Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
| Riga 1 075: | Riga 1 075: | ||
# (andare su) file>scarica hive | # (andare su) file>scarica hive | ||
# copiare su /home/samba/netlogon la cartella "Default User" così modificata. | # copiare su /home/samba/netlogon la cartella "Default User" così modificata. | ||
== Popolamento del database LDAP == | |||
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/> | |||
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows: | |||
{{Box | Nome - UID - Tipo | | |||
Domain Administrator - 500 - Utente<br/> | |||
Domain Guest - 501 - Utente<br/> | |||
Domain KRBTGT - 502 - Utente<br/> | |||
Domain Admins - 512 - Gruppo<br/> | |||
Domain Users - 513 - Gruppo<br/> | |||
Domain Guests - 514 - Gruppo<br/> | |||
Domain Computers - 515 - Gruppo<br/> | |||
Domain Controllers - 516 - Gruppo<br/> | |||
Domain Certificate Admins - 517 - Gruppo<br/> | |||
Domain Schema Admins - 518 - Gruppo<br/> | |||
Domain Enterprise Admins - 519 - Gruppo<br/> | |||
Domain Policy Admins - 520 - Gruppo<br/> | |||
Builtin Admins - 544 - Alias<br/> | |||
Builtin users - 545 - Alias<br/> | |||
Builtin Guests - 546 - Alias<br/> | |||
Builtin Power Users - 547 - Alias<br/> | |||
Builtin Account Operators - 548 - Alias<br/> | |||
Builtin System Operators - 549 - Alias<br/> | |||
Builtin Print Operators - 550 - Alias<br/> | |||
Builtin Backup Operators - 551 - Alias<br/> | |||
Builtin Replicator - 552 - Alias<br/> | |||
Builtin RAS Servers - 553 - Alias<br/> | |||
}} | |||
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. | |||
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. | |||
=== 1 - Utilizzo degli script forniti con smbldap-tools === | |||
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato: | |||
<pre> | |||
# smbldap-populate -a root -k 0 | |||
# smbldap-useradd -a -m -c "Admin" Administrator | |||
# smbldap-usermod -G "Domain Admins" Administrator | |||
</pre> | |||
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | |||
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: | |||
<pre> | |||
# ldapsearch -x | less | |||
</pre> | |||
e: | |||
<pre> | |||
# ldapsearch -x uid=Administrator | |||
</pre> | |||
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando: | |||
<pre> | |||
# smbldap-passwd Administrator | |||
</pre> | |||
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. | |||
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. | |||
=== 2 - Utilizzo della GUI phpLDAPadmin === | |||
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/> | |||
Innanzitutto bisogna collegarci con un browser al nostro server: | |||
<pre> | |||
https://10.0.0.11/phpldapadmin | |||
</pre> | |||
Cliccate sul link di login e inserite le seguenti informazioni: | |||
<pre> | |||
Login DN: cn=admin,dc=dominio,dc=local | |||
Password: password | |||
</pre> | |||
[[Immagine:Sambapdc01.jpg|center]]<br/>[[Immagine:Sambapdc02.jpg|center]]<br/> | |||
Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce '''Create ner entry here". | |||
[[Immagine:Sambapdc04.jpg|center]] | |||
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso. | |||
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/> | |||
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente: | |||
<pre> | |||
smbldap-passwd Administrator | |||
</pre> | |||
== Per approfondimenti == | == Per approfondimenti == | ||