Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Popolamento ldap: differenze tra le versioni
Nessun oggetto della modifica |
|||
| Riga 43: | Riga 43: | ||
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: | Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: | ||
<pre> | <pre> | ||
# ldapsearch -x -b "dc=dominio,dc=local" uid=Administrator | # ldapsearch -x -b "dc=dominio,dc=local" -D cn=admin,dc=dominio,dc=local -w secret -H ldap://192.168.2.1 uid=Administrator | ||
</pre> | </pre> | ||
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando: | Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando: | ||
| Riga 51: | Riga 51: | ||
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. | Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. | ||
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. | Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. | ||
=== Assegnazione dei permessi agli utenti di dominio === | === Assegnazione dei permessi agli utenti di dominio === | ||
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente: | Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente: | ||
Versione delle 21:01, 12 dic 2010
Popolamento del database LDAP
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
|
Nome - UID - Tipo Domain Admins:*:512: |
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Utilizzo degli script forniti con smbldap-tools
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools che abbiamo già installato:
# smbldap-populate -a root -k 0 # smbldap-useradd -a -m -c "Admin" Administrator # smbldap-usermod -G "Domain Admins" Administrator
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:
# ldapsearch -x -b "dc=dominio,dc=local" -D cn=admin,dc=dominio,dc=local -w secret -H ldap://192.168.2.1 uid=Administrator
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
# smbldap-passwd Administrator
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Assegnazione dei permessi agli utenti di dominio
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente:
net -S server -U root rpc rights grant "DOMINIO\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
|
ATTENZIONE Il comando è da scrivere senza spazi e in unica riga |
net -S server -U root rpc rights grant "DOMINIO\rossi" SePrintOperatorPrivilege
dove server in questo caso è il netbios name di Samba.