Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Popolamento ldap
Attenzione. Questa guida è obsoleta. Viene mantenuta sul Wiki solo per motivi di natura storica e didattica. |
Popolamento del database LDAP
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automatico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Utilizzo degli script forniti con smbldap-tools
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools
che abbiamo già installato:
# smbldap-populate -a root -k 0 # smbldap-useradd -a -m -c "Admin" Administrator # smbldap-usermod -G "Domain Admins" Administrator
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei "Domain Admins". Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:
# ldapsearch -x -b "dc=dominio,dc=local" -D cn=admin,dc=dominio,dc=local -w secret -H ldap://192.168.2.1 uid=Administrator
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
# smbldap-passwd Administrator
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Assegnazione dei permessi agli utenti di dominio
Affinché le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente:
# net -S server -U root rpc rights grant "DOMINIO\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
ATTENZIONE Il comando è da scrivere senza spazi e in unica riga |
# net -S server -U root rpc rights grant "DOMINIO\rossi" SePrintOperatorPrivilege
dove server in questo caso è il netbios name di Samba.