seu directori i permisos 
i assumís com a bons els de Microsoft.
Per això, quan intentis accedir a una impressora o carpeta de documents 
de la xarxa dominada per Microsoft, o bé se t'obriran totes les portes 
per haver-te acreditat amb una sessió del domini, o bé et demanarà 
credencials cada vegada.

Narcís Garcia


En/na David Casals ha escrit:
> Hola a tots.
> 
> Algun dia aconseguiré que el sistema em funcioni perfecte :-p
> 
> Faig un petit resum per no anar a buscar tots els mails anteriors.
> 
> He posat el meu Ubuntu 7.04 com a client d'un Active Directory.
> 
> El problema be amb intentar sincronitzar els grups del linux amb els de 
> l'AD.
> 
> Si creo a l'AD els grups que tinc en linux com que no tenen el mateix 
> GID m'els reconeix com a grups diferents.
> 
> Al fitxer /etc/group no puc posar com a usuari d'aquell grup un altre 
> grup. M'explico.
> 
> He creat a l'AD un grup d'usuaris, on el meu usuari en forma part, un 
> grup anomenat linux.
> He intentat modificar el /etc/group i afegir-hi el grup d'usuaris de 
> l'AD però aquest fitxer (que jo sàpiga) només accepta usuaris i no grups
> 
> Exemple (tros del fitxer /etc/group)
> video:x:44:dcf,linux
> sasl:x:45:
> plugdev:x:46:haldaemon,dcf,linux
> admin:x:117:dcf,linux
> 
> 
> La solució que em donen a 
> https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto no m'hes 
> viable ja que em diuen que vagi apuntant el nom dels usuaris al fitxer 
> /etc/group, però això no ho veig practic per a gestionar un grup 
> relativament voluminos d'usuaris i d'equips.
> 
> A algú se li acudeix alguna altre solució?
> 
> Atentament
> David Casals
> hakd0c
> 
> 
> _______________________________________________
> Llista del GiLUG
> 
> http://gilug.org/cgi-bin/mailman/listinfo/llista
> * Tots els missatges queden publicats a:
> http://gilug.org/pipermail/llista/



Més informació sobre la llista de correu gilug