Guide@Debianizzati.Org

Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni

Pagina Discussione

Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze (visualizza wikitesto)

Versione delle 06:24, 17 set 2010

7 346 byte aggiunti ,  17 set 2010
→‎Unire un server Samba al dominio
Riga 1 487: Riga 1 487:
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP.
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP.
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
== Backup e restore del database LDAP ==
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
=== Offline Physical Backup ===
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
=== Offline Logical Backup ===
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
# <tt>/usr/sbin/rcldap stop</tt>
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <tt>/usr/sbin/rcldap start</tt>
=== Online Backup ===
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
=== Database Restore ===
# Per ripristinare un offline backup:
## <tt>/usr/sbin/rcldap stop</tt>
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
## <tt>/usr/sbin/rcldap start</tt>
# Per ripristinare un online backup:
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
== Replica del database LDAP su un altro server ==
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
== db4 ==
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
<pre>
# apt-get install db4.2-util
</pre>
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
<br/>
== Interfacce web alternative per OpenLDAP ==
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
* '''LDAP-Account-Manager'''
<pre>
apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash
</pre>
Una volta installato, collegatevi col vostro browser all'indirizzo:
<pre>
http://ip_vostro_server/lam
</pre>
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
* la voce '''Tree Suffix''' con il DN del vostro dominio: dc=dominio,dc=local
* la voce '''List of valid users''' con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local
* la voce Password con la password di Administrator del dominio
Quindi cliccate su '''Edit Account Types''' e modificate le voci come segue:
* al posto di People sostituite Users
* al posto di group sostituite Groups
* al posto di machines sostituite Computers
* eliminate l'indicazione ou=domains nella voce Samba Domains
Date infine OK a questa schermata e OK alla successiva.<br/>
Come ultima cosa cliccate sulla voce '''LAM configuration''', scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.<br/>
Ora siete pronti per effettuare il login in LDAP Account Manager.<br/>
* '''GOsa'''
''To do''
* '''Luma'''
Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
<pre>
apt-get install luma
</pre>
== Comandi utili e consigli finali ==
=== Creazione di utenti ===
<pre>
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
# smbldap-passwd nome.utente
</pre>
Per verificare il tutto usare il comando
<pre>
# smbldap-usershow nome.utente
</pre>
=== Creazione di un gruppo ===
<pre>
# smbldap-groupadd "NomeGruppo"
</pre>
=== Aggiunta di un utente a un gruppo ===
Per impostare il gruppo primario dell'utente:
<pre>
# smbldap-usermod -g "NomeGruppo" nome.utente
</pre>
Per aggiungere l'utente a ulteriori gruppi:
<pre>
# smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente
</pre>
=== Elencare i gruppi memorizzati in LDAP ===
<pre>
# ldapsearch -x objectClass=posixGroup
</pre>
=== Elencare gli utenti di un gruppo ===
<pre>
# smbldap-groupshow "gruppo"
</pre>
=== Backuppare una directory condivisa dal server usando le credenziali di un utente specifico ===
<pre>
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
</pre>
=== Elencare le risorse condivise di una macchina ===
<pre>
smbclient -L nomeserver
</pre>
=== Per fare delle modifiche nel DB in maniera semplice ===
<pre>
  slapcat -l /tmp/backup.ldif   
  # stoppare il servizio
  /etc/init.d/slapd stop
  # una copia del vecchio db
  cp -r /var/lib/ldap  /var/lib/ldap.old
  mkdir /var/lib/ldap
  Modificare il file backup.ldif e quindi reimportarlo
  slapadd -c -l /tmp/backup.ldif
</pre>
=== Comandi utili LDAP ===
<pre>
ldapsearch -b "dc=miodominio,dc=local" -x
ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x
ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif  # per importare un ldif
ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
== Per approfondimenti ==
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/>
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
[[Accedere alle condivisioni Samba dal browser]]<br/>
[[Creare un Cestino di rete per le condivisioni Samba]]<br/>
<br/>
<br/>
: [[Utente:Ferdybassi|Ferdybassi]]
----
[[Categoria:Server]]
[[Categoria:Networking]]
Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/21633"