cambiamento SSID su dominio già creato

[Ludovico Romano]

Salve a tutti,

domanda:

Se ho già creato un dominio windows in un server con isi-setup,

e ora volessi cambiargli il SSID per uniformarlo a quello di un altro server isi (il vecchio server attualmente utilizzato),

posso utilizzare isi-domain, dopo aver trasferito i file /etc/samba/domain.SID e  /etc/samba/pdc.SID dal vecchio al nuovo?

(capisco bene che se lo avessi fatto subito, prima di isi-setup, sarebbe stato più facile...)

Il fine è poi quello trasferire anche gli utenti con isi-slapd-reload e rimpiazzare il vecchio server con il nuovo.

I due server hanno attualmente diverso IP.

grazie per l'attenzione.

[Alessandro Dentella]

On Fri, Dec 14, 2012 at 01:30:35AM -0800, Ludovico Romano wrote:
> Salve a tutti,
> domanda:

> Se ho gi creato un dominio windows in un server con isi-setup,

> e ora volessi cambiargli il SSID per uniformarlo a quello di un altro server
> isi (il vecchio server attualmente utilizzato),
> posso utilizzare isi-domain, dopo aver trasferito i file /etc/samba/

> domain.SID e /etc/samba/pdc.SID dal vecchio al nuovo?

> (capisco bene che se lo avessi fatto subito, prima di isi-setup, sarebbe stato

> pi facile...)
> Il fine poi quello trasferire anche gli utenti con isi-slapd-reload

> e rimpiazzare il vecchio server con il nuovo.
> I due server hanno attualmente diverso IP.
> grazie per l'attenzione.

Quando usi isi-slapd-reload del .ldiff del vecchio server, tutti i sid
vengno trasferiti, quindi isi-domain non serve pi� *per ldap*.

Io uso comunque isi-domain ma per tutte le altre configurazioni
accessorie, non per la parte di ldap.


sandro
*:-)


--
Sandro Dentella *:-)
http://www.reteisi.org Soluzioni libere per le scuole
http://sqlkit.argolinux.org SQLkit home page - PyGTK/python/sqlalchemy

[Ludovico Romano]

ho caricato il vecchio database con

isi-slapd-reload -l backup-db.ldif -R

che mi ha restituito

/tmp/ldap.fF3G3a/slapd.conf: line 62: rootdn is always granted unlimited privileges.

/tmp/ldap.fF3G3a/slapd.conf: line 68: rootdn is always granted unlimited privileges.

.#################### 100.00% eta   none elapsed             08s spd  43.0 k/s 

Closing DB...

Stopping OpenLDAP: slapd.

Starting OpenLDAP: slapd.

2008

2034

ma i file 

/etc/samba/domain.SID

 ed  

/etc/samba/pdc.SID
non sono stati toccati.

il SID del vecchio server è diverso da quelli del nuovo.

 
Il giorno venerdì 14 dicembre 2012 10:48:21 UTC+1, sandro dentella ha scritto:

On Fri, Dec 14, 2012 at 01:30:35AM -0800, Ludovico Romano wrote:
> Salve a tutti,
> domanda:
> Se ho gi  creato un dominio windows in un server con isi-setup,
> e ora volessi cambiargli il SSID per uniformarlo a quello di un altro server
> isi (il vecchio server attualmente utilizzato),
> posso utilizzare isi-domain, dopo aver trasferito i file /etc/samba/ 
> domain.SID e  /etc/samba/pdc.SID dal vecchio al nuovo?
> (capisco bene che se lo avessi fatto subito, prima di isi-setup, sarebbe stato
> pi  facile...)
> Il fine   poi quello trasferire anche gli utenti con isi-slapd-reload
> e rimpiazzare il vecchio server con il nuovo.
> I due server hanno attualmente diverso IP.
> grazie per l'attenzione.


Quando usi isi-slapd-reload del .ldiff del vecchio server, tutti i sid

vengno trasferiti, quindi isi-domain non serve pi� *per ldap*.

[Alessandro Dentella]

On Fri, Dec 14, 2012 at 04:14:05AM -0800, Ludovico Romano wrote:
> ho caricato il vecchio database con
> isi-slapd-reload -l backup-db.ldif -R
> che mi ha restituito
> /tmp/ldap.fF3G3a/slapd.conf: line 62: rootdn is always granted unlimited
> privileges.
> /tmp/ldap.fF3G3a/slapd.conf: line 68: rootdn is always granted unlimited
> privileges.
> .#################### 100.00% eta none elapsed 08s spd 43.0 k/s
> Closing DB...
> Stopping OpenLDAP: slapd.
> Starting OpenLDAP: slapd.
> 2008
> 2034
> ma i file
> /etc/samba/domain.SID
> ed
> /etc/samba/pdc.SID
> non sono stati toccati.

> il SID del vecchio server diverso da quelli del nuovo.


isi-slapd-relaod non tocca domain.SID o pdc.SID. Quelli li puoi copiare a
mano. La mia comprensione della cosa � limitata e comunque sono convinto che
non sia necessario mantenere il SID del server ma quello del *dominio*.

isi-domain in ogni caso si sforsa di mantenere il SID anche del pdc, quindi
le sequenza che io avrei fatto (e sei sempre in tempo a fare) �:

* copi i *SID
* isi-domain
* isi-slapd-reload

sandro
*:-)

[Ludovico Romano]

forse non mi ero spiegato bene, ma è quello che avevo intenzione di fare...ora riprovo

 * copi i *SID 
  * isi-domain 
  * isi-slapd-reload 

grazie

ps. appena posso, previa autorizzazione preside ed aver capito qual'è il codice meccanografico della scuola, seguirò la procedura di affiliazione della scuola al progetto...promesso, anzi scusate...ma ancora non avevo la certezza che evolvesse positivamente il tentativo fatto...

ma bando alle ciance provo la procedura e vi faccio sapere.

Il giorno venerdì 14 dicembre 2012 14:42:20 UTC+1, sandro dentella ha scritto:

On Fri, Dec 14, 2012 at 04:14:05AM -0800, Ludovico Romano wrote:
> ho caricato il vecchio database con
> isi-slapd-reload -l backup-db.ldif -R
> che mi ha restituito
> /tmp/ldap.fF3G3a/slapd.conf: line 62: rootdn is always granted unlimited
> privileges.
> /tmp/ldap.fF3G3a/slapd.conf: line 68: rootdn is always granted unlimited
> privileges.
> .#################### 100.00% eta   none elapsed             08s spd  43.0 k/s
> Closing DB...
> Stopping OpenLDAP: slapd.
> Starting OpenLDAP: slapd.
> 2008
> 2034
> ma i file
> /etc/samba/domain.SID
>  ed  
> /etc/samba/pdc.SID
> non sono stati toccati.
> il SID del vecchio server   diverso da quelli del nuovo.


isi-slapd-relaod non tocca domain.SID o pdc.SID. Quelli li puoi copiare a

mano. La mia comprensione della cosa � limitata e comunque sono convinto che

non sia necessario mantenere il SID del server ma quello del *dominio*.

isi-domain in ogni caso si sforsa di mantenere il SID anche del pdc, quindi

le sequenza che io avrei fatto (e sei sempre in tempo a fare) �:

[Ludovico Romano]

la procedura è andata bene

funziona perfettamente la parte dei domini windows, join e shares.

invece la parte ltsp ha dei problemi: quando tento il login dai client diskless, dopo aver dato utente e password, mi richiede "enter login(LDAP) password"(se gli do la password di ldap non risolvo). il login con gli utenti non ldap invece funzionano.

tutto sommato, comunque, bene.

adesso cerco di capire meglio il problema...

[Ludovico Romano]

ho syncronizzato le home ed ora funziona anche ltsp.

bene.

"enter login(LDAP) password" sarà mica un problema legato al file .Xauthority nelle home degli utenti? o altro?

[Ludovico Romano]

sembra che sia problematico solo l'utente administrator: 

 quando tento il login dai client diskless ltsp, dopo aver dato utente e password, mi richiede "enter login(LDAP) password"(se gli do la password di ldap non risolvo).

il login con gli altri utenti ldap e non invece funzionano.

[Ludovico Romano]

controllando sui client il log di ldm (/var/log/ldm.log) vedo che quando tento di loggarmi come administrator risponde:

expect saw:Warning your passw has expired.

you must change your password now and login again

expect saw: Enter login(LDAP) passwd:

..........che è quello mi compare dopo il login, e poi.......

no response, restarting

??

[Ludovico Romano]

e ancora

loggandomi direttamente da terminale con utente administrator

$su administrator

Password: xxxxxxx

È necessario cambiare immediatamente la propria password (password scaduta)

Enter login(LDAP) password: xxxxxx 

su: Impossibile ripristinare informazioni di autenticazione

[Ludovico Romano]

ribadisco che dal lato windows non presenta questo problema:tutto funziona regolarmente(quello che ho testato)

ed inoltre l'utente administrator non sembra avere scadenza della password

#isi-tools -W admins

---------------------------------------------------------------------------

POLITICHE DI DOMINIO

    scadenza password (giorni) = -1

       n.password da ricordare = 0

     lunghezza minima password = 5

---------------------------------------------------------------------------

UserId          PwdLastSet      PwdExpiration [days] PwdCanChange

---------------------------------------------------------------------------

administrator   2012-12-14      Never                 Now

system          2012-09-25      Never                 Now

apt             2012-09-03      Never                 Now

---------------------------------------------------------------------------

e con l'utente apt(quello per l'accesso preferenziale al proxy) non ci sono questi problemi di login, come con tutti gli altri utenti.

Devo sottolineare che administrator era un utente già presente in ldap(creato da isi-setup) prima di aver caricato l' ldif degli utenti del vecchi server, mentre gli altri no. Starà qua il problema? che cosa fa isi-slap-reload -R  agli utenti preesistenti? e ad administrator? 

[Massimo Mancini]

Io proverei questo:

1. accedi come root
2. isi-passwd administrator
3. ridai ad administrator la stessa password che ha già.

max
(-:

[Ludovico Romano]

funziona...grazie