Samba e OpenLDAP: creare un controller di dominio: differenze tra le versioni

Riga 116: Riga 116:
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
</pre>
</pre>
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=<dominio>"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=miodominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Se non si è sicuri del DN da inserire lanciare il comando:
Se non si è sicuri del DN da inserire lanciare il comando:
<pre>
<pre>
Riga 124: Riga 124:
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
<pre>
<pre>
slaveDN="cn=admin,dc=logic"
slaveDN="cn=admin,dc=miodominio,dc=local"
slavePw="passworddiadmindigitataprecedentemente"
slavePw="passworddiadmindigitataprecedentemente"
masterDN="cn=admin,dc=logic"
masterDN="cn=admin,dc=miodominio,dc=local"
masterPw="passworddiadmindigitataprecedentemente"
masterPw="passworddiadmindigitataprecedentemente"
</pre>
</pre>
Riga 147: Riga 147:
ldapTLS="0"
ldapTLS="0"
</pre>
</pre>
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (LOGIC).
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (MIODOMINIO).
<pre>
<pre>
suffix="dc=logic"
suffix="dc=miodominio,dc=local"
sambaUnixIdPooldn="sambaDomainName=LOGIC,${suffix}"
sambaUnixIdPooldn="sambaDomainName=MIODOMINIO,${suffix}"
</pre>
</pre>
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
Riga 169: Riga 169:
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
<pre>
<pre>
mailDomain="logicsnc.com"
mailDomain="miodominio.local"
</pre>
Nel caso di Debian Etch 4.0 è stato necessario effettuare queste ulteriori modifiche, nel blocco LDAP Configuration:
<pre>
# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
# Cambiata impostazione da require a optional
verify="optional"
 
# Commentato i tre valori seguenti alla voce sopra
cafile="/etc/smbldap-tools/ca.pem"
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
clientkey="/etc/smbldap-tools/smbldap-tools.key"
</pre>
</pre>
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.