Samba e OpenLDAP: creare un controller di dominio Active Directory con Debian Wheezy: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Riga 134: Riga 134:
</pre>
</pre>
Quindi installiamo Samba:
Quindi installiamo Samba:
<!-- Da usarsi quando Samba4 nei repo Debian funzionerà di nuovo
<pre>
<pre>
<!-- Da usarsi quando Samba4 nei repo Debian funzionerà di nuovo
# apt-get install samba4 samba4-clients samba4-common-bin samba4-testsuite resolvconf cifs-utils winbind4-->
# apt-get install samba4 samba4-clients samba4-common-bin samba4-testsuite resolvconf cifs-utils winbind4-->
</pre>
<pre>
# apt-get install sernet-samba-ad acl attr quota fam libnet-ldap-perl krb5-user
# apt-get install sernet-samba-ad acl attr quota fam libnet-ldap-perl krb5-user
</pre>
</pre>

Versione delle 16:51, 2 apr 2014

Document-page-setup.png Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.

Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template.


Samba
Arrow left.png

Condivisione risorse

Controller di dominio

Altro

Arrow right.png


Edit-clear-history.png Attenzione. Questa guida è da considerarsi abbandonata, per via del tempo trascorso dall'ultima verifica.

Potrà essere resa obsoleta, previa segnalazione sul forum, se nessuno si propone per l'adozione.


Debian-swirl.png Versioni Compatibili

Debian 7 "wheezy"
Warning.png ATTENZIONE
La versione di Winbind che attualmente è presente nei repository è buggata e genera un errore:

wbinfo -u
wbinfo: /usr/lib/x86_64-linux-gnu/libwbclient.so.0: no version information available (required by wbinfo) Error looking up domain users
Il bug è stato segnalato e dovrebbe essere risolto a breve. In SID sembra sia presente una versione corretta, ma richiede troppe dipendenze per essere installata in un sistema di produzione

UPDATE del 3 gennaio 2014
Samba4 è stato temporaneamente rimosso da Testing, Sid e Experimental; la versione in Stable è ancora buggata e non funziona. Occorre aspettare o compilarselo a mano



Warning.png ATTENZIONE
In attesa che i bug di Samba4 vengano risolti, attualmente la strada migliore per impostare un dominio Active Directory su una distribuzione Debian-based è installare la versione Community Edition di Zentyal, una distro basata su Ubuntu Server LTS e già ampiamente preconfigurata per lo scopo.



Warning.png ATTENZIONE
In attesa che i bug di Samba4 vengano risolti, è stato scelto di utilizzare i pacchetti Samba4 preparati da Sernet. Per poter aggiungere il repository è necessario registrarsi gratuitamente presso il sito.



Introduzione

Guide simili per precedenti versioni di Debian o altre distribuzioni Linux:

Vedremo questa volta come installare un server basato su Debian Wheezy e Samba 4 affinché funga da Primary Domain Controller di una rete Windows.
Se non siete interessati alle funzionalità di Active Directory introdotte da Samba 4 e intendete solamente installare un Domain Controller che gestisca i profili centralizzati e l'autenticazione degli utenti, consigliamo di utilizzare la versione 3 di Samba, ancora presente nei repository di Wheezy, seguendo ad esempio questa guida:

Active Directory viene rappresentato normalmente come un database integrato nei server Windows, che fungono da domain controller (PDC), e consente di catalogare e gestire in modo centralizzato risorse di vario tipo come utenti, gruppi di lavoro, stampanti e cartelle condivise. In un dominio Active Directory risultano agire diverse componenti. Le informazioni associate alle risorse sono catalogate in un servizio di tipo LDAP integrato, opportunamente personalizzato da Microsoft. Il servizio di risoluzione dei nomi viene effettuato dal servizio DNS interno ai server Active Directory. Alla base del servizio Active Directory vi è il protocollo Kerberos, che permette di gestire le procedure di autenticazione in modo cifrata. Il servizio kerberos si occupa di identificarci, e successivamente di consentirci l’accesso sicuro alle risorse per le quali possediamo i permessi. Questa funzione è definita Single Sign-On (SSO), ovvero una sola autenticazione per l’accesso a tutte le risorse. Questo tipo di supporto viene offerto anche da Samba 4 con le stesse modalità dei server Windows.

La nuova release di Samba 4 ha infatti apportato moltissime modifiche:

  • Samba 4 è in grado di comportarsi come un Domain Controller Active Directory. È quindi possibile utilizzare i tool di gestione presenti nei server Windows 2000/2003, gestire le group policies per i client Windows, aggiungere indifferentemente ulteriori server Windows e/o Debian all'infrastruttura di rete
  • non è più necessario utilizzare come backend un database LDAP, poiché Samba 4 integra un proprio database LDAP modificato per avere compatibilità verso i database LDAP di Microsoft Active Directory
  • la condivisione delle risorse avviene direttamente modificando le proprietà di condivisione della risorsa
  • la gestione del sistema avviene con la logica dell’AD (Active Directory) ed è completamente integrata
  • Samba 4 supporta anche la configurazione cluster, ed il nuovo protocollo CIFS SMB2 introdotto con windows 7
  • E possibile la piena creazione di OU (Unità Amministrative) e l’impostazione di GPO (Group Policies Objects)

Lo stesso server Samba4 verrà poi utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.
Consiglio vivamente di prepararsi una buona tazza di caffè e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poiché che i file da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.

Sistema installato e prerequisiti

Il presente HOWTO è stato realizzato utilizzando un sistema Debian 7.0 Wheezy con tutti gli aggiornamenti di sicurezza ufficiali. La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più:

Non proseguite senza avere questi servizi già attivi e funzionanti. Si suppone per comodità che tutti i servizi (NTP, LAMP, DNS) risiedano sullo stesso server.
Durante tutto il processo si presuppone di agire come utente root.

Parametri di rete utilizzati

In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:

  • Nome del server: server01
  • Nome del dominio: dominio.local
  • Nome NETBIOS del dominio: DOMINIO
  • Classe IP: 10.0.0.0 / 255.255.255.0
  • IP Server: 10.0.0.254
  • Password di root: mia_password
  • Password Administrator del dominio: mia_password
  • Password admin di LDAP: mia_password

Questi parametri vanno ovviamente adattati alle vostre esigenze.

Prerequisiti

Incominciamo sistemando l'hostname per il nostro server di dominio. Apriamo il file:

# nano /etc/hosts

e inseriamo il FQDN del server:

127.0.0.1 localhost
127.0.1.1 server01 server01.dominio.local
10.0.0.254 server01 server01.dominio.local

Allo stesso modo:

# nano /etc/hostname
server01.dominio.local 

Verifichiamo adesso la configurazione di rete del nostro server, che deve avere un indirizzo IP statico:

# nano /etc/network/interfaces
auto eth0
iface eth0 inet static
        address 10.0.0.254
        netmask 255.255.255.0
        gateway 10.0.0.1
        dns-nameserver 10.0.0.254
        dns-search dominio.local

Infine controlliamo che il file:

# nano /etc/resolv.conf

contenga solo le seguenti linee:

search dominio.local
nameserver 10.0.0.254

Installiamo infine alcuni pacchetti che ci serviranno in seguito:

# apt-get install apt-transport-https mc zip bzip2 arj

Installazione di Samba 4

L'installazione di Samba 4 va effettuata in questo momento perché insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nei paragrafi successivi.

Poichè è stato scelto di utilizzare i pacchetti Samba pacchettizzati da Sernet, è necessario aggiungere il repository al nostro /etc/apt/sources.list

# SerNet Samba 4.1 Packages
# (debian-wheezy)
# Username e AccessKey vengono forniti dopo la registrazione gratuita
deb https://USERNAME:ACCESSKEY@download.sernet.de/packages/samba/4.1/debian wheezy main
deb-src https://USERNAME:ACCESSKEY@download.sernet.de/packages/samba/4.1/debian wheezy main

Installiamo la chiave del repository appena aggiunto:

# wget http://ftp.sernet.de/pub/sernet-samba-keyring_1.4_all.deb
# dpkg -i sernet-samba-keyring_1.4_all.deb 
# rm sernet-samba-keyring_1.4_all.deb 
# apt-get update
# apt-get upgrade

Quindi installiamo Samba:

# apt-get install sernet-samba-ad acl attr quota fam libnet-ldap-perl krb5-user

Verranno installati anche una serie di pacchetti relativi a Kerberos, poiché Samba4 utilizza di default lo stesso sistema di autenticazione cifrata utilizzato dai server di dominio Windows.
Durante l'installazione di Samba4 vedrete che il Debian Installer provvederà autonomamente a generare e configurare un albero LDAP, utilizzando i parametri di dominio specificati nel file /etc/hostname che abbiamo modificato in precedenza.

Verificate l'output dell'installer; ci troverete:

See /var/lib/samba/private/named.conf for an example configuration include file for BIND
and /var/lib/samba/private/named.txt for further documentation required for secure DNS updates
Setting up sam.ldb rootDSE marking as synchronized
Fixing provision GUIDs
A Kerberos configuration suitable for Samba 4 has been generated at /var/lib/samba/private/krb5.conf
Once the above files are installed, your Samba4 server will be ready to use

segno che dobbiamo fare ancora qualcosa...
Poco più sotto troverete anche un riassunto della configurazione effettuata automaticamente:

Admin password:        5JLd_,7tvwP;z&)d5<$+
Server Role:           active directory domain controller
Hostname:              server01
NetBIOS Domain:        WORKGROUP
DNS Domain:            dominio.local
DOMAIN SID:            S-1-5-21-2167877427-1748325126-3135181334

Come potete vedere, ci sono delle cose da correggere.
Questi errori sono però irrilevanti, quindi dobbiamo informare dpkg e aptitude che l'installazione si è conclusa regolarmente:

# nano /var/lib/dpkg/status

Cerchiamo la riga:

 “Package: samba4″

e sostituiamo half-configured con 'installed.
Adesso siamo pronti per installare il nostro dominio Active Directory.

Configurazione di Samba come controller di dominio

Questa fase è essenziale e avvicina Samba a Windows in fase di installazione, infatti serve a definire il REALM ed il dominio in cui andrà a servire il nostro server.
Prima di tutto effettuiamo una copia del file di configurazione originale:

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original

E' importante spostare il file e non semplicemente rinominarlo, altrimenti il seguente comando fallirà restituendo un errore.
Quindi lanciamo il nuovo tool per effettuare il provision di Samba, cioè la configurazione di Samba come Domain Controller in una nuova foresta di domini Active Directory:

# /usr/share/samba/setup/provision --realm=dominio.local --domain=DOMINIO --adminpass='mia_password' --server-role=dc --dns-backend=BIND9_DLZ --function-level=2008_R2 --use-xattr=yes --host-ip=10.0.0.10

Confermando con Invio partirà la configurazione di Samba come controller di dominio; il tool di provisioning si incaricherà di configurare tutto quello che serve: Samba, Kerberos, OpenLDAP.
L'opzione --dns-backend=BIND9_DLZ indica a Samba che intendiamo utilizzare come server DNS il demone Bind e non il DNS interno presente in Samba 4.
L'opzione --function-level=2008_R2 imposta il livello di funzionalità di Active Directory a quello di Windows Server 2008 R2 (Per una descrizione dei livelli di funzionalità si veda ad esempio la Technet di Microsoft).
L'opzione --use-xattr=yes ci consente di interagire con gli attributi di un file (man xattr).

Terminate le operazioni di provisioning occorre aprire il nuovo file di configurazione di Samba:

# nano /etc/samba/smb.conf

e aggiungere la direttiva:

server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, smb -s3fs -dns

In mancanza di questa direttiva ogni tentativo di connessione al nostro server terminerebbe con un laconico messaggio di errore:

Connection to localhost failed (Error NT_STATUS_CONNECTION_REFUSED)

Possiamo aggiungere anche le direttive:

# Imposto una shell per gli utenti di dominio
template shell = /usr/sbin/nologin

e

# Imposto la root dove verranno create le
# Home directory degli utenti di dominio
template homedir = /home/%ACCOUNTNAME%


In caso vogliate ripetere l'operazione di provisioning, occorrerà prima rimuovere il vecchio file di configurazione di Samba:

mv /etc/samba/smb.conf /etc/samba/smb.conf.original2

In caso avessimo una configurazione di Samba 4 che utilizza il DNS interno e volessimo switchare su Bind è sufficiente dare il comando:

# samba_upgradedns --dns-backend=BIND9_DLZ

e ricordarsi di verificare che in smb.conf sia presente la direttiva:

server services = ........ -dns

Definizione di REALM

Per poter effettuare questo tipo di configurazione, dobbiamo conoscere almeno a grandi linee alcuni nuovi concetti come il servizio Kerberos e la definizione di Realm. Quindi prima di addentrarsi nella configurazione del Kerberos, è bene affrontare il concetto di REALM (ovvero reame) Kerberos. In pratica il Realm è un dominio di autenticazione formato da utenti e macchine all'interno del quale uno o più server (detti KDC) sono autoritativi. Questa definizione calza perfettamente anche per un dominio AD (Active Directory), che difatti rappresenta anche un REALM kerberos, in cui i KDC sono rappresentati dai Domain Controller. Esattamente come per un AD, anche in Kerberos il REALM ha lostesso nome di un dominio DNS.
In pratica un utente/servizio appartiene ad un realm se e soltanto se condivide un segreto (password/chiave) con il server di autenticazione di quel realm. Il nome di un realm è case sensitive, cioè fa differenza tra minuscole e maiuscole; ma normalmente i realm vengono sempre specificati in maiuscolo.
E’ necessario in un'organizzazione, far coincidere il nome del realm con il dominio DNS (in maiuscolo). E’ importante seguire questi consigli nel momento in cui si deve scegliere il nome del proprio realm, per semplificare la configurazione dei client Kerberos.

Riavvio e test

Infine riavviamo Samba4 con:

/etc/init.d/samba4 restart

e testiamo la configurazione:

# smbclient -L localhost -U%

Il risultato dovrebbe essere:

Domain=[DOMINIO] OS=[Unix] Server=[Samba 4.0.0beta2]
     Sharename       Type       Comment
     ---------       ----       -------
     netlogon        Disk
     sysvol          Disk
     IPC$            IPC        IPC Service
# smbclient //localhost/netlogon -UAdministrator%"your_password" -c 'ls'

Il risultato dovrebbe essere:

Domain=[DOMINIO] OS=[Unix] Server=[Samba 4.0.5]  
.                                   D        0  Fri May 17 21:40:08 2013   
..                                  D        0  Fri May 17 21:42:36 2013

Configurazione del DNS Server BIND

Samba4, così come Microsoft Active Directory, dipende fortemente daun servizio DNS correttamente configurato e funzionante all'interno della rete LAN.
Il DNS Server Bind lo abbiamo già configurato, utilizzando la guida indicata nei prerequisiti, ma la sua configurazione va modificata secondo le indicazioni del file /var/lib/samba/private/named.txt. Quindi apriamo il file di configurazione:

# nano /etc/bind/named.conf.local

e aggiungiamo alla fine del file la seguente sezione:

include "/var/lib/samba/private/named.conf";

Poi aggiungiamo le seguenti righe al file /etc/bind/named.conf.options appena sotto alla definizione dei forwarders:

# nano /etc/bind/named.conf.options
        // Abilito l'autenticazione Samba
        tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";

Quindi impostiamo i permessi corretti per la chiave di autenticazione Samba:

# chgrp bind /var/lib/samba/private/dns.keytab
# chmod g+r /var/lib/samba/private/dns.keytab
# chmod 664 /etc/bind/rndc.key

Occorre poi modificare la zona che definisce la nostra rete interna. Se abbiamo seguito la guida indicata in prececenza, il file della nostra zona locale sarà:

# nano /etc/bind/db.dominio

al quale va aggiunta tutta la sezione dedicata a Samba4/Active Directory:

; Record per Samba4
gc._msdcs               IN CNAME   server01     

; global catalog servers
_gc._tcp                IN SRV 0 100 3268       server01
_gc._tcp.Default-First-Site-Name._sites IN SRV 0 100 3268       server01
_ldap._tcp.gc._msdcs    IN SRV 0 100 389        server01
_ldap._tcp.Default-First-Site-Name._sites.gc._msdcs     IN SRV 0 100 389 server01

; ldap servers
ldap._tcp              IN SRV 0 100 389        server01
_ldap._tcp.dc._msdcs    IN SRV 0 100 389        server01
_ldap._tcp.pdc._msdcs   IN SRV 0 100 389        server01
_ldap._tcp.Default-First-Site-Name._sites               IN SRV 0 100 389 server01
_ldap._tcp.Default-First-Site-Name._sites.dc._msdcs     IN SRV 0 100 389 server01

; krb5 servers
_kerberos._tcp          IN SRV 0 100 88         server01
_kerberos._tcp.dc._msdcs        IN SRV 0 100 88 server01
_kerberos._tcp.Default-First-Site-Name._sites   IN SRV 0 100 88 server01
_kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs IN SRV 0 100 88 server01
_kerberos._udp          IN SRV 0 100 88         server01
; MIT kpasswd likes to lookup this name on password change
_kerberos-master._tcp           IN SRV 0 100 88         server01
kerberos-master._udp           IN SRV 0 100 88         server01

; kpasswd
_kpasswd._tcp           IN SRV 0 100 464        server01
_kpasswd._udp           IN SRV 0 100 464        server01

; heimdal 'find realm for host' hack
_kerberos               IN TXT  DOMINIO.LOCAL

samba           IN A    10.0.0.10

Di default, Bind registra i suoi log tramite Syslog, e quindi nel file /var/log/syslog. Potrebbe però essere conveniente spostare i log del nostro DNS in un file separato.
Per raggiungere lo scopo, è sufficiente modificare il file:

# nano /etc/bind/named.conf.options

aggiungendo la sezione:

logging {
  channel simple_log {
    file "/var/log/bind.log" versions 3 size 5m;
    severity warning;
    print-time yes;
    print-severity yes;
    print-category yes;
  };
  category default{
    simple_log;
  };
};

Creiamo il file di log e impostiamo i permessi corretti:

# touch /var/log/bind.log
# chown named:adm /var/log/bind.log

Per consentire all’accoppiata Samba/Kerberos di effettuare gli aggiornamenti automatici del nostro DNS, occorre aggiungere le seguenti direttive al file di default:

# nano /etc/default/bind9
KEYTAB_FILE="/var/lib/samba/private/dns.keytab" 
KRB5_KTNAME="/var/lib/samba/private/dns.keytab" 
export KEYTAB_FILE 
export KRB5_KTNAME 

Infine riavviamo Bind:

# /etc/init.d/bind9 restart

Per effettuare una verifica del funzionamento dell’update dinamico possiamo utilizzare il comando:

# samba_dnsupdate –verbose

SELinux

Se per caso abbiamo configurato anche SELinux, occorre informarlo dei cambiamenti:

# chcon -t named_conf_t /var/lib/samba/private/dns.keytab

AppArmour

Se per caso abbiamo configurato AppArmour, occorre informarlo dei cambiamenti:

# nano /etc/apparmor.d/usr.sbin.named

aggiungendo le direttive:

/var/lib/samba/private/** rkw,
/var/lib/samba/private/dns/** rkw,
/usr/lib/x86_64-linux-gnu/samba/bind9/** rm,
/usr/lib/x86_64-linux-gnu/samba/gensec/** rm,
/usr/lib/x86_64-linux-gnu/ldb/modules/ldb/** rm,
/usr/lib/x86_64-linux-gnu/samba/ldb/** rm,

Quindi riavviamo AppArmour:

/etc/init.d/apparmor reload

Test della configurazione DNS

Prima di procedere effettuiamo un veloce test della nostra configurazione DNS:

# host -t SRV _ldap._tcp.dominio.local.
_ldap._tcp.dominio.local has SRV record 0 100 389 server01.dominio.local.

# host -t SRV _kerberos._tcp.dominio.local.
_kerberos._tcp.dominio.local has SRV record 0 100 88 server01.dominio.local.

# host -t A server01.dominio.local.
server01.dominio.local has address 10.0.0.10

Kerberos

L'installazione di Kerberos è di per se semplice:

# aptitude install krb5-user

Quando ci viene richiesto, inseriamo il nostro REALM e il nome HOST. Quindi apriamo il file di configurazione:

# nano /etc/krb5.conf

e modifichiamolo così:

[libdefaults]
        default_realm = DOMINIO.LOCAL
        dns_lookup_realm = true
        dns_lookup_kdc = true

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        DOMINIO.LOCAL = {
                kdc = server01.dominio.local:88
                kdc = server01.dominio.local:88
                kdc = server01.dominio.local:88
                admin_server = server01.dominio.local
                default_domain = dominio.local
        }

[domain_realm]
        .dominio.local = DOMINIO.LOCAL
        dominio.local = DOMINIO.LOCAL

[login]
       krb4_convert = true
        krb4_get_tickets = false

Testiamo il funzionamento di Kerberos:

# kinit administrator@DOMINIO.LOCAL

Se il comando precedente ha avuto esito positivo, con il comando:

# klist -e

possiamo vedere il ticket Kerberos che ci è stato assegnato.

Samba 4 e xattr

Per utilizzare le funzioni avanzate di Samba4 è necessario che il filesystem supporti le estensioni di xattr. Queste estensioni permettono la gestione delle funzioni e delle opzioni avanzate del nostro filesystem. La direttiva va caricata nel file fstab come opzione della partizione che vogliamo gestire con samba o per tutto il filesystem a seconda della nostra configurazione:

# nano /etc/fstab
# / was on /dev/sda1 during installation 
UUID=a416ec5c-baff-48fb-9ab7-e6ddfd06f520 / ext4 user_xattr,errors=remount-ro 0 1 

Per verificare l’effettivo supporto del nostro sistema e del nostro filesystem possiamo utilizzare il pacchetto attr ed i seguenti comandi:

# apt-get install attr 
# touch test.txt 
# setfattr -n user.test -v test test.txt 
# setfattr -n security.test -v test2 test.txt 

Per verificare la corretta risposta del filesystem:

# getfattr -d test.txt 
# file: test.txt 
user.test="test" 
# getfattr -n security.test -d test.txt 
# file: test.txt 
security.test="test2" 

Aggiungere utenti a Samba4 Active Directory

Per aggiungere un utente di dominio è sufficiente il comando:

# samba-tool user add USERNAME

Per verificare la corretta creazione:

# wbinfo --name-to-sid USERNAME

Creare delle condivisioni di rete

Ancora da scrivere. Mi sono fermato perchè c'è un baco in Winbind che non permette di andare avanti.
Il bug è già stato segnalato.
mkdir /data/global
chmod 777 /data/global
/etc/samba/smb.conf:
[condivisione]
comment = Condivisione cani e porci
path = /data/condivisione
read only = No

Bibliografia




Guida scritta da: Ferdybassi Swirl-auth20.png Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized