Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Nessun oggetto della modifica |
|||
Riga 1: | Riga 1: | ||
{{Versioni compatibili|Debian Lenny 5.0|}} | {{Versioni compatibili|Debian Lenny 5.0|}} | ||
=Versioni compatibili= | =Versioni compatibili= | ||
Riga 8: | Riga 7: | ||
=Introduzione= | =Introduzione= | ||
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> | Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> | ||
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux | Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/> | ||
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/> | Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/> | ||
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori. | Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/> | ||
=Sistema installato e prerequisiti= | =Sistema installato e prerequisiti= | ||
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. | Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. | ||
La | La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/> | ||
Durante tutto il processo si presuppone di agire come utente root. | Durante tutto il processo si presuppone di agire come utente root. | ||
<br/> | <br/> | ||
Riga 31: | Riga 28: | ||
* Password admin di LDAP: password | * Password admin di LDAP: password | ||
Questi parametri vanno ovviamente adattati alle vostre esigenze. | Questi parametri vanno ovviamente adattati alle vostre esigenze. | ||
=Installazione del server LDAP= | =Installazione del server LDAP= | ||
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/> | Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/> | ||
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento.<br/> | |||
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/> | Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/> | ||
<pre> | <pre> | ||
Riga 277: | Riga 71: | ||
</pre> | </pre> | ||
{{ Warningbox | Il comando precedente va scritto in un'unica riga }} | {{ Warningbox | Il comando precedente va scritto in un'unica riga }} | ||
==Installazione di PHPLdapAdmin== | ==Installazione di PHPLdapAdmin== | ||
Ora possiamo installare phpldapadmin: | Ora possiamo installare phpldapadmin: | ||
Riga 290: | Riga 83: | ||
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo: | Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo: | ||
<pre> | <pre> | ||
# wget http://www. | # wget http://www.nomis52.net/data/mkntpwd.tar.gz | ||
</pre> | </pre> | ||
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo: | Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo: | ||
Riga 348: | Riga 141: | ||
# Credential Configuration # | # Credential Configuration # | ||
############################ | ############################ | ||
slaveDN=" | # Notes: you can specify two differents configuration if you use a | ||
# master ldap for writing access and a slave ldap server for reading access | |||
# By default, we will use the same DN (so it will work for standard Samba | |||
# release) | |||
slaveDN="cn=admin,dc=dominio,dc=local" | |||
slavePw="password" | slavePw="password" | ||
masterDN=" | masterDN="cn=admin,dc=dominio,dc=local" | ||
masterPw="password" | masterPw="password" | ||
</pre> | </pre> | ||
Riga 398: | Riga 195: | ||
'''/etc/smbldap-tools/smbldap.conf''': | '''/etc/smbldap-tools/smbldap.conf''': | ||
<pre> | <pre> | ||
# | |||
# Purpose : | |||
# . be the configuration file for all smbldap-tools scripts | |||
############################################################################## | ############################################################################## | ||
## | ## | ||
Riga 403: | Riga 203: | ||
# ############################################################################## | # ############################################################################## | ||
# Put your own SID. To obtain this number do: "net getlocalsid". | # Put your own SID. To obtain this number do: "net getlocalsid". | ||
# If not defined, parameter is taking from "net getlocalsid" return | |||
SID="S-1-5-21-125945932-740595490-3132273231" | SID="S-1-5-21-125945932-740595490-3132273231" | ||
# Domain name the Samba server is in charged. | # Domain name the Samba server is in charged. | ||
# If not defined, parameter is taking from smb.conf configuration file | |||
sambaDomain="DOMINIO" | sambaDomain="DOMINIO" | ||
############################################################################## | ############################################################################## | ||
# | # | ||
Riga 415: | Riga 214: | ||
############################################################################## | ############################################################################## | ||
# Slave LDAP server | # Slave LDAP server | ||
# If not defined, parameter is set to "127.0.0.1" | |||
slaveLDAP="127.0.0.1" | slaveLDAP="127.0.0.1" | ||
# Slave LDAP port | # Slave LDAP port | ||
# If not defined, parameter is set to "389" | |||
slavePort="389" | slavePort="389" | ||
# Master LDAP server: needed for write operations | # Master LDAP server: needed for write operations | ||
# If not defined, parameter is set to "127.0.0.1" | |||
masterLDAP="127.0.0.1" | masterLDAP="127.0.0.1" | ||
# Master LDAP port | # Master LDAP port | ||
# If not defined, parameter is set to "389" | |||
masterPort="389" | masterPort="389" | ||
# Use TLS for LDAP | # Use TLS for LDAP | ||
# If set to 1, this option will use start_tls for connection | # If set to 1, this option will use start_tls for connection | ||
ldapTLS=" | # (you should also used the port 389) | ||
# If not defined, parameter is set to "1" | |||
ldapTLS="0" | |||
# How to verify the server's certificate (none, optional or require) | # How to verify the server's certificate (none, optional or require) | ||
verify="require" | verify="require" | ||
# CA certificate | # CA certificate | ||
cafile="/etc/ | cafile="/etc/smbldap-tools/ca.pem" | ||
# certificate to use to connect to the ldap server | # certificate to use to connect to the ldap server | ||
clientcert="/etc/ | clientcert="/etc/smbldap-tools/smbldap-tools.pem" | ||
# key certificate to use to connect to the ldap server | # key certificate to use to connect to the ldap server | ||
clientkey="/etc/ | clientkey="/etc/smbldap-tools/smbldap-tools.key" | ||
# LDAP Suffix | # LDAP Suffix | ||
suffix="dc=dominio,dc=local" | suffix="dc=dominio,dc=local" | ||
# Where are stored Users | # Where are stored Users | ||
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn | |||
usersdn="ou=Users,${suffix}" | usersdn="ou=Users,${suffix}" | ||
# Where are stored Computers | # Where are stored Computers | ||
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn | |||
computersdn="ou=Computers,${suffix}" | computersdn="ou=Computers,${suffix}" | ||
# Where are stored Groups | # Where are stored Groups | ||
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn | |||
groupsdn="ou=Groups,${suffix}" | groupsdn="ou=Groups,${suffix}" | ||
# Where are stored Idmap entries (used if samba is a domain member server) | # Where are stored Idmap entries (used if samba is a domain member server) | ||
idmapdn="ou=Idmap,${suffix}" | # Warning: if 'suffix' is not set here, you must set the full dn for idmapdn | ||
#idmapdn="ou=Idmap,${suffix}" | |||
# Where to store next uidNumber and gidNumber available for new users and groups | # Where to store next uidNumber and gidNumber available for new users and groups | ||
# If not defined, entries are stored in sambaDomainName object. | |||
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" | sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" | ||
# Default scope Used | # Default scope Used | ||
scope="sub" | scope="sub" | ||
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) | # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) | ||
hash_encrypt="MD5" | hash_encrypt="MD5" | ||
Riga 459: | Riga 263: | ||
# passwords if you use "$1$%.8s". This parameter is optional! | # passwords if you use "$1$%.8s". This parameter is optional! | ||
crypt_salt_format="%s" | crypt_salt_format="%s" | ||
############################################################################## | ############################################################################## | ||
# | # | ||
Riga 534: | Riga 337: | ||
</pre><br/> | </pre><br/> | ||
=Configurazione del server LDAP= | =Configurazione del server LDAP= | ||
Passiamo ora alla configurazione del server LDAP.<br/> | Passiamo ora alla configurazione del server LDAP.<br/> | ||
Riga 555: | Riga 344: | ||
slapcat > ~/slapd.ldif | slapcat > ~/slapd.ldif | ||
</pre> | </pre> | ||
Adesso dobbiamo | Adesso dobbiamo copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA. | ||
<pre> | <pre> | ||
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema | # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema | ||
</pre> | </pre> | ||
Riga 566: | Riga 353: | ||
</pre> | </pre> | ||
e prendete nota del risultato.<br/> | e prendete nota del risultato.<br/> | ||
Ora occorre modificare | Ora occorre modificare il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo nella sezione <tt>Schema and objectClass definitions</tt> lo schema per samba: | ||
<pre> | |||
include /etc/ldap/schema/samba.schema | |||
</pre> | |||
Nella sezione <tt>Indexing options</tt> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA: | |||
<pre> | |||
index objectClass eq,pres | |||
index uid,uidNumber,gidNumber,memberUid eq,pres | |||
index ou,cn,mail,surname,givenname eq,pres,sub | |||
index loginShell eq,pres | |||
index displayName pres,sub,eq | |||
index nisMapName,nisMapEntry eq,pres,sub | |||
index sambaSID eq | |||
index sambaPrimaryGroupSID eq | |||
index sambaDomainName eq | |||
index sambaGroupType eq | |||
index sambaSIDList eq | |||
index uniqueMember eq | |||
index default sub | |||
</pre> | |||
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga: | |||
<pre> | |||
access to attribute=userPassword | |||
</pre> | |||
con: | |||
<pre> | |||
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet | |||
</pre> | |||
Infine aggiungere le informazioni per l'autenticazione: | |||
<pre> | |||
rootdn "cn=admin,dc=dominio,dc=local" | |||
rootpw {MD5}Qhz9FD5FDD9YFKBJVAngcw== | |||
</pre> | |||
Il contenuto del file dovrebbe essere il seguente:<br/> | |||
'''/etc/ldap/sldap.conf''': | '''/etc/ldap/sldap.conf''': | ||
<pre> | <pre> | ||
# | # Allow LDAPv2 binds | ||
allow bind_v2 | allow bind_v2 | ||
# Schema and objectClass definitions | # Schema and objectClass definitions | ||
include | include /etc/ldap/schema/core.schema | ||
include | include /etc/ldap/schema/cosine.schema | ||
include | include /etc/ldap/schema/nis.schema | ||
include | include /etc/ldap/schema/inetorgperson.schema | ||
include | include /etc/ldap/schema/samba.schema | ||
pidfile /var/run/slapd/slapd.pid | |||
argsfile /var/run/slapd/slapd.args | |||
loglevel 0 | |||
modulepath /usr/lib/ldap | |||
moduleload back_bdb | |||
sizelimit 500 | |||
pidfile | |||
argsfile | |||
loglevel | |||
modulepath | |||
moduleload | |||
tool-threads 1 | tool-threads 1 | ||
backend bdb | |||
checkpoint 512 30 | |||
database bdb | |||
suffix "dc=dominio,dc=local" | |||
rootdn "cn=admin,dc=dominio,dc=local" | |||
backend | rootpw {MD5}Qhz9FD5FDD9YFKBJVAngcw== | ||
directory "/var/lib/ldap" | |||
suffix | |||
rootpw {MD5} | |||
directory | |||
dbconfig set_cachesize 0 2097152 0 | dbconfig set_cachesize 0 2097152 0 | ||
dbconfig set_lk_max_objects 1500 | dbconfig set_lk_max_objects 1500 | ||
dbconfig set_lk_max_locks 1500 | dbconfig set_lk_max_locks 1500 | ||
dbconfig set_lk_max_lockers 1500 | dbconfig set_lk_max_lockers 1500 | ||
index objectClass eq,pres | |||
index uid,uidNumber,gidNumber,memberUid eq,pres | |||
index | index ou,cn,mail,surname,givenname eq,pres,sub | ||
index cn | index loginShell eq,pres | ||
index displayName pres,sub,eq | |||
index | index nisMapName,nisMapEntry eq,pres,sub | ||
index displayName | index sambaSID eq | ||
index | index sambaPrimaryGroupSID eq | ||
index sambaDomainName eq | |||
index sambaGroupType eq | |||
index sambaSID | index sambaSIDList eq | ||
index sambaPrimaryGroupSID | index uniqueMember eq | ||
index sambaDomainName | index default sub | ||
index | lastmod on | ||
index | access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet | ||
index | by dn="cn=admin,dc=dominio,dc=local" write | ||
index | by anonymous auth | ||
by self write | |||
by * none | |||
access to attrs=shadowLastChange,shadowMax | |||
lastmod | |||
access to attrs=userPassword,sambaNTPassword,sambaLMPassword | |||
access to attrs=shadowLastChange, | |||
by self write | by self write | ||
by * read | by * read | ||
access to dn.base="" by * read | access to dn.base="" by * read | ||
access to * | access to * | ||
by dn="cn=admin,dc=dominio,dc=local" write | |||
by * read | |||
</pre> | </pre> | ||
Possiamo far ripartire <tt>slapd</tt> affinché tutte le modifiche apportate siano prese in considerazione. | |||
<pre> | <pre> | ||
# /etc/init.d/slapd stop | # /etc/init.d/slapd stop | ||
# rm - | # rm -rf /var/lib/ldap/* | ||
# slapadd -l ~/slapd.ldif | |||
# slapindex | |||
# chown -Rf openldap:openldap /var/lib/ldap | |||
# chown | |||
# /etc/init.d/slapd start | # /etc/init.d/slapd start | ||
</pre> | </pre> | ||
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi: | Si può controllare che il server sia correttamente partito eseguendo una query con i comandi: | ||
Riga 926: | Riga 461: | ||
</pre> | </pre> | ||
In tal modo viene avviato visualizzando varie informazioni di debug a video. | In tal modo viene avviato visualizzando varie informazioni di debug a video. | ||
<br/> | |||
=Configurazione | =Configurazione dei client per LDAP= | ||
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe: | |||
<pre> | <pre> | ||
BASE dc=dominio,dc=local | |||
URI ldap://127.0.0.1/ | |||
</pre> | </pre> | ||
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando: | |||
<pre> | <pre> | ||
# | # ldapsearch -x | ||
</pre> | </pre> | ||
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente. | |||
<br/> | |||
=Configurazione di Samba= | =Configurazione di Samba= | ||
Riga 1 122: | Riga 500: | ||
server string = DOMINOP PDC Server - Samba %v | server string = DOMINOP PDC Server - Samba %v | ||
case sensitive = No | case sensitive = No | ||
### Imposto il server come controller di dominio ### | ### Imposto il server come controller di dominio ### | ||
os level = | os level = 65 | ||
preferred master = yes | preferred master = yes | ||
local master = yes | local master = yes | ||
domain master = yes | domain master = yes | ||
domain logons = yes | domain logons = yes | ||
### Opzioni di connessione e sicurezza. Configurazione Wins ### | ### Opzioni di connessione e sicurezza. Configurazione Wins ### | ||
Riga 1 146: | Riga 518: | ||
idmap uid = 10000-90000 | idmap uid = 10000-90000 | ||
idmap gid = 10000-90000 | idmap gid = 10000-90000 | ||
idmap backend = ldap: | idmap backend = ldap:ldap://127.0.0.1 | ||
name resolve order = wins lmhosts host bcast | name resolve order = wins lmhosts host bcast | ||
dns proxy = | dns proxy = no | ||
time server = yes | time server = yes | ||
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 | socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 | ||
### Configuro Winbind | ### Configuro Winbind | ||
Riga 1 175: | Riga 541: | ||
log level = 2 | log level = 2 | ||
max log size = 50 | max log size = 50 | ||
### Impostazione charset corretto ### | ### Impostazione charset corretto ### | ||
Riga 1 185: | Riga 548: | ||
dos charset = UTF-8 | dos charset = UTF-8 | ||
display charset = UTF-8 | display charset = UTF-8 | ||
panic action = /usr/share/samba/panic-action %d | panic action = /usr/share/samba/panic-action %d | ||
### Configurazione del supporto a LDAP ### | ### Configurazione del supporto a LDAP ### | ||
passdb backend = ldapsam: | passdb backend = ldapsam:ldap://127.0.0.1 | ||
ldap suffix = dc=dominio,dc=local | ldap suffix = dc=dominio,dc=local | ||
ldap machine suffix = ou=Computers | ldap machine suffix = ou=Computers | ||
Riga 1 199: | Riga 558: | ||
ldap group suffix = ou=Groups | ldap group suffix = ou=Groups | ||
ldap idmap suffix = ou=Idmap | ldap idmap suffix = ou=Idmap | ||
ldap admin dn = cn=admin,dc=dominio,dc=local | |||
enable privileges = yes | enable privileges = yes | ||
ldap delete dn = Yes | ldap delete dn = Yes | ||
Riga 1 207: | Riga 567: | ||
pam password change = Yes | pam password change = Yes | ||
unix password sync = Yes | unix password sync = Yes | ||
### Profili mobili, directory home, script di logon ### | ### Profili mobili, directory home, script di logon ### | ||
Riga 1 218: | Riga 577: | ||
passwd program = /usr/sbin/smbldap-passwd %u | passwd program = /usr/sbin/smbldap-passwd %u | ||
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated* | passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated* | ||
add user script = /usr/sbin/smbldap-useradd -m | add user script = /usr/sbin/smbldap-useradd -m "%u" | ||
ldap delete dn = Yes | ldap delete dn = Yes | ||
delete user script = /usr/sbin/smbldap-userdel "%u" | delete user script = /usr/sbin/smbldap-userdel "%u" | ||
Riga 1 237: | Riga 596: | ||
;printer admin = @sambaadmins | ;printer admin = @sambaadmins | ||
### Condivisioni ### | ### Condivisioni ### | ||
Riga 1 249: | Riga 604: | ||
path = /dominio/netlogon | path = /dominio/netlogon | ||
guest ok = no | guest ok = no | ||
writable = | writable = no | ||
browseable = no | browseable = no | ||
share modes = no | share modes = no | ||
### Percorso per i roaming profiles | ### Percorso per i roaming profiles | ||
Riga 1 295: | Riga 649: | ||
guest ok = no | guest ok = no | ||
inherit permissions = yes | inherit permissions = yes | ||
### Directory condivisa | ### Directory condivisa | ||
Riga 1 333: | Riga 682: | ||
# testparm | # testparm | ||
</pre> | </pre> | ||
Ora possiamo cambiare la password di amministratore e riavviare il servizio: | |||
e | |||
<pre> | <pre> | ||
# smbpasswd -w password | # smbpasswd -w password | ||
# /etc/init.d/samba restart | # /etc/init.d/samba restart | ||
</pre> | </pre> | ||
=Popolamento del database LDAP= | =Popolamento del database LDAP= | ||
Riga 1 415: | Riga 720: | ||
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato: | La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato: | ||
<pre> | <pre> | ||
# smbldap-populate | # smbldap-populate -k 0 | ||
# smbldap-useradd -a -m -c "Admin" Administrator | # smbldap-useradd -a -m -c "Admin" Administrator | ||
# smbldap-usermod -G "Domain Admins" Administrator | # smbldap-usermod -G "Domain Admins" Administrator | ||
# smbldap-usermod -u 0 Administrator | # smbldap-usermod -u 0 Administrator | ||
# smbldap-populate -a Administrator -k 0 | |||
</pre> | </pre> | ||
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | ||
Riga 1 455: | Riga 761: | ||
<pre> | <pre> | ||
smbldap-passwd Administrator | smbldap-passwd Administrator | ||
</pre> | </pre> | ||
Riga 1 578: | Riga 811: | ||
<pre> | <pre> | ||
# /etc/nsswitch.conf | # /etc/nsswitch.conf | ||
## | |||
passwd: | Example configuration of GNU Name Service Switch functionality. | ||
shadow: | # If you have the `glibc-doc-reference' and `info' packages installed, try: | ||
# `info libc "Name Service Switch"' for information about this file. | |||
passwd: files ldap | |||
hosts: | group: files ldap | ||
networks: | shadow: files ldap | ||
hosts: files dns ldap | |||
protocols: | hosts: files dns | ||
services: | networks: files | ||
ethers: | protocols: db files | ||
rpc: | services: db files | ||
ethers: db files | |||
netgroup: | rpc: db files | ||
netgroup: nis | |||
</pre> | </pre> | ||
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default: | Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default: | ||
Riga 1 609: | Riga 843: | ||
nss_base_shadow ou=Users,dc=dominio,dc=local?sub | nss_base_shadow ou=Users,dc=dominio,dc=local?sub | ||
nss_base_group ou=Groups,dc=dominio,dc=local?one | nss_base_group ou=Groups,dc=dominio,dc=local?one | ||
</pre> | </pre> | ||
<br/> | <br/> | ||
Riga 1 836: | Riga 1 033: | ||
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. | Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. | ||
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux. | Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux. | ||
=Test e connessione al dominio= | =Test e connessione al dominio= |