4 069
contributi
Samba e OpenLDAP: creare un controller di dominio con Debian Etch: differenze tra le versioni
Samba e OpenLDAP: creare un controller di dominio con Debian Etch (visualizza wikitesto)
Versione delle 13:07, 6 set 2008
, 6 set 2008→Samba e OpenLDAP: creare un controller di dominio con Debian Etch
| Riga 88: | Riga 88: | ||
# /etc/init.d/apache2 restart | # /etc/init.d/apache2 restart | ||
</pre> | </pre> | ||
===Configurare i SMBLDAP TOOLS=== | |||
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/> | |||
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo. | |||
====Installazione==== | |||
Installare il pacchetto smbldap-tools | |||
<pre> | |||
# apt-get install smbldap-tools | |||
</pre> | |||
====Configurazione==== | |||
Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>. | |||
<pre> | |||
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | |||
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | |||
</pre> | |||
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=miodominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/> | |||
Se non si è sicuri del DN da inserire lanciare il comando: | |||
<pre> | |||
# slapcat | |||
</pre> | |||
e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/> | |||
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno: | |||
<pre> | |||
slaveDN="cn=admin,dc=miodominio,dc=local" | |||
slavePw="passworddiadmindigitataprecedentemente" | |||
masterDN="cn=admin,dc=miodominio,dc=local" | |||
masterPw="passworddiadmindigitataprecedentemente" | |||
</pre> | |||
Eseguire il comando: | |||
<pre> | |||
# net getlocalsid | |||
</pre> | |||
e copiare o prendere nota del codice che viene restituito. | |||
<br/> | |||
Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). | |||
<pre> | |||
SID="S-1-5-21-2318037123-1631426476-2439636316" | |||
slaveLDAP="127.0.0.1" | |||
slavePort="389" | |||
masterLDAP="127.0.0.1" | |||
masterPort="389" | |||
</pre> | |||
Verificare che il TLS sia disabilitato. | |||
<pre> | |||
ldapTLS="0" | |||
</pre> | |||
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (MIODOMINIO). | |||
<pre> | |||
suffix="dc=miodominio,dc=local" | |||
sambaUnixIdPooldn="sambaDomainName=MIODOMINIO,${suffix}" | |||
</pre> | |||
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente: | |||
<pre> | |||
defaultMaxPasswordAge="180" | |||
</pre> | |||
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/> | |||
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles. | |||
<pre> | |||
userSmbHome="\\PDC-SERVER\%U" | |||
userProfile="\\PDC-SERVER\profiles\%U" | |||
</pre> | |||
PDC-SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro: | |||
<pre> | |||
userScript="logon.bat" | |||
</pre> | |||
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/> | |||
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati. | |||
<pre> | |||
mailDomain="miodominio.local" | |||
</pre> | |||
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato. | |||
<pre> | |||
# chmod 0644 /etc/smbldap-tools/smbldap.conf | |||
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf | |||
</pre><br/> | |||