Samba OpenLDAP su Etch: Installazione Samba: differenze tra le versioni
S3v (discussione | contributi) mNessun oggetto della modifica |
S3v (discussione | contributi) mNessun oggetto della modifica |
||
Riga 21: | Riga 21: | ||
</pre> | </pre> | ||
=== Configurazione === | === Configurazione === | ||
Copiare i file < | Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>. | ||
<pre> | <pre> | ||
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | ||
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | ||
</pre> | </pre> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/> | ||
Se non si è sicuri del DN da inserire lanciare il comando: | Se non si è sicuri del DN da inserire lanciare il comando: | ||
<pre> | <pre> | ||
Riga 60: | Riga 60: | ||
e copiare o prendere nota del codice che viene restituito. | e copiare o prendere nota del codice che viene restituito. | ||
<br/> | <br/> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). | ||
<pre> | <pre> | ||
SID="S-1-5-21-2318037123-1631426476-2439636316" | SID="S-1-5-21-2318037123-1631426476-2439636316" |
Versione attuale delle 08:31, 24 mag 2013
Installazione di Samba
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
# apt-get install samba smbclient smbfs samba-doc cupsys cupsys-bsd
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:
- Nome del Dominio/Workgroup: DOMINIO
- Utilizzare password cifrate: SI
- Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
# apt-get install smbldap-tools
Configurazione
Copiare i file smbldap.conf
e smbldap_bind.conf
in /etc/smbldap-tools
.
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf
inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=dominio,dc=local", in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.
Se non si è sicuri del DN da inserire lanciare il comando:
# slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
slaveDN="cn=admin,dc=dominio,dc=local" slavePw="password" masterDN="cn=admin,dc=dominio,dc=local" masterPw="password"
Il contenuto del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap_bind.conf:
############################ # Credential Configuration # ############################ # Notes: you can specify two differents configuration if you use a # master ldap for writing access and a slave ldap server for reading access # By default, we will use the same DN (so it will work for standard Samba # release) slaveDN="cn=admin,dc=dominio,dc=local" slavePw="password" masterDN="cn=admin,dc=dominio,dc=local" masterPw="password"
Eseguire ora il comando:
# net getlocalsid
e copiare o prendere nota del codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf
inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316" slaveLDAP="127.0.0.1" slavePort="389" masterLDAP="127.0.0.1" masterPort="389"
Verificare che il TLS sia disabilitato.
ldapTLS="0"
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
suffix="dc=dominio,dc=local" sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
defaultMaxPasswordAge="180"
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
userSmbHome="\\SERVER\homes\%U" userProfile="\\SERVER\profiles\%U"
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
userScript="logon.bat"
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
mailDomain="dominio.local"
Il contenuto completo del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap.conf:
# # Purpose : # . be the configuration file for all smbldap-tools scripts ############################################################################## ## General Configuration # ############################################################################## # Put your own SID. To obtain this number do: "net getlocalsid". # If not defined, parameter is taking from "net getlocalsid" return SID="S-1-5-21-125945932-740595490-3132273231" # Domain name the Samba server is in charged. # If not defined, parameter is taking from smb.conf configuration file sambaDomain="DOMINIO" ############################################################################## # # LDAP Configuration # ############################################################################## # Slave LDAP server # If not defined, parameter is set to "127.0.0.1" slaveLDAP="127.0.0.1" # Slave LDAP port # If not defined, parameter is set to "389" slavePort="389" # Master LDAP server: needed for write operations # If not defined, parameter is set to "127.0.0.1" masterLDAP="127.0.0.1" # Master LDAP port # If not defined, parameter is set to "389" masterPort="389" # Use TLS for LDAP # If set to 1, this option will use start_tls for connection # (you should also used the port 389) # If not defined, parameter is set to "1" ldapTLS="0" # How to verify the server's certificate (none, optional or require) # see "man Net::LDAP" in start_tls section for more details verify="none" # CA certificate # see "man Net::LDAP" in start_tls section for more details #cafile="/etc/opt/IDEALX/smbldap-tools/ca.pem" # certificate to use to connect to the ldap server # see "man Net::LDAP" in start_tls section for more details #clientcert="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.pem" # key certificate to use to connect to the ldap server # see "man Net::LDAP" in start_tls section for more details #clientkey="/etc/opt/IDEALX/smbldap-tools/smbldap-tools.key" # LDAP Suffix suffix="dc=dominio,dc=local" # Where are stored Users # Warning: if 'suffix' is not set here, you must set the full dn for usersdn usersdn="ou=users,${suffix}" # Where are stored Computers # Warning: if 'suffix' is not set here, you must set the full dn for computersdn computersdn="ou=machines,${suffix}" # Where are stored Groups # Warning: if 'suffix' is not set here, you must set the full dn for groupsdn groupsdn="ou=groups,${suffix}" # Where are stored Idmap entries (used if samba is a domain member server) # Warning: if 'suffix' is not set here, you must set the full dn for idmapdn #idmapdn="ou=Idmap,${suffix}" # Where to store next uidNumber and gidNumber available for new users and groups # If not defined, entries are stored in sambaDomainName object. sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}" # Default scope Used scope="sub" # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) hash_encrypt="MD5" # if hash_encrypt is set to CRYPT, you may set a salt format. # default is "%s", but many systems will generate MD5 hashed # passwords if you use "$1$%.8s". This parameter is optional! crypt_salt_format="%s" ############################################################################## # # Unix Accounts Configuration # ############################################################################## # Login defs # Default Login Shell userLoginShell="/bin/false" # Home directory userHome="/dominio/homes/%U" # Default mode used for user homeDirectory userHomeDirectoryMode="700" # Gecos userGecos="System Computer" # Default User (POSIX and Samba) GID defaultUserGid="513" # Default Computer (Samba) GID defaultComputerGid="515" # Skel dir skeletonDir="/etc/skel" # Default password validation time (time in days) Comment the next line if # you don't want password to be enable for defaultMaxPasswordAge days (be # careful to the sambaPwdMustChange attribute's value) #defaultMaxPasswordAge="180" ############################################################################## ## SAMBA Configuration # ############################################################################## # The UNC path to home drives location (%U username substitution) # Just set it to a null string if you want to use the smb.conf 'logon home' # directive and/or disable roaming profiles userSmbHome="\\SERVER\homes\%U" # The UNC path to profiles locations (%U username substitution) # Just set it to a null string if you want to use the smb.conf 'logon path' # directive and/or disable roaming profiles userProfile="\\SERVER\profiles\%U" # The default Home Drive Letter mapping # (will be automatically mapped at logon time if home directory exist) userHomeDrive="H:" # The default user netlogon script name (%U username substitution) # if not used, will be automatically username.cmd # make sure script file is edited under dos userScript="logon.bat" # Domain appended to the users "mail"-attribute # when smbldap-useradd -M is used #mailDomain="idealx.com" ############################################################################## # # SMBLDAP-TOOLS Configuration # ############################################################################## # Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but # prefer Crypt::SmbHash library with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" # Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm) # but prefer Crypt:: libraries with_slappasswd="0" slappasswd="/usr/sbin/slappasswd"
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
userLoginShell="/bin/false"
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
userLoginShell="/bin/bash"
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
# chmod 0644 /etc/smbldap-tools/smbldap.conf # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf