Guide@Debianizzati.Org

Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni

Pagina Discussione

Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze (visualizza wikitesto)

Versione delle 09:06, 23 apr 2016

280 byte aggiunti ,  23 apr 2016
m
→‎Introduzione: rimossa guida obsoleta
m (→‎Introduzione: rimossa guida obsoleta)
 
(141 versioni intermedie di 8 utenti non mostrate)
Riga 1: Riga 1:
{{stub}}
{{SAMBA
{{Versioni compatibili|Debian Squeeze 6.0|}}
|precedente=Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
== Versioni compatibili ==
|successivo=Samba e OpenLDAP: creare un controller di dominio Active Directory con Debian Wheezy}}{{Versioni compatibili|ONLY|Squeeze}}
* Debian Squeeze 6.0
* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]
* Per Debian Lenny 5.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]
 
== Introduzione ==
== Introduzione ==
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]], basata su '''Debian Lenny'''.<br/>
Guide simili per precedenti versioni di Debian o altre distribuzioni linux:
* [[Samba e OpenLDAP: creare un controller di dominio | Debian Sarge]]
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch | Debian Etch]]
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny | Debian Lenny]]
Vedremo questa volta come installare un server basato su '''Debian Squeeze''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Vedremo questa volta come installare un server basato su '''Debian Squeeze''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
== Sistema installato e prerequisiti ==
== Sistema installato e prerequisiti ==
Il presente HOWTO è stato realizzato utilizzando un sistema Debian Squeeze 6.0 con tutti gli aggiornamenti di sicurezza ufficiali.  
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 6.0 Squeeze con tutti gli aggiornamenti di sicurezza ufficiali.  
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/>
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più:
* un sistema LAMP come descritto ad esempio in questa guida: [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]]
* un server DNS, come descritto ad esempio in questa guida: [[Un server DNS e DHCP su Debian]]
Si suppone per comodità che tutti i servizi (LDAP, LAMP, DNS) risiedano sullo stesso server.<br/>
Durante tutto il processo si presuppone di agire come utente root.
Durante tutto il processo si presuppone di agire come utente root.
<br/>
=== Parametri di rete utilizzati ===
=== Parametri di rete utilizzati ===
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
Riga 21: Riga 25:
* Nome del dominio: dominio.local
* Nome del dominio: dominio.local
* Nome NETBIOS del dominio: DOMINIO
* Nome NETBIOS del dominio: DOMINIO
* Classe IP: 192.168.0.0 / 255.255.255.0
* Classe IP: 10.0.0.0 / 255.255.255.0
* IP Server: 192.168.0.10
* IP Server: 10.0.0.10
* Password di root: password
* Password di root: mia_password
* Password Administrator del dominio: password
* Password Administrator del dominio: mia_password
* Password admin di LDAP: password
* Password admin di LDAP: mia_password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Questi parametri vanno ovviamente adattati alle vostre esigenze.
== Installazione del server LDAP ==
== Installazione del server LDAP ==
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
<pre>
<pre>
# apt-get install slapd ldap-utils
# apt-get install slapd ldap-utils samba-doc
</pre>
</pre>
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Riga 47: Riga 52:
* Nome del dominio: dominio.local
* Nome del dominio: dominio.local
* Nome dell'organizzazione: DOMINIO
* Nome dell'organizzazione: DOMINIO
* Password di admin: password
* Password di admin: mia_password
* Conferma password: password
* Conferma password: mia_password
* Motore database da utilizzare: BDB
* Motore database da utilizzare: BDB
* Cancellare il database quando si effettua il purge di slapd: no
* Cancellare il database quando si effettua il purge di slapd: no
Riga 55: Riga 60:
Per verificare il corretto funzionamento del servizio, dare il comando:
Per verificare il corretto funzionamento del servizio, dare il comando:
<pre>
<pre>
# ldapsearch -x -b “dc=dominio,dc=local”
# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
</pre>
</pre>
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Riga 66: Riga 71:
Installiamo per prima cosa alcuni moduli di PHP necessari:
Installiamo per prima cosa alcuni moduli di PHP necessari:
<pre>
<pre>
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap
# apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
 
=== Installazione di PHPLdapAdmin ===
=== Installazione di PHPLdapAdmin ===
Ora possiamo installare phpldapadmin:
Ora possiamo installare phpldapadmin:
Riga 75: Riga 79:
# apt-get install phpldapadmin
# apt-get install phpldapadmin
</pre>
</pre>
Configurare il file '''/etc/phpldapadmin/config.php''':
<pre>
*********************************************
* Define your LDAP servers in this section  *
*********************************************
$servers = new Datastore();
$servers->newServer('ldap_pla');
$servers->setValue('server','name','DOMINIO Server');
$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','base',array('dc=dominio,dc=local'));
$servers->setValue('login','auth_type','session');
</pre>
Controllate che siano decommentate e  configurate le stringhe $Server.
<br/>
Per verificare la corretta installazione del pacchetto, aprite il browser su:
Per verificare la corretta installazione del pacchetto, aprite il browser su:
<pre>
<pre>
Riga 82: Riga 106:
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
<pre>
<pre>
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
# wget http://debian.easyteam.org/files/samba/mkntpwd.tar.gz
</pre>
</pre>
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Riga 94: Riga 118:
</pre>
</pre>
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
== Installazione di Samba ==
== Installazione di Samba ==
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
<pre>
<pre>
# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
# apt-get install samba smbclient smbfs samba-doc swat resolvconf
</pre>
</pre>


La versione di Samba nei repository di Lenny (3.3.5) non supporta il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Lenny (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata:
La versione di Samba nei repository di Squeeze supporta solo parzialmente il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Squeeze (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata:
<pre>
<pre>
# apt-get -t lenny-backports install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
# apt-get -t squeeze-backports install samba smbclient smbfs samba-doc swat resolvconf
</pre>
</pre>
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
Riga 109: Riga 134:
*Utilizzare DHCP per i nomi Netbios: NO
*Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
<br/>
 
== Configurare i SMBLDAP TOOLS ==
== Configurare i SMBLDAP TOOLS ==
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
Riga 119: Riga 144:
</pre>
</pre>
=== Configurazione ===
=== Configurazione ===
Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
Nei doc di smbldap-tools possiamo trovare uno script che ci consente di creare i files di configurazione in modo veloce ed automatico:
<pre>
gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
perl /usr/share/doc/smbldap-tools/configure.pl
</pre>
Verranno replicate tutte le configurazioni presenti in samba, se c'è qualòcosa di sbagliato non confermate con invio, ma scrivete la modifica da apportare direttamente e poi date invio.
<br/>
Tuttavia, dato che non mi fido molto degli script, nel seguito della guida verranno date le indicazioni per procedere ad una configurazione manuale.
 
Copiare inannzitutto i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>.
<pre>
<pre>
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
</pre>
</pre>
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Se non si è sicuri del DN da inserire lanciare il comando:
Se non si è sicuri del DN da inserire lanciare il comando:
<pre>
<pre>
Riga 148: Riga 182:
# release)
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
slavePw="mia_password"
masterDN="cn=admin,dc=dominio,dc=local"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
masterPw="mia_password"
</pre>
</pre>
Eseguire ora il comando:
Eseguire ora il comando:
Riga 158: Riga 192:
e copiare o prendere nota del codice che viene restituito.
e copiare o prendere nota del codice che viene restituito.
<br/>
<br/>
Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
<pre>
<pre>
SID="S-1-5-21-2318037123-1631426476-2439636316"
SID="S-1-5-21-2318037123-1631426476-2439636316"
Riga 235: Riga 269:
ldapTLS="0"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
# How to verify the server's certificate (none, optional or require)
verify="require"
verify=""
# CA certificate
# CA certificate
cafile="/etc/smbldap-tools/ca.pem"
cafile=""
# certificate to use to connect to the ldap server
# certificate to use to connect to the ldap server
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
clientcert=""
# key certificate to use to connect to the ldap server
# key certificate to use to connect to the ldap server
clientkey="/etc/smbldap-tools/smbldap-tools.key"
clientkey=""
# LDAP Suffix
# LDAP Suffix
suffix="dc=dominio,dc=local"
suffix="dc=dominio,dc=local"
Riga 262: Riga 296:
scope="sub"
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# default is "%s", but many systems will generate MD5 hashed
Riga 340: Riga 374:
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
</pre><br/>
</pre><br/>
== Configurazione del server LDAP ==
== Configurazione del server LDAP ==
Passiamo ora alla configurazione del server LDAP.<br/>
Passiamo ora alla configurazione del server LDAP.<br/>
La versione utilizzata di OpenLdap ha come sistema di configurazione la cartella slapd.d ubicata in <code>/etc/ldap/slapd.d</code> ed è stato quindi soppresso il precedente file di configurazione ''slapd.conf''. La differenza non è di poco conto: il vecchio file di configurazione era statico e perciò richiedeva sempre lo stop del demone ''slapd''. Il nuovo è dinamico e permette perciò la modifica ''on the fly'' della configurazione del demone.
<br/>
Il vecchio metodo di configurazione sarà in futuro abbandonato; raccomando quindi di utilizzare il nuovo sistema, a meno che non sussistano pesanti vincoli di compatibilità con vecchie strutture dati.
<br/>
In questa guida verrà quindi utilizzato ''slapd.d'' come metodo di default, ma ricordo che in ''/etc/default/slapd'' si può impostare il vecchio sistema ''slapd.conf'', oppure si può convertire un vecchio database slapd.conf in slapd.d con il comando:
<pre>
# slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d
</pre>
Un esempio di configurazione con il vecchio ''slapd.conf'' sarà riportato nel capitolo seguente della guida.


=== Configurazione del server LDAP con ''slapd.d'' ===
Innanzitutto effettuiamo un backup di LDAP:
Innanzitutto effettuiamo un backup di LDAP:
<pre>
<pre>
# slapcat > ~/slapd.ldif
# slapcat > ~/slapd.ldif
</pre>
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
o più semplicemente
<pre>
# cp -R /etc/ldap/slapd.d /etc/slapd.d.backup
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
<pre>
# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
</pre>
Creiamo il file schema_convert.conf:
<pre>
# touch /tmp/schema_convert.conf
# nano /tmp/schema_convert.conf
</pre>
e editiamolo in questa maniera:
<pre>
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/samba.schema
</pre>
Salviamo il file e creiamo una directory temporanea per gli output di ''slapcat'':
<pre>
# mkdir /tmp/ldif_output
# slapcat -f /tmp/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/samba.ldif
# nano /tmp/samba.ldif
</pre>
e modifichiamo il file come segue:
<pre>
dn: cn=samba,cn=schema,cn=config
...
cn: samba
</pre>
Rimuoviamo le stringhe a fondo pagina:
<pre>
structuralObjectClass: olcSchemaConfig
entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95
creatorsName: cn=config
createTimestamp: 20080827045234Z
entryCSN: 20080827045234.341425Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20080827045234Z
</pre>
Salviamo tutto e copiamolo in /etc/ldap/schema:
<pre>
# cp /tmp/samba.ldif /etc/ldap/schema
</pre>
Quindi generate l'hash SSHA della password di root di LDAP:
<pre>
# slappasswd
</pre>
e prendete nota del risultato.<br/>
Impostiamo la password di amministratore per configurare l'albero di directory LDAP:
<pre>
# ldapmodify -Y EXTERNAL -H ldapi:///
</pre>
La risposta sarà:
<pre>
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
</pre>
Inseriamo le seguenti righe:
<pre>
dn: olcDatabase={0}config,cn=config
add: olcRootPW
olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
</pre>
terminando con ''Ctrl+D''.
<br/>
Ora occorre aggiungere gli schemi che ci serviranno per la configurazione:
<pre>
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif
</pre>
Creiamo il file ''module.ldif'' per aggiungere il modulo del backend:
<pre>
# touch /tmp/module.ldif
# nano /tmp/module.ldif
</pre>
editandolo così:
<pre>
dn: olcDatabase={1}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=dominio,dc=local
-
replace: olcRootDN
olcRootDN: cn=admin,dc=dominio,dc=local
-
replace: olcAccess
olcAccess: to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn="cn=admin,dc=dominio,dc=local" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read by self write
olcAccess: to * by dn="cn=admin,dc=dominio,dc=local" write by * read by self write
-
</pre>
Aggiungiamo alla configurazione il backend in questo modo:
<pre>
#ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/module.ldif
</pre>
e controlliamo che tutto sia andato a buon fine:
<pre>
# ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}bdb
</pre>
Ora aggiungiamo le informazioni per una corretta indicizzazione:
<pre>
# touch /tmp/index.ldif
# nano /tmp/index.ldif
</pre>
editando il file così:
<pre>
dn: olcDatabase={1}bdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uidNumber eq
olcDbIndex: gidNumber eq
olcDbIndex: loginShell eq
olcDbIndex: uid eq,pres,sub
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: uniqueMember eq,pres
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaDomainName eq
olcDbIndex: default sub
</pre>
e aggiungendolo alla configurazione di LDAP:
<pre>
# ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/index.ldif
</pre>
Infine editiamo il file ''/etc/ldap/slapd.d/cn=config.ldif'' così:
<pre>
olcLogLevel: 1 2 8 64 128 256 512
olcAuthzPolicy: none
olcAuthzRegexp: uid=(.*),cn=.*,cn=auth ldap:///dc=dominio,dc=local??sub?(uid=$1)
</pre>
Riavviamo infine il demone <code>slapd</code>:
<pre>
# /etc/init.d/slapd restart
</pre>
 
Verifichiamo un'ultima volta che tutto funzioni correttamente:
<pre>
# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
</pre>
 
=== Configurazione di LDAP con il vecchio metodo ''slapd.conf'' (Deprecato) ===
Innanzitutto indichiamo a LDAP che vogliamo utilizzare il vecchio metodo di configurazione. Apriamo il file:
<pre>
# nano /etc/default/slapd
</pre>
e modifichiamo la riga seguente:
<pre>
# SLAPD_CONF=""
SLAPD_CONF="/etc/ldap/slapd.conf"
</pre>
Quindi effettuiamo un backup di LDAP:
<pre>
# slapcat > ~/slapd.ldif
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
# wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
</pre>
</pre>
Riga 358: Riga 577:
</pre>
</pre>
e prendete nota del risultato.<br/>
e prendete nota del risultato.<br/>
Ora occorre modificare il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo nella sezione <tt>Schema and objectClass definitions</tt> lo schema per samba:
Ora occorre modificare il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo nella sezione <code>Schema and objectClass definitions</code> lo schema per samba:
<pre>
<pre>
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/samba.schema
</pre>
</pre>
Nella sezione <tt>Indexing options</tt> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
Nella sezione <code>Indexing options</code> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
<pre>
<pre>
index objectClass eq,pres
index objectClass eq,pres
Riga 392: Riga 611:
</pre>
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/ldap/sldap.conf''':
'''/etc/ldap/sdapd.conf''':
<pre>
<pre>
#######################################################################
#######################################################################
Riga 568: Riga 787:
#suffix        "dc=debian,dc=org"
#suffix        "dc=debian,dc=org"
</pre>
</pre>
Possiamo far ripartire <tt>slapd</tt> affinché tutte le modifiche apportate siano prese in considerazione.
Possiamo far ripartire <code>slapd</code> affinché tutte le modifiche apportate siano prese in considerazione.
<pre>
<pre>
# /etc/init.d/slapd stop
# /etc/init.d/slapd stop
Riga 582: Riga 801:
# ldapsearch -x
# ldapsearch -x
</pre>
</pre>
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <tt>slapd</tt> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
<pre>
<pre>
# slapd -d 256
# slapd -d 256
</pre>
</pre>
In tal modo viene avviato visualizzando varie informazioni di debug a video.
In tal modo viene avviato visualizzando varie informazioni di debug a video.
<br/>
== Configurazione dei client per LDAP ==
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
<pre>
BASE dc=dominio,dc=local
URI ldap://127.0.0.1/
</pre>
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
<pre>
# ldapsearch -x
</pre>
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente.
<br/>


== Configurazione di Samba ==
== Configurazione di Samba ==
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <tt>/etc/smbldap-tools/smbldap.conf</tt>, quindi è bene stare attenti a non commettere errori.<br/>
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/>
<pre>
<pre>
# mkdir /dominio
# mkdir /dominio
Riga 610: Riga 816:
# mkdir /dominio/pubblica
# mkdir /dominio/pubblica
</pre>
</pre>
La configurazione di Samba si riduce a modificare il file <tt>/etc/samba/smb.conf</tt>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
<pre>
<pre>
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Riga 634: Riga 840:
       domain logons = yes
       domain logons = yes
       admin users = Administrator root @"Domain Admins"
       admin users = Administrator root @"Domain Admins"
      time server = yes
  ### Networking ###
      interfaces = eth0, eth1, lo
      bind interfaces only = yes


   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
Riga 669: Riga 880:
   ### Configurazione dei log ###
   ### Configurazione dei log ###
       log file = /var/log/samba/log.%m
       log file = /var/log/samba/log.%m
       log level = 2
       log level = 2 passdb:6 auth:10 vfs:5 acls:3 msdfs:3
       max log size = 50
       max log size = 5000
      syslog = 0


   ### Impostazione charset corretto ###
   ### Impostazione charset corretto ###
        hide unreadable = yes
      hide unreadable = yes
       hide dot files = yes
       hide dot files = yes
       unix charset = ISO8859-1
       unix charset = ISO8859-1
Riga 691: Riga 903:
       enable privileges = yes
       enable privileges = yes
       ldap delete dn = Yes
       ldap delete dn = Yes
        ldap ssl = no
      ldap ssl = no


   ### Permetto il cambio password da Windows
   ### Permetto il cambio password da Windows
Riga 700: Riga 912:
       pam password change = Yes
       pam password change = Yes
       unix password sync = No
       unix password sync = No
      obey pam restrictions = yes


   ### Profili mobili, directory home, script di logon ###
   ### Profili mobili, directory home, script di logon ###
Riga 833: Riga 1 046:
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba
# wget http://debian.easyteam.org/files/samba/log_access_login.bash -P /etc/samba
# chmod 700 /etc/samba/log_access_login.bash
# chmod 700 /etc/samba/log_access_login.bash
</pre>
</pre>
Riga 867: Riga 1 080:
</pre>
</pre>
Il resto del file va lasciato invariato.
Il resto del file va lasciato invariato.
<br/><br/>
Per poter ottenere un valido roaming profile con client windows è necessario copiare la cartella "''Default User''", che si trova in ''C:\Documents and Settings'', nella cartella ''/home/samba/netlogon''. Prima di copiarla bisogna editare il file ''NTUSER.dat'' dal registro regedit. Seguire questo procedimento:
# Start>Esegui>regedit>(posizionarsi su)HKEY_LOCAL_MACHINE
# (andare su)file>carica hive>C:\Documents and Settings\Default User\NTUSER.dat>apri>(digitare nome)Default
# (entrare in)HKEY_LOCAL_MACHINE>Default>Software>Microsoft>Windows>CurrentVersion>Explorer>User Shell Folder
# cambiare i Dati, da %USERPROFILE% a %LOGONSERVER%\profiles\%USERNAME% dei Nomi: Desktop;Favorites;History; Local AppData; Local Settings;My Pictures;Personal; PrintHood;Recent (a scelta anche Cookies e Cache). Ad esempio da %USERPROFILE%\Desktop a %LOGONSERVER%\profiles\%USERNAME%\Desktop (così per tutti i nomi)
# (posizionarsi su) Default
# (andare su) file>scarica hive
# copiare su /home/samba/netlogon la cartella "Default User" così modificata.
== Popolamento del database LDAP ==
== Popolamento del database LDAP ==
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
Riga 897: Riga 1 120:
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
=== 1 - Utilizzo degli script forniti con smbldap-tools ===
=== 1 - Utilizzo degli script forniti con smbldap-tools ===
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato:
<pre>
<pre>
# smbldap-populate -a root -k 0
# smbldap-populate -a root -k 0
Riga 934: Riga 1 157:
[[Immagine:Sambapdc04.jpg|center]]
[[Immagine:Sambapdc04.jpg|center]]
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }}
Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
<pre>
<pre>
smbldap-passwd Administrator
smbldap-passwd Administrator
</pre>
</pre>
== Configurazione delle autenticazioni Unix ==
== Configurazione delle autenticazioni Unix ==
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
Riga 955: Riga 1 180:
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
<pre>
<pre>
# apt-get install libnss-ldap
# apt-get install libnss-ldap ldap-utils
</pre>
</pre>
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
Riga 962: Riga 1 187:
</pre>
</pre>
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
* Server LDAP: 127.0.0.1
* URI del Server LDAP: ''ldap:///127.0.0.1''
* Distinguished Name (DN): dc=dominio,dc=local
* Distinguished Name (DN): ''dc=dominio,dc=local''
* LDAP Version: 3
* LDAP Version: ''3''
* E' richiesto l'utente per il database LDAP: no
* Configurazione leggibile e scrivibile solo dal propietario: ''sí''
* Privilegi speciali LDAP per root:
* Account LDAP per root: ''cn=admin,dc=dominio,dc=local''
* Configurazione leggibile e scrivibile solo dal propietario:
* Password LDAP di root: ''mia_password''
* Account LDAP per root cn=admin,dc=dominio,dc=local
* nsswitch non è gestito automaticamente: ''OK''
* Password LDAP di root: password
* Permettere all'account amministrativo LDAP di agire come root?: ''Sì''
A questo punto bisogna modificare il file <tt>/etc/nsswitch.conf</tt> cambiando le tre linee
* Il database LDAP richiede il login?: ''No''
* Account LDAP per root: ''cn=admin,dc=dominio,dc=local''
* Password LDAP di root: ''mia_password''
Verifichiamo che il file <code>/etc/pam_ldap.conf</code> contenga almeno:
<pre>
host 127.0.0.1
base dc=dominio,dc=local
uri ldap://127.0.0.1/
</pre>
<br/>
Assicuriamoci che l'uri sia settato correttamente in ''/etc/default/slapd'' alla voce ''SLAPD_SERVICES = ldap://10.0.0.10:389''.
<br/><br/>
A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> come indicato dall'installer. Prima però ne facciamo una copia di backup.
<pre>
# cp -pf /etc/nsswitch.conf /etc/nsswitch.conf.orig
# nano /etc/nsswitch.conf
</pre>
Cambiamo le righe:
<pre>
<pre>
passwd: compat
passwd: compat
Riga 978: Riga 1 220:
con
con
<pre>
<pre>
passwd: files ldap
passwd: compat ldap
group: files ldap
group: compat ldap
shadow: files ldap
shadow: compat ldap
hosts: files dns ldap
hosts: files dns ldap
netgroup: ldap
</pre>
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
Il contenuto del file dovrebbe essere il seguente:<br/>
Riga 987: Riga 1 230:
<pre>
<pre>
# /etc/nsswitch.conf
# /etc/nsswitch.conf
##
#Example configuration of GNU Name Service Switch functionality.
Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
# `info libc "Name Service Switch"' for information about this file.
passwd: files ldap
passwd: compat ldap
group: files ldap
group: compat ldap
shadow: files ldap
shadow: compat ldap
hosts: files dns ldap
hosts: files dns ldap
hosts: files dns
networks: files
networks: files
protocols: db files
protocols: db files
Riga 1 001: Riga 1 242:
ethers: db files
ethers: db files
rpc: db files
rpc: db files
netgroup: nis
netgroup: ldap
</pre>
</pre>
{{ Warningbox | Modificando in maniera sbagliata il file precedente rischiate di bloccare ogni forma di autenticazione sul server, compreso l'utente '''root'''. E' fondamentale avere una copia di backup del file, da poter ripristinare attraverso una distribuzione Live o attraverso il Rescue Mode del Debian Installer }}
<br/>
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
<pre>
# cp -pf /etc/libnss-ldap.conf /etc/libnss-ldap.conf.orig
# nano /etc/libnss-ldap.conf
</pre>
<pre>
<pre>
host 127.0.0.1
host 127.0.0.1
Riga 1 013: Riga 1 260:
pam_member_attribute gid
pam_member_attribute gid
bind_policy soft
bind_policy soft
pam_password md5
pam_password exop
nss_base_passwd ou=Users,dc=dominio,dc=local?sub
nss_base_passwd ou=Users,dc=dominio,dc=local?sub
nss_base_passwd ou=Computers,dc=dominio,dc=local?sub
nss_base_passwd ou=Computers,dc=dominio,dc=local?sub
Riga 1 047: Riga 1 294:
</pre>
</pre>
rispondendo in questo modo alle domande poste dall'installer:
rispondendo in questo modo alle domande poste dall'installer:
* Server LDAP: 127.0.0.1
* URI Server LDAP: ''ldap:///127.0.0.1''
* Distinguished name (DN): dc=dominio,dc=local
* Distinguished name (DN): ''dc=dominio,dc=local''
* LDAP version: 3
* LDAP version: ''3''
* Make local root Database admin: sí  
* Permettere all'account amministrativo LDAP di agire come root?: ''''
* Si richiede utente per database LDAP: no
* Il database LDAP richiede login?: ''no''
* LDAP account for root cn=admin,dc=dominio,dc=local  
* LDAP account for root: ''cn=admin,dc=dominio,dc=local''
* LDAP root password: password
* LDAP root password: ''mia_password''
* Local crypt to use when changing passwords: md5
* Local crypt to use when changing passwords: ''cifrato''
* PAM profiles to enable: ''selezionare tutto''
Modificate come segue il file '''/etc/pam_ldap.conf''':
Modificate come segue il file '''/etc/pam_ldap.conf''':
<pre>
# cp -pf /etc/pam_ldap.conf /etc/pam_ldap.conf.orig
# nano /etc/pam_ldap.conf
</pre>
<pre>
<pre>
bind_policy soft
bind_policy soft
Riga 1 062: Riga 1 314:
nss_base_group ou=Groups,dc=dominio,dc=local?one
nss_base_group ou=Groups,dc=dominio,dc=local?one
</pre>
</pre>
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
=== Sicurezza del server: configurazione di Pam ===
Il metodo migliore per evitare che gli utenti indiscriminatamente si logghino sul server è configurare correttamente ''PAM''. Dopo aver effettuato delle copie di backup:
<pre>
# cd /etc/pam.d
# cp -pf common-account common-account.orig
# cp -pf common-auth common-auth.orig
# cp -pf common-password common-password.orig
# cp -pf common-session common-session.orig
</pre>
andiamo quindi a modificare i quattro files che gestiscono la configurazione di ''pam'' per LDAP in modo che il loro contenuto sia:<br/><br/>
'''/etc/pam.d/common-account'''<br/>
'''/etc/pam.d/common-account'''<br/>
<pre>
<pre>
#
#/etc/pam.d/common-account - authorization settings common to all services
#/etc/pam.d/common-account - authorization settings common to all services
##
This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
#account required pam_unix.so
account sufficient pam_ldap.so
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
account required pam_unix.so
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-auth'''<br/>
'''/etc/pam.d/common-auth'''<br/>
<pre>
<pre>
#
# /etc/pam.d/common-auth - authentication settings common to all services
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
#auth required pam_unix.so nullok_secure
#auth [success=1 default=ignore] pam_unix.so
#auth required pam_ldap.so use_first_pass
auth sufficient pam_ldap.so
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
auth required pam_unix.so nullok_secure use_first_pass
Riga 1 099: Riga 1 341:
<pre>
<pre>
# /etc/pam.d/common-password - password-related modules common to all services
# /etc/pam.d/common-password - password-related modules common to all services
##
password sufficient pam_ldap.so md5
This file is included from other service-specific PAM config files,
password required pam_unix.so nullok obscure md5
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
#password required pam_unix.so nullok obscure min=4 max=8 md5
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure md5 use_first_pass
</pre>
</pre>
<br/>
<br/>
Riga 1 130: Riga 1 351:
</pre>
</pre>


Infine registriamo la password di root di OpenLDAP con i comandi:
Infine verifichiamo la password di root di OpenLDAP con i comandi:
<pre>
<pre>
echo -n "password" > /etc/libnss-ldap.secret
# less /etc/libnss-ldap.secret
echo -n "password" > /etc/pam_ldap.secret
# less /etc/pam_ldap.secret
</pre>
</pre>
=== Test di funzionamento ===
=== Test di funzionamento ===
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Riga 1 153: Riga 1 375:
<pre>
<pre>
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  
\SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege  
SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege  
\SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
</pre>
</pre>
<pre>
<pre>
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" \SePrintOperatorPrivilege
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege
</pre>
</pre>
dove DEBIAN è il nome Samba assegnato al server.
dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga.
 
== Aggiungere i primi utenti di dominio ==
== Aggiungere i primi utenti di dominio ==
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Il pacchetto smbldap-tools presente in Squeeze, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Adesso siamo pronti per la creazione del primo utente con il comando:
Adesso siamo pronti per la creazione del primo utente con il comando:
<pre>
<pre>
Riga 1 190: Riga 1 413:
# chown -R nome.utente /home/users/nome.utente
# chown -R nome.utente /home/users/nome.utente
</pre>
</pre>
== Creazione di un semplice script da eseguire al login di windows ==
== Creazione di un semplice script da eseguire al login di windows ==
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
Riga 1 207: Riga 1 431:
infine
infine
<pre>
<pre>
# unix2dos /dominio/netlogon/logon.bat
# todos /dominio/netlogon/logon.bat
</pre>
</pre>
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Riga 1 242: Riga 1 466:
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
*'''Windows Vista'''
*'''Windows Vista'''
# Non ancora testato.
# Non ancora testato.
*'''Windows 7'''
*'''Windows 7'''
Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida.
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
<pre>
<pre>
Riga 1 253: Riga 1 478:
DWORD  DNSNameResolutionRequired = 0
DWORD  DNSNameResolutionRequired = 0
</pre>
</pre>
Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7
<br/>
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
== Unire un server Samba al dominio ==
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
# Usare il server di dominio per l'autenticazione
Il primo caso non verrà trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere.
<br/>
Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/>
'''/etc/resolv.conf'''<br/>
<pre>
search dominio.local
nameserver 10.0.0.11
</pre>
Per testare il corretto funzionamento del DNS potete provare il comando:
<pre>
# host 10.0.0.11
</pre>
che deve restituire:
<pre>
> 11.0.0.10.in-addr.arpa domain name pointer
> server.dominio.local.
</pre>
Installiamo ora samba e winbind:
<pre>
# apt-get install samba winbind
</pre>
Winbind è un software che permette agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l'autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows. Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch, che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.<br/>
Quindi stoppiamo i demoni appena installati:
<pre>
# /etc/init.d/samba stop
# /etc/init.d/winbind stop
</pre>
e modifichiamo il file <tt>/etc/samba/smb.conf</tt> con le seguenti direttive:
<pre>
[global]
  # Impostazioni per il dominio
    security = domain
    workgroup = DOMINIO
    realm = DOMINIO.LOCAL
    server string = Server Samba
    netbios name = FILESERVER
    # os level deve essere inferiore a quello del PDC
    os level = 20
    preferred master = False
    domain master = False
  # Impostazioni Wins e DNS
    wins server = 10.0.0.11
    dns proxy = no
    name resolve order = wins hosts bcast


  # Impostazioni LDAP e utenti
    ldap suffix = dc=dominio,dc=local
    ldap machine suffix = ou=Computers
    ldap group suffix = ou=Groups
    ldap user suffix = ou=Users
    ldap idmap suffix = ou=Idmap
    ldap admin dn=cn=admin,dc=dominio,dc=local
    idmap backend = ldap:"ldap://10.0.0.11"


  # Rimappo gli utenti remoti con uid e gid diversi
    winbind uid = 10000-90000
    winbind gid = 10000-90000
    winbind enum users = yes
    winbind enum groups = yes
    winbind separator = +
    password server = server
    winbind use default domain = Yes
    encrypt passwords = yes
 
  # Samba LOG
    syslog = 0
    log level = 3 passdb:1 auth:1 winbind:1
    panic action = /usr/share/samba/panic-action %d
    max log size = 1000
    log file = /var/log/samba/log.%m
    ;template primary group = "Domain Users"
  # Files/Directories
    map acl inherit = yes
    case sensitive = no
    directory mask = 0770
[condivisione]
    comment = Dati Condivisi
    path = /dominio/dati
    read only = No
    create mask = 0660
    directory mask = 2770
    hide special files = yes
    hide files = /lost+found/
    acl group control = yes
    inherit acls = yes
    map acl inherit = yes
    inherit permissions = yes
    map archive = no
</pre>
Fare ripartire Samba con:
<pre>
/etc/init.d/samba start
</pre>
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<tt>ldap://10.0.0.11</tt>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
<pre>
# apt-get install libnss-ldap
</pre>
Registriamo la password di root di OpenLDAP con il comando:
<pre>
echo -n "password" > /etc/libnss-ldap.secret
</pre>
Modificate i seguenti files:<br/>
'''/etc/nsswitch.conf''':
<pre>
passwd: compat ldap winbind
group: compat ldap winbind
shadow: compat ldap
</pre>
'''/etc/ldap/ldap.conf''':
<pre>
BASE    dc=domimio,dc=local
URI    ldap://10.0.0.11:389
</pre>
'''/etc/libnss-ldap.conf''':
<pre>
base dc=dominio,dc=local
uri ldap://10.0.0.11/
ldap_version 3
# The ldap-admin account. The appropriate password is in /etc/libnss-ldap.secret. Keep the permissions right.
rootbinddn cn=admin,dc=dominio,dc=local
</pre>
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
<pre>
# apt-get install libpam-ldap
# dpkg-reconfigure libpam-ldap
</pre>
rispondendo in questo modo alle domande poste dall'installer:
* Server LDAP: 127.0.0.1
* Distinguished name (DN): dc=dominio,dc=local
* LDAP version: 3
* Make local root Database admin: sí
* Si richiede utente per database LDAP: no
* LDAP account for root cn=admin,dc=dominio,dc=local
* LDAP root password: password
* Local crypt to use when changing passwords: md5
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
'''/etc/pam.d/common-account'''<br/>
<pre>
#
#/etc/pam.d/common-account - authorization settings common to all services
##
This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
#account required pam_unix.so
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
</pre>
<br/>
'''/etc/pam.d/common-auth'''<br/>
<pre>
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
#auth required pam_unix.so nullok_secure
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
</pre>
<br/>
'''/etc/pam.d/common-password'''<br/>
<pre>
# /etc/pam.d/common-password - password-related modules common to all services
#
#This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
#password required pam_unix.so nullok obscure min=4 max=8 md5
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
</pre>
<br/>
'''/etc/pam.d/common-session'''<br/>
<pre>
session    sufficient      pam_ldap.so
session    required        pam_unix.so
</pre>
Non dimenticate di aggiungre gli utenti di sistema, per evitare l'errore udev visto in precedenza:
<pre>
addgroup --system tss
addgroup --system kvm
addgroup --system rdma
addgroup --system fuse
addgroup --system scanner
addgroup --system nvram
adduser --system tss
</pre>
Ora facciamo ripartire i demoni:
<pre>
# /etc/init.d/samba restart
# /etc/init.d/winbind restart
</pre>
Per unire il server al dominio e creare l'utente relativo al pc è necessario dare il seguente comando:
<pre>
net rpc join -D dominio.local -U Administrator%password
</pre>
Per controllare che tutto sia andato a buon fine si può riavviare il PC e eseguire il comando:
<pre>
getent passwd
</pre>
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP.
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
== Backup e restore del database LDAP ==
== Backup e restore del database LDAP ==
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
=== Offline Physical Backup ===
=== Offline Physical Backup ===
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
# Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code>
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
# Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code>


=== Offline Logical Backup ===
=== Offline Logical Backup ===
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
# <tt>/usr/sbin/rcldap stop</tt>
# <code>/usr/sbin/rcldap stop</code>
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <tt>/usr/sbin/rcldap start</tt>
# <code>/usr/sbin/rcldap start</code>


=== Online Backup ===
=== Online Backup ===
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
# <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/>
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code>
=== Database Restore ===
=== Database Restore ===
# Per ripristinare un offline backup:
# Per ripristinare un offline backup:
## <tt>/usr/sbin/rcldap stop</tt>
## <code>/usr/sbin/rcldap stop</code>
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup)
## <tt>/usr/sbin/rcldap start</tt>
## <code>/usr/sbin/rcldap start</code>
# Per ripristinare un online backup:
# Per ripristinare un online backup:
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/>
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local
 


== Replica del database LDAP su un altro server ==
== Replica del database LDAP su un altro server ==
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.


== db4 ==
== db4 ==
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
<pre>
<pre>
# apt-get install db4.2-util
# apt-get install db4.8-util
</pre>
</pre>
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
Questo pacchetto contiene l'utility db4.8_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
<br/>
<br/>
== Interfacce web alternative per OpenLDAP ==
== Interfacce web alternative per OpenLDAP ==
Riga 1 626: Riga 1 624:
</pre>
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
== Per approfondimenti ==
== Per approfondimenti ==
=== Debianizzati ===
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
Riga 1 632: Riga 1 632:
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
[[Samba: guida estesa]]<br/>
[[Accedere alle condivisioni Samba dal browser]]<br/>
[[Samba: creare un cestino di rete per le condivisioni]]<br/>
[[Creare un Cestino di rete per le condivisioni Samba]]<br/>
[[ClamAV: scansione antivirus delle condivisioni Samba]]<br />
<br/>
<br/>
<br/>
 
: [[Utente:Ferdybassi|Ferdybassi]]
{{Autori
----
|Autore = [[Utente:Ferdybassi|Ferdybassi]]
[[Categoria:Server]]
}}
[[Categoria:Networking]]
 
[[Categoria:Reti con Windows]][[Categoria:Samba]]
HAL 9000
3 581

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/21633...41004"