4 069
contributi
Riga 1 487: | Riga 1 487: | ||
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP. | che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP. | ||
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio. | A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio. | ||
== Backup e restore del database LDAP == | |||
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server. | |||
=== Offline Physical Backup === | |||
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. | |||
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt> | |||
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup | |||
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt> | |||
=== Offline Logical Backup === | |||
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: | |||
# <tt>/usr/sbin/rcldap stop</tt> | |||
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato | |||
# <tt>/usr/sbin/rcldap start</tt> | |||
=== Online Backup === | |||
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. | |||
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/> | |||
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt> | |||
=== Database Restore === | |||
# Per ripristinare un offline backup: | |||
## <tt>/usr/sbin/rcldap stop</tt> | |||
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup) | |||
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup) | |||
## <tt>/usr/sbin/rcldap start</tt> | |||
# Per ripristinare un online backup: | |||
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/> | |||
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local | |||
== Replica del database LDAP su un altro server == | |||
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/> | |||
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica. | |||
== db4 == | |||
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare: | |||
<pre> | |||
# apt-get install db4.2-util | |||
</pre> | |||
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB. | |||
<br/> | |||
== Interfacce web alternative per OpenLDAP == | |||
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager. | |||
* '''LDAP-Account-Manager''' | |||
<pre> | |||
apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash | |||
</pre> | |||
Una volta installato, collegatevi col vostro browser all'indirizzo: | |||
<pre> | |||
http://ip_vostro_server/lam | |||
</pre> | |||
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite: | |||
* la voce '''Tree Suffix''' con il DN del vostro dominio: dc=dominio,dc=local | |||
* la voce '''List of valid users''' con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local | |||
* la voce Password con la password di Administrator del dominio | |||
Quindi cliccate su '''Edit Account Types''' e modificate le voci come segue: | |||
* al posto di People sostituite Users | |||
* al posto di group sostituite Groups | |||
* al posto di machines sostituite Computers | |||
* eliminate l'indicazione ou=domains nella voce Samba Domains | |||
Date infine OK a questa schermata e OK alla successiva.<br/> | |||
Come ultima cosa cliccate sulla voce '''LAM configuration''', scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.<br/> | |||
Ora siete pronti per effettuare il login in LDAP Account Manager.<br/> | |||
* '''GOsa''' | |||
''To do'' | |||
* '''Luma''' | |||
Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando: | |||
<pre> | |||
apt-get install luma | |||
</pre> | |||
== Comandi utili e consigli finali == | |||
=== Creazione di utenti === | |||
<pre> | |||
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente | |||
# smbldap-passwd nome.utente | |||
</pre> | |||
Per verificare il tutto usare il comando | |||
<pre> | |||
# smbldap-usershow nome.utente | |||
</pre> | |||
=== Creazione di un gruppo === | |||
<pre> | |||
# smbldap-groupadd "NomeGruppo" | |||
</pre> | |||
=== Aggiunta di un utente a un gruppo === | |||
Per impostare il gruppo primario dell'utente: | |||
<pre> | |||
# smbldap-usermod -g "NomeGruppo" nome.utente | |||
</pre> | |||
Per aggiungere l'utente a ulteriori gruppi: | |||
<pre> | |||
# smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente | |||
</pre> | |||
=== Elencare i gruppi memorizzati in LDAP === | |||
<pre> | |||
# ldapsearch -x objectClass=posixGroup | |||
</pre> | |||
=== Elencare gli utenti di un gruppo === | |||
<pre> | |||
# smbldap-groupshow "gruppo" | |||
</pre> | |||
=== Backuppare una directory condivisa dal server usando le credenziali di un utente specifico === | |||
<pre> | |||
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup | |||
</pre> | |||
=== Elencare le risorse condivise di una macchina === | |||
<pre> | |||
smbclient -L nomeserver | |||
</pre> | |||
=== Per fare delle modifiche nel DB in maniera semplice === | |||
<pre> | |||
slapcat -l /tmp/backup.ldif | |||
# stoppare il servizio | |||
/etc/init.d/slapd stop | |||
# una copia del vecchio db | |||
cp -r /var/lib/ldap /var/lib/ldap.old | |||
mkdir /var/lib/ldap | |||
Modificare il file backup.ldif e quindi reimportarlo | |||
slapadd -c -l /tmp/backup.ldif | |||
</pre> | |||
=== Comandi utili LDAP === | |||
<pre> | |||
ldapsearch -b "dc=miodominio,dc=local" -x | |||
ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x | |||
ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif # per importare un ldif | |||
ldapdelete -x -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic" | |||
</pre> | |||
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto. | |||
== Per approfondimenti == | |||
[[Samba e OpenLDAP: creare un controller di dominio]]<br/> | |||
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/> | |||
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/> | |||
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/> | |||
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> | |||
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/> | |||
[[Accedere alle condivisioni Samba dal browser]]<br/> | |||
[[Creare un Cestino di rete per le condivisioni Samba]]<br/> | |||
<br/> | |||
<br/> | |||
: [[Utente:Ferdybassi|Ferdybassi]] | |||
---- | |||
[[Categoria:Server]] | |||
[[Categoria:Networking]] |