Le ho veramente provate tutte il fatto è che vorrei avere l'autrenticazione degli utenti presi dal server windows senza bisogno di creare utenti linux e invece non ci sono riuscito ho seguito tuttel e guide possibili ma niente, qualcuno avrebbe una guida pratica per far si che la mia macchina linux abbia samba configurato in modo che prenda utenti e password dal pdc windows... :muro:

Il server è Windows 2003?

Io c'avevo provato e rinunciato......

per ora sto provando su 2000 ma anche 2003 mi sarebbe utile....io ci sono riuscito ma solo dopo aver creato a mano gli utenti che già esistevano sul server windows anche su linux e questo mi va bene finchè siamo a 10 utenti ma se devo farlo dove ce ne sono 400 ???

:muro:

Si deve poter fare...secondo me non cè bisogno di crearli ma solo far sì che samba li legga dal pdc...

ai tempi io ho seguito questo howto:

http://forums.gentoo.org/viewtopic-t-114837-highlight-active+directory.html

l'obbiettivo non era come il tuo ma creare un proxy che autenticasse su un dc windows2003.

Le ho veramente provate tutte il fatto è che vorrei avere l'autrenticazione degli utenti presi dal server windows senza bisogno di creare utenti linux e invece non ci sono riuscito ho seguito tuttel e guide possibili ma niente, qualcuno avrebbe una guida pratica per far si che la mia macchina linux abbia samba configurato in modo che prenda utenti e password dal pdc windows... :muro:


non credo sia possibile........

samba può fare da pdc ma non da bdc....

non credo sia possibile........

samba può fare da pdc ma non da bdc....

samba puo' fare da pdc agendo come un pdc nt4 e puo' fare da bdc di un pdc samba. samba puo' fare da member server di un dominio nt4 o di active directory. gli utenti vengono "mappati" tramite winbind.

samba puo' fare da pdc agendo come un pdc nt4 e puo' fare da bdc di un pdc samba. samba puo' fare da member server di un dominio nt4 o di active directory. gli utenti vengono "mappati" tramite winbind.


sì sì intendevo che non può fare da bdc di un pdc windows :)

per quanto riguarda il fatto che può fare da member server di un dominio nt4 non lo sapevo, ma mi sorge spontanea una domanda: che senso ha?
voglio dire: fa solo da autenticazione o stora anche i profili degli utenti?

sì sì intendevo che non può fare da bdc di un pdc windows :)

per quanto riguarda il fatto che può fare da member server di un dominio nt4 non lo sapevo, ma mi sorge spontanea una domanda: che senso ha?
voglio dire: fa solo da autenticazione o stora anche i profili degli utenti?

i profili non li stora. ha senso fare da member server per condividere file e stampanti.

i profili non li stora. ha senso fare da member server per condividere file e stampanti.

Esattamente quello che vorrei fare io, allora ho installato samba e winbind ho fatto il join del domino e sono riuscito a vedere la lista degli utenti del dominio nt sul linux con winfo -u o qualcosa del genere, però e questo è il problema se non creo manualmente gli utenti su linux non me li autentica....pecchè...pecchè :muro:

se vedi gli utenti il join e' corretto. allora il problema e' dell'autenticazione lato linux.
/etc/nsswitch.conf lo hai modificato? il pam lo hai configurato? se leggi il post che ti linkato piu' sotto c'e' specificato come fare.

se vedi gli utenti il join e' corretto. allora il problema e' dell'autenticazione lato linux.
/etc/nsswitch.conf lo hai modificato? il pam lo hai configurato? se leggi il post che ti linkato piu' sotto c'e' specificato come fare.

mah il file nsswitch si intendi aggiungere winbind nelle varie sezini file shadow group ?

mentre il pam non so bene come si configuri/installi

io avevo seguito questa guida

http://a2.swlibero.org/a2329.htm#almltitle3445

mah il file nsswitch si intendi aggiungere winbind nelle varie sezini file shadow group ?

mentre il pam non so bene come si configuri/installi

per configurare il pam c'e' spiegato nella guida che ti ha postato Janky

la guida è simile alle altre che ho trovato precedentemente, il problema è che su ubuntu il file /etc/pam.d/system-auth non cè.... :muro:

fai un ls -al di /etc/pam.d che proviamo a vedere che file devi modificare

ls: di: No such file or directory
/etc/pam.d:
totale 80
drwxr-xr-x 2 root root 4096 2005-09-14 09:55 .
drwxr-xr-x 101 root root 4096 2005-09-14 10:28 ..
-rw-r--r-- 1 root root 267 2005-09-14 09:55 chfn
-rw-r--r-- 1 root root 469 2005-09-14 09:55 chsh
-rw-r--r-- 1 root root 392 2005-09-14 09:55 common-account
-rw-r--r-- 1 root root 436 2005-09-14 09:55 common-auth
-rw-r--r-- 1 root root 1097 2005-09-14 09:55 common-password
-rw-r--r-- 1 root root 372 2005-09-14 09:55 common-session
-rw-r--r-- 1 root root 303 2005-09-14 09:55 cron
-rw-r--r-- 1 root root 69 2005-09-14 09:55 cupsys
-rw-r--r-- 1 root root 190 2005-09-14 09:55 gdm
-rw-r--r-- 1 root root 197 2005-09-14 09:55 gdm-autologin
-rw-r--r-- 1 root root 2824 2005-09-14 09:55 login
-rw-r--r-- 1 root root 520 2005-09-14 09:55 other
-rw-r--r-- 1 root root 92 2005-09-14 09:55 passwd
-rw-r--r-- 1 root root 168 2005-09-14 09:55 ppp
-rw-r--r-- 1 root root 69 2005-09-14 09:55 samba
-rw-r--r-- 1 root root 1355 2005-09-14 09:55 su
-rw-r--r-- 1 root root 56 2005-09-14 09:55 sudo
-rw-r--r-- 1 root root 84 2005-09-14 09:55 xscreensaver

ls: di: No such file or directory
/etc/pam.d:
totale 80
drwxr-xr-x 2 root root 4096 2005-09-14 09:55 .
drwxr-xr-x 101 root root 4096 2005-09-14 10:28 ..
-rw-r--r-- 1 root root 267 2005-09-14 09:55 chfn
-rw-r--r-- 1 root root 469 2005-09-14 09:55 chsh
-rw-r--r-- 1 root root 392 2005-09-14 09:55 common-account
-rw-r--r-- 1 root root 436 2005-09-14 09:55 common-auth
-rw-r--r-- 1 root root 1097 2005-09-14 09:55 common-password
-rw-r--r-- 1 root root 372 2005-09-14 09:55 common-session
-rw-r--r-- 1 root root 303 2005-09-14 09:55 cron
-rw-r--r-- 1 root root 69 2005-09-14 09:55 cupsys
-rw-r--r-- 1 root root 190 2005-09-14 09:55 gdm
-rw-r--r-- 1 root root 197 2005-09-14 09:55 gdm-autologin
-rw-r--r-- 1 root root 2824 2005-09-14 09:55 login
-rw-r--r-- 1 root root 520 2005-09-14 09:55 other
-rw-r--r-- 1 root root 92 2005-09-14 09:55 passwd
-rw-r--r-- 1 root root 168 2005-09-14 09:55 ppp
-rw-r--r-- 1 root root 69 2005-09-14 09:55 samba
-rw-r--r-- 1 root root 1355 2005-09-14 09:55 su
-rw-r--r-- 1 root root 56 2005-09-14 09:55 sudo
-rw-r--r-- 1 root root 84 2005-09-14 09:55 xscreensaver

allora fai il cat di questi file. common-auth common-account common-session
common-password e login. poi vediamo come modificarli. se vuoi possiamo proseguire anche in pvt.

root@pc-stefano:/etc/pam.d # cat common-auth
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
auth required pam_unix.so nullok_secure
root@pc-stefano:/etc/pam.d # cat common-account
#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account required pam_unix.so
root@pc-stefano:/etc/pam.d # cat common-session
#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive). The default is pam_unix.
#
session required pam_unix.so
root@pc-stefano:/etc/pam.d # cat common-password
#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix

# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.

password required pam_unix.so nullok obscure min=4 max=8 md5

# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5

ùroot@pc-stefano:/etc/pam.d # cat login
#
# The PAM configuration file for the Shadow `login' service
#
# NOTE: If you use a session module (such as kerberos or NIS+)
# that retains persistent credentials (like key caches, etc), you
# need to enable the `CLOSE_SESSIONS' option in /etc/login.defs
# in order for login to stay around until after logout to call
# pam_close_session() and cleanup.
#

# Outputs an issue file prior to each login prompt (Replaces the
# ISSUE_FILE option from login.defs). Uncomment for use
# auth required pam_issue.so issue=/etc/issue

# Disallows root logins except on tty's listed in /etc/securetty
# (Replaces the `CONSOLE' setting from login.defs)
auth requisite pam_securetty.so

# Disallows other than root logins when /etc/nologin exists
# (Replaces the `NOLOGINS_FILE' option from login.defs)
auth requisite pam_nologin.so

# This module parses /etc/environment (the standard for setting
# environ vars) and also allows you to use an extended config
# file /etc/security/pam_env.conf.
# (Replaces the `ENVIRON_FILE' setting from login.defs)
auth required pam_env.so

# Standard Un*x authentication. The "nullok" line allows passwordless
# accounts.
@include common-auth

# This allows certain extra groups to be granted to a user
# based on things like time of day, tty, service, and user.
# Please uncomment and edit /etc/security/group.conf if you
# wish to use this.
# (Replaces the `CONSOLE_GROUPS' option in login.defs)
# auth optional pam_group.so

# Uncomment and edit /etc/security/time.conf if you need to set
# time restrainst on logins.
# (Replaces the `PORTTIME_CHECKS_ENAB' option from login.defs
# as well as /etc/porttime)
# account requisite pam_time.so

# Uncomment and edit /etc/security/access.conf if you need to
# set access limits.
# (Replaces /etc/login.access file)
# account required pam_access.so

# Standard Un*x account and session
@include common-account
@include common-session

# Sets up user limits, please uncomment and read /etc/security/limits.conf
# to enable this functionality.
# (Replaces the use of /etc/limits in old login)
# session required pam_limits.so

# Prints the last login info upon succesful login
# (Replaces the `LASTLOG_ENAB' option from login.defs)
session optional pam_lastlog.so

# Prints the motd upon succesful login
# (Replaces the `MOTD_FILE' option in login.defs)
session optional pam_motd.so

# Prints the status of the user's mailbox upon succesful login
# (Replaces the `MAIL_CHECK_ENAB' option from login.defs). You
# can also enable a MAIL environment variable from here, but it
# is better handled by /etc/login.defs, since userdel also uses
# it to make sure that removing a user, also removes their mail
# spool file.
session optional pam_mail.so standard noenv
@include common-password
root@pc-stefano:/etc/pam.d #


Magari interessa a qualcuno io direi di proseguire qui...ah grazie mille per lo sbattimento :stordita:

allora, secondo me dovrebbe essere sufficiente fare queste modifiche:

file-> common-auth
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_winbind.so use_first_pass

file-> common-account
#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account sufficient pam_unix.so
account sufficient pam_winbind.so

file-> common-session
#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive). The default is pam_unix.
session required pam_mkhomedir.so skel=/etc/skel/ umask=002
session required pam_unix.so

prova e sappimi dire. in questo modo un utente windows dovrebbe essere in grado di fare la login su linux e ti dovrebbe creare automaticamente anche la home dell'utente. sappimi dire.

Magari interessa a qualcuno io direi di proseguire qui...ah grazie mille per lo sbattimento :stordita:

Anche se non sono in grado di dare suggerimenti sto seguendo molto attentamente la vostra discussione poiché in un futuro non molto lontano potrei di nuoo trovarmi a dorver provare a configurare una rete linux/win2003 come quella di cui state parlando voi......

Vi ringrazio moltissimo quindi se continuate questa discussione in forma pubblica.... :) :)

Grazie!

Anche se non sono in grado di dare suggerimenti sto seguendo molto attentamente la vostra discussione poiché in un futuro non molto lontano potrei di nuoo trovarmi a dorver provare a configurare una rete linux/win2003 come quella di cui state parlando voi......

Vi ringrazio moltissimo quindi se continuate questa discussione in forma pubblica.... :) :)

Grazie!

Lunedì appena torno al lavoro faccio due prove e pubblico tutto... ;)

Ho fatto due prove e ora mi dice ciò :

net join -U Administrator
Administrator's password:
[2005/09/19 12:11:14, 0] libads/kerberos.c:ads_kinit_password(146)
kerberos_kinit_password Administrator@OMINFORMATICA.IT failed: Cannot resolve network address for KDC in requested realm
[2005/09/19 12:11:14, 0] utils/net_ads.c:ads_startup(186)
ads_connect: Cannot resolve network address for KDC in requested realm
Joined domain OMINFORMATICA.

:cry: :cry: :cry:

posta un po' i file di configurazione di samba e di kerberos

smb.conf

#
# Sample configuration file for the Samba suite for Debian GNU/Linux.
#
#
# This is the main Samba configuration file. You should read the
# smb.conf(5) manual page in order to understand the options listed
# here. Samba has a huge number of configurable options most of which
# are not shown in this example
#
# Any line which starts with a ; (semi-colon) or a # (hash)
# is a comment and is ignored. In this example we will use a #
# for commentary and a ; for parts of the config file that you
# may wish to enable
#
# NOTE: Whenever you modify this file you should run the command
# "testparm" to check that you have not many any basic syntactic
# errors.
#

#======================= Global Settings =======================

[global]
log file = /var/log/samba/log.%m
socket options = TCP_NODELAY
obey pam restrictions = yes
force group = nogroup
encrypt passwords = yes
public = yes
passdb backend = tdbsam guest
winbind uid = 10000-20000
template shell = /bin/bash
dns proxy = no
server string = %h server (Samba, Ubuntu)
writeable = yes
invalid users = root
password server = server
winbind enum users = yes
path = /tmp
winbind gid = 10000-20000
template homedir = /home/%D/%U
workgroup = OMInformatica
winbind enum groups = yes
force user = nobody
os level = 20
create mode = 777
syslog = 0
security = domain
preferred master = no
panic action = /usr/share/samba/panic-action %d
winbind separator = +
max log size = 1000
directory mode = 777

[printers]
printer = Color-LaserJet-2500
printable = yes
writeable = yes
path = /tmp
comment = All Printers
public = yes
create mode = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers


path = /backup

[HPC2500]
printable = yes

------------------------------------------------------------------------------------------------------
[B]krb5.conf
------------------------------------------------------------------------------------------------------
[libdefaults]
default_realm = ominformatica.it
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code
# are correct and overriding these specifications only serves to disable
# new encryption types as they are added, creating interoperability problems.
# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]
ATHENA.MIT.EDU = {
kdc = kerberos.mit.edu:88
kdc = kerberos-1.mit.edu:88
kdc = kerberos-2.mit.edu:88
kdc = kerberos-3.mit.edu:88
admin_server = kerberos.mit.edu
default_domain = mit.edu
}
MEDIA-LAB.MIT.EDU = {
kdc = kerberos.media.mit.edu
admin_server = kerberos.media.mit.edu
}
ZONE.MIT.EDU = {
kdc = casio.mit.edu
kdc = seiko.mit.edu
admin_server = casio.mit.edu
}
MOOF.MIT.EDU = {
kdc = three-headed-dogcow.mit.edu:88
kdc = three-headed-dogcow-1.mit.edu:88
admin_server = three-headed-dogcow.mit.edu
}
CYGNUS.COM = {
kdc = KERBEROS.CYGNUS.COM
kdc = KERBEROS-1.CYGNUS.COM
admin_server = KERBEROS.CYGNUS.COM
}
GREY17.ORG = {
kdc = kerberos.grey17.org
admin_server = kerberos.grey17.org
}
IHTFP.ORG = {
kdc = kerberos.ihtfp.org
admin_server = kerberos.ihtfp.org
}
GNU.ORG = {
kdc = kerberos.gnu.org
kdc = kerberos-2.gnu.org
kdc = kerberos-3.gnu.org
admin_server = kerberos.gnu.org
}
1TS.ORG = {
kdc = kerberos.1ts.org
admin_server = kerberos.1ts.org
}
GRATUITOUS.ORG = {
kdc = kerberos.gratuitous.org
admin_server = kerberos.gratuitous.org
}
DOOMCOM.ORG = {
kdc = kerberos.doomcom.org
admin_server = kerberos.doomcom.org
}

ANDREW.CMU.EDU = {
kdc = vice28.fs.andrew.cmu.edu
kdc = vice2.fs.andrew.cmu.edu
kdc = vice11.fs.andrew.cmu.edu
kdc = vice12.fs.andrew.cmu.edu
admin_server = vice28.fs.andrew.cmu.edu
default_domain = andrew.cmu.edu
}
CS.CMU.EDU = {
kdc = kerberos.cs.cmu.edu
kdc = kerberos-2.srv.cs.cmu.edu
admin_server = kerberos.cs.cmu.edu
}
DEMENTIA.ORG = {
kdc = kerberos.dementia.org
kdc = kerberos2.dementia.org
admin_server = kerberos.dementia.org
}
ominformatica.it = {
kdc = server.ominformatica.it
}


[domain_realm]
.mit.edu = ATHENA.MIT.EDU
mit.edu = ATHENA.MIT.EDU
.media.mit.edu = MEDIA-LAB.MIT.EDU
media.mit.edu = MEDIA-LAB.MIT.EDU
.whoi.edu = ATHENA.MIT.EDU
whoi.edu = ATHENA.MIT.EDU
.stanford.edu = stanford.edu
.ominformatica.it = ominformatica.it

[login]
krb4_convert = true
krb4_get_tickets = true

ti posto i miei file di configurazione di kerberos:

kdc.conf

[kdcdefaults]
kdc_ports = 88,750

[realms]
mydomain.local = {
database_name = /etc/krb5kdc/principal
admin_keytab = /etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
dict_file = /etc/krb5kdc/kadm5.dict
key_stash_file = /etc/krb5kdc/.k5.mydomain.local
kadmind_port = 749
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal
}

krb5.conf:

[libdefaults]
default_realm = MYDOMAIN.LOCAL

[realms]
MYDOMAIN.LOCAL = {
kdc = server.mydomain.local
}

[domain_realms]
.kerberos.server = MYDOMAIN.LOCAL

poi la macchina linux deve poter risolvere il nome del server win2003.

ho paura che sia qualcosa che non funziona con il net join, ti spiego ho dato il nome delal macchina ubuntu uguale al nome che ha in windows xp membro di dominio, ho fatto il join al dominio in windows sono rientrato in ubuntu e ora vedo l'elenco degli utenti (non preceduti dal nomedominio+)....

Ora provo il tuo krb....

niente

Administrator's password:
[2005/09/20 09:46:31, 0] libads/kerberos.c:ads_kinit_password(146)
kerberos_kinit_password Administrator@OMINFORMATICA.IT failed: Cannot resolve network address for KDC in requested realm
[2005/09/20 09:46:31, 0] utils/net_ads.c:ads_startup(186)
ads_connect: Cannot resolve network address for KDC in requested realm
Joined domain OMINFORMATICA.

ho paura che sia qualcosa che non funziona con il net join, ti spiego ho dato il nome delal macchina ubuntu uguale al nome che ha in windows xp membro di dominio, ho fatto il join al dominio in windows sono rientrato in ubuntu e ora vedo l'elenco degli utenti (non preceduti dal nomedominio+)....

Ora provo il tuo krb....

niente

Administrator's password:
[2005/09/20 09:46:31, 0] libads/kerberos.c:ads_kinit_password(146)
kerberos_kinit_password Administrator@OMINFORMATICA.IT failed: Cannot resolve network address for KDC in requested realm
[2005/09/20 09:46:31, 0] utils/net_ads.c:ads_startup(186)
ads_connect: Cannot resolve network address for KDC in requested realm
Joined domain OMINFORMATICA.

bad idea quella di avere assegnato gli stessi nomi imho. cmq come ti avevo detto prima sembra essere un problema di risoluzione di nomi. prova a piazzare nel file /etc/hosts sulla macchina linux

xxx.xxx.xxx.xxx NETBIOSNAME-DEL-PDC-WIN2003

dove gli xxx li sostituisci con l'ip del server e l'altro e' il nome in MAIUSCOLO del server.
poi per prova fai un ping NOMESERVER e vedi che succede.

Sì ho fatto una cappella, cmq ora ho cambiato il nome e rifatto il join, sembra che ci siamo quasi infatti provando a fare il login con un utente del dominio e non di linux mi crea la home ma poi mi dice access denided...è qualcosa nei vari file auth forse?

adesso sono un po' incasinato: il lavoro chiama. + tardi do un'acchiata anche alla conf di samba che hai postato.

adesso sono un po' incasinato: il lavoro chiama. + tardi do un'acchiata anche alla conf di samba che hai postato.

Non so come ringraziarti....

P.S. il messaggio preciso è : Permission Denided :confused:

prova a cambiare il file cosi':

file-> common-session
#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
# non-interactive). The default is pam_unix.
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required pam_unix.so

fammi anche un ls -al della direcotory home o cmq dove vengono create le home degli utenti.

sempre permission denied, le cartelle home in realtà non ci sono in /home/ cè solo al mia di utente linux....