|
|
| (146 versioni intermedie di 5 utenti non mostrate) |
| Riga 1: |
Riga 1: |
| ==Samba e OpenLDAP: creare un controller di dominio con Debian Etch==
| | {{SAMBA |
| ===Introduzione=== | | |precedente=Samba e OpenLDAP: creare un controller di dominio | Debian Sarge |
| Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio]], basata su '''Debian Sarge'''.<br/>
| | |successivo=Samba e OpenLDAP: creare un controller di dominio con Debian Lenny}}{{Versioni compatibili|ONLY|Etch}} |
| Vedremo questa volta come installare un server basato su '''Debian Etch''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
| | == Versioni compatibili == |
| A differenza della precedente guida, verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
| | * Debian Etch 4.0 |
| ===Sistema installato=== | | * Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]] |
| Il presente HOWTO è stato realizzato utilizzando un sistema Debian 4.0 Etch con tutti gli aggiornamenti di sicurezza ufficiali.
| | * Per Debian Lenny 5.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]] |
| La configurazione iniziale del sistema prevede un'installazione base Debian net install senza alcun componente aggiuntivo.<br/>
| | |
| Durante tutto il processo si presuppone di agire come utente root.
| | |
| <br/>
| | == Sommario == |
| ===Parametri di rete utilizzati===
| | |
| In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
| | #[[Samba OpenLDAP su Etch: Intro|Introduzione e prerequisiti]] |
| * Nome del server: server
| | #[[Samba OpenLDAP su Etch: Installazione LDAP|Installazione del server LDAP]] |
| * Nome del dominio: dominio.local
| | #[[Samba OpenLDAP su Etch: Installazione Samba|Installazione di Samba]] |
| * Nome NETBIOS del dominio: DOMINIO | | #[[Samba OpenLDAP su Etch: Configurazione LDAP|Configurazione del server LDAP]] |
| * Classe IP: 10.0.0.0 / 255.0.0.0
| | #[[Samba OpenLDAP su Etch: Configurazione client LDAP|Configurazione dei client per LDAP]] |
| * IP Server: 10.0.0.11
| | #[[Samba OpenLDAP su Etch: Configurazione Samba|Configurazione di Samba]] |
| * Password di root: password
| | #[[Samba OpenLDAP su Etch: Configurazione autenticazioni UNIX|Configurazione delle autenticazioni UNIX]] |
| * Password Administrator del dominio: password
| | #[[Samba OpenLDAP su Etch: Aggiungere i primi utenti di dominio|Aggiungere i primi utenti di dominio]] |
| * Password admin di LDAP: password
| | #[[Samba OpenLDAP su Etch: script login di Windows|Creazione di un semplice script da eseguire al login di Windows]] |
| Questi parametri vanno ovviamente adattati alle vostre esigenze.
| | #[[Samba OpenLDAP su Etch: Test e connessione al dominio|Test e connessione al dominio]] |
| ===Installazione del server LDAP=== | | #[[Samba OpenLDAP su Etch: Unire un server Samba al domino|Unire un server Samba al domino]] |
| Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
| | #[[Samba OpenLDAP su Etch: Backup e restore database LDAP|Backup e restore del database LDAP]] |
| Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento.<br/>
| | #[[Samba OpenLDAP su Etch: Interfacce web alternative per OpenLDAP|Interfacce web alternative per OpenLDAP]] |
| Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
| | #[[Samba OpenLDAP su Etch: Comandi utili e consigli finali|Comandi utili e consigli finali]] |
| <pre>
| | |
| # apt-get install slapd ldap-utils | | |
| </pre>
| | {{Autori |
| Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
| | |Autore = [[Utente:Ferdybassi|Ferdybassi]] |
| Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
| | }} |
| In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
| | |
| Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
| | [[Categoria:Samba]][[Categoria:Reti con Windows]] |
| Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
| |
| Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
| |
| <pre>
| |
| # dpkg-reconfigure slapd | |
| </pre>
| |
| Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
| |
| * Omettere la configurazione di OpenLDAP: no
| |
| * Nome del dominio: dominio.local
| |
| * Nome dell'organizzazione: DOMINIO
| |
| * Password di admin: password
| |
| * Conferma password: password
| |
| * Motore database da utilizzare: BDB
| |
| * Cancellare il database quando si effettua il purge di slapd: no
| |
| * Spostare il vecchio database: sì
| |
| * Permettere LDAPv2: sì (potete anche mettere no)
| |
| Per verificare il corretto funzionamento del servizio, dare il comando:
| |
| <pre>
| |
| # ldapsearch -x -b “dc=dominio,dc=local”
| |
| </pre>
| |
| Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
| |
| ===Installazione di una interfaccia grafica per amministrare OpenLDAP===
| |
| Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
| |
| Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
| |
| Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. Installiamo per prima cosa un server web:
| |
| <pre>
| |
| # apt-get install apache-ssl | |
| </pre>
| |
| Rispondete in questa maniera alle domande che vi vengono poste:
| |
| * Codice del paese: IT
| |
| * Stato o provincia: Italy
| |
| * Località: dove_vivete
| |
| * Nome dell'organizzazione: Organizzazione DOMINIO
| |
| * Nome dell'unità organizzativa: Reparto Tech DOMINIO
| |
| * Posta elettronica: root@localhost
| |
| La scelta del server web è caduta su apache-ssl perchè ritengo sia preferibile non inviare in chiaro sulla rete le informazioni riguardanti gli utenti del nostro dominio.
| |
| Per verificare il funzionamento del server web aprite il browser di uno dei client della rete e digitate:
| |
| <pre>
| |
| https://10.0.0.11
| |
| </pre>
| |
| Dovreste trovarvi davanti la pagina iniziale di Apache-SSL.<br/>
| |
| Ora possiamo installare phpldapadmin:
| |
| <pre>
| |
| # apt-get install phpldapadmin | |
| </pre>
| |
| Per verificare la corretta installazione del pacchetto, aprite il browser su:
| |
| <pre>
| |
| https://10.0.0.11/phpldapadmin
| |
| </pre>
| |
| Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
| |
| Il pacchetto <tt>phpldapadmin</tt> ha però installato come dipendenza il web server Apache2. Per quanto osservato prima, ritengo non sia opportuno che le informazioni sul nostro dominio siano servite anche da un server web che non cripta le comunicazioni. Pertanto consiglio di eliminare il link simbolico /etc/apache2/conf.d/phpldapadmin:
| |
| <pre>
| |
| # rm /etc/apache2/conf.d/phpldapadmin | |
| </pre>
| |
| e di far ripartire il servizio apache2:
| |
| <pre>
| |
| # /etc/init.d/apache2 restart
| |
| </pre>
| |
| ===Configurare i SMBLDAP TOOLS===
| |
| I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
| |
| Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
| |
| ====Installazione====
| |
| Installare il pacchetto smbldap-tools
| |
| <pre>
| |
| # apt-get install smbldap-tools
| |
| </pre>
| |
| ====Configurazione====
| |
| Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
| |
| <pre>
| |
| # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
| |
| # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
| |
| </pre>
| |
| Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=miodominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
| |
| Se non si è sicuri del DN da inserire lanciare il comando:
| |
| <pre>
| |
| # slapcat | |
| </pre>
| |
| e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/>
| |
| Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
| |
| <pre>
| |
| slaveDN="cn=admin,dc=miodominio,dc=local"
| |
| slavePw="passworddiadmindigitataprecedentemente"
| |
| masterDN="cn=admin,dc=miodominio,dc=local"
| |
| masterPw="passworddiadmindigitataprecedentemente"
| |
| </pre>
| |
| Eseguire il comando:
| |
| <pre>
| |
| # net getlocalsid
| |
| </pre>
| |
| e copiare o prendere nota del codice che viene restituito. | |
| <br/>
| |
| Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
| |
| <pre>
| |
| SID="S-1-5-21-2318037123-1631426476-2439636316"
| |
| slaveLDAP="127.0.0.1"
| |
| slavePort="389"
| |
| masterLDAP="127.0.0.1"
| |
| masterPort="389"
| |
| </pre>
| |
| Verificare che il TLS sia disabilitato.
| |
| <pre>
| |
| ldapTLS="0"
| |
| </pre>
| |
| Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (MIODOMINIO).
| |
| <pre>
| |
| suffix="dc=miodominio,dc=local"
| |
| sambaUnixIdPooldn="sambaDomainName=MIODOMINIO,${suffix}"
| |
| </pre>
| |
| Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
| |
| <pre>
| |
| defaultMaxPasswordAge="180"
| |
| </pre>
| |
| Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
| |
| Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
| |
| <pre>
| |
| userSmbHome="\\PDC-SERVER\%U"
| |
| userProfile="\\PDC-SERVER\profiles\%U"
| |
| </pre>
| |
| PDC-SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
| |
| <pre>
| |
| userScript="logon.bat"
| |
| </pre>
| |
| Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
| |
| Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
| |
| <pre>
| |
| mailDomain="miodominio.local"
| |
| </pre>
| |
| Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
| |
| <pre>
| |
| # chmod 0644 /etc/smbldap-tools/smbldap.conf
| |
| # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
| |
| </pre><br/>
| |
Versioni Compatibili 
Debianized 20%