Discussione:
[Linuxtrent] ssh active directory e cambio password al successivo login
Enrico
2015-11-06 22:40:13 UTC
Permalink
Ho tirato su un paio di scatolotti.
Uno funziona da Active Directory con Samba4
L'altro da server LTSP.
Sia il server ltsp che i client sono stati uniti al domain controller mediante
join.
L'autenticazione funziona perfettamente sia sul server che sui client LTSP, su
questi ultimi a condizione che l'utente non abbia impostato il cambio della
password al successivo login.
Facendo delle prove con ssh, ho notato che, nel caso in cui l'utente che tenta
di collegarsi debba cambiare la password al successivo login, winbind si
impalla.
Da top trovo un processo winbindd che consuma tutta la cpu e manda in freeze
la macchina se non killato entro breve.
Dai logs risulta:
Nov 6 23:25:48 ltsp sshd[1146]: pam_krb5(sshd:auth): authentication failure;
logname=rpizzicannella uid=0 euid=0 tty=ssh ruser=
rhost=gate.int.epdavvocati.locale
Nov 6 23:25:48 ltsp sshd[1146]: pam_unix(sshd:auth): authentication failure;
logname= uid=0 euid=0 tty=ssh ruser= rhost=gate.int.epdavvocati.locale
user=rpizzicannella
Nov 6 23:25:48 ltsp sshd[1146]: pam_winbind(sshd:auth): getting password
(0x00000388)
Nov 6 23:25:48 ltsp sshd[1146]: pam_winbind(sshd:auth): pam_get_item returned
a password

E' normale che ssh non riesca a gestire il cambio della password dopo il
login, ovvero non riesca ad autenticare con una password che deve essere
cambiata?

LDM usa ssh. E' possibile usare qualcos'altro, tipo XDMCP?

Grazie

Enrico
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
"Marco Ciampa" (Redacted sender "ciampix" for DMARC)
2015-11-07 08:52:58 UTC
Permalink
Post by Enrico
Ho tirato su un paio di scatolotti.
Uno funziona da Active Directory con Samba4
L'altro da server LTSP.
Sia il server ltsp che i client sono stati uniti al domain controller mediante
join.
Sono molto interessato a come hai fatto ambedue, mi puoi dire che guida
hai seguito così ci provo anche io e vedo se mi salta fuori il tuo stesso
errore?

Grazie!

--


Marco Ciampa

I know a joke about UDP, but you might not get it.

+------------------------+
| GNU/Linux User #78271 |
| FSFE fellow #364 |
+------------------------+
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-07 16:05:12 UTC
Permalink
Post by "Marco Ciampa" (Redacted sender "ciampix" for DMARC)
Post by Enrico
Ho tirato su un paio di scatolotti.
Uno funziona da Active Directory con Samba4
L'altro da server LTSP.
Sia il server ltsp che i client sono stati uniti al domain controller
mediante join.
Sono molto interessato a come hai fatto ambedue, mi puoi dire che guida
hai seguito così ci provo anche io e vedo se mi salta fuori il tuo stesso
errore?
Grazie!
--
Marco Ciampa
Di guide ne ho lette diverse. Mi sono basato fondamentalmente sul samba wiki

Ti riassumo brevemente quel che ho fatto

SERVER AD
Ho installato samba smbclient cups
Ho aggiunto poi heimdal-clients, perché mi sembra di ricordare che samba4 non
usa il kerberos MIT, ma Heimdal

l'installazione di samba4 crea un file /etc/samba/smb.conf, che io ho
rinominato in /etc/samba/smb.conf.orig, altrimenti non si riesce a fare il
provisioning

Per fare il provisioning ho utilizzato
# samba-tool domain provision --use-rfc2307 --use-xattrs=yes --interactive
Come dns ho usato quello interno di samba. Ho fatto pure una prova con bind,
ma secondo me se non si hanno particolari esigenze non ne vale la pena
Durante il provisioning gli devi dire di usare un forwarder dns per gli
indirizzi che samba non concosce, sia che siano esterni, sia della tua rete ma
eventualmente posti in un'altra zona.

Ho modificato /etc/ntp.conf, come da guida archlinux
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_domain_controller,
aggiungendo
# Location of the update directory
ntpsigndsocket /var/lib/samba/ntp_signd/

e

# Restrictions
restrict default kod limited nomodify notrap nopeer mssntp

Ho creato /var/lib/ntp/samba/ntp_signd e settato i permessi:
# install -d /var/lib/samba/ntp_signd
# chown root:ntp /var/lib/samba/ntp_signd
# chmod 0750 /var/lib/samba/ntp_signd

Infine, ho dovuto riavviare la macchina, altrimenti samba dava sempre errori e
non accettava connessioni.

Ho scoperto che il dns samba non ha di default la reverse-zone, al che l'ho
generata io
# samba-tool dns zonecreate ad.epdavvocati.locale 0.168.192.in-addr.arpa -U
Administrator

Così già funziona.
Se Ti interessa Ti dico pure la parte sul dhcp e l'aggiornamento dinamico del
dns.


SERVER LTSP

Prima ho provato che tutto funzionasse con una normale macchina, sulla quale
ho installato X, kde e le altre applicazioni a me necessarie.
Ho inoltre installato samba smbclient heimdal-clients winbind libnss-winbind
libpam-winbind libpam-heimdal
Questo il mio smb.conf

[global]
security = ads
realm = INT.PDAVVOCATI.LOCAL
password server = 192.168.0.253
workgroup = EPDAVVOCATI
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0

Ho modificato /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat

ed ho aggiunto a /etc/pam.d/common-session questa riga:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

A questo punto ho fatto il join della macchina nel dominio
# net ads join -U Administrator

Fatto il join ho testato che la macchina linux avesse accesso alle utenze
active directory
# getent passwd
# getent group

Sul server LTSP, come già detto, tutto funziona perfettamente.
Ci si autentica, si cambia la password, si riceve il messaggio che è
necessario cambiare la password al primo login se così impostato sia da shell
che da kde.

L'unico problema sta nell'uso di ssh e, quindi, per i clients ltsp.
In tal caso, non mi è stato possibile impostare il cambio della password al
successivo login perché winbind genera un processo winbindd che sembra andare
in loop e succhia tutta la cpu.

ciao

Enrico
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Roberto Resoli
2015-11-07 10:16:23 UTC
Permalink
Su venerdì 6 novembre 2015 23:40:13 CET, Enrico ha scritto:
...
Post by Enrico
L'autenticazione funziona perfettamente sia sul server che sui
client LTSP, su
questi ultimi a condizione che l'utente non abbia impostato il
cambio della
password al successivo login.
Credo che Diaolin abbia qualcosa da dire sulla gestione del
cambio password sugli X login managers e anche in pam ;-)

rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Diaolin
2015-11-07 14:56:39 UTC
Permalink
Dico solo una cosa: va benissimo separare i processi ma almeno le implementazioni debbono tenere conto del cambio password. In una parola: merda!È un casino mostruoso e se qualcuno si chiede perché la gente comune non USA linux uno dei problemi Ú questo. Capite che se già alla prima password nascono problemi avremo un percorso sulle braci ardenti.
Post by Roberto Resoli
...
Post by Enrico
L'autenticazione funziona perfettamente sia sul server che sui client LTSP, su
questi ultimi a condizione che l'utente non abbia impostato il cambio della
password al successivo login.
Credo che Diaolin abbia qualcosa da dire sulla gestione del
cambio password sugli X login managers e anche in pam ;-)
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
--
Inviato dal mio dispositivo Android con K-9 Mail. Apprezzate la brevità.
azazel
2015-11-07 11:42:54 UTC
Permalink
Enrico> Ho tirato su un paio di scatolotti.
Enrico> Uno funziona da Active Directory con Samba4
Enrico> L'altro da server LTSP.
Enrico> Sia il server ltsp che i client sono stati uniti al domain controller mediante
Enrico> join.

A che serve avere samba sui client LTSP?

Enrico> L'autenticazione funziona perfettamente sia sul server che sui client LTSP, su
Enrico> questi ultimi a condizione che l'utente non abbia impostato il cambio della
Enrico> password al successivo login.

Enrico> LDM usa ssh. E' possibile usare qualcos'altro, tipo XDMCP?

L'SSH serve anche e soprattutto per le fasi successive al login:

- incapsulamento di default del traffico X;

- gestione dei block devices sul client

non credo ci sia nulla che utilizzi XDMCP per autorizzare le
funzionalità implementate in questo secondo punto.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-07 16:07:05 UTC
Permalink
Post by azazel
Enrico> Ho tirato su un paio di scatolotti.
Enrico> Uno funziona da Active Directory con Samba4
Enrico> L'altro da server LTSP.
Enrico> Sia il server ltsp che i client sono stati uniti al domain
controller mediante Enrico> join.
A che serve avere samba sui client LTSP?
Per l'autenticazione centralizzata con Active Directory
Post by azazel
Enrico> L'autenticazione funziona perfettamente sia sul server che sui
client LTSP, su Enrico> questi ultimi a condizione che l'utente non abbia
impostato il cambio della Enrico> password al successivo login.
Enrico> LDM usa ssh. E' possibile usare qualcos'altro, tipo XDMCP?
- incapsulamento di default del traffico X;
- gestione dei block devices sul client
non credo ci sia nulla che utilizzi XDMCP per autorizzare le
funzionalità implementate in questo secondo punto.
Pensi sia possibile fare il login senza passare per LDM e ssh?

Grazie

Enrico
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
azazel
2015-11-07 18:30:00 UTC
Permalink
Enrico> Ho tirato su un paio di scatolotti.
Enrico> Uno funziona da Active Directory con Samba4
Enrico> L'altro da server LTSP.
Enrico> Sia il server ltsp che i client sono stati uniti al domain
Post by azazel
controller mediante Enrico> join.
A che serve avere samba sui client LTSP?
Enrico> Per l'autenticazione centralizzata con Active Directory

autenticazione centralizzata per LTSP tra i due scatolotti? AD o samba4
non servono a nulla, ma magari mi sfugge qualcosa.

Comunque kerberos si può usare anche senza roba samba, e assolve
esattamente allo scopo della autenticazione centralizzata.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-07 19:07:23 UTC
Permalink
Post by azazel
Enrico> Ho tirato su un paio di scatolotti.
Enrico> Uno funziona da Active Directory con Samba4
Enrico> L'altro da server LTSP.
Enrico> Sia il server ltsp che i client sono stati uniti al domain
Post by azazel
controller mediante Enrico> join.
A che serve avere samba sui client LTSP?
Enrico> Per l'autenticazione centralizzata con Active Directory
autenticazione centralizzata per LTSP tra i due scatolotti? AD o samba4
non servono a nulla, ma magari mi sfugge qualcosa.
Con lo stesso username e la stessa password accedi al client ltsp, alla posta
elettronica, al proxy....
Post by azazel
Comunque kerberos si può usare anche senza roba samba, e assolve
esattamente allo scopo della autenticazione centralizzata.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Roberto Resoli
2015-11-07 19:22:04 UTC
Permalink
Post by Enrico
Post by azazel
autenticazione centralizzata per LTSP tra i due scatolotti? AD o samba4
Post by azazel
non servono a nulla, ma magari mi sfugge qualcosa.
Con lo stesso username e la stessa password accedi al client ltsp, alla posta
elettronica, al proxy....
Azazel voleva dire che puoi fare lo stesso, se non hai dipendenze dal
mondo MS, senza usare affatto nè AD nè Samba. M forse c'è altro oltre ai
due scatolotti nella tua rete?
Post by Enrico
Post by azazel
Post by azazel
Comunque kerberos si può usare anche senza roba samba, e assolve
esattamente allo scopo della autenticazione centralizzata.
Ecco.

rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-07 19:42:50 UTC
Permalink
Post by Roberto Resoli
Post by Enrico
Post by azazel
autenticazione centralizzata per LTSP tra i due scatolotti? AD o samba4
Post by azazel
non servono a nulla, ma magari mi sfugge qualcosa.
Con lo stesso username e la stessa password accedi al client ltsp, alla
posta elettronica, al proxy....
Azazel voleva dire che puoi fare lo stesso, se non hai dipendenze dal
mondo MS, senza usare affatto nè AD nè Samba. M forse c'è altro oltre ai
due scatolotti nella tua rete?
Nella mia rete c'è una (sola) macchina windows ed un paio di Mac.
Post by Roberto Resoli
Post by Enrico
Post by azazel
Post by azazel
Comunque kerberos si può usare anche senza roba samba, e assolve
esattamente allo scopo della autenticazione centralizzata.
Ecco.
Interessante. Qualch esempio?

Grazie

Enrico
Post by Roberto Resoli
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
azazel
2015-11-08 17:41:33 UTC
Permalink
Post by Roberto Resoli
Post by Enrico
Post by azazel
autenticazione centralizzata per LTSP tra i due scatolotti? AD o samba4
Post by azazel
non servono a nulla, ma magari mi sfugge qualcosa.
Con lo stesso username e la stessa password accedi al client ltsp, alla
posta elettronica, al proxy....
Azazel voleva dire che puoi fare lo stesso, se non hai dipendenze dal
mondo MS, senza usare affatto nè AD nè Samba. M forse c'è altro oltre ai
due scatolotti nella tua rete?
Enrico> Nella mia rete c'è una (sola) macchina windows ed un paio di Mac.
Post by Roberto Resoli
Post by Enrico
Post by azazel
Post by azazel
Comunque kerberos si può usare anche senza roba samba, e assolve
esattamente allo scopo della autenticazione centralizzata.
Ecco.
Enrico> Interessante. Qualch esempio?

Ho usato Heimdal ( https://www.h5l.org/ ) per l'autenticazione per anni
senza alcun problema. É lo stesso servizio kerberos incluso anche in
samba4.

Sul sito trovi istruzioni per l'autenticazione su macchine windows, che
non ho mai provato però.
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Mauro Colorio
2015-11-07 15:05:33 UTC
Permalink
non Ú che sei incappato in questo?

https://bugzilla.samba.org/show_bug.cgi?id=11038

ciao
Mauro
Enrico
2015-11-07 16:14:50 UTC
Permalink
non è che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
Si, proprio questo.
Leggo con attenzione.
Grazie
Enrico
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-07 19:09:24 UTC
Permalink
non è che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
In realtà non c'è alcun bug.
Abilitando ChallengeResponseAuthentication in /etc/ssh/sshd_config
ora è possibile cambiare la password al primo avvio anche da ssh.
Purtroppo non va con LDM.
Enrico
Enrico
2015-11-08 22:21:20 UTC
Permalink
Post by Enrico
non è che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
In realtà non c'è alcun bug.
Abilitando ChallengeResponseAuthentication in /etc/ssh/sshd_config
ora è possibile cambiare la password al primo avvio anche da ssh.
Purtroppo non va con LDM.
Enrico
Condivido i risultati finali, purtroppo non molto incoraggianti.
Dalle mie prove sembra che LDM non riesca a gestire il cambio della password.
In realtà, (ho fatto un solo tentativo e di fretta), anche kdm non riesce.
LDM mostra, sotto il campo password, quanto sta accadendo, quindi "new
password" e Repeat new password", ma passa la password che gli è stata fornita
la prima volta senza mostrare un nuovo campo ove inserire la nuova.

Ciao

Enrico
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Diaolin
2015-11-09 08:47:37 UTC
Permalink
Post by Enrico
Post by Enrico
non è che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
In realtà non c'è alcun bug.
Abilitando ChallengeResponseAuthentication in /etc/ssh/sshd_config
ora è possibile cambiare la password al primo avvio anche da ssh.
Purtroppo non va con LDM.
Enrico
Condivido i risultati finali, purtroppo non molto incoraggianti.
Dalle mie prove sembra che LDM non riesca a gestire il cambio della password.
In realtà, (ho fatto un solo tentativo e di fretta), anche kdm non riesce.
LDM mostra, sotto il campo password, quanto sta accadendo, quindi "new
password" e Repeat new password", ma passa la password che gli è stata fornita
la prima volta senza mostrare un nuovo campo ove inserire la nuova.
Nessuno riesce a farlo (se non locale)

Diaolin
--
Non è che non mi senta bene:
l'udito è perfetto!
[Diaolin]

Tel: 349 66 84 215
Skype: diaolin
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-09 21:45:17 UTC
Permalink
Post by Diaolin
Post by Enrico
Post by Enrico
non è che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
In realtà non c'è alcun bug.
Abilitando ChallengeResponseAuthentication in /etc/ssh/sshd_config
ora è possibile cambiare la password al primo avvio anche da ssh.
Purtroppo non va con LDM.
Enrico
Condivido i risultati finali, purtroppo non molto incoraggianti.
Dalle mie prove sembra che LDM non riesca a gestire il cambio della password.
In realtà, (ho fatto un solo tentativo e di fretta), anche kdm non riesce.
LDM mostra, sotto il campo password, quanto sta accadendo, quindi "new
password" e Repeat new password", ma passa la password che gli è stata fornita
la prima volta senza mostrare un nuovo campo ove inserire la nuova.
Nessuno riesce a farlo (se non locale)
Cosa intendi con "se non locale"?
Ti riferisci al login sul server ltsp?
Se è per questo kdm non funziona neanche sul server.
Al login mostra un messaggio che la password è scaduta, ma non offre la
possibilità di inserire la nuova e dà errore dicendo che la password è già
stata utilizzata, come se passasse sempre la stessa.
Comportamento del tutto analogo a ldm sul client.

Enrico
Post by Diaolin
Diaolin
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Diaolin
2015-11-10 09:09:21 UTC
Permalink
Pam per locale intendo pam locale
Post by Enrico
Post by Diaolin
Post by Enrico
Post by Mauro Colorio
non Ú che sei incappato in questo?
https://bugzilla.samba.org/show_bug.cgi?id=11038
ciao
Mauro
In realtà non c'Ú alcun bug.
Abilitando ChallengeResponseAuthentication in /etc/ssh/sshd_config
ora Ú possibile cambiare la password al primo avvio anche da ssh.
Purtroppo non va con LDM.
Enrico
Condivido i risultati finali, purtroppo non molto incoraggianti.
Dalle mie prove sembra che LDM non riesca a gestire il cambio della password.
In realtà, (ho fatto un solo tentativo e di fretta), anche kdm non
riesce.
LDM mostra, sotto il campo password, quanto sta accadendo, quindi
"new
Post by Diaolin
Post by Enrico
password" e Repeat new password", ma passa la password che gli Ú
stata
Post by Diaolin
Post by Enrico
fornita
la prima volta senza mostrare un nuovo campo ove inserire la nuova.
Nessuno riesce a farlo (se non locale)
Cosa intendi con "se non locale"?
Ti riferisci al login sul server ltsp?
Se Ú per questo kdm non funziona neanche sul server.
Al login mostra un messaggio che la password Ú scaduta, ma non offre la
possibilità di inserire la nuova e dà errore dicendo che la password Ú
già
stata utilizzata, come se passasse sempre la stessa.
Comportamento del tutto analogo a ldm sul client.
Enrico
Post by Diaolin
Diaolin
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
--
Inviato dal mio dispositivo Android con K-9 Mail. Apprezzate la brevità.
Roberto Resoli
2015-11-12 13:25:18 UTC
Permalink
Il 12/11/2015 11:37, Daniele Piccoli ha scritto:
...
Il problema si presenta solo con il login grafico, nel mio caso kdm.
Certo infatti era questo il problema
E ritieni che per un utente "normale" questo NON sia un problema?
Diciamo pure che per l'utente "normale" il PROBLEMA è cambiare la
password, indipendentemente dall' ambiente utilizzato...
Secondo me non è un problema dell'utente. Non deve essere l'utente a
decidere se e quando cambiare la password. E' un problema di chi
gestisce la sicurezza dell'infrastruttura.

Il problema *grosso* è che questo non è a quanto pare implementabile con
gli strumenti a livello utente attuali, su Linux (almeno sui Linux che
conosciamo io e Diaolin).
La mia non è una proposta seria ma un bel "password never expires"
risolvere i problemi e fa felici gli utenti...poi si sà...non dovebbe
essere cosi.
E' una soluzione sbagliata, perchè compromette la sicurezza degli utenti
e della rete (e, en passant, è pure illegale, se lavori in un ente publlico)
Resta pur sempre il problema del 1° cambio password di un account appena
creato...
Il "solo con il login grafico" per la maggior parte dei casi è
tutto l'universo informatico.
E non dovrebbe esserlo?
Esattamente.
Diaolin
Daniele
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Daniele Piccoli
2015-11-12 18:37:05 UTC
Permalink
Post by Roberto Resoli
Secondo me non è un problema dell'utente. Non deve essere l'utente a
decidere se e quando cambiare la password. E' un problema di chi
gestisce la sicurezza dell'infrastruttura.
Non è un problema per l'utente normale ma per l'utente "normale".
Ok, se vogliamo metterla in vacca mi va anche bene
ma la questione resta.
No no, la finisco qui anche se il problema resta, come giustamente dici.
Ti garantisco che se prepari un attrezzo per entrare con password
in una biblioteca dove gli utenti vanno e vengono e sono migliaia
le tue convinzioni saranno semplicemente piallate dai fatti.
"Fine da parte mia, rifiuto di proseguire perché il tono della
discussione si sta piegando verso chi ce l'ha più duro mentre
io sono della vecchia scuola e sto dalla parte di chi me la da"
:-)
LOL
Sportivamente, Diaolin
Daniele
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Roberto Resoli
2015-11-12 14:52:16 UTC
Permalink
Post by Roberto Resoli
Secondo me non è un problema dell'utente. Non deve essere l'utente a
Post by Roberto Resoli
decidere se e quando cambiare la password. E' un problema di chi
gestisce la sicurezza dell'infrastruttura.
Non è un problema per l'utente normale ma per l'utente "normale".
Ti chiedono se possono cambiarla quando gli hai fatto notare che forse
qualcuno la sta usando..altrimenti è solo una scocciatura!! Da me così
funziona!!
Post by Roberto Resoli
Post by Roberto Resoli
Il problema*grosso* è che questo non è a quanto pare implementabile con
gli strumenti a livello utente attuali, su Linux (almeno sui Linux che
conosciamo io e Diaolin).
Beh, escludiamo migrazioni a client linux allora, perchè questo problema
è bloccante!!
Infatti, sarebbe una ragione molto forte contro installazioni estensive
di Desktop Linux.

Ma fortunatamente il sw libero ti permette di sviluppare il lato
creativo della tua mente :-)

In biblioteca a TN il problema è stato bypassato, e ogni utente ha la
sua pass che scade regolarmente. Ma è stato necessario reimplementare il
login per altra via.

Sul resto taccio.

rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Daniele Piccoli
2015-11-12 18:37:41 UTC
Permalink
Post by Roberto Resoli
Post by Roberto Resoli
Secondo me non è un problema dell'utente. Non deve essere l'utente a
Post by Roberto Resoli
decidere se e quando cambiare la password. E' un problema di chi
gestisce la sicurezza dell'infrastruttura.
Non è un problema per l'utente normale ma per l'utente "normale".
Ti chiedono se possono cambiarla quando gli hai fatto notare che forse
qualcuno la sta usando..altrimenti è solo una scocciatura!! Da me così
funziona!!
Post by Roberto Resoli
Post by Roberto Resoli
Il problema*grosso* è che questo non è a quanto pare implementabile
con
Post by Roberto Resoli
gli strumenti a livello utente attuali, su Linux (almeno sui Linux che
conosciamo io e Diaolin).
Beh, escludiamo migrazioni a client linux allora, perchè questo problema
è bloccante!!
Infatti, sarebbe una ragione molto forte contro installazioni estensive
di Desktop Linux.
Ma fortunatamente il sw libero ti permette di sviluppare il lato
creativo della tua mente :-)
In biblioteca a TN il problema è stato bypassato, e ogni utente ha la
sua pass che scade regolarmente. Ma è stato necessario reimplementare il
login per altra via.
Ok, grazie per le info.
Post by Roberto Resoli
Sul resto taccio.
rob
Daniele
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Enrico
2015-11-12 21:53:59 UTC
Permalink
Post by Roberto Resoli
Secondo me non è un problema dell'utente. Non deve essere l'utente a
Post by Roberto Resoli
decidere se e quando cambiare la password. E' un problema di chi
gestisce la sicurezza dell'infrastruttura.
Non è un problema per l'utente normale ma per l'utente "normale".
Ti chiedono se possono cambiarla quando gli hai fatto notare che forse
qualcuno la sta usando..altrimenti è solo una scocciatura!! Da me così
funziona!!
Post by Roberto Resoli
Post by Roberto Resoli
Il problema*grosso* è che questo non è a quanto pare implementabile con
gli strumenti a livello utente attuali, su Linux (almeno sui Linux che
conosciamo io e Diaolin).
Beh, escludiamo migrazioni a client linux allora, perchè questo problema
è bloccante!!
Infatti, sarebbe una ragione molto forte contro installazioni estensive di Desktop Linux.
Ma fortunatamente il sw libero ti permette di sviluppare il lato creativo della tua mente :-)
In biblioteca a TN il problema è stato bypassato, e ogni utente ha la sua pass che scade regolarmente. Ma è stato necessario reimplementare il login per altra via.
Quale?
E.
Sul resto taccio.
rob
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Roberto Resoli
2015-11-13 07:56:45 UTC
Permalink
Su giovedì 12 novembre 2015 22:53:59 CET, Enrico ha scritto:
...
Post by Enrico
Post by Roberto Resoli
In biblioteca a TN il problema è stato bypassato, e ogni
utente ha la sua pass che scade regolarmente. Ma è stato
necessario reimplementare il login per altra via.
Quale?
E.
Una soluzione molto particolare, sfruttando il fatto che le sessioni utente
in bibliotecaria durano una mezzoretta e sono 'a perdere'.

Gli utenti entrano come guest, e lightdm é configurato per lanciare un
client scritto in perltk che si interfaccia direttamente con il server
kattive[1] e implementa la schermata di login.

rob
[1] http://www.kattive.it/
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-***@freelists.org
Loading...