Samba e OpenLDAP: creare un controller di dominio con Debian Etch

Da Guide@Debianizzati.Org.

(Differenze fra le revisioni)
(Assegnazione dei permessi agli utenti di dominio)
m
 
(41 revisioni intermedie non mostrate.)
Riga 1: Riga 1:
-
==Samba e OpenLDAP: creare un controller di dominio con Debian Etch==
+
{{SAMBA
-
===Introduzione===
+
|precedente=Samba e OpenLDAP: creare un controller di dominio | Debian Sarge
-
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio]], basata su '''Debian Sarge'''.<br/>
+
|successivo=Samba e OpenLDAP: creare un controller di dominio con Debian Lenny}}{{Versioni compatibili|ONLY|Etch}}
-
Vedremo questa volta come installare un server basato su '''Debian Etch''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
+
== Versioni compatibili ==
-
A differenza della precedente guida, verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
+
* Debian Etch 4.0
-
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
+
* Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]]
 +
* Per Debian Lenny 5.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]
-
===Sistema installato===
 
-
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 4.0 Etch con tutti gli aggiornamenti di sicurezza ufficiali.
 
-
La configurazione iniziale del sistema prevede un'installazione base Debian net install senza alcun componente aggiuntivo.<br/>
 
-
Durante tutto il processo si presuppone di agire come utente root.
 
-
<br/>
 
-
===Parametri di rete utilizzati===
 
-
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
 
-
* Nome del server: server
 
-
* Nome del dominio: dominio.local
 
-
* Nome NETBIOS del dominio: DOMINIO
 
-
* Classe IP: 10.0.0.0 / 255.0.0.0
 
-
* IP Server: 10.0.0.11
 
-
* Password di root: password
 
-
* Password Administrator del dominio: password
 
-
* Password admin di LDAP: password
 
-
Questi parametri vanno ovviamente adattati alle vostre esigenze.
 
-
===Installazione del server LDAP===
 
-
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
 
-
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento.<br/>
 
-
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
 
-
<pre>
 
-
# apt-get install slapd ldap-utils
 
-
</pre>
 
-
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
 
-
Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
 
-
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
 
-
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
 
-
Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
 
-
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
 
-
<pre>
 
-
# dpkg-reconfigure slapd
 
-
</pre>
 
-
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
 
-
* Omettere la configurazione di OpenLDAP: no
 
-
* Nome del dominio: dominio.local
 
-
* Nome dell'organizzazione: DOMINIO
 
-
* Password di admin: password
 
-
* Conferma password: password
 
-
* Motore database da utilizzare: BDB
 
-
* Cancellare il database quando si effettua il purge di slapd: no
 
-
* Spostare il vecchio database: sì
 
-
* Permettere LDAPv2: sì (potete anche mettere no)
 
-
Per verificare il corretto funzionamento del servizio, dare il comando:
 
-
<pre>
 
-
# ldapsearch -x -b “dc=dominio,dc=local”
 
-
</pre>
 
-
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
 
-
===Installazione di una interfaccia grafica per amministrare OpenLDAP===
+
== Sommario ==
-
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
+
-
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
+
-
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. Installiamo per prima cosa un server web:
+
-
<pre>
+
-
# apt-get install apache-ssl
+
-
</pre>
+
-
Rispondete in questa maniera alle domande che vi vengono poste:
+
-
* Codice del paese: IT
+
-
* Stato o provincia: Italy
+
-
* Località: dove_vivete
+
-
* Nome dell'organizzazione: Organizzazione DOMINIO
+
-
* Nome dell'unità organizzativa: Reparto Tech DOMINIO
+
-
* Posta elettronica: root@localhost
+
-
La scelta del server web è caduta su apache-ssl perchè ritengo sia preferibile non inviare in chiaro sulla rete le informazioni riguardanti gli utenti del nostro dominio.
+
-
Per verificare il funzionamento del server web aprite il browser di uno dei client della rete e digitate:
+
-
<pre>
+
-
https://10.0.0.11
+
-
</pre>
+
-
Dovreste trovarvi davanti la pagina iniziale di Apache-SSL.<br/>
+
-
Ora possiamo installare phpldapadmin:
+
-
<pre>
+
-
# apt-get install phpldapadmin
+
-
</pre>
+
-
Per verificare la corretta installazione del pacchetto, aprite il browser su:
+
-
<pre>
+
-
https://10.0.0.11/phpldapadmin
+
-
</pre>
+
-
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
+
-
Il pacchetto <tt>phpldapadmin</tt> ha però installato come dipendenza il web server Apache2. Per quanto osservato prima, ritengo non sia opportuno che le informazioni sul nostro dominio siano servite anche da un server web che non cripta le comunicazioni. Pertanto consiglio di eliminare il link simbolico /etc/apache2/conf.d/phpldapadmin:
+
-
<pre>
+
-
# rm /etc/apache2/conf.d/phpldapadmin
+
-
</pre>
+
-
e di far ripartire il servizio apache2:
+
-
<pre>
+
-
# /etc/init.d/apache2 restart
+
-
</pre>
+
-
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
+
-
<pre>
+
-
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
+
-
</pre>
+
-
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
+
-
<pre>
+
-
# apt-get install build-essential
+
-
# tar -zxf mkntpwd.tar.gz
+
-
# cd mkntpwd
+
-
# make
+
-
# cp mkntpwd /usr/local/bin
+
-
# mkntpwd
+
-
</pre>
+
-
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
+
-
===Installazione di Samba===
+
#[[Samba OpenLDAP su Etch: Intro|Introduzione e prerequisiti]]
-
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
+
#[[Samba OpenLDAP su Etch: Installazione LDAP|Installazione del server LDAP]]
-
<pre>
+
#[[Samba OpenLDAP su Etch: Installazione Samba|Installazione di Samba]]
-
# apt-get install samba smbclient samba-doc cupsys cupsys-bsd
+
#[[Samba OpenLDAP su Etch: Configurazione LDAP|Configurazione del server LDAP]]
-
</pre>
+
#[[Samba OpenLDAP su Etch: Configurazione client LDAP|Configurazione dei client per LDAP]]
-
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
+
#[[Samba OpenLDAP su Etch: Configurazione Samba|Configurazione di Samba]]
-
*Nome del Dominio/Workgroup: DOMINIO
+
#[[Samba OpenLDAP su Etch: Configurazione autenticazioni UNIX|Configurazione delle autenticazioni UNIX]]
-
*Utilizzare password cifrate: SI
+
#[[Samba OpenLDAP su Etch: Aggiungere i primi utenti di dominio|Aggiungere i primi utenti di dominio]]
-
*Utilizzare DHCP per i nomi Netbios: NO
+
#[[Samba OpenLDAP su Etch: script login di Windows|Creazione di un semplice script da eseguire al login di Windows]]
-
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
+
#[[Samba OpenLDAP su Etch: Test e connessione al dominio|Test e connessione al dominio]]
-
<br/>
+
#[[Samba OpenLDAP su Etch: Unire un server Samba al domino|Unire un server Samba al domino]]
 +
#[[Samba OpenLDAP su Etch: Backup e restore database LDAP|Backup e restore del database LDAP]]
 +
#[[Samba OpenLDAP su Etch: Interfacce web alternative per OpenLDAP|Interfacce web alternative per OpenLDAP]]
 +
#[[Samba OpenLDAP su Etch: Comandi utili e consigli finali|Comandi utili e consigli finali]]
-
===Configurare i SMBLDAP TOOLS===
 
-
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
 
-
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
 
-
====Installazione====
 
-
Installare il pacchetto smbldap-tools
 
-
<pre>
 
-
# apt-get install smbldap-tools
 
-
</pre>
 
-
====Configurazione====
 
-
Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
 
-
<pre>
 
-
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
 
-
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
 
-
</pre>
 
-
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
 
-
Se non si è sicuri del DN da inserire lanciare il comando:
 
-
<pre>
 
-
# slapcat
 
-
</pre>
 
-
e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/>
 
-
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
 
-
<pre>
 
-
slaveDN="cn=admin,dc=dominio,dc=local"
 
-
slavePw="password"
 
-
masterDN="cn=admin,dc=dominio,dc=local"
 
-
masterPw="password"
 
-
</pre>
 
-
Il contenuto del file dovrebbe essere il seguente:<br/>
 
-
'''/etc/smbldap-tools/smbldap_bind.conf''':
 
-
<pre>
 
-
############################
 
-
# Credential Configuration #
 
-
############################
 
-
# Notes: you can specify two differents configuration if you use a
 
-
# master ldap for writing access and a slave ldap server for reading access
 
-
# By default, we will use the same DN (so it will work for standard Samba
 
-
# release)
 
-
slaveDN="cn=admin,dc=dominio,dc=local"
 
-
slavePw="password"
 
-
masterDN="cn=admin,dc=dominio,dc=local"
 
-
masterPw="password"
 
-
</pre>
 
-
Eseguire ora il comando:
 
-
<pre>
 
-
# net getlocalsid
 
-
</pre>
 
-
e copiare o prendere nota del codice che viene restituito.
 
-
<br/>
 
-
Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
 
-
<pre>
 
-
SID="S-1-5-21-2318037123-1631426476-2439636316"
 
-
slaveLDAP="127.0.0.1"
 
-
slavePort="389"
 
-
masterLDAP="127.0.0.1"
 
-
masterPort="389"
 
-
</pre>
 
-
Verificare che il TLS sia disabilitato.
 
-
<pre>
 
-
ldapTLS="0"
 
-
</pre>
 
-
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
 
-
<pre>
 
-
suffix="dc=dominio,dc=local"
 
-
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
 
-
</pre>
 
-
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
 
-
<pre>
 
-
defaultMaxPasswordAge="180"
 
-
</pre>
 
-
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
 
-
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
 
-
<pre>
 
-
userSmbHome="\\SERVER\homes\%U"
 
-
userProfile="\\SERVER\profiles\%U"
 
-
</pre>
 
-
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
 
-
<pre>
 
-
userScript="logon.bat"
 
-
</pre>
 
-
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
 
-
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
 
-
<pre>
 
-
mailDomain="dominio.local"
 
-
</pre>
 
-
Il contenuto completo del file dovrebbe essere il seguente:<br/>
 
-
'''/etc/smbldap-tools/smbldap.conf''':
 
-
<pre>
 
-
#
 
-
# Purpose :
 
-
# . be the configuration file for all smbldap-tools scripts
 
-
##############################################################################
 
-
##
 
-
General Configuration
 
-
# ##############################################################################
 
-
# Put your own SID. To obtain this number do: "net getlocalsid".
 
-
# If not defined, parameter is taking from "net getlocalsid" return
 
-
SID="S-1-5-21-125945932-740595490-3132273231"
 
-
# Domain name the Samba server is in charged.
 
-
# If not defined, parameter is taking from smb.conf configuration file
 
-
sambaDomain="DOMINIO"
 
-
##############################################################################
 
-
#
 
-
# LDAP Configuration
 
-
#
 
-
##############################################################################
 
-
# Slave LDAP server
 
-
# If not defined, parameter is set to "127.0.0.1"
 
-
slaveLDAP="127.0.0.1"
 
-
# Slave LDAP port
 
-
# If not defined, parameter is set to "389"
 
-
slavePort="389"
 
-
# Master LDAP server: needed for write operations
 
-
# If not defined, parameter is set to "127.0.0.1"
 
-
masterLDAP="127.0.0.1"
 
-
# Master LDAP port
 
-
# If not defined, parameter is set to "389"
 
-
masterPort="389"
 
-
# Use TLS for LDAP
 
-
# If set to 1, this option will use start_tls for connection
 
-
# (you should also used the port 389)
 
-
# If not defined, parameter is set to "1"
 
-
ldapTLS="0"
 
-
# How to verify the server's certificate (none, optional or require)
 
-
# see "man Net::LDAP" in start_tls section for more details
 
-
verify="none"
 
-
# CA certificate
 
-
# see "man Net::LDAP" in start_tls section for more details
 
-
#cafile="/etc/opt/IDEALX/smbldap-tools/ca.pem"
 
-
# certificate to use to connect to the ldap server
 
-
# see "man Net::LDAP" in start_tls section for more details
 
-
#clientcert="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.pem"
 
-
# key certificate to use to connect to the ldap server
 
-
# see "man Net::LDAP" in start_tls section for more details
 
-
#clientkey="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.key"
 
-
# LDAP Suffix
 
-
suffix="dc=dominio,dc=local"
 
-
# Where are stored Users
 
-
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
 
-
usersdn="ou=users,${suffix}"
 
-
# Where are stored Computers
 
-
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
 
-
computersdn="ou=machines,${suffix}"
 
-
# Where are stored Groups
 
-
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
 
-
groupsdn="ou=groups,${suffix}"
 
-
# Where are stored Idmap entries (used if samba is a domain member server)
 
-
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
 
-
#idmapdn="ou=Idmap,${suffix}"
 
-
# Where to store next uidNumber and gidNumber available for new users and groups
 
-
# If not defined, entries are stored in sambaDomainName object.
 
-
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
 
-
# Default scope Used
 
-
scope="sub"
 
-
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
 
-
hash_encrypt="MD5"
 
-
# if hash_encrypt is set to CRYPT, you may set a salt format.
 
-
# default is "%s", but many systems will generate MD5 hashed
 
-
# passwords if you use "$1$%.8s". This parameter is optional!
 
-
crypt_salt_format="%s"
 
-
##############################################################################
 
-
#
 
-
# Unix Accounts Configuration
 
-
#
 
-
##############################################################################
 
-
# Login defs
 
-
# Default Login Shell
 
-
userLoginShell="/bin/false"
 
-
# Home directory
 
-
userHome="/dominio/homes/%U"
 
-
# Default mode used for user homeDirectory
 
-
userHomeDirectoryMode="700"
 
-
# Gecos
 
-
userGecos="System Computer"
 
-
# Default User (POSIX and Samba) GID
 
-
defaultUserGid="513"
 
-
# Default Computer (Samba) GID
 
-
defaultComputerGid="515"
 
-
# Skel dir
 
-
skeletonDir="/etc/skel"
 
-
# Default password validation time (time in days) Comment the next line if
 
-
# you don't want password to be enable for defaultMaxPasswordAge days (be
 
-
# careful to the sambaPwdMustChange attribute's value)
 
-
#defaultMaxPasswordAge="180"
 
-
##############################################################################
 
-
##
 
-
SAMBA Configuration
 
-
# ##############################################################################
 
-
# The UNC path to home drives location (%U username substitution)
 
-
# Just set it to a null string if you want to use the smb.conf 'logon home'
 
-
# directive and/or disable roaming profiles
 
-
userSmbHome="\\SERVER\homes\%U"
 
-
# The UNC path to profiles locations (%U username substitution)
 
-
# Just set it to a null string if you want to use the smb.conf 'logon path'
 
-
# directive and/or disable roaming profiles
 
-
userProfile="\\SERVER\profiles\%U"
 
-
# The default Home Drive Letter mapping
 
-
# (will be automatically mapped at logon time if home directory exist)
 
-
userHomeDrive="H:"
 
-
# The default user netlogon script name (%U username substitution)
 
-
# if not used, will be automatically username.cmd
 
-
# make sure script file is edited under dos
 
-
userScript="logon.bat"
 
-
# Domain appended to the users "mail"-attribute
 
-
# when smbldap-useradd -M is used
 
-
#mailDomain="idealx.com"
 
-
##############################################################################
 
-
#
 
-
# SMBLDAP-TOOLS Configuration
 
-
#
 
-
##############################################################################
 
-
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
 
-
# prefer Crypt::SmbHash library
 
-
with_smbpasswd="0"
 
-
smbpasswd="/usr/bin/smbpasswd"
 
-
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
 
-
# but prefer Crypt:: libraries
 
-
with_slappasswd="0"
 
-
slappasswd="/usr/sbin/slappasswd"
 
-
</pre>
 
-
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
 
-
<pre>
 
-
userLoginShell="/bin/false"
 
-
</pre>
 
-
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
 
-
<pre>
 
-
userLoginShell="/bin/bash"
 
-
</pre>
 
-
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
 
-
<pre>
 
-
# chmod 0644 /etc/smbldap-tools/smbldap.conf
 
-
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
 
-
</pre><br/>
 
-
===Configurazione del server LDAP===
+
{{Autori
-
Passiamo ora alla configurazione del server LDAP.<br/>
+
|Autore = [[Utente:Ferdybassi|Ferdybassi]]
-
Innanzitutto dobbiamo copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
+
-
<pre>
+
-
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
+
-
</pre>
+
-
Ora occorre modificare il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo nella sezione <tt>Schema and objectClass definitions</tt> lo schema per samba:
+
-
<pre>
+
-
include /etc/ldap/schema/samba.schema
+
-
</pre>
+
-
Nella sezione <tt>Indexing options</tt> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
+
-
<pre>
+
-
index objectClass eq
+
-
index uid,uidNumber,gidNumber,memberUid eq
+
-
index cn,mail,surname,givenname eq,subinitial
+
-
index sambaSID eq
+
-
index sambaPrimaryGroupSID eq
+
-
index sambaDomainName eq
+
-
</pre>
+
-
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
+
-
<pre>
+
-
access to attribute=userPassword
+
-
</pre>
+
-
con:
+
-
<pre>
+
-
access to attrs=userPassword,sambaNTPassword,sambaLMPassword
+
-
</pre>
+
-
Infine aggiungere le informazioni per l'autenticazione:
+
-
<pre>
+
-
rootdn          "cn=admin,dc=dominio,dc=local"
+
-
rootpw          "password"
+
-
</pre>
+
-
Il contenuto del file dovrebbe essere il seguente:<br/>
+
-
'''/etc/ldap/sldap.conf''':
+
-
<pre>
+
-
# Allow LDAPv2 binds
+
-
allow bind_v2
+
-
# Schema and objectClass definitions
+
-
include /etc/ldap/schema/core.schema
+
-
include /etc/ldap/schema/cosine.schema
+
-
include /etc/ldap/schema/nis.schema
+
-
include /etc/ldap/schema/inetorgperson.schema
+
-
include /etc/ldap/schema/samba.schema
+
-
pidfile /var/run/slapd/slapd.pid
+
-
argsfile /var/run/slapd/slapd.args
+
-
loglevel 0
+
-
modulepath /usr/lib/ldap
+
-
moduleload back_bdb
+
-
sizelimit 500
+
-
tool-threads 1
+
-
backend bdb
+
-
checkpoint 512 30
+
-
database bdb
+
-
suffix "dc=dominio,dc=local"
+
-
rootdn          "cn=admin,dc=dominio,dc=local"
+
-
rootpw          "password"
+
-
directory "/var/lib/ldap"
+
-
dbconfig set_cachesize 0 2097152 0
+
-
dbconfig set_lk_max_objects 1500
+
-
dbconfig set_lk_max_locks 1500
+
-
dbconfig set_lk_max_lockers 1500
+
-
index objectClass eq
+
-
index uid,uidNumber,gidNumber,memberUid eq
+
-
index cn,mail,surname,givenname eq,subinitial
+
-
index sambaSID eq
+
-
index sambaPrimaryGroupSID eq
+
-
index sambaDomainName eq
+
-
lastmod on
+
-
access to attrs=userPassword,shadowLastChange,sambaLMPassword,sambaNTPassword
+
-
by dn="cn=admin,dc=dominio,dc=local" write
+
-
by anonymous auth
+
-
by self write
+
-
by * none
+
-
access to dn.base="" by * read
+
-
access to *
+
-
by dn="cn=admin,dc=dominio,dc=local" write
+
-
by * read
+
-
</pre>
+
-
Possiamo far ripartire <tt>slapd</tt> affinché tutte le modifiche apportate siano prese in considerazione.
+
-
<pre>
+
-
# /etc/init.d/slapd restart
+
-
</pre>
+
-
Si può controllare che il server sia correttamente partito eseguendo una query con il comando:
+
-
<pre>
+
-
# ldapsearch -x
+
-
</pre>
+
-
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <tt>slapd</tt> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
+
-
<pre>
+
-
# slapd -d 256
+
-
</pre>
+
-
In tal modo viene avviato visualizzando varie informazioni di debug a video.
+
-
<br/>
+
-
 
+
-
===Configurazione dei client per LDAP===
+
-
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap</tt>.conf aggiungendo le righe:
+
-
<pre>
+
-
BASE dc=dominio,dc=local
+
-
URI ldap://localhost
+
-
</pre>
+
-
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
+
-
<pre>
+
-
# ldapsearch -x
+
-
</pre>
+
-
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente.
+
-
<br/>
+
-
===Configurazione di Samba===
+
-
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <tt>/etc/smbldap-tools/smbldap.conf</tt>, quindi è bene stare attenti a non commettere errori.<br/>
+
-
<pre>
+
-
# mkdir /dominio
+
-
# mkdir /dominio/homes
+
-
# mkdir /dominio/profiles
+
-
# mkdir /dominio/netlogon
+
-
</pre>
+
-
La configurazione di Samba si riduce a modificare il file <tt>/etc/samba/smb.conf</tt>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
+
-
<pre>
+
-
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
+
-
# touch /etc/samba/smb.conf
+
-
# nano /etc/samba/smb.conf
+
-
</pre>
+
-
'''/etc/samba/smb.conf''':
+
-
<pre>
+
-
[global]
+
-
  ### Configurazione di base del server ###
+
-
      workgroup = DOMINIO
+
-
      netbios name = SERVER
+
-
      server string = DOMINOP PDC Server - Samba %v
+
-
     
+
-
  ### Imposto il server come controller di dominio ###
+
-
      os level = 65
+
-
      preferred master = yes
+
-
      local master = yes
+
-
      domain master = yes
+
-
      domain logons = yes
+
-
 
+
-
  ### Opzioni di connessione e sicurezza. Configurazione Wins ###
+
-
      security = user
+
-
      guest ok = no
+
-
      encrypt passwords = yes
+
-
      null passwords = no
+
-
      hosts allow = 127.0.0.1 10.0.0.0/255.0.0.0
+
-
      wins support = yes
+
-
      idmap uid = 10000-20000
+
-
      idmap gid = 10000-20000
+
-
      name resolve order = wins lmhosts host bcast
+
-
      dns proxy = no
+
-
      time server = yes
+
-
      socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
+
-
 
+
-
  ### Configurazione dei log ###
+
-
      log file = /var/log/samba/log.%m
+
-
      log level = 2
+
-
      max log size = 50
+
-
     
+
-
  ### Impostazione charset corretto ###
+
-
      hide unreadable = yes
+
-
      hide dot files = yes
+
-
      unix charset = ISO8859-1
+
-
 
+
-
      panic action = /usr/share/samba/panic-action %d
+
-
 
+
-
  ### Configurazione del supporto a LDAP ###
+
-
      passdb backend = ldapsam:ldap://127.0.0.1
+
-
      ldap suffix = dc=dominio,dc=local
+
-
      ldap machine suffix = ou=machines
+
-
      ldap user suffix = ou=users
+
-
      ldap group suffix = ou=groups
+
-
      ldap admin dn = cn=admin,dc=dominio,dc=local
+
-
      enable privileges = yes
+
-
 
+
-
  ### Permetto il cambio password da Windows
+
-
      ldap password sync = yes
+
-
 
+
-
  ### Profili mobili, directory home, script di logon ###
+
-
      logon home = \\%L\homes\%U\
+
-
      logon drive = H:
+
-
      logon path = \\%L\profiles\%U
+
-
      logon script = %U.bat OR netlogon.bat
+
-
 
+
-
  ### Script LDAP per gestione utenti e gruppi ###
+
-
      passwd program = /usr/sbin/smbldp-passwd %u
+
-
      passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*
+
-
      add user script = /usr/sbin/smbldap-useradd -m "%u"
+
-
      ldap delete dn = Yes
+
-
      delete user script = /usr/sbin/smbldap-userdel "%u"
+
-
      add machine script = /usr/sbin/smbldap-useradd -w "%u"
+
-
      add group script = /usr/sbin/smbldap-groupadd -p "%g"
+
-
      delete group script = /usr/sbin/smbldap-groupdel "%g"
+
-
      add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
+
-
      delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
+
-
      set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
+
-
 
+
-
  ### Sistema di stampa ###
+
-
      load printers = yes
+
-
      printcap name = /etc/printcap
+
-
      printing = cups
+
-
      printcap name = cups
+
-
      ; Se desidero che solo il gruppo indicato possa amministrare le stampanti
+
-
      ; NOTA: il gruppo deve essere creato nella struttura LDAP
+
-
      ;printer admin = @sambaadmins
+
-
 
+
-
 
+
-
  ### Condivisioni ###
+
-
 
+
-
### Percorso degli script di logon
+
-
[netlogon]
+
-
      comment = Network Logon Service
+
-
      path = /dominio/netlogon
+
-
      guest ok = no
+
-
      writable = no
+
-
      browseable = no
+
-
      share modes = no
+
-
 
+
-
### Percorso per i roaming profiles
+
-
[profiles]
+
-
      comment = Profili degli utenti
+
-
      path = /dominio/profiles
+
-
      writeable = yes
+
-
      browseable = no
+
-
      guest ok = no
+
-
      hide files = /desktop.ini/ntuser.ini/NTUSER.*/
+
-
      create mask = 0600
+
-
      directory mask = 0700
+
-
      csc policy = disable
+
-
 
+
-
### Condivisione stampanti
+
-
[printers]
+
-
      comment = Stampanti
+
-
      browseable = no
+
-
      path = /var/spool/samba
+
-
      printable = yes
+
-
      public = no
+
-
      writable = no
+
-
      create mode = 0700
+
-
 
+
-
### I client Windows si aspettano questa cartella come fonte per i drivers
+
-
[print$]
+
-
      comment = Drivers delle stampanti
+
-
      path = /var/lib/samba/printers
+
-
      browseable = yes
+
-
      read only = yes
+
-
      guest ok = no
+
-
 
+
-
### Home folders degli utenti
+
-
[homes]
+
-
      path = /home/users/%U
+
-
      comment = Home directory
+
-
      browseable = no
+
-
      writeable = yes
+
-
      valid users = %S
+
-
      read only = no
+
-
      guest ok = no
+
-
      inherit permissions = yes
+
-
 
+
-
### Directory condivisa
+
-
[pubblica]
+
-
      path = /home/pubblica
+
-
      read only = No
+
-
      create mask = 0660
+
-
      directory mask = 2770
+
-
      hide special files = yes
+
-
      hide files = /lost+found/
+
-
      acl group control = yes
+
-
      inherit acls = yes
+
-
      map acl inherit = yes
+
-
      inherit permissions = yes
+
-
      map archive = no
+
-
 
+
-
# Per condividere l'unità CD del server
+
-
;[cdrom]
+
-
      ; comment = Samba server CD
+
-
      ; writable = no
+
-
      ; locking = no
+
-
      ; path = /media/cdrom0
+
-
      ; public = yes
+
-
 
+
-
    ; Per il mount - umount automatico del CD
+
-
    ; Perchè funzioni il file /etc/fstab deve contenere una
+
-
    ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0
+
-
    ;preexec = /bin/mount /cdrom
+
-
    ; postexec = /bin/umount /cdrom
+
-
</pre>
+
-
Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
+
-
<pre>
+
-
# testparm
+
-
</pre>
+
-
Ora possiamo cambiare la password di amministratore e riavviare il servizio:
+
-
<pre>
+
-
# smbpasswd -w password
+
-
# /etc/init.d/samba restart
+
-
</pre>
+
-
 
+
-
===Popolamento del database LDAP===
+
-
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
+
-
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
+
-
{{Box | Nome - UID - Tipo |
+
-
Domain Administrator - 500 - Utente<br/>
+
-
Domain Guest - 501 - Utente<br/>
+
-
Domain KRBTGT - 502 - Utente<br/>
+
-
Domain Admins - 512 - Gruppo<br/>
+
-
Domain Users - 513 - Gruppo<br/>
+
-
Domain Guests - 514 - Gruppo<br/>
+
-
Domain Computers - 515 - Gruppo<br/>
+
-
Domain Controllers - 516 - Gruppo<br/>
+
-
Domain Certificate Admins - 517 - Gruppo<br/>
+
-
Domain Schema Admins - 518 - Gruppo<br/>
+
-
Domain Enterprise Admins - 519 - Gruppo<br/>
+
-
Domain Policy Admins - 520 - Gruppo<br/>
+
-
Builtin Admins - 544 - Alias<br/>
+
-
Builtin users - 545 - Alias<br/>
+
-
Builtin Guests - 546 - Alias<br/>
+
-
Builtin Power Users - 547 - Alias<br/>
+
-
Builtin Account Operators - 548 - Alias<br/>
+
-
Builtin System Operators - 549 - Alias<br/>
+
-
Builtin Print Operators - 550 - Alias<br/>
+
-
Builtin Backup Operators - 551 - Alias<br/>
+
-
Builtin Replicator - 552 - Alias<br/>
+
-
Builtin RAS Servers - 553 - Alias<br/>
+
}}
}}
-
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
 
-
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
 
-
====1 - Utilizzo degli script forniti con smbldap-tools====
 
-
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
 
-
<pre>
 
-
# smbldap-populate -k 0
 
-
# smbldap-useradd -a -m -c "Admin" Administrator
 
-
# smbldap-usermod -G "Domain Admins" Administrator
 
-
# smbldap-usermod -u 0 Administrator
 
-
# smbldap-populate -a Administrator -k 0
 
-
</pre>
 
-
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
 
-
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:
 
-
<pre>
 
-
# ldapsearch -x | less
 
-
</pre>
 
-
e:
 
-
<pre>
 
-
# ldapsearch -x uid=Administrator
 
-
</pre>
 
-
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
 
-
<pre>
 
-
# smbldap-passwd Administrator
 
-
</pre>
 
-
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida.
 
-
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
 
-
 
-
====2 - Utilizzo della GUI phpLDAPadmin====
 
-
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
 
-
Innanzitutto bisogna collegarci con un browser al nostro server:
 
-
<pre>
 
-
https://10.0.0.11/phpldapadmin
 
-
</pre>
 
-
Cliccate sul link di login e inserite le seguenti informazioni:
 
-
<pre>
 
-
Login DN: cn=admin,dc=dominio,dc=local
 
-
Password: password
 
-
</pre>
 
-
[[Immagine:Sambapdc01.jpg|center]]<br/>[[Immagine:Sambapdc02.jpg|center]]<br/>
 
-
Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce '''Create ner entry here".
 
-
[[Immagine:Sambapdc04.jpg|center]]
 
-
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
 
-
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
 
-
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
 
-
<pre>
 
-
smbldap-passwd Administrator
 
-
</pre>
 
-
 
-
===Configurazione delle autenticazioni Unix===
 
-
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
 
-
====Installazione del demone name service caching daemon (nscd)====
 
-
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
 
-
<pre>
 
-
# apt-get install nscd
 
-
</pre>
 
-
La configurazione di default è più che sufficiente per i nostri scopi.<br/>
 
-
Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba:
 
-
<pre>
 
-
# /etc/init.d/samba restart
 
-
</pre>
 
-
 
-
====Installazione di libnss-ldap====
 
-
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
 
-
<pre>
 
-
apt-get install libnss-ldap
 
-
</pre>
 
-
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
 
-
<pre>
 
-
# dpkg-reconfigure libnss-ldap
 
-
</pre>
 
-
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
 
-
* Server LDAP: 127.0.0.1
 
-
* Distinguished Name (DN): dc=dominio,dc=local
 
-
* LDAP Version: 3
 
-
* E' richiesto l'utente per il database LDAP: no
 
-
* Privilegi speciali LDAP per root: sí
 
-
* Configurazione leggibile e scrivibile solo dal propietario: sí
 
-
* Account LDAP per root cn=admin,dc=dominio,dc=local
 
-
* Password LDAP di root: password
 
-
A questo punto bisogna modificare il file <tt>/etc/nsswitch.conf</tt> cambiando le tre linee
 
-
<pre>
 
-
passwd: compat
 
-
group: compat
 
-
shadow: compat
 
-
</pre>
 
-
con
 
-
<pre>
 
-
passwd: compat ldap
 
-
group: compat ldap
 
-
shadow: compat ldap
 
-
</pre>
 
-
Il contenuto del file dovrebbe essere il seguente:<br/>
 
-
'''/etc/nsswitch.conf'''
 
-
<pre>
 
-
# /etc/nsswitch.conf
 
-
##
 
-
Example configuration of GNU Name Service Switch functionality.
 
-
# If you have the `glibc-doc-reference' and `info' packages installed, try:
 
-
# `info libc "Name Service Switch"' for information about this file.
 
-
passwd: compat ldap
 
-
group: compat ldap
 
-
shadow: compat ldap
 
-
hosts: files dns
 
-
networks: files
 
-
protocols: db files
 
-
services: db files
 
-
ethers: db files
 
-
rpc: db files
 
-
netgroup: nis
 
-
</pre>
 
-
Per verificare la correttezza delle modifiche eseguite il comando
 
-
<pre>
 
-
getent group
 
-
</pre>
 
-
Il risultato dovrebbe elencarvi sia gli utenti locali unix sia gli utenti e i gruppi creati in LDAP.
 
-
 
-
====Installazione di libpam-ldap====
 
-
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
 
-
<pre>
 
-
# apt-get install libpam-ldap
 
-
# dpkg-reconfigure libpam-ldap
 
-
</pre>
 
-
rispondendo in questo modo alle domande poste dall'installer:
 
-
* Server LDAP: 127.0.0.1
 
-
* Distinguished name (DN): dc=dominio,dc=local
 
-
* LDAP version: 3
 
-
* Make local root Database admin: sí
 
-
* Si richiede utente per database LDAP: no
 
-
* LDAP account for root cn=admin,dc=dominio,dc=local
 
-
* LDAP root password: password
 
-
* Local crypt to use when changing passwords: md5
 
-
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
 
-
'''/etc/pam.d/common-account'''<br/>
 
-
<pre>
 
-
#
 
-
#/etc/pam.d/common-account - authorization settings common to all services
 
-
##
 
-
This file is included from other service-specific PAM config files,
 
-
# and should contain a list of the authorization modules that define
 
-
# the central access policy for use on the system. The default is to
 
-
# only deny service to users whose accounts are expired in /etc/shadow.
 
-
#
 
-
#account required pam_unix.so
 
-
account sufficient pam_ldap.so
 
-
account required pam_unix.so try_first_pass
 
-
</pre>
 
-
<br/>
 
-
'''/etc/pam.d/common-auth'''<br/>
 
-
<pre>
 
-
#
 
-
# /etc/pam.d/common-auth - authentication settings common to all services
 
-
#
 
-
# This file is included from other service-specific PAM config files,
 
-
# and should contain a list of the authentication modules that define
 
-
# the central authentication scheme for use on the system
 
-
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
 
-
# traditional Unix authentication mechanisms.
 
-
#
 
-
#auth required pam_unix.so nullok_secure
 
-
auth sufficient pam_ldap.so
 
-
auth required pam_unix.so nullok_secure use_first_pass
 
-
</pre>
 
-
<br/>
 
-
'''/etc/pam.d/common-password'''<br/>
 
-
<pre>
 
-
# /etc/pam.d/common-password - password-related modules common to all services
 
-
##
 
-
This file is included from other service-specific PAM config files,
 
-
# and should contain a list of modules that define the services to be
 
-
#used to change user passwords. The default is pam_unix
 
-
# The "nullok" option allows users to change an empty password, else
 
-
# empty passwords are treated as locked accounts.
 
-
#
 
-
# (Add `md5' after the module name to enable MD5 passwords)
 
-
#
 
-
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
 
-
# login.defs. Also the "min" and "max" options enforce the length of the
 
-
# new password.
 
-
#password required pam_unix.so nullok obscure min=4 max=8 md5
 
-
# Alternate strength checking for password. Note that this
 
-
# requires the libpam-cracklib package to be installed.
 
-
# You will need to comment out the password line above and
 
-
# uncomment the next two in order to use this.
 
-
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
 
-
#
 
-
# password required pam_cracklib.so retry=3 minlen=6 difok=3
 
-
# password required pam_unix.so use_authtok nullok md5
 
-
password sufficient pam_ldap.so
 
-
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
 
-
</pre>
 
-
<br/>
 
-
'''/etc/pam.d/common-session'''<br/>
 
-
<pre>
 
-
session    sufficient      pam_ldap.so
 
-
session    required        pam_unix.so
 
-
</pre>
 
-
 
-
====Assegnazione dei permessi agli utenti di dominio====
 
-
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
 
-
<pre>
 
-
net -S DEBIAN -U Administrator rpc rights grant "DOMAIN\Domain Admins"
 
-
\SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege
 
-
\SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
 
-
</pre>
 
-
<pre>
 
-
net -S DEBIAN -U Administrator rpc rights grant "DOMAIN\Print Operators" \SePrintOperatorPrivilege
 
-
</pre>
 
-
dove DEBIAN è il nome Samba assegnato al server.
 
-
 
-
===Aggiungere i primi utenti di dominio===
 
-
Adesso siamo pronti per la creazione del primo utente con il comando:
 
-
<pre>
 
-
# smbldap-useradd -a -m -c "Nome Utente" -u 100xx username
 
-
</pre>
 
-
Dove -a serve per creare anche i dati UNIX, -m crea l'home directory, -c specifica il nome completo e -u 100xx (x è un numero crescente che parte con 01 e deve aumentare di una unità per ogni utente aggiunto) serve per evitare che l'utente creato abbia un UID già utilizzato da Debian per gli utenti locali. Infatti Debian assegna gli UID utenti a partire da 1000; utilizzando una struttura 100xx il nostro primo utente di dominio avrà UID 10001, evitando sovrapposizioni.<br/>
 
-
Infine impostare la password dell'utente con:
 
-
<pre>
 
-
# smbldap-passwd username
 
-
</pre>
 
-
Per verificare il tutto usare il comando:
 
-
<pre>
 
-
# smbldap-usershow username
 
-
</pre>
 
-
Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio:
 
-
<pre>
 
-
# smbldap-groupadd -g 500xx "NomeGruppo"
 
-
</pre>
 
-
dove l'opzione -g 500xx (x è un numero crescente che parte con 01 e deve aumentare di una unità per ogni gruppo aggiunto) serve per evitare che il gruppo creato abbia un GID già utilizzato da Debian per i gruppi locali.
 
-
Aggiungiamo gli utenti ai gruppi desiderati:
 
-
<pre>
 
-
# smbldap-usermod -G "NomeGruppo" nome.utente
 
-
</pre>
 
-
Con queste impostazioni avremo, quindi:
 
-
* utenti e gruppi locali con UID e GID a partire da 1000
 
-
* utenti di dominio con UID a partire da 10001
 
-
* utenti e gruppi predefiniti di dominio con UID e GID a partire da 500
 
-
* gruppi di dominio con GID a partire da 50001
 
-
E' molto importante che venga implementato uno schema di attribuzione dei valori GID e UID simile a quello utilizzato in questa guida; in caso contrario si rischia che i tools smbldap attribuiscano un GID o un UID ad un oggetto di dominio con lo stesso valore di un GID o un UID di un oggetto di sistema di Debian.
 
-
<br/><br/>
 
-
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
 
-
<pre>
 
-
# mkdir /home/users/nome.utente
 
-
# cp /etc/skel/.* /home/users/nome.utente/
 
-
# chown -R nome.utente /home/users/nome.utente
 
-
</pre>
 
-
 
-
===Creazione di un semplice script da eseguire al login di windows===
 
-
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.
 
-
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
 
-
<pre>
 
-
# apt-get install tofrodos
 
-
</pre>
 
-
creiamo lo script con l'editor che preferiamo
 
-
<pre>
 
-
# vim /dominio/netlogon/logon.bat
 
-
</pre>
 
-
syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
 
-
<pre>
 
-
net time %LOGONSERVER% /set /yes
 
-
net use X: \\SERVER\Nome_Condivisione
 
-
</pre>
 
-
infine
 
-
<pre>
 
-
# unix2dos /dominio/netlogon/logon.bat
 
-
</pre>
 
-
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
 
-
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
 
-
 
-
===Test e connessione al dominio===
 
-
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
 
-
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
 
-
<pre>
 
-
# smbclient -L localhost -U Administrator
 
-
</pre>
 
-
Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server.
 
-
<br/><br/>
 
-
La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client:
 
-
<br/><br/>
 
-
'''Windows 95/98/ME'''
 
-
# Verificare che sia installato il "Client per Reti Microsoft" fra le proprietà di rete
 
-
# Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
 
-
# Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
 
-
# Se si è configurata su smb.conf l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
 
-
# Inserire il nome del proprio dominio e cliccare OK.
 
-
'''Windows NT'''
 
-
# Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà
 
-
# Selezionare Dominio e inserire il nome del prorio dominio
 
-
# Selezionare Crea un Computer Account
 
-
# Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l'utente root deve essere aggiunto a smbpasswd.
 
-
# Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio.
 
-
'''Windows 2000'''
 
-
# Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull'icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà).
 
-
'''Windows XP'''
 
-
<br/>
 
-
La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).
 
-
# Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione)
 
-
# Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) )
 
-
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
 
-
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
 
-
# Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
 
-
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
 
-
'''Windows Vista'''
 
-
<br/>
 
-
# Non ancora testato.
 
-
<br/>
 
-
'''Linux/Unix'''
 
-
<br/>
 
-
Anche dei sistemi Linux, ovviamente, possono unirsi ad un dominio con un PDC Samba e se sono dei file server, si può configurare Samba per permettere l'autenticazione tramite il dominio. Su smb.conf ci devono essere le seguenti righe:
 
-
<pre>
 
-
[global]
 
-
      workgroup = <nome dominio>
 
-
      netbios name = <nome server samba>
 
-
      security = DOMAIN
 
-
      encrypt passwords = Yes
 
-
      password server = <nome/ip del PDC>
 
-
      os level = 20 # Deve essere inferiore a quello del PDC
 
-
      preferred master = False
 
-
      domain master = False
 
-
</pre>
 
-
Ovviamente sul PDC Samba deve essere creato un computer account per il nostro Samba locale (con il nome specificato in netbios name) e, anche in questo caso, il computer locale deve preventivamente unirsi al dominio, con una procedura che è paragonabile a quelle viste sopra per client Windows. Sul Linux/Unix locale basta scrivere:
 
-
<pre>
 
-
smbpasswd -j <nome dominio> -r <nome PDC server> -U root
 
-
</pre>
 
-
Bisogna fornire la password di root del PDC Samba (ricordarsi che è la password salvata in smbpasswd e non in passwd/shadow, nel caso fossero diverse).
 
-
 
-
===Unire un server Samba al dominio===
 
-
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
 
-
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
 
-
# Usare il server di dominio per l'autenticazione
 
-
Il primo caso non verrà trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere.
 
-
<br/>
 
-
Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/>
 
-
'''/etc/resolve.conf'''<br/>
 
-
<pre>
 
-
search dominio.local
 
-
nameserver 10.0.0.11
 
-
</pre>
 
-
Per testare il corretto funzionamento del DNS potete provare il comando:
 
-
<pre>
 
-
# host 10.0.0.11
 
-
</pre>
 
-
che deve restituire:
 
-
<pre>
 
-
> 11.0.0.10.in-addr.arpa domain name pointer
 
-
> server.dominio.local.
 
-
</pre>
 
-
Installiamo ora samba e winbind:
 
-
<pre>
 
-
# apt-get install samba winbind
 
-
</pre>
 
-
Winbind è un software che permette agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l'autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows. Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch, che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.<br/>
 
-
Quindi stoppiamo i demoni appena installati:
 
-
<pre>
 
-
# /etc/init.d/samba stop
 
-
# /etc/init.d/winbind stop
 
-
</pre>
 
-
e modifichiamo il file <tt>/etc/samba/smb.conf</tt> con le seguenti direttive:
 
-
<pre>
 
-
[global]
 
-
  # Impostazioni per il dominio
 
-
    security = domain
 
-
    workgroup = DOMINIO
 
-
    realm = DOMINIO.LOCAL
 
-
    server string = Server Samba
 
-
    netbios name = FILESERVER
 
-
    # os level deve essere inferiore a quello del PDC
 
-
    os level = 20
 
-
    preferred master = False
 
-
    domain master = False
 
-
 
-
  # Impostazioni Wins e DNS
 
-
    wins server = 10.0.0.11
 
-
    dns proxy = no
 
-
    name resolve order = wins hosts bcast
 
-
 
-
  # Impostazioni LDAP e utenti
 
-
    ldap suffix = dc=dominio,dc=local
 
-
    ldap machine suffix = ou=machines
 
-
    ldap group suffix = ou=groups
 
-
    ldap user suffix = ou=users
 
-
    ldap idmap suffix = ou=idmap
 
-
    ldap admin dn=cn=admin,dc=dominio,dc=local
 
-
    idmap backend = ldap:"ldap://10.0.0.11"
 
-
 
-
  # Rimappo gli utenti remoti con uid e gid diversi
 
-
    winbind uid = 10000-20000
 
-
    winbind gid = 10000-20000
 
-
    winbind enum users = yes
 
-
    winbind enum groups = yes
 
-
    winbind separator = +
 
-
    password server = server
 
-
    winbind use default domain = Yes
 
-
    encrypt passwords = yes
 
-
 
 
-
  # Samba LOG
 
-
    syslog = 0
 
-
    log level = 3 passdb:1 auth:1 winbind:1
 
-
    panic action = /usr/share/samba/panic-action %d
 
-
    max log size = 1000
 
-
    log file = /var/log/samba/log.%m
 
-
    ;template primary group = "Domain Users"
 
-
 
-
  # Files/Directories
 
-
    map acl inherit = yes
 
-
    case sensitive = no
 
-
    directory mask = 0770
 
-
    hide unreadable = yes
 
-
 
-
[condivisione]
 
-
    comment = Dati Condivisi
 
-
    path = /dominio/dati
 
-
    valid users = @"Domain Users"
 
-
    writeable = Yes
 
-
    browseable = Yes
 
-
</pre>
 
-
Fare ripartire Samba con:
 
-
<pre>
 
-
/etc/init.d/samba start
 
-
</pre>
 
-
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
 
-
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<tt>ldap://10.0.0.11</tt>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
 
-
<pre>
 
-
# apt-get install libnss-ldap
 
-
</pre>
 
-
Modificate i seguenti files:<br/>
 
-
'''/etc/nsswitch.conf''':
 
-
<pre>
 
-
passwd: compat ldap winbind
 
-
group: compat ldap winbind
 
-
shadow: compat ldap
 
-
</pre>
 
-
'''/etc/ldap/ldap.conf''':
 
-
<pre>
 
-
BASE    dc=domimio,dc=local
 
-
URI    ldap://10.0.0.11:389
 
-
</pre>
 
-
'''/etc/libnss-ldap.conf''':
 
-
<pre>
 
-
base dc=dominio,dc=local
 
-
uri ldap://10.0.0.11/
 
-
ldap_version 3
 
-
# The ldap-admin account. The appropriate password is in /etc/libnss-ldap.secret. Keep the permissions right.
 
-
rootbinddn cn=admin,dc=dominio,dc=local
 
-
</pre>
 
-
Ora facciamo ripartire i demoni:
 
-
<pre>
 
-
# /etc/init.d/samba restart
 
-
# /etc/init.d/winbind restart
 
-
</pre>
 
-
Per unire il server al dominio e creare l'utente relativo al pc è necessario dare il seguente comando:
 
-
<pre>
 
-
net rpc join -D DOMINIO -U Administrator%password
 
-
</pre>
 
-
Per controllare che tutto sia andato a buon fine si può riavviare il PC e eseguire il comando:
 
-
<pre>
 
-
getent passwd
 
-
</pre>
 
-
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP.
 
-
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
 
-
 
-
===Backup e restore del database LDAP===
 
-
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
 
-
====Offline Physical Backup====
 
-
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
 
-
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
 
-
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
 
-
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
 
-
 
-
====Offline Logical Backup====
 
-
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
 
-
# <tt>/usr/sbin/rcldap stop</tt>
 
-
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
 
-
# <tt>/usr/sbin/rcldap start</tt>
 
-
 
-
====Online Backup====
 
-
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
 
-
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
 
-
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
 
-
====Database Restore====
 
-
# Per ripristinare un offline backup:
 
-
## <tt>/usr/sbin/rcldap stop</tt>
 
-
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
 
-
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
 
-
## <tt>/usr/sbin/rcldap start</tt>
 
-
# Per ripristinare un online backup:
 
-
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
 
-
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
 
-
 
-
====Replica del database LDAP su un altro server====
 
-
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
 
-
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
 
-
 
-
===db4===
 
-
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
 
-
<pre>
 
-
# apt-get install db4.2-util
 
-
</pre>
 
-
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
 
-
<br/>
 
-
===Comandi utili e consigli finali===
 
-
====Creazione di utenti====
 
-
<pre>
 
-
# smbldap-useradd -a -m -c "Descrizione Utente" -u 100xx nome.utente
 
-
# smbldap-passwd nome.utente
 
-
</pre>
 
-
Per verificare il tutto usare il comando
 
-
<pre>
 
-
# smbldap-usershow nome.utente
 
-
</pre>
 
-
 
-
====Creazione di un gruppo====
 
-
<pre>
 
-
# smbldap-groupadd -g 500xx "NomeGruppo"
 
-
</pre>
 
-
 
-
====Aggiunta di un utente a un gruppo====
 
-
Per impostare il gruppo primario dell'utente:
 
-
<pre>
 
-
# smbldap-usermod -g "NomeGruppo" nome.utente
 
-
</pre>
 
-
Per aggiungere l'utente a ulteriori gruppi:
 
-
<pre>
 
-
# smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente
 
-
</pre>
 
-
 
-
====Elencare i gruppi memorizzati in LDAP====
 
-
<pre>
 
-
# ldapsearch -x objectClass=posixGroup
 
-
</pre>
 
-
====Elencare gli utenti di un gruppo====
 
-
<pre>
 
-
# smbldap-groupshow "gruppo"
 
-
</pre>
 
-
====Backuppare una directory condivisa dal server usando le credenziali di un utente specifico====
 
-
<pre>
 
-
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
 
-
</pre>
 
-
====Elencare le risorse condivise di una macchina====
 
-
<pre>
 
-
smbclient -L nomeserver
 
-
</pre>
 
-
====Per fare delle modifiche nel DB in maniera semplice====
 
-
<pre>
 
-
  slapcat -l /tmp/backup.ldif   
 
-
 
-
  # stoppare il servizio
 
-
 
-
  /etc/init.d/slapd stop
 
-
 
-
  # una copia del vecchio db
 
-
 
-
  cp -r /var/lib/ldap  /var/lib/ldap.old
 
-
  mkdir /var/lib/ldap
 
-
 
-
  Modificare il file backup.ldif e quindi reimportarlo
 
-
 
-
  slapadd -c -l /tmp/backup.ldif
 
-
</pre>
 
-
====Comandi utili LDAP====
 
-
<pre>
 
-
ldapsearch -b "dc=miodominio,dc=local" -x
 
-
 
-
ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x
 
-
 
-
ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif  # per importare un ldif
 
-
 
-
ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
 
-
</pre>
 
-
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
 
-
<br/>
 
-
<br/>
+
[[Categoria:Samba]][[Categoria:Reti con Windows]]
-
: [[Utente:Ferdybassi|Ferdybassi]]
+

Versione attuale delle 13:12, 6 giu 2015

Samba
Arrow left.png

Condivisione risorse

Controller di dominio

Altro

Arrow right.png


Debian-swirl.png Versioni Compatibili
soltanto:
Debian 4 "Etch"

Versioni compatibili


Sommario

  1. Introduzione e prerequisiti
  2. Installazione del server LDAP
  3. Installazione di Samba
  4. Configurazione del server LDAP
  5. Configurazione dei client per LDAP
  6. Configurazione di Samba
  7. Configurazione delle autenticazioni UNIX
  8. Aggiungere i primi utenti di dominio
  9. Creazione di un semplice script da eseguire al login di Windows
  10. Test e connessione al dominio
  11. Unire un server Samba al domino
  12. Backup e restore del database LDAP
  13. Interfacce web alternative per OpenLDAP
  14. Comandi utili e consigli finali




Guida scritta da: Ferdybassi

Swirl-auth20.png Debianized 20%

Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized

Strumenti personali
Namespace
Varianti
Azioni
Navigazione
Risorse
Strumenti