Un server linux, connesso ad un domino WINDOWS (il cui controllore di dominio è un Windows SERVER), è in grado di partecipare al dominio come un membro dello stesso.
Aggiungere una nuova macchina ad un dominio è come aggiungere un nuovo utente, la cosa interessante è che prima in istanza tale macchina o utente deve essere creata sul controllore di dominio.
Samba 3.0 e Windows NT domain 4.0 usano il meccanismo di RPC (Remote procedure Call) per comunicare. In particolare tramite questo canale i due server possono traferirsi informazioni sicure, permettendo al controllore di dominio windows di accettare la richiesta di aggiuntaa dominio di una nuova macchina proveniente dal server membro di dominio samba.
Ecco di seguito cosa accade in teoria quando un utente di dominio sul client FOX si connette ad un file server (Samba, lo chiameremo FSS) membro del dominio mantenuto da un controllore Windows (lo chiameremo CDW):
- Il client FOX si connette a FSS
- FSS inoltra al CDW le credenziali di Fox
- Una volta che CDW ha riconosciuto le credenziali di FOX, comunica al server FSS che può accettare la richiesta di FOX
- FSS fornisce la condivisione a FOX
Nel caso di autenticazione Kerberos, il server membro di dominio non deve interrogare il controllore, ma è sufficiente che decifri il ticket inviatogli dal client e verificare che:
- sia ancora valido
- sia stato validato dal Server Controllore di Dominio
Samba supporta due metodi per partecipare ad un dominio come membro, tale operazione viene effettuata dalla voce in smb.conf:
- security = domain
- security = ads
La differenza fra le due voci è che la seconda supporta l’autenticazioe Kerberos, LDAP e AD (Active Directory)
Una cosa molto importante da controllare quando si utilizza il secondo metodo è sincronizzare i tempi di sistema fra il controllore e il membro di dominio, ovviamente per la validità temporale dei ticket.
Come già accennato nei vecchi articoli, ogni utente che accede a samba deve possedere un utente locale (uid e gid di riferimento). Questo vale sia nel caso di autenticazione locale che di autenticazione validata da un controllore di dominio. Questo comporta numerose ripetizioni di credenziali nel caso in cui esista un controllore di dominio e uno o più membri di dominio. In questo caso co viene in aiuto winbindd, che è in grado di generare delle mappe uid e gid che si svincolano completamente dal sistema di account unix.
