Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Popolamento ldap

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Emblem-important.png Attenzione. Questa guida è obsoleta. Viene mantenuta sul Wiki solo per motivi di natura storica e didattica.


Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server

Sommario

  1. Introduzione
  2. Configurazione DHCP e DNS
  3. Installazione e Configurazione LDAP Server
  4. Installazione e Configurazione Autenticazione LDAP
  5. Configurazione cittografia TLS
  6. Installazione e Configurazione Samba PDC
  7. Installazione e Configurazione SMBLDAP-TOOLS
  8. Popolamento database LDAP
  9. Configurazione Quote Utenti
  10. Aggiungere gli utenti di dominio
  11. Testare la rete
  12. Installazione e configurazione PHPLDAPADMIN
  13. Configurazione Client Linux
  14. Comandi Utili e altro
  15. Approfondimenti

Popolamento del database LDAP

Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:

Info.png Nome - UID - Tipo

Domain Admins:*:512:
Domain Users:*:513:
Domain Guests:*:514:
Domain Computers:*:515:
Administrators:*:544:
Account Operators:*:548:
Print Operators:*:550:
Backup Operators:*:551:
Replicators:*:552:

Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automatico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.

Utilizzo degli script forniti con smbldap-tools

La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools che abbiamo già installato:

# smbldap-populate -a root -k 0
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-usermod -G "Domain Admins" Administrator

Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei "Domain Admins". Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:

# ldapsearch -x -b "dc=dominio,dc=local" -D cn=admin,dc=dominio,dc=local -w secret -H ldap://192.168.2.1 uid=Administrator

Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:

# smbldap-passwd Administrator

Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.

Assegnazione dei permessi agli utenti di dominio

Affinché le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente:

# net -S server -U root rpc rights grant "DOMINIO\Domain Admins" SeMachineAccountPrivilege 
SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
Warning.png ATTENZIONE
Il comando è da scrivere senza spazi e in unica riga


# net -S server -U root rpc rights grant "DOMINIO\rossi" SePrintOperatorPrivilege

dove server in questo caso è il netbios name di Samba.