Eines de l'usuari

Eines del lloc


informatica:xarxes:recursos_xarxa:ldapsam

El BACKEND de SAMBA

“Apuntar també que el “backend” que utilitza el samba és ldapsam i fàcilment podem acabar amb informació errònia dins del directori.”

Del propi fitxer de configuració del samba a /etc/samba/smb.conf hom hi pot trobar una entrada

passdb backend = ldapsam:ldap://localhost smbpasswd

podríem dir que el backend s'encarrega de processar la informació relativa als comptes d'usuaris samba, històricament el backend més utilitzat era smbpasswd, un fitxer /etc/samba/smbpasswd de text ASCII que guardava encriptats els passwords dels usuaris i alguna informació addicional, avui dia encara és operatiu tot i que en el model d'aula Linkat no te massa sentit, de fet si us hi fixeu encara consta a l'entrada reproduïda més a munt però buscant una mica ben aviat trobarem alguna advertència com:

WARNING: Your 'passdb backend' configuration includes multiple backends. This is deprecated since Samba 3.0.23. Please check WHATSNEW.txt or the section 'Passdb Changes' from the ChangeNotes as part of the Samba HOWTO collection. Only the first backend (ldapsam:ldap://localhost) is used. The rest is ignored.

És a dir nosaltres guardem la informació emprant el backend ldapsam, per interactuar-hi ho podem fer emprant les comandes mbpasswd, pdbedit i també atacant directament el directori LDAP.

Per exemple, amb un usuari LDAP anomenat linkat

servidor:~ # pdbedit -Lv linkat
WARNING: Your 'passdb backend' configuration includes multiple backends. This is deprecated since Samba 3.0.23. Please check WHATSNEW.txt or the section 'Passdb Changes' from the ChangeNotes as part of the Samba HOWTO collection. Only the first backend (ldapsam:ldap://localhost) is used. The rest is ignored.
Unix username: linkat
NT username: linkat
Account Flags: [U ]
User SID: S-1-5-21-4201671962-3771041050-1327949543-3004
Primary Group SID: S-1-5-21-311025584-1830172379-1938192541-513
Full Name: Usuari Linkat
Home Directory: \servidor\linkat\.9xprofile
HomeDir Drive: P:
Logon Script:
Profile Path: \servidor\profiles\.msprofile
Domain: SERVIDOR
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: never
Kickoff time: never
Password last set: dg, 28 feb 2010 13:08:49 CET
Password can change: dg, 28 feb 2010 13:08:49 CET
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

la informació recuperada com a root, requisit per emprar el pdbedit, està emmagatzemada al directori LDAP, per exemple si busquem el SID de l'usuari linkat que ens ha retornat abans el pdbedit

servidor:~ # ldapsearch -x | grep S-1-5-21-4201671962-3771041050-1327949543-3004
sambaSID: S-1-5-21-4201671962-3771041050-1327949543-3004

amb lo que podem constatar que, efectivament, la informació que gestiona i modifica pdbedit hi està emmagatzemada.

Quan dic que podem acabar amb informació errònia al directori em refereixo al fet de que si potinegem molt canviant noms de domini i netbios del servidor linkat ens podem trobar amb coses com:

servidor:~ # ldapsearch -x | grep Domain
dn: sambaDomainName=INTRAFART,dc=intracentre
sambaDomainName: INTRAFART
objectClass: sambaDomain
dn: sambaDomainName=SERVIDOR,dc=intracentre
sambaDomainName: SERVIDOR
objectClass: sambaDomain

amb el consequent sidral a l'hora de quadrar dominis, màquines i usuaris.

informatica/xarxes/recursos_xarxa/ldapsam.txt · Darrera modificació: 2019/11/24 23:34 (edició externa)