|
|
(52 versioni intermedie di 5 utenti non mostrate) |
Riga 1: |
Riga 1: |
| {{stub}} | | {{SAMBA |
| {{Versioni compatibili|Debian Lenny 5.0|}} | | |precedente=Samba e OpenLDAP: creare un controller di dominio con Debian Etch |
| =Versioni compatibili= | | |successivo=Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze}}{{Versioni compatibili|ONLY|Lenny}} |
| | == Versioni compatibili == |
| * Debian Lenny 5.0 | | * Debian Lenny 5.0 |
| * Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]] | | * Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]] |
| * Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]] | | * Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]] |
|
| |
|
| =Introduzione= | | == Introduzione == |
| Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> | | Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> |
| Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux. Il server configurato fornirà quindi le informazioni di autenticazione e autorizzazione per entrambi i sistemi.<br/> | | Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/> |
| Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/> | | Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/> |
| Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori. | | Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/> |
| ==Kerberos==
| |
| A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinchè funga anche da '''Key Distribution Center (KDC) Kerberos'''. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [[http://it.wikipedia.org/wiki/Protocollo_Kerberos Wikipedia]]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba.
| |
|
| |
|
| =Sistema installato e prerequisiti= | | == Sistema installato e prerequisiti == |
| Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. | | Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. |
| La '''configurazione iniziale''' del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti. Si veda ad esempio [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]] per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.<br/> | | La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/> |
| Durante tutto il processo si presuppone di agire come utente root. | | Durante tutto il processo si presuppone di agire come utente root. |
| <br/> | | <br/> |
|
| |
|
| ==Parametri di rete utilizzati== | | === Parametri di rete utilizzati === |
| In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete: | | In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete: |
| * Nome del server: server | | * Nome del server: server |
Riga 31: |
Riga 30: |
| * Password admin di LDAP: password | | * Password admin di LDAP: password |
| Questi parametri vanno ovviamente adattati alle vostre esigenze. | | Questi parametri vanno ovviamente adattati alle vostre esigenze. |
| | | == Installazione del server LDAP == |
| =Tecnologie utilizzate= | | Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/> |
| * '''Heimdal Kerberos'''
| | Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/> |
| La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perchè scegliere Heimdal invece di MIT Kerberos?<br/>
| | Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/> |
| Fondamentalmente perchè Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
| |
| * '''OpenLDAP'''
| |
| Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
| |
| * '''OpenSSL'''
| |
| Verrà utilizzato SSL (Secure Socket Layer) per garantire la sicurezza nelle connessioni al server OpenLDAP
| |
| * '''Cyrus SASL'''
| |
| SASL è Simple Authentication and Security Layer, un metodo per aggiungere il supporto all'autenticazione a diversi protocolli di rete. Nella nostra "infrastruttura" verrà utilizzato a sostegno delle connessioni al server OpenLDAP. Inoltre, assieme a Kerberos, sarà in grado di fornire soluzioni si "Single Sign-On" ai servizi presenti nella nostra rete.
| |
| * '''NSSwitch'''
| |
| La libreria nss-ldap ci consentirà di recuperare le informazioni dei nostri utenti dal server OpenLDAP
| |
| * '''PAM-Krb5'''
| |
| La libreria pam-krb5 ci consentirà di autenticare i nostri utenti su Kerberos
| |
| * '''Bind'''
| |
| Un servizio fondamentale per il corretto funzionamento di Kerberos è il DNS. Per questo utilizzeremo Bind.
| |
| * '''Samba'''
| |
| Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.
| |
| =Configurazione iniziale=
| |
| ==Nome host==
| |
| Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file <code>/etc/hosts</code> e <code>/etc/hostname</code>:
| |
| * '''<code>/etc/hosts</code>'''
| |
| <pre> | | <pre> |
| 10.0.0.11 server.dominio.local server
| | # apt-get install slapd ldap-utils |
| 127.0.0.1 localhost.localdomain localhost
| |
| </pre> | | </pre> |
| * '''<code>/etc/hostname</code>'''
| | Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/> |
| | Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet. |
| | In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/> |
| | Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/> |
| | Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/> |
| | Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando: |
| <pre> | | <pre> |
| server
| | # dpkg-reconfigure slapd |
| </pre> | | </pre> |
| ==Ora del server==
| | Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così: |
| Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: [[Impostare e modificare data e ora]]. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite. | | * Omettere la configurazione di OpenLDAP: no |
| ==Installazione delle librerie Kerberos==
| | * Nome del dominio: dominio.local |
| Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
| | * Nome dell'organizzazione: DOMINIO |
| | * Password di admin: password |
| | * Conferma password: password |
| | * Motore database da utilizzare: BDB |
| | * Cancellare il database quando si effettua il purge di slapd: no |
| | * Spostare il vecchio database: sì |
| | * Permettere LDAPv2: sì (potete anche mettere no) |
| | Per verificare il corretto funzionamento del servizio, dare il comando: |
| <pre> | | <pre> |
| # apt-get install libsasl2-2 libsasl2-modules sasl2-bin libsasl2-modules-gssapi-heimdal | | # ldapsearch -x -b “dc=dominio,dc=local” |
| libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs
| |
| heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal
| |
| libkrb5-22-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
| |
| </pre> | | </pre> |
| {{ Warningbox | Il comando precedente va scritto in un'unica riga }}
| | Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP. |
|
| |
|
| =Configurazione del servizio DNS= | | == Installazione di una interfaccia grafica per amministrare OpenLDAP == |
| Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian Etch]]. Quindi si introducano le seguendi modifiche nei files di configurazione di <code>bind</code>:
| | Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/> |
| * '''<code>/etc/bind/named.conf.options</code>'''
| | Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/> |
| <pre>
| | Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. |
| auth-nxdomain no; # conform to RFC1035
| | === Installazione dei prerequisiti === |
| listen-on-v6 { any; };
| | Installiamo per prima cosa alcuni moduli di PHP necessari: |
| | |
| version "Version X";
| |
| </pre> | |
| * '''<code>/etc/bind/dominio.local</code>'''
| |
| <pre> | | <pre> |
| $ORIGIN dominio.local.
| | apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap |
| dominio.local. IN A 10.0.0.11
| | php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools |
| | |
| ; server PDC
| |
| server IN A 10.0.0.11
| |
| s-server IN CNAME server.dominio.local.
| |
| ns1 IN CNAME server.dominio.local.
| |
| kerberos IN CNAME server.dominio.local.
| |
| ldap IN CNAME server.dominio.local. | |
| | |
| ; The Kerberos realm
| |
| _kerberos IN TXT "dominio.local"
| |
| _kerberos.it IN TXT "dominio.local"
| |
| _kerberos.srv IN TXT "dominio.local"
| |
| _kerberos._tcp IN SRV 10 1 88 server.dominio.local.
| |
| _kerberos._udp IN SRV 10 1 88 server.dominio.local.
| |
| _kerberos-adm._tcp IN SRV 10 1 749 server.dominio.local.
| |
| _kerberos-master._udp IN SRV 0 0 88 server.dominio.local.
| |
| _kpasswd._udp IN SRV 10 1 464 server.dominio.local.
| |
| _ldap._tcp IN SRV 10 1 389 server.dominio.local.
| |
| | |
| ; Information Search
| |
| _ldap_dc IN TXT "dc=dominio,dc=local"
| |
| _samba_pdc_domain IN TXT "DOMINIO"
| |
| _samba_pdc_ip_address IN TXT "10.0.0.11"
| |
| </pre> | | </pre> |
| Infine riavviamo bind
| | {{ Warningbox | Il comando precedente va scritto in un'unica riga }} |
| | === Installazione di PHPLdapAdmin === |
| | Ora possiamo installare phpldapadmin: |
| <pre> | | <pre> |
| # /etc/init.d/bind9 restart | | # apt-get install phpldapadmin |
| </pre> | | </pre> |
| e testiamo la configurazione
| | Per verificare la corretta installazione del pacchetto, aprite il browser su: |
| <pre> | | <pre> |
| # nslookup
| | https://10.0.0.11/phpldapadmin |
| > server 10.0.0.11
| |
| Default server: 10.0.0.11
| |
| Address: 10.0.0.11#53
| |
| > set q=ns
| |
| > dominio.local
| |
| Server: 10.0.0.11
| |
| Address: 10.0.0.11#53
| |
| | |
| dominio.local nameserver = server.dominio.local.
| |
| > exit
| |
| </pre> | | </pre> |
| | | Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/> |
| =Installazione del server LDAP=
| | Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo: |
| Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
| |
| Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
| |
| ==Struttura dell'albero LDAP==
| |
| Verrà utilizzata una struttura dell'albero LDAP come la seguente:
| |
| <pre> | | <pre> |
| DC=dominio,DC=local
| | # wget http://www.nomis52.net/data/mkntpwd.tar.gz |
| +-- OU=Groups (gruppi posix/samba)
| |
| +-- OU=Computers (computer samba = utenti posix)
| |
| +-- OU=Users (utenti posix/samba)
| |
| +--OU=KerberosPrincipals (principal Kerberos)
| |
| </pre> | | </pre> |
| ==Generazione dei certificati SSL==
| | Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo: |
| Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
| |
| <pre> | | <pre> |
| # mkdir -p /etc/ldap/ssl | | # apt-get install build-essential |
| # cd /etc/ldap/ssl | | # tar -zxf mkntpwd.tar.gz |
| # mkdir certs | | # cd mkntpwd |
| # mkdir private | | # make |
| # chmod 700 private | | # cp mkntpwd /usr/local/bin |
| # echo '01' > serial
| | # mkntpwd |
| # touch index.txt
| |
| </pre>
| |
| Poi modifichiamo il file <code>/etc/ldap/ssl/CA.conf</code>:
| |
| <pre>
| |
| [ ca ]
| |
| default_ca = local_ca
| |
| | |
| [ local_ca ]
| |
| dir = /etc/ldap/ssl
| |
| certificate = /etc/ldap/ssl/cacert.pem
| |
| database = /etc/ldap/ssl/index.txt
| |
| new_certs_dir = /etc/ldap/ssl/certs
| |
| private_key = /etc/ldap/ssl/private/cakey.pem
| |
| serial = /etc/ldap/ssl/serial
| |
| default_crl_days = 3650
| |
| default_days = 3650
| |
| default_md = md5
| |
| default_bits = 1024
| |
| encrypt_key = yes
| |
| policy = local_ca_policy
| |
| x509_extensions = local_ca_extensions
| |
| unique_subject = no
| |
| | |
| [ local_ca_policy ]
| |
| commonName = supplied
| |
| stateOrProvinceName = supplied
| |
| countryName = supplied
| |
| emailAddress = supplied
| |
| organizationName = supplied
| |
| organizationalUnitName = supplied
| |
| | |
| [ local_ca_extensions ]
| |
| subjectAltName = DNS:nome_server.dominio.local
| |
| basicConstraints = CA:false
| |
| nsCertType = server
| |
| | |
| [ req ]
| |
| default_bits = 2048
| |
| default_keyfile = /etc/ldap/ssl/private/cakey.pem
| |
| default_md = md5
| |
| prompt = no
| |
| distinguished_name = dominio
| |
| x509_extensions = x509_cert
| |
| | |
| [ dominio ]
| |
| countryName = IT
| |
| stateOrProvinceName = Lodi
| |
| localityName = Lodi
| |
| emailAddress = admin@dominio.local
| |
| organizationName = Dominio
| |
| organizationalUnitName = Lab
| |
| commonName = nome_server.dominio.local
| |
| | |
| [ x509_cert ]
| |
| nsCertType = server
| |
| basicConstraints = CA:true
| |
| </pre> | | </pre> |
| e il file <code>/etc/ldap/ssl/LocalServer.conf</code>
| | L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd. |
| <pre>
| |
| [ req ]
| |
| prompt = no
| |
| distinguished_name = dominio
| |
|
| |
|
| [ dominio ]
| | == Installazione di Samba == |
| countryName = IT
| | L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo. |
| stateOrProvinceName = Lodi
| |
| localityName = Lodi
| |
| emailAddress = admin@dominio.local
| |
| organizationName = Dominio
| |
| organizationalUnitName = Lab
| |
| commonName = nome_server.dominio.local
| |
| </pre>
| |
| Possiamo ora generare i nostri certificati:
| |
| <pre> | | <pre> |
| # cd /etc/ldap/ssl/ | | # apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf |
| # export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
| |
| # openssl req -x509 -newkey rsa:1024 -out cacert.pem -outform PEM -days 3650 -passout pass:PASSWORD_ROBUSTA
| |
| # export OPENSSL_CONF=/etc/ldap/ssl/LocalServer.conf
| |
| # openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM -passout pass:PASSWORD_ROBUSTA
| |
| # openssl rsa < tempkey.pem > serverkey.pem -passin pass:PASSWORD_ROBUSTA
| |
| # chmod 400 serverkey.pem
| |
| # export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
| |
| # openssl ca -in tempreq.pem -out servercrt.pem -passin pass:PASSWORD_ROBUSTA
| |
| </pre> | | </pre> |
|
| |
|
| ==Installazione di OpenLDAP==
| | La versione di Samba nei repository di Lenny (3.3.5) non supporta il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Lenny (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata: |
| Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
| |
| <pre> | | <pre> |
| # apt-get install slapd ldap-utils | | # apt-get -t lenny-backports install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf |
| </pre> | | </pre> |
| Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
| | Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/> |
| Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
| | *Nome del Dominio/Workgroup: DOMINIO |
| In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
| | *Utilizzare password cifrate: SI |
| Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
| | *Utilizzare DHCP per i nomi Netbios: NO |
| Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
| | Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento. |
| Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
| | <br/> |
| | |
| | == Configurare i SMBLDAP TOOLS == |
| | I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/> |
| | Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo. |
| | === Installazione === |
| | Installare il pacchetto smbldap-tools |
| <pre> | | <pre> |
| # dpkg-reconfigure slapd | | # apt-get install smbldap-tools |
| </pre> | | </pre> |
| Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
| | === Configurazione === |
| * Omettere la configurazione di OpenLDAP: no
| | Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>. |
| * Nome del dominio: dominio.local
| |
| * Nome dell'organizzazione: DOMINIO
| |
| * Password di admin: password
| |
| * Conferma password: password
| |
| * Motore database da utilizzare: BDB
| |
| * Cancellare il database quando si effettua il purge di slapd: no
| |
| * Spostare il vecchio database: sì
| |
| * Permettere LDAPv2: sì (potete anche mettere no)
| |
| Per verificare il corretto funzionamento del servizio, dare il comando:
| |
| <pre> | | <pre> |
| # ldapsearch -x -b “dc=dominio,dc=local” | | # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf |
| | # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf |
| </pre> | | </pre> |
| Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
| | Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/> |
| | | Se non si è sicuri del DN da inserire lanciare il comando: |
| =Installazione di una interfaccia grafica per amministrare OpenLDAP=
| | <pre> |
| Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
| | # slapcat |
| Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
| |
| Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
| |
| ==Installazione dei prerequisiti==
| |
| Installiamo per prima cosa alcuni moduli di PHP necessari:
| |
| <pre> | |
| apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap
| |
| php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
| |
| </pre> | | </pre> |
| {{ Warningbox | Il comando precedente va scritto in un'unica riga }}
| | e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/> |
| | | Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno: |
| ==Installazione di PHPLdapAdmin==
| |
| Ora possiamo installare phpldapadmin:
| |
| <pre> | | <pre> |
| # apt-get install phpldapadmin
| | slaveDN="cn=admin,dc=dominio,dc=local" |
| | slavePw="password" |
| | masterDN="cn=admin,dc=dominio,dc=local" |
| | masterPw="password" |
| </pre> | | </pre> |
| Per verificare la corretta installazione del pacchetto, aprite il browser su:
| | Il contenuto del file dovrebbe essere il seguente:<br/> |
| | '''/etc/smbldap-tools/smbldap_bind.conf''': |
| <pre> | | <pre> |
| https://10.0.0.11/phpldapadmin
| | ############################ |
| </pre>
| | # Credential Configuration # |
| Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
| | ############################ |
| Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
| | # Notes: you can specify two differents configuration if you use a |
| <pre>
| | # master ldap for writing access and a slave ldap server for reading access |
| # wget http://www.pepinet.com/download/samba/mkntpwd.tar.gz
| | # By default, we will use the same DN (so it will work for standard Samba |
| | # release) |
| | slaveDN="cn=admin,dc=dominio,dc=local" |
| | slavePw="password" |
| | masterDN="cn=admin,dc=dominio,dc=local" |
| | masterPw="password" |
| </pre> | | </pre> |
| Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
| | Eseguire ora il comando: |
| <pre> | | <pre> |
| # apt-get install build-essential | | # net getlocalsid |
| # tar -zxf mkntpwd.tar.gz
| |
| # cd mkntpwd
| |
| # make
| |
| # cp mkntpwd /usr/local/bin
| |
| # mkntpwd
| |
| </pre> | | </pre> |
| L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
| | e copiare o prendere nota del codice che viene restituito. |
| | | <br/> |
| =Installazione di Samba=
| | Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). |
| L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
| |
| <pre> | | <pre> |
| # apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
| | SID="S-1-5-21-2318037123-1631426476-2439636316" |
| | slaveLDAP="127.0.0.1" |
| | slavePort="389" |
| | masterLDAP="127.0.0.1" |
| | masterPort="389" |
| </pre> | | </pre> |
| Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
| | Verificare che il TLS sia disabilitato. |
| *Nome del Dominio/Workgroup: DOMINIO
| |
| *Utilizzare password cifrate: SI
| |
| *Utilizzare DHCP per i nomi Netbios: NO
| |
| Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
| |
| <br/>
| |
| | |
| =Configurare i SMBLDAP TOOLS=
| |
| I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
| |
| Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
| |
| ==Installazione==
| |
| Installare il pacchetto smbldap-tools
| |
| <pre> | | <pre> |
| # apt-get install smbldap-tools
| | ldapTLS="0" |
| </pre> | | </pre> |
| ==Configurazione==
| | Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO). |
| Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
| |
| <pre> | | <pre> |
| # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
| | suffix="dc=dominio,dc=local" |
| # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
| | sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}" |
| </pre> | | </pre> |
| Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
| | Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente: |
| Se non si è sicuri del DN da inserire lanciare il comando:
| |
| <pre> | | <pre> |
| # slapcat
| | defaultMaxPasswordAge="180" |
| </pre> | | </pre> |
| e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/> | | Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/> |
| Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
| | Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles. |
| <pre> | | <pre> |
| slaveDN="cn=admin,dc=dominio,dc=local"
| | userSmbHome="\\SERVER\homes\%U" |
| slavePw="password"
| | userProfile="\\SERVER\profiles\%U" |
| masterDN="cn=admin,dc=dominio,dc=local"
| |
| masterPw="password"
| |
| </pre> | | </pre> |
| Il contenuto del file dovrebbe essere il seguente:<br/>
| | SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro: |
| '''/etc/smbldap-tools/smbldap_bind.conf''':
| |
| <pre> | | <pre> |
| ############################
| | userScript="logon.bat" |
| # Credential Configuration #
| |
| ############################
| |
| # Notes: you can specify two differents configuration if you use a
| |
| # master ldap for writing access and a slave ldap server for reading access
| |
| # By default, we will use the same DN (so it will work for standard Samba
| |
| # release)
| |
| slaveDN="cn=admin,dc=dominio,dc=local"
| |
| slavePw="password"
| |
| masterDN="cn=admin,dc=dominio,dc=local"
| |
| masterPw="password"
| |
| </pre> | | </pre> |
| Eseguire ora il comando:
| | Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/> |
| | Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati. |
| <pre> | | <pre> |
| # net getlocalsid
| | mailDomain="dominio.local" |
| </pre> | | </pre> |
| e copiare o prendere nota del codice che viene restituito.
| | Il contenuto completo del file dovrebbe essere il seguente:<br/> |
| <br/> | | '''/etc/smbldap-tools/smbldap.conf''': |
| Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
| |
| <pre> | | <pre> |
| SID="S-1-5-21-2318037123-1631426476-2439636316" | | # |
| | # Purpose : |
| | # . be the configuration file for all smbldap-tools scripts |
| | ############################################################################## |
| | ## |
| | General Configuration |
| | # ############################################################################## |
| | # Put your own SID. To obtain this number do: "net getlocalsid". |
| | # If not defined, parameter is taking from "net getlocalsid" return |
| | SID="S-1-5-21-125945932-740595490-3132273231" |
| | # Domain name the Samba server is in charged. |
| | # If not defined, parameter is taking from smb.conf configuration file |
| | sambaDomain="DOMINIO" |
| | realm="DOMINIO.LOCAL" |
| | |
| | ############################################################################## |
| | # |
| | # LDAP Configuration |
| | # |
| | ############################################################################## |
| | # Slave LDAP server |
| | # If not defined, parameter is set to "127.0.0.1" |
| slaveLDAP="127.0.0.1" | | slaveLDAP="127.0.0.1" |
| | # Slave LDAP port |
| | # If not defined, parameter is set to "389" |
| slavePort="389" | | slavePort="389" |
| | # Master LDAP server: needed for write operations |
| | # If not defined, parameter is set to "127.0.0.1" |
| masterLDAP="127.0.0.1" | | masterLDAP="127.0.0.1" |
| | # Master LDAP port |
| | # If not defined, parameter is set to "389" |
| masterPort="389" | | masterPort="389" |
| </pre>
| | # Use TLS for LDAP |
| Verificare che il TLS sia disabilitato.
| | # If set to 1, this option will use start_tls for connection |
| <pre>
| | # (you should also used the port 389) |
| | # If not defined, parameter is set to "1" |
| ldapTLS="0" | | ldapTLS="0" |
| </pre>
| | # How to verify the server's certificate (none, optional or require) |
| Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
| | verify="require" |
| <pre>
| | # CA certificate |
| | cafile="/etc/smbldap-tools/ca.pem" |
| | # certificate to use to connect to the ldap server |
| | clientcert="/etc/smbldap-tools/smbldap-tools.pem" |
| | # key certificate to use to connect to the ldap server |
| | clientkey="/etc/smbldap-tools/smbldap-tools.key" |
| | # LDAP Suffix |
| suffix="dc=dominio,dc=local" | | suffix="dc=dominio,dc=local" |
| sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
| | # Where are stored Users |
| </pre>
| | # Warning: if 'suffix' is not set here, you must set the full dn for usersdn |
| Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
| | usersdn="ou=Users,${suffix}" |
| <pre>
| | # Where are stored Computers |
| defaultMaxPasswordAge="180"
| | # Warning: if 'suffix' is not set here, you must set the full dn for computersdn |
| </pre>
| | computersdn="ou=Computers,${suffix}" |
| Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
| | # Where are stored Groups |
| Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
| | # Warning: if 'suffix' is not set here, you must set the full dn for groupsdn |
| <pre>
| | groupsdn="ou=Groups,${suffix}" |
| userSmbHome="\\SERVER\homes\%U"
| | # Where are stored Idmap entries (used if samba is a domain member server) |
| userProfile="\\SERVER\profiles\%U"
| | # Warning: if 'suffix' is not set here, you must set the full dn for idmapdn |
| </pre>
| | #idmapdn="ou=Idmap,${suffix}" |
| SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
| | # Where to store next uidNumber and gidNumber available for new users and groups |
| <pre>
| | # If not defined, entries are stored in sambaDomainName object. |
| userScript="logon.bat"
| | sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" |
| </pre>
| | # Default scope Used |
| Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
| | scope="sub" |
| Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
| | # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) |
| <pre>
| | hash_encrypt="MD5" |
| mailDomain="dominio.local"
| | # if hash_encrypt is set to CRYPT, you may set a salt format. |
| </pre>
| | # default is "%s", but many systems will generate MD5 hashed |
| Il contenuto completo del file dovrebbe essere il seguente:<br/>
| | # passwords if you use "$1$%.8s". This parameter is optional! |
| '''/etc/smbldap-tools/smbldap.conf''':
| | crypt_salt_format="%s" |
| <pre>
| | ############################################################################## |
| ##############################################################################
| |
| ## | |
| General Configuration
| |
| # ############################################################################## | |
| # Put your own SID. To obtain this number do: "net getlocalsid".
| |
| SID="S-1-5-21-125945932-740595490-3132273231"
| |
| | |
| # Domain name the Samba server is in charged. | |
| sambaDomain="DOMINIO"
| |
| realm="DOMINIO.LOCAL"
| |
| | |
| ############################################################################## | |
| # | | # |
| # LDAP Configuration | | # Unix Accounts Configuration |
| # | | # |
| ############################################################################## | | ############################################################################## |
| # Slave LDAP server | | # Login defs |
| slaveLDAP="127.0.0.1"
| | # Default Login Shell |
| # Slave LDAP port | | userLoginShell="/bin/false" |
| slavePort="389"
| | # Home directory |
| | | userHome="/dominio/homes/%U" |
| # Master LDAP server: needed for write operations | | # Default mode used for user homeDirectory |
| masterLDAP="127.0.0.1"
| | userHomeDirectoryMode="700" |
| # Master LDAP port | | # Gecos |
| masterPort="389"
| | userGecos="System Computer" |
| | | # Default User (POSIX and Samba) GID |
| # Use TLS for LDAP | | defaultUserGid="513" |
| # If set to 1, this option will use start_tls for connection
| | # Default Computer (Samba) GID |
| ldapTLS="1"
| | defaultComputerGid="515" |
| | | # Skel dir |
| # How to verify the server's certificate (none, optional or require) | | skeletonDir="/etc/skel" |
| verify="require"
| | # Default password validation time (time in days) Comment the next line if |
| # CA certificate | | # you don't want password to be enable for defaultMaxPasswordAge days (be |
| cafile="/etc/ldap/ssl/cacert.pem"
| | # careful to the sambaPwdMustChange attribute's value) |
| # certificate to use to connect to the ldap server | | defaultMaxPasswordAge="180" |
| clientcert="/etc/ldap/ssl/servercrt.pem"
| | ############################################################################## |
| # key certificate to use to connect to the ldap server | | ## |
| clientkey="/etc/ldap/ssl/serverkey.pem"
| | SAMBA Configuration |
| | | # ############################################################################## |
| # LDAP Suffix | | # The UNC path to home drives location (%U username substitution) |
| suffix="dc=dominio,dc=local"
| | # Just set it to a null string if you want to use the smb.conf 'logon home' |
| # Where are stored Users | | # directive and/or disable roaming profiles |
| usersdn="ou=Users,${suffix}"
| | userSmbHome="\\SERVER\homes\%U" |
| # Where are stored Computers | | # The UNC path to profiles locations (%U username substitution) |
| computersdn="ou=Computers,${suffix}"
| | # Just set it to a null string if you want to use the smb.conf 'logon path' |
| # Where are stored Groups | | # directive and/or disable roaming profiles |
| groupsdn="ou=Groups,${suffix}"
| | userProfile="\\SERVER\profiles\%U" |
| # Where are stored Idmap entries (used if samba is a domain member server) | | # The default Home Drive Letter mapping |
| idmapdn="ou=Idmap,${suffix}"
| | # (will be automatically mapped at logon time if home directory exist) |
| # Where to store next uidNumber and gidNumber available for new users and groups | | userHomeDrive="Z:" |
| sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
| | # The default user netlogon script name (%U username substitution) |
| | | # if not used, will be automatically username.cmd |
| # Default scope Used | | # make sure script file is edited under dos |
| scope="sub"
| | userScript="logon.bat" |
| | | # Domain appended to the users "mail"-attribute |
| # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) | | # when smbldap-useradd -M is used |
| hash_encrypt="MD5"
| | mailDomain="dominio.local" |
| # if hash_encrypt is set to CRYPT, you may set a salt format. | |
| # default is "%s", but many systems will generate MD5 hashed | |
| # passwords if you use "$1$%.8s". This parameter is optional! | |
| crypt_salt_format="%s"
| |
| | |
| ############################################################################## | | ############################################################################## |
| # | | # |
| # Unix Accounts Configuration | | # SMBLDAP-TOOLS Configuration |
| # | | # |
| ############################################################################## | | ############################################################################## |
| # Login defs | | # Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but |
| # Default Login Shell | | # prefer Crypt::SmbHash library |
| | with_smbpasswd="0" |
| | smbpasswd="/usr/bin/smbpasswd" |
| | # Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm) |
| | # but prefer Crypt:: libraries |
| | with_slappasswd="0" |
| | slappasswd="/usr/sbin/slappasswd" |
| | </pre> |
| | Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce: |
| | <pre> |
| userLoginShell="/bin/false" | | userLoginShell="/bin/false" |
| # Home directory
| |
| userHome="/dominio/homes/%U"
| |
| # Default mode used for user homeDirectory
| |
| userHomeDirectoryMode="700"
| |
| # Gecos
| |
| userGecos="System Computer"
| |
| # Default User (POSIX and Samba) GID
| |
| defaultUserGid="513"
| |
| # Default Computer (Samba) GID
| |
| defaultComputerGid="515"
| |
| # Skel dir
| |
| skeletonDir="/etc/skel"
| |
| # Default password validation time (time in days) Comment the next line if
| |
| # you don't want password to be enable for defaultMaxPasswordAge days (be
| |
| # careful to the sambaPwdMustChange attribute's value)
| |
| defaultMaxPasswordAge="180"
| |
| ##############################################################################
| |
| ##
| |
| SAMBA Configuration
| |
| # ##############################################################################
| |
| # The UNC path to home drives location (%U username substitution)
| |
| # Just set it to a null string if you want to use the smb.conf 'logon home'
| |
| # directive and/or disable roaming profiles
| |
| userSmbHome="\\SERVER\homes\%U"
| |
| # The UNC path to profiles locations (%U username substitution)
| |
| # Just set it to a null string if you want to use the smb.conf 'logon path'
| |
| # directive and/or disable roaming profiles
| |
| userProfile="\\SERVER\profiles\%U"
| |
| # The default Home Drive Letter mapping
| |
| # (will be automatically mapped at logon time if home directory exist)
| |
| userHomeDrive="Z:"
| |
| # The default user netlogon script name (%U username substitution)
| |
| # if not used, will be automatically username.cmd
| |
| # make sure script file is edited under dos
| |
| userScript="logon.bat"
| |
| # Domain appended to the users "mail"-attribute
| |
| # when smbldap-useradd -M is used
| |
| mailDomain="dominio.local"
| |
| ##############################################################################
| |
| #
| |
| # SMBLDAP-TOOLS Configuration
| |
| #
| |
| ##############################################################################
| |
| # Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
| |
| # prefer Crypt::SmbHash library
| |
| with_smbpasswd="0"
| |
| smbpasswd="/usr/bin/smbpasswd"
| |
| # Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
| |
| # but prefer Crypt:: libraries
| |
| with_slappasswd="0"
| |
| slappasswd="/usr/sbin/slappasswd"
| |
| </pre> | | </pre> |
| Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
| | E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue: |
| | <pre> |
| | userLoginShell="/bin/bash" |
| | </pre> |
| | Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato. |
| | <pre> |
| | # chmod 0644 /etc/smbldap-tools/smbldap.conf |
| | # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf |
| | </pre><br/> |
| | |
| | == Configurazione del server LDAP == |
| | Passiamo ora alla configurazione del server LDAP.<br/> |
| | |
| | Innanzitutto effettuiamo un backup di LDAP: |
| | <pre> |
| | # slapcat > ~/slapd.ldif |
| | </pre> |
| | Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA. |
| | <pre> |
| | # wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ |
| | # wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/ |
| | # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema |
| | </pre> |
| | Quindi generate l'hash MD5 della password di root di LDAP: |
| | <pre> |
| | # slappasswd -h {MD5} |
| | </pre> |
| | e prendete nota del risultato.<br/> |
| | Ora occorre modificare il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo nella sezione <code>Schema and objectClass definitions</code> lo schema per samba: |
| | <pre> |
| | include /etc/ldap/schema/samba.schema |
| | </pre> |
| | Nella sezione <code>Indexing options</code> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA: |
| | <pre> |
| | index objectClass eq,pres |
| | index uid,uidNumber,gidNumber,memberUid eq,pres |
| | index ou,cn,mail,surname,givenname eq,pres,sub |
| | index loginShell eq,pres |
| | index displayName pres,sub,eq |
| | index nisMapName,nisMapEntry eq,pres,sub |
| | index sambaSID eq |
| | index sambaPrimaryGroupSID eq |
| | index sambaDomainName eq |
| | index sambaGroupType eq |
| | index sambaSIDList eq |
| | index uniqueMember eq |
| | index default sub |
| | </pre> |
| | Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga: |
| | <pre> |
| | access to attribute=userPassword |
| | </pre> |
| | con: |
| | <pre> |
| | access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet |
| | </pre> |
| | Infine aggiungere le informazioni per l'autenticazione: |
| <pre> | | <pre> |
| userLoginShell="/bin/false"
| | rootdn "cn=admin,dc=dominio,dc=local" |
| | rootpw {MD5}Qhz9FD5FDD9YFKBJVAngcw== |
| </pre> | | </pre> |
| E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
| | Il contenuto del file dovrebbe essere il seguente:<br/> |
| | '''/etc/ldap/sldap.conf''': |
| <pre> | | <pre> |
| userLoginShell="/bin/bash"
| | ####################################################################### |
| </pre>
| |
| Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
| |
| <pre>
| |
| # chmod 0644 /etc/smbldap-tools/smbldap.conf
| |
| # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
| |
| </pre><br/>
| |
| | |
| =Configurazione del server LDAP=
| |
| Passiamo ora alla configurazione del server LDAP.<br/>
| |
| | |
| Innanzitutto effettuiamo un backup di LDAP:
| |
| <pre>
| |
| slapcat > ~/slapd.ldif
| |
| </pre>
| |
| Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
| |
| <pre>
| |
| # wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
| |
| # wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/
| |
| # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
| |
| </pre>
| |
| Quindi generate l'hash MD5 della password di root di LDAP:
| |
| <pre>
| |
| slappasswd -h {MD5}
| |
| </pre>
| |
| e prendete nota del risultato.<br/>
| |
| Ora occorre modificare pesantemente il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/>
| |
| '''/etc/ldap/sldap.conf''':
| |
| <pre>
| |
| ####################################################################### | |
| # Global Directives: | | # Global Directives: |
| sizelimit 20 | | #sizelimit 20 |
| timelimit -1 | | timelimit -1 |
| threads 8 | | threads 8 |
Riga 575: |
Riga 416: |
| include /etc/ldap/schema/qmailuser.schema | | include /etc/ldap/schema/qmailuser.schema |
| include /etc/ldap/schema/samba.schema | | include /etc/ldap/schema/samba.schema |
| include /etc/ldap/schema/hdb.schema | | #include /etc/ldap/schema/hdb.schema |
|
| |
|
| #########################################################
| | # Where the pid file is put. The init.d script |
| # Configurazione di TLS e SSL
| |
| #########################################################
| |
| | |
| TLSCertificateFile /etc/ldap/ssl/servercrt.pem
| |
| TLSCertificateKeyFile /etc/ldap/ssl/serverkey.pem
| |
| TLSCACertificateFile /etc/ldap/ssl/cacert.pem
| |
| | |
| sasl-host server.dominio.local
| |
| sasl-realm DOMINIO.LOCAL
| |
| | |
| # Mapping of SASL authentication identities to LDAP entries
| |
| authz-regexp
| |
| uid=(.+),cn=(.+),cn=.+,cn=auth
| |
| ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(cn=$1@$2))
| |
| | |
| authz-regexp
| |
| uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth
| |
| krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| |
| | |
| authz-regexp
| |
| gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth
| |
| krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| |
| | |
| authz-regexp
| |
| uid=(.+),cn=.+,cn=auth
| |
| ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(krb5PrincipalName=$1@DOMINIO.LOCAL))
| |
| | |
| sasl-secprops noanonymous
| |
| security ssf=0
| |
| | |
| #####################################################
| |
| # Fine blocco TLS e SSL
| |
| #####################################################
| |
| | |
| # Where the pid file is put. The init.d script | |
| # will not stop the server if you change this. | | # will not stop the server if you change this. |
| pidfile /var/run/slapd/slapd.pid | | pidfile /var/run/slapd/slapd.pid |
Riga 625: |
Riga 431: |
| modulepath /usr/lib/ldap | | modulepath /usr/lib/ldap |
| moduleload back_bdb | | moduleload back_bdb |
| moduleload unique
| |
| moduleload auditlog
| |
|
| |
|
| # The maximum number of entries that is returned for a search operation | | # The maximum number of entries that is returned for a search operation |
| #sizelimit 500
| | sizelimit 500 |
|
| |
|
| # The tool-threads parameter sets the actual amount of cpu's that is used | | # The tool-threads parameter sets the actual amount of cpu's that is used |
Riga 658: |
Riga 462: |
| # rootdn directive for specifying a superuser on the database. This is needed | | # rootdn directive for specifying a superuser on the database. This is needed |
| # for syncrepl. | | # for syncrepl. |
| # rootdn "cn=admin,dc=dominio,dc=local"
| | rootdn "cn=admin,dc=dominio,dc=local" |
| rootdn "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
| | rootpw {MD5}8Fy5aWO9Ks1d5nFGx3aQ3D== |
| rootpw {MD5}5S2YxFmBmhF3WTbY37t5KQ== | |
|
| |
|
| # Where the database file are physically stored for database #1 | | # Where the database file are physically stored for database #1 |
Riga 676: |
Riga 479: |
|
| |
|
| # Indexing options for database #1 | | # Indexing options for database #1 |
| | #index objectClass eq |
| index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq | | index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq |
| index cn pres,sub,eq | | index cn pres,sub,eq |
Riga 690: |
Riga 494: |
| index givenName pres,sub,eq | | index givenName pres,sub,eq |
| index default sub | | index default sub |
| index krb5PrincipalName,krb5PrincipalRealm eq,pres
| |
|
| |
|
| # Password Hash Definition | | # Password Hash Definition |
Riga 696: |
Riga 499: |
|
| |
|
| # Overlay Unique | | # Overlay Unique |
| overlay unique | | #overlay unique |
| unique_uri ldap:///dc=dominio,dc=local?uidNumber,uid,krb5PrincipalName?sub | | #unique_uri ldap:///ou=Users,dc=dominio,dc=local?uidNumber,cn?sub |
| unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub | | #unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub |
| | |
| # Overlay Auditlog
| |
| overlay auditlog
| |
| auditlog /var/log/ldapchanges.log
| |
|
| |
|
| # Save the time that the entry gets modified, for database #1 | | # Save the time that the entry gets modified, for database #1 |
Riga 710: |
Riga 509: |
| # failure and to speed slapd shutdown. | | # failure and to speed slapd shutdown. |
| checkpoint 512 30 | | checkpoint 512 30 |
|
| |
| # Where to store the replica logs for database #1 | | # Where to store the replica logs for database #1 |
| # replogfile /var/lib/ldap/replog | | # replogfile /var/lib/ldap/replog |
|
| |
|
|
| |
|
| #################################################### | | ########################################################## |
| # Configurazione permessi per i vari utenti | | # Configurazione dei permessi per i vari utenti |
| # dell'albero LDAP | | # del'albero LDAP |
| #################################################### | | ############################################################ |
| | |
| # Heimdal User mapping | |
| authz-regexp "gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth"
| |
| dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
| |
| authz-regexp ^uid=([^,]+),cn=[^,]+,cn=auth$ uid=$1,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
| |
|
| |
|
| # The userPassword by default can be changed | | # The userPassword by default can be changed |
Riga 730: |
Riga 523: |
| # admin entry below | | # admin entry below |
| # These access lines apply to database #1 only | | # These access lines apply to database #1 only |
| access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory,krb5Key,krb5KeyVersionNumber | | #access to attrs=userPassword,shadowLastChange |
| by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write | | access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory |
| | by dn="cn=admin,dc=dominio,dc=local" write |
| by anonymous auth | | by anonymous auth |
| by self write | | by self write |
Riga 744: |
Riga 538: |
| # changes his/her own password. | | # changes his/her own password. |
| access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange | | access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange |
| by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write | | by dn="cn=admin,dc=dominio,dc=local" write |
| by self write | | by self write |
| by * read | | by * read |
Riga 762: |
Riga 556: |
| # can read everything. | | # can read everything. |
| access to * | | access to * |
| by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write | | by dn="cn=admin,dc=dominio,dc=local" write |
| by * read | | by * read |
|
| |
|
Riga 779: |
Riga 573: |
| # The base of your directory for database #2 | | # The base of your directory for database #2 |
| #suffix "dc=debian,dc=org" | | #suffix "dc=debian,dc=org" |
|
| |
| </pre> | | </pre> |
| | | Possiamo far ripartire <code>slapd</code> affinché tutte le modifiche apportate siano prese in considerazione. |
| =Configurazione dei client per LDAP=
| |
| Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
| |
| * '''<tt>/etc/ldap/ldap.conf</tt>'''
| |
| <pre> | | <pre> |
| HOST server.dominio.local
| | # /etc/init.d/slapd stop |
| BASE dc=dominio,dc=local
| | # rm -rf /var/lib/ldap/* |
| URI ldaps://127.0.0.1/
| | # slapadd -l ~/slapd.ldif |
| PORT 636
| | # slapindex |
| TLS_CACERT /etc/ldap/ssl/cacert.pem
| | # chown -Rf openldap:openldap /var/lib/ldap |
| TLS_REQCERT never
| | # /etc/init.d/slapd start |
| TIMELIMIT 2
| |
| </pre> | | </pre> |
| =Primo avvio di slapd=
| | Si può controllare che il server sia correttamente partito eseguendo una query con i comandi: |
| Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>'''
| |
| <pre> | | <pre> |
| SLAPD_CONF=
| | # slapcat |
| SLAPD_PIDFILE=
| | # ldapsearch -x |
| SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
| |
| SLAPD_OPTIONS=""
| |
| SLAPD_USER="openldap"
| |
| SLAPD_GROUP="openldap"
| |
| SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///"
| |
| export KRB5_KTNAME="/etc/ldap/ldap.keytab"
| |
| </pre> | | </pre> |
| Stoppiamo il demone ldap e rimuoviamo il database del precedente albero:
| | La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando: |
| <pre> | | <pre> |
| # /etc/init.d/slapd stop | | # slapd -d 256 |
| # rm -f /var/lib/ldap/*
| |
| </pre> | | </pre> |
| Andiamo quindi a creare le impostazioni per il database del nuovo albero: '''<code>/var/lib/ldap/DB_CONFIG</code>'''
| | In tal modo viene avviato visualizzando varie informazioni di debug a video. |
| | <br/> |
| | |
| | == Configurazione dei client per LDAP == |
| | Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <code>/etc/ldap/ldap.conf</code> aggiungendo le righe: |
| <pre> | | <pre> |
| set_cachesize 0 150000000 1
| | BASE dc=dominio,dc=local |
| set_lg_regionmax 262144
| | URI ldap://127.0.0.1/ |
| set_lg_bsize 2097152
| |
| set_lk_max_objects 1500
| |
| set_lk_max_locks 1500
| |
| set_lk_max_lockers 1500
| |
| set_flags DB_LOG_AUTOREMOVE
| |
| </pre> | | </pre> |
| Sistemiamo i permessi:
| | Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando: |
| <pre> | | <pre> |
| # chown openldap.openldap /var/lib/ldap -R | | # ldapsearch -x |
| # chown openldap.openldap /etc/ldap -R
| |
| # find /var/lib/ldap -type d -exec chmod 700 {} \;
| |
| # find /var/lib/ldap -type f -exec chmod 600 {} \;
| |
| # find /etc/ldap -type d -exec chmod 700 {} \;
| |
| # find /etc/ldap -type f -exec chmod 600 {} \;
| |
| # touch /var/log/ldapchanges.log
| |
| # chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2
| |
| # chmod 600 /var/log/ldapchanges.log /etc/sasldb2
| |
| </pre> | | </pre> |
| e configuriamo logrotate: '''<code>/etc/logrotate.d/ldapchanges</code>''' | | che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente. |
| | <br/> |
| | |
| | == Configurazione di Samba == |
| | Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/> |
| <pre> | | <pre> |
| /var/log/ldapchanges.log { | | # mkdir /dominio |
| rotate 5
| | # mkdir /dominio/homes |
| weekly
| | # mkdir /dominio/profiles |
| compress
| | # mkdir /dominio/netlogon |
| }
| | # mkdir /dominio/pubblica |
| </pre> | | </pre> |
| Possiamo ora avviare slapd:
| | La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti: |
| <pre> | | <pre> |
| # /etc/init.d/slapd start | | # mv /etc/samba/smb.conf /etc/samba/smb.conf.original |
| | # touch /etc/samba/smb.conf |
| | # nano /etc/samba/smb.conf |
| </pre> | | </pre> |
| ==Creazione albero LDAP iniziale==
| | '''/etc/samba/smb.conf''': |
| Possiamo ora creare la struttura di base del nostro albero.<br/>
| |
| Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto:
| |
| <pre> | | <pre> |
| dn: dc=dominio,dc=local
| | [global] |
| dc: dominio
| | ### Configurazione di base del server ### |
| objectClass: top
| | workgroup = DOMINIO |
| objectClass: domain
| | netbios name = SERVER |
| | realm = dominio.local |
| | server string = server - dominio PDC server - Samba %v |
| | case sensitive = No |
| | username map = /etc/samba/usermap |
|
| |
|
| dn: ou=Users,dc=dominio,dc=local
| | ### Imposto il server come controller di dominio ### |
| ou: Users
| | os level = 255 |
| objectClass: top
| | preferred master = yes |
| objectClass: organizationalUnit
| | local master = yes |
| | domain master = yes |
| | domain logons = yes |
| | admin users = Administrator root @"Domain Admins" |
|
| |
|
| dn: ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| | ### Opzioni di connessione e sicurezza. Configurazione Wins ### |
| ou: KerberosPrincipals
| | security = user |
| objectClass: top
| | guest ok = no |
| objectClass: organizationalUnit
| | map to guest = Bad User |
| | encrypt passwords = yes |
| | null passwords = no |
| | hosts allow = 127.0.0.1 10.0.0.0/255.255.255.0 |
| | wins support = yes |
| | idmap uid = 10000-90000 |
| | idmap gid = 10000-90000 |
| | idmap backend = ldap:ldap://127.0.0.1 |
| | name resolve order = wins lmhosts host bcast |
| | dns proxy = no |
| | time server = yes |
| | socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 |
| | keepalive = 20 |
| | preserve case = yes |
| | short preserve case = yes |
|
| |
|
| dn: ou=Groups,dc=dominio,dc=local
| | ### Configuro Winbind |
| ou: Groups
| | winbind uid = 10000-90000 |
| objectClass: top
| | winbind gid = 10000-90000 |
| objectClass: organizationalUnit
| | winbind enum users = yes |
| | winbind enum groups = yes |
| | winbind separator = + |
| | password server = 10.0.0.11 |
| | winbind use default domain = Yes |
| | encrypt passwords = yes |
|
| |
|
| dn: ou=Computers,dc=dominio,dc=local
| | ### Impedisco gli errori getpeername dei client XP |
| ou: Computers
| | smb ports = 139 |
| objectClass: top
| |
| objectClass: organizationalUnit
| |
|
| |
|
| dn: krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| | ### Configurazione dei log ### |
| objectClass: top
| | log file = /var/log/samba/log.%m |
| objectClass: person
| | log level = 2 |
| objectClass: krb5Principal
| | max log size = 50 |
| objectClass: krb5KDCEntry
| |
| krb5PrincipalName: ldapmaster/admin@DOMINIO.LOCAL
| |
| krb5KeyVersionNumber: 1
| |
| krb5MaxLife: 86400
| |
| krb5MaxRenew: 604800
| |
| krb5KDCFlags: 126
| |
| cn: ldapmaster/admin@dominio.local
| |
| sn: ldapmaster/admin@dominio.local
| |
| userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ==
| |
| </pre>
| |
| Quindi importiamo il file ldif nel nostro albero:
| |
| <pre>
| |
| # ldapadd -x -D krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local -w password_root_ldap -f /root/ldap_base.ldif
| |
| </pre>
| |
| che dovrebbe dare come output:
| |
| <pre>
| |
| adding new entry "dc=dominio,dc=local"
| |
|
| |
|
| adding new entry "ou=Users,dc=dominio,dc=local"
| | ### Impostazione charset corretto ### |
| | hide unreadable = yes |
| | hide dot files = yes |
| | unix charset = ISO8859-1 |
| | dos charset = UTF-8 |
| | display charset = UTF-8 |
|
| |
|
| adding new entry "ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
| | panic action = /usr/share/samba/panic-action %d |
|
| |
|
| adding new entry "ou=Groups,dc=dominio,dc=local"
| | ### Configurazione del supporto a LDAP ### |
| | passdb backend = ldapsam:ldap://127.0.0.1 |
| | ldap suffix = dc=dominio,dc=local |
| | ldap machine suffix = ou=Computers |
| | ldap user suffix = ou=Users |
| | ldap group suffix = ou=Groups |
| | ldap idmap suffix = ou=Idmap |
| | ldap admin dn = cn=admin,dc=dominio,dc=local |
| | enable privileges = yes |
| | ldap delete dn = Yes |
| | ldap ssl = no |
|
| |
|
| adding new entry "ou=Computers,dc=dominio,dc=local"
| | ### Permetto il cambio password da Windows |
| | ### Nota: con questa configurazione gli utenti non potranno |
| | ### effettuare il login sulla shell del server, ma solo |
| | ### dai client XP |
| | ldap password sync = yes |
| | pam password change = Yes |
| | unix password sync = No |
|
| |
|
| adding new entry "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
| | ### Profili mobili, directory home, script di logon ### |
| </pre>
| | logon home = \\%L\homes\%U\ |
| Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
| | logon drive = H: |
| <pre>
| | logon path = \\%L\profiles\%U |
| # slapcat | | logon script = logon.bat |
| # ldapsearch -x | |
| </pre>
| |
| La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <tt>slapd</tt> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
| |
| <pre>
| |
| # slapd -d 256
| |
| </pre>
| |
| In tal modo viene avviato visualizzando varie informazioni di debug a video.
| |
|
| |
|
| =Configurazione di Kerberos=
| | ### Script LDAP per gestione utenti e gruppi ### |
| ==Rimozione dei servizi inutili== | | passwd program = /usr/sbin/smbldap-passwd %u |
| Iniziamo modificando il file '''<code>/etc/inetd.conf</code>''' e rimuoviamo alcuni servizi kerberizzati attivati di default:
| | passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authen$ |
| <pre>
| | add user script = /usr/sbin/smbldap-useradd -m "%u" |
| ....
| | ldap delete dn = Yes |
| #ident stream tcp wait identd /usr/sbin/identd identd
| | delete user script = /usr/sbin/smbldap-userdel "%u" |
| ....
| | add machine script = /usr/sbin/smbldap-useradd -w "%u" |
| #krb_prop stream tcp nowait root /usr/sbin/tcpd /usr/sbin/hpropd
| | add group script = /usr/sbin/smbldap-groupadd -p "%g" |
| #kshell stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/rshd -k
| | delete group script = /usr/sbin/smbldap-groupdel "%g" |
| #ftp stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/ftpd -a plain
| | add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" |
| #telnet stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/telnetd -a none
| | delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" |
| #pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/popper
| | set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" |
| #kx stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/kxd
| | |
| </pre>
| | ### Comando per loggare login e logoff (Legge amministratore di sistema) |
| Riavviamo quindi <code>inetd</code>:
| | root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u"$ |
| <pre>
| | root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u$ |
| # /etc/init.d/openbsd-inetd restart | | |
| </pre>
| | ### Sistema di stampa ### |
| ==Kerberos KDC==
| | load printers = yes |
| Configuriamo il Kerberos KDC modificando il file '''<code>/etc/krb5.conf</code>'''
| | printcap name = /etc/printcap |
| <pre>
| | printing = cups |
| [libdefaults]
| | printcap name = cups |
| ticket_lifetime = 80000
| | ; Se desidero che solo il gruppo indicato possa amministrare le stampanti |
| renew_lifetime = 80000
| | ; NOTA: il gruppo deve essere creato nella struttura LDAP |
| default_realm = DOMINIO.LOCAL
| | ;printer admin = @sambaadmins |
| default_keytab_name = FILE:/etc/krb5.keytab
| |
| default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
| |
| default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
| |
| default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
| |
| default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
| |
| kdc_timesync = 1
| |
| forwardable = true
| |
| proxiable = true
| |
| | |
| # The following libdefaults parameters are only for Heimdal Kerberos. | |
| v4_instance_resolve = false
| |
| v4_name_convert = {
| |
| host = {
| |
| rcmd = host
| |
| ftp = ftp
| |
| }
| |
| plain = {
| |
| something = something-else
| |
| }
| |
| }
| |
| | |
| [realms]
| |
| DOMINIO.LOCAL = {
| |
| kdc = server.dominio.local
| |
| admin_server = server.dominio.local
| |
| default_domain = dominio.local
| |
| }
| |
|
| |
|
| [domain_realm]
| |
| .dominio.local = DOMINIO.LOCAL
| |
| dominio.local = DOMINIO.LOCAL
| |
|
| |
|
| [kdc]
| | ### Condivisioni ### |
| enable-kerberos4 = false
| |
| kdc_warn_pwexpire = 7
| |
| database = {
| |
| realm = DOMINIO.LOCAL
| |
| dbname = ldap:ou=Users,dc=dominio,dc=local
| |
| hdb-ldap-structural-object = inetOrgPerson
| |
| mkey_file = /var/lib/heimdal-kdc/m-key
| |
| acl_file = /etc/kadmind.acl
| |
| log_file = /var/log/kdc-db.log
| |
| }
| |
| hdb-ldap-create-base = ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| |
|
| |
| [logging]
| |
| kdc = FILE:/var/log/heimdal/kdc.log
| |
| admin_server = FILE:/var/log/heimdal/admin.log
| |
| default = FILE:/var/log/heimdal/default.log
| |
|
| |
|
| [appdefaults]
| | ### Percorso degli script di logon |
| pam = {
| | [netlogon] |
| ticket_lifetime = 1d
| | comment = Network Logon Service |
| renew_lifetime = 1d
| | path = /dominio/netlogon |
| forwardable = true
| | guest ok = no |
| proxiable = true
| | writable = yes |
| }
| | browseable = no |
| </pre>
| | share modes = no |
| Modifichiamo quindi le ACL del KDC: '''<code>/etc/kadmind.acl</code>'''
| | admin users = @"Domain Admins" |
| <pre>
| |
| ldapmaster/admin@DOMINIO.LOCAL add,delete,get host/*@DOMINIO.LOCAL
| |
| * NO cpw *@DOMINIO.LOCAL
| |
| kadmin/admin@DOMINIO.LOCAL all
| |
| root/admin@DOMINIO.LOCAL all
| |
| addmachine/admin@DOMINIO.LOCAL all
| |
| </pre>
| |
| Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
| |
| <pre>
| |
| # mkdir -p /var/log/heimdal
| |
| # rm -rf /etc/krb5.keytab | |
| # /etc/init.d/heimdal-kcm restart | |
| # /etc/init.d/heimdal-kdc restart | |
| </pre>
| |
| ==Inizializzazione reame Kerberos==
| |
| Inizializziamo ora il reame kerberos:
| |
| <pre>
| |
| # kstash --random-key
| |
| # kadmin -l init --realm-max-ticket-life=unlimited --realm-max-renewable-life=unlimited DOMINIO.LOCAL
| |
| </pre>
| |
| e creiamo le chiavi per il server e i suoi servizi (samba e ldap):
| |
| <pre>
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= host/server.dominio.local
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= host/server
| |
| # kadmin -l ext_keytab host/server.dominio.local
| |
| # kadmin -l ext_keytab host/server
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= ldap/server.dominio.local
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= ldap/server
| |
| # kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server.dominio.local
| |
| # kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= cifs/server.dominio.local
| |
| # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
| |
| --pw-expiration-time=never --attributes= cifs/server
| |
| # kadmin -l ext_keytab cifs/server.dominio.local
| |
| # kadmin -l ext_keytab cifs/server
| |
| </pre>
| |
| Sistemiamo ora i permessi per il keytab ldap:
| |
| <pre>
| |
| # chown openldap.openldap /etc/ldap/ldap.keytab
| |
| # chmod 400 /etc/ldap/ldap.keytab
| |
| </pre>
| |
| e impostiamo la password per due principal kerberos:
| |
| <pre>
| |
| # kadmin -l cpw --password=secret1 ldapmaster/admin
| |
| # kadmin -l cpw --password=secret1 kadmin/admin
| |
| </pre>
| |
| Infine riavviamo ancora il <code>kdc</code>:
| |
| <pre>
| |
| # /etc/init.d/heimdal-kcm restart
| |
| # /etc/init.d/heimdal-kdc restart
| |
| </pre>
| |
|
| |
|
| =Configurazione di SASL=
| | ### Percorso per i roaming profiles |
| Configuriamo SASL (si veda [[http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Wikipedia]] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file '''<code>/etc/default/saslauthd</code>''':
| | [profiles] |
| <pre>
| | comment = Profili degli utenti |
| DESC="SASL Authentication Daemon"
| | path = /dominio/profiles |
| NAME="saslauthd"
| | writeable = yes |
| MECH_OPTIONS=""
| | browseable = no |
| THREADS=5
| | guest ok = no |
| START=yes
| | hide files = /desktop.ini/ntuser.ini/NTUSER.*/ |
| MECHANISMS="ldap"
| | create mask = 0600 |
| OPTIONS="-m /var/run/saslauthd"
| | directory mask = 0700 |
| </pre>
| | csc policy = disable |
| Poi il file '''<code>/usr/lib/sasl2/slapd.conf</code>''':
| | profile acls = Yes |
| <pre>
| | |
| pwcheck_method: saslauthd
| | ### Condivisione stampanti |
| </pre>
| | [printers] |
| e il file '''<code>/etc/saslauthd.conf</code>''':
| | comment = Stampanti |
| <pre>
| | browseable = no |
| ldap_servers: ldap://127.0.0.1
| | path = /var/spool/samba |
| ldap_port: 389
| | printable = yes |
| ldap_version: 3
| | public = no |
| ldap_referrals: no
| | writable = no |
| ldap_search_base: dc=dominio,dc=local
| | create mode = 0700 |
| </pre>
| |
| Sistemiamo i permessi e riavviamo il servizio:
| |
| <pre>
| |
| # chown openldap.openldap /usr/lib/sasl2/slapd.conf
| |
| # chmod 400 /usr/lib/sasl2/slapd.conf
| |
| # /etc/init.d/saslauthd restart
| |
| </pre>
| |
|
| |
|
| =Configurazione di Samba=
| | ### I client Windows si aspettano questa cartella come fonte per i drivers |
| Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <tt>/etc/smbldap-tools/smbldap.conf</tt>, quindi è bene stare attenti a non commettere errori.<br/>
| | [print$] |
| <pre>
| | comment = Drivers delle stampanti |
| # mkdir /dominio | | path = /var/lib/samba/printers |
| # mkdir /dominio/homes | | browseable = yes |
| # mkdir /dominio/profiles | | read only = yes |
| # mkdir /dominio/netlogon
| | guest ok = no |
| # mkdir /dominio/pubblica
| |
| </pre>
| |
| La configurazione di Samba si riduce a modificare il file <tt>/etc/samba/smb.conf</tt>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
| |
| <pre>
| |
| # mv /etc/samba/smb.conf /etc/samba/smb.conf.original
| |
| # touch /etc/samba/smb.conf
| |
| # nano /etc/samba/smb.conf
| |
| </pre>
| |
| '''/etc/samba/smb.conf''':
| |
| <pre>
| |
| [global] | |
| ### Configurazione di base del server ###
| |
| workgroup = DOMINIO | |
| netbios name = SERVER | |
| realm = dominio.local
| |
| server string = DOMINOP PDC Server - Samba %v
| |
| case sensitive = No
| |
| use kerberos keytab = yes
| |
| use spnego = yes
| |
| client NTLMv2 auth = yes
| |
| username map = /etc/samba/usermap
| |
|
| |
| ### Imposto il server come controller di dominio ###
| |
| os level = 255
| |
| preferred master = yes
| |
| local master = yes
| |
| domain master = yes | |
| domain logons = yes | |
| admin users = root addmachine @"Domain Admins" | |
|
| |
|
| | ### Home folders degli utenti |
| | [homes] |
| | path = /dominio/homes/%U |
| | comment = Home directory |
| | browseable = no |
| | writeable = yes |
| | valid users = %S |
| | read only = no |
| | guest ok = no |
| | inherit permissions = yes |
| | admin users = %u |
| | write list = %u |
| | read list = %u |
| | create mask = 0700 |
| | directory mask = 0700 |
|
| |
|
| ### Opzioni di connessione e sicurezza. Configurazione Wins ###
| | ### Directory Pubblica |
| security = user
| | [pubblica] |
| guest ok = no
| | path = /dominio/pubblica |
| map to guest = Bad User
| | comment = Directory Pubblica |
| encrypt passwords = yes
| | read only = No |
| null passwords = no
| | create mask = 0660 |
| hosts allow = 127.0.0.1 10.0.0.0/255.0.0.0
| | directory mask = 2770 |
| wins support = yes
| | hide special files = yes |
| idmap uid = 10000-90000
| | hide files = /lost+found/ |
| idmap gid = 10000-90000
| | acl group control = yes |
| idmap backend = ldap:ldaps://127.0.0.1
| | inherit acls = yes |
| name resolve order = wins lmhosts host bcast
| | map acl inherit = yes |
| dns proxy = yes
| | inherit permissions = yes |
| time server = yes
| | map archive = no |
| socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
| |
| keepalive = 20
| |
| preserve case = yes
| |
| short preserve case = yes
| |
|
| |
| bind interfaces only = yes
| |
| interfaces = bond0, lo
| |
|
| |
|
| ### Configuro Winbind
| | # Per condividere l'unità CD del server |
| winbind uid = 10000-90000
| | ;[cdrom] |
| winbind gid = 10000-90000
| | ; comment = Samba server CD |
| winbind enum users = yes
| | ; writable = no |
| winbind enum groups = yes
| | ; locking = no |
| winbind separator = +
| | ; path = /media/cdrom0 |
| password server = server_name
| | ; public = yes |
| winbind use default domain = Yes
| |
| encrypt passwords = yes
| |
|
| |
|
| ### Impedisco gli errori getpeername dei client XP
| | ; Per il mount - umount automatico del CD |
| smb ports = 139
| | ; Perchè funzioni il file /etc/fstab deve contenere una |
| | | ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0 |
| ### Configurazione dei log ###
| | ;preexec = /bin/mount /cdrom |
| log file = /var/log/samba/log.%m
| | ; postexec = /bin/umount /cdrom |
| log level = 2
| | </pre> |
| max log size = 50
| | Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando: |
| debug level = 1
| | <pre> |
| syslog = 0
| | # testparm |
| utmp = Yes
| | </pre> |
|
| | Modifichiamo anche il file <code>/etc/samba/usermap</code>: |
| ### Impostazione charset corretto ###
| | <pre> |
| hide unreadable = yes
| | root = DOMINIO.LOCAL\root/admin |
| hide dot files = yes
| | Administrator = DOMINIO.LOCAL\Administrator/admin |
| unix charset = ISO8859-1
| | </pre> |
| dos charset = UTF-8
| | e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio: |
| display charset = UTF-8
| | <pre> |
| restrict anonymous = 0
| | # wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba |
| | | # chmod 700 /etc/samba/log_access_login.bash |
| panic action = /usr/share/samba/panic-action %d
| | </pre> |
| | | Sistemiamo ora le ultime directory necessarie: |
| ### Configurazione del supporto a LDAP ###
| | <pre> |
| passdb backend = ldapsam:ldaps://127.0.0.1
| | # mkdir -p /var/log/samba/login-logoff |
| ldap admin dn = krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| | # rm -rf /etc/samba/*tdb |
| ldap ssl = On
| | # rm -rf /var/lib/samba/*tdb |
| ldapsam:trusted = yes
| | # rm -rf /var/lib/samba/*dat |
| ldap suffix = dc=dominio,dc=local
| | # rm -f /var/log/samba/* |
| ldap machine suffix = ou=Computers
| | </pre> |
| ldap user suffix = ou=Users
| | facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione: |
| ldap group suffix = ou=Groups
| | <pre> |
| ldap idmap suffix = ou=Idmap
| | # smbpasswd -w password |
| enable privileges = yes
| | </pre> |
| ldap delete dn = Yes
| | e riavviamo il servizio: |
| ldap ssl = no
| | <pre> |
| | | # /etc/init.d/samba restart |
| ### Permetto il cambio password da Windows
| | </pre> |
| ldap password sync = yes
| | Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID: |
| pam password change = Yes
| | <pre> |
| unix password sync = Yes
| | # net getlocalsid DOMINIO |
| pam password change = no
| | </pre> |
| | Quindi andiamo a modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). |
| | <pre> |
| | SID="S-1-5-21-2318037123-1631426476-2439636316" |
| | sambaDomain="DOMINIO" |
| | realm="dominio.local" |
| | slaveLDAP="127.0.0.1" |
| | slavePort="389" |
| | masterLDAP="127.0.0.1" |
| | masterPort="389" |
| | </pre> |
| | Il resto del file va lasciato invariato. |
|
| |
|
| ### Profili mobili, directory home, script di logon ###
| | == Popolamento del database LDAP == |
| logon home = \\%L\homes\%U\
| | Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/> |
| logon drive = H:
| | La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows: |
| logon path = \\%L\profiles\%U
| | {{Box | Nome - UID - Tipo | |
| logon script = %U.bat OR netlogon.bat
| | Domain Administrator - 500 - Utente<br/> |
| | | Domain Guest - 501 - Utente<br/> |
| ### Script LDAP per gestione utenti e gruppi ###
| | Domain KRBTGT - 502 - Utente<br/> |
| passwd program = /usr/sbin/smbldap-passwd %u
| | Domain Admins - 512 - Gruppo<br/> |
| passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*
| | Domain Users - 513 - Gruppo<br/> |
| add user script = /usr/sbin/smbldap-useradd -m -a "%u"
| | Domain Guests - 514 - Gruppo<br/> |
| ldap delete dn = Yes
| | Domain Computers - 515 - Gruppo<br/> |
| delete user script = /usr/sbin/smbldap-userdel "%u"
| | Domain Controllers - 516 - Gruppo<br/> |
| add machine script = /usr/sbin/smbldap-useradd -w "%u"
| | Domain Certificate Admins - 517 - Gruppo<br/> |
| add group script = /usr/sbin/smbldap-groupadd -p "%g"
| | Domain Schema Admins - 518 - Gruppo<br/> |
| delete group script = /usr/sbin/smbldap-groupdel "%g"
| | Domain Enterprise Admins - 519 - Gruppo<br/> |
| add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
| | Domain Policy Admins - 520 - Gruppo<br/> |
| delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
| | Builtin Admins - 544 - Alias<br/> |
| set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
| | Builtin users - 545 - Alias<br/> |
| | | Builtin Guests - 546 - Alias<br/> |
| ### Sistema di stampa ###
| | Builtin Power Users - 547 - Alias<br/> |
| load printers = yes
| | Builtin Account Operators - 548 - Alias<br/> |
| printcap name = /etc/printcap
| | Builtin System Operators - 549 - Alias<br/> |
| printing = cups
| | Builtin Print Operators - 550 - Alias<br/> |
| printcap name = cups
| | Builtin Backup Operators - 551 - Alias<br/> |
| ; Se desidero che solo il gruppo indicato possa amministrare le stampanti
| | Builtin Replicator - 552 - Alias<br/> |
| ; NOTA: il gruppo deve essere creato nella struttura LDAP
| | Builtin RAS Servers - 553 - Alias<br/> |
| ;printer admin = @sambaadmins
| | }} |
| | | Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. |
| ### Comando per loggare login e logoff (Legge amministratore di sistema)
| | Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. |
| root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" ON
| | === 1 - Utilizzo degli script forniti con smbldap-tools === |
| root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" OFF
| | La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato: |
|
| | <pre> |
| | # smbldap-populate -a root -k 0 |
| | # smbldap-useradd -a -m -c "Admin" Administrator |
| | # smbldap-usermod -G "Domain Admins" Administrator |
| | </pre> |
| | Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> |
| | Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: |
| | <pre> |
| | # ldapsearch -x | less |
| | </pre> |
| | e: |
| | <pre> |
| | # ldapsearch -x uid=Administrator |
| | </pre> |
| | Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando: |
| | <pre> |
| | # smbldap-passwd Administrator |
| | </pre> |
| | Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. |
| | Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. |
|
| |
|
| ### Condivisioni ###
| | === 2 - Utilizzo della GUI phpLDAPadmin === |
|
| | Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/> |
| ### Percorso degli script di logon
| | Innanzitutto bisogna collegarci con un browser al nostro server: |
| [netlogon]
| | <pre> |
| comment = Network Logon Service
| | https://10.0.0.11/phpldapadmin |
| path = /dominio/netlogon
| | </pre> |
| guest ok = no
| | Cliccate sul link di login e inserite le seguenti informazioni: |
| writable = yes
| | <pre> |
| browseable = no
| | Login DN: cn=admin,dc=dominio,dc=local |
| share modes = no
| | Password: password |
| admin users = @"Domain Admins"
| | </pre> |
| | [[Immagine:Sambapdc01.jpg|center]]<br/>[[Immagine:Sambapdc02.jpg|center]]<br/> |
| | Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce '''Create ner entry here". |
| | [[Immagine:Sambapdc04.jpg|center]] |
| | Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso. |
| | {{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/> |
| | Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente: |
| | <pre> |
| | smbldap-passwd Administrator |
| | </pre> |
|
| |
|
| ### Percorso per i roaming profiles
| | == Configurazione delle autenticazioni Unix == |
| [profiles]
| | A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema. |
| comment = Profili degli utenti
| | === Installazione del demone name service caching daemon (nscd) === |
| path = /dominio/profiles
| | Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa: |
| writeable = yes
| | <pre> |
| browseable = no
| | # apt-get install nscd |
| guest ok = no
| | </pre> |
| hide files = /desktop.ini/ntuser.ini/NTUSER.*/
| | La configurazione di default è più che sufficiente per i nostri scopi.<br/> |
| create mask = 0600
| | Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba: |
| directory mask = 0700
| | <pre> |
| csc policy = disable
| | # /etc/init.d/samba restart |
| profile acls = Yes
| | </pre> |
|
| |
|
| ### Condivisione stampanti
| | === Installazione di libnss-ldap === |
| [printers]
| | Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando: |
| comment = Stampanti
| | <pre> |
| browseable = no
| | # apt-get install libnss-ldap |
| path = /var/spool/samba
| | </pre> |
| printable = yes
| | Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando: |
| public = no
| | <pre> |
| writable = no
| | # dpkg-reconfigure libnss-ldap |
| create mode = 0700
| | </pre> |
| | | Rispondete in questo modo alle domande che vi vengono poste dall'installer: |
| ### I client Windows si aspettano questa cartella come fonte per i drivers | | * Server LDAP: 127.0.0.1 |
| [print$]
| | * Distinguished Name (DN): dc=dominio,dc=local |
| comment = Drivers delle stampanti
| | * LDAP Version: 3 |
| path = /var/lib/samba/printers
| | * E' richiesto l'utente per il database LDAP: no |
| browseable = yes
| | * Privilegi speciali LDAP per root: sí |
| read only = yes
| | * Configurazione leggibile e scrivibile solo dal propietario: sí |
| guest ok = no
| | * Account LDAP per root cn=admin,dc=dominio,dc=local |
| | | * Password LDAP di root: password |
| ### Home folders degli utenti
| | A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> cambiando le tre linee |
| [homes]
| | <pre> |
| path = /dominio/homes/%U
| | passwd: compat |
| comment = Home directory
| | group: compat |
| browseable = no
| | shadow: compat |
| writeable = yes
| | </pre> |
| valid users = %S
| | con |
| read only = no
| | <pre> |
| guest ok = no
| | passwd: files ldap |
| inherit permissions = yes
| | group: files ldap |
| admin users = %u
| | shadow: files ldap |
| write list = %u
| | hosts: files dns ldap |
| read list = %u
| | </pre> |
| create mask = 0700
| | Il contenuto del file dovrebbe essere il seguente:<br/> |
| directory mask = 0700
| | '''/etc/nsswitch.conf''' |
| | | <pre> |
| ### Directory condivisa | | # /etc/nsswitch.conf |
| [pubblica]
| | ## |
| path = /dominio/pubblica
| | Example configuration of GNU Name Service Switch functionality. |
| read only = No
| | # If you have the `glibc-doc-reference' and `info' packages installed, try: |
| create mask = 0660
| | # `info libc "Name Service Switch"' for information about this file. |
| directory mask = 2770
| | passwd: files ldap |
| hide special files = yes
| | group: files ldap |
| hide files = /lost+found/
| | shadow: files ldap |
| acl group control = yes
| | hosts: files dns ldap |
| inherit acls = yes
| | hosts: files dns |
| map acl inherit = yes
| | networks: files |
| inherit permissions = yes
| | protocols: db files |
| map archive = no
| | services: db files |
| | | ethers: db files |
| # Per condividere l'unità CD del server
| | rpc: db files |
| ;[cdrom]
| | netgroup: nis |
| ; comment = Samba server CD
| | </pre> |
| ; writable = no
| | Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default: |
| ; locking = no
| | <pre> |
| ; path = /media/cdrom0
| | host 127.0.0.1 |
| ; public = yes
| | base dc=dominio,dc=local |
| | | ldap_version 3 |
| ; Per il mount - umount automatico del CD
| | scope one |
| ; Perchè funzioni il file /etc/fstab deve contenere una
| | pam_filter objectclass=posixaccount |
| ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0
| | pam_login_attribute uid |
| ;preexec = /bin/mount /cdrom
| | pam_member_attribute gid |
| ; postexec = /bin/umount /cdrom
| | bind_policy soft |
| </pre> | | pam_password md5 |
| Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
| | nss_base_passwd ou=Users,dc=dominio,dc=local?sub |
| | nss_base_passwd ou=Computers,dc=dominio,dc=local?sub |
| | nss_base_shadow ou=Users,dc=dominio,dc=local?sub |
| | nss_base_group ou=Groups,dc=dominio,dc=local?one |
| | </pre> |
| | <br/> |
| | A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti: |
| <pre> | | <pre> |
| # testparm
| | ... |
| | udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server |
| | udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server |
| | udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable |
| | udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek |
| | ... |
| </pre> | | </pre> |
| Modifichiamo anche il file <code>/etc/samba/usermap</code>:
| | Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti: |
| <pre> | | <pre> |
| addmachine = DOMINIO.LOCAL\addmachine/admin
| | # addgroup --system tss |
| root = DOMINIO.LOCAL\root/admin
| | # addgroup --system kvm |
| | # addgroup --system rdma |
| | # addgroup --system fuse |
| | # addgroup --system scanner |
| | # addgroup --system nvram |
| | # adduser --system tss |
| </pre> | | </pre> |
| e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
| | |
| | === Installazione di libpam-ldap === |
| | L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente: |
| <pre> | | <pre> |
| # wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba | | # apt-get install libpam-ldap |
| # chmod 700 /etc/samba/log_access_login.bash | | # dpkg-reconfigure libpam-ldap |
| </pre> | | </pre> |
| Modifichiamo inoltre il file <code>/etc/request-key.conf</code> aggiungendo:
| | rispondendo in questo modo alle domande poste dall'installer: |
| | * Server LDAP: 127.0.0.1 |
| | * Distinguished name (DN): dc=dominio,dc=local |
| | * LDAP version: 3 |
| | * Make local root Database admin: sí |
| | * Si richiede utente per database LDAP: no |
| | * LDAP account for root cn=admin,dc=dominio,dc=local |
| | * LDAP root password: password |
| | * Local crypt to use when changing passwords: md5 |
| | Modificate come segue il file '''/etc/pam_ldap.conf''': |
| <pre> | | <pre> |
| create cifs.spnego * * /usr/sbin/cifs.upcall %k %d
| | bind_policy soft |
| | nss_base_passwd dc=dominio,dc=local?sub |
| | nss_base_shadow dc=dominio,dc=local?sub |
| | nss_base_group ou=Groups,dc=dominio,dc=local?one |
| </pre> | | </pre> |
| sistemiamo ora le ultime directory necessarie:
| | Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/> |
| | '''/etc/pam.d/common-account'''<br/> |
| <pre> | | <pre> |
| # mkdir -p /var/log/samba/login-logoff | | # |
| # rm -rf /etc/samba/*tdb | | #/etc/pam.d/common-account - authorization settings common to all services |
| # rm -rf /var/lib/samba/*tdb | | ## |
| # rm -rf /var/lib/samba/*dat | | This file is included from other service-specific PAM config files, |
| # rm -f /var/log/samba/*
| | # and should contain a list of the authorization modules that define |
| | # the central access policy for use on the system. The default is to |
| | # only deny service to users whose accounts are expired in /etc/shadow. |
| | # |
| | #account required pam_unix.so |
| | account sufficient pam_ldap.so |
| | account required pam_unix.so try_first_pass |
| </pre> | | </pre> |
| facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione:
| | <br/> |
| | '''/etc/pam.d/common-auth'''<br/> |
| <pre> | | <pre> |
| # smbpasswd -w password | | # |
| | # /etc/pam.d/common-auth - authentication settings common to all services |
| | # |
| | # This file is included from other service-specific PAM config files, |
| | # and should contain a list of the authentication modules that define |
| | # the central authentication scheme for use on the system |
| | # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the |
| | # traditional Unix authentication mechanisms. |
| | # |
| | #auth required pam_unix.so nullok_secure |
| | #auth [success=1 default=ignore] pam_unix.so |
| | #auth required pam_ldap.so use_first_pass |
| | auth sufficient pam_ldap.so |
| | auth required pam_unix.so nullok_secure use_first_pass |
| </pre> | | </pre> |
| che restituirà questo output:
| | <br/> |
| | '''/etc/pam.d/common-password'''<br/> |
| <pre> | | <pre> |
| Setting stored password for "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" in secrets.tdb
| | # /etc/pam.d/common-password - password-related modules common to all services |
| | ## |
| | This file is included from other service-specific PAM config files, |
| | # and should contain a list of modules that define the services to be |
| | #used to change user passwords. The default is pam_unix |
| | # The "nullok" option allows users to change an empty password, else |
| | # empty passwords are treated as locked accounts. |
| | # |
| | # (Add `md5' after the module name to enable MD5 passwords) |
| | # |
| | # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in |
| | # login.defs. Also the "min" and "max" options enforce the length of the |
| | # new password. |
| | #password required pam_unix.so nullok obscure min=4 max=8 md5 |
| | # Alternate strength checking for password. Note that this |
| | # requires the libpam-cracklib package to be installed. |
| | # You will need to comment out the password line above and |
| | # uncomment the next two in order to use this. |
| | # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') |
| | # |
| | # password required pam_cracklib.so retry=3 minlen=6 difok=3 |
| | # password required pam_unix.so use_authtok nullok md5 |
| | password sufficient pam_ldap.so |
| | password required pam_unix.so nullok obscure md5 use_first_pass |
| </pre> | | </pre> |
| Ora possiamo riavviare il servizio:
| | <br/> |
| | '''/etc/pam.d/common-session'''<br/> |
| <pre> | | <pre> |
| # /etc/init.d/samba restart
| | session sufficient pam_ldap.so |
| | session required pam_unix.so |
| | </pre> |
| | |
| | Infine registriamo la password di root di OpenLDAP con i comandi: |
| | <pre> |
| | echo -n "password" > /etc/libnss-ldap.secret |
| | echo -n "password" > /etc/pam_ldap.secret |
| </pre> | | </pre> |
| Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID:
| | === Test di funzionamento === |
| | Riavviate il vostro server e controllate eventuali messaggi di errore al boot. |
| | Una volta ripartito, con i comandi: |
| <pre> | | <pre> |
| # net getlocalsid DOMINIO
| | getent passwd |
| | getent group |
| </pre> | | </pre> |
| Quindi andiamo a modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
| | dovremmo vedere elencati anche gli utenti e i gruppi di dominio OpenLDAP. |
| | Il comando: |
| <pre> | | <pre> |
| SID="S-1-5-21-2318037123-1631426476-2439636316"
| | smbclient -L localhost -U Administrator |
| sambaDomain="DOMINIO"
| |
| realm="dominio.local"
| |
| slaveLDAP="127.0.0.1"
| |
| slavePort="389"
| |
| masterLDAP="127.0.0.1"
| |
| masterPort="389"
| |
| </pre> | | </pre> |
| Il resto del file va lasciato invariato.
| | dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server. |
|
| |
|
| =Popolamento del database LDAP= | | == Assegnazione dei permessi agli utenti di dominio == |
| Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
| | Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio: |
| La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
| | <pre> |
| {{Box | Nome - UID - Tipo |
| | net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins" |
| Domain Administrator - 500 - Utente<br/>
| | SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege |
| Domain Guest - 501 - Utente<br/>
| | SeDiskOperatorPrivilege SeRemoteShutdownPrivilege |
| Domain KRBTGT - 502 - Utente<br/>
| | </pre> |
| Domain Admins - 512 - Gruppo<br/> | | <pre> |
| Domain Users - 513 - Gruppo<br/>
| | net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege |
| Domain Guests - 514 - Gruppo<br/>
| | </pre> |
| Domain Computers - 515 - Gruppo<br/>
| | dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga. |
| Domain Controllers - 516 - Gruppo<br/>
| | |
| Domain Certificate Admins - 517 - Gruppo<br/>
| | == Aggiungere i primi utenti di dominio == |
| Domain Schema Admins - 518 - Gruppo<br/>
| | Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. |
| Domain Enterprise Admins - 519 - Gruppo<br/>
| | Adesso siamo pronti per la creazione del primo utente con il comando: |
| Domain Policy Admins - 520 - Gruppo<br/>
| | <pre> |
| Builtin Admins - 544 - Alias<br/>
| | # smbldap-useradd -a -m -c "Nome Utente" username |
| Builtin users - 545 - Alias<br/>
| | </pre> |
| Builtin Guests - 546 - Alias<br/>
| | Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.<br/> |
| Builtin Power Users - 547 - Alias<br/>
| | Infine impostare la password dell'utente con: |
| Builtin Account Operators - 548 - Alias<br/>
| |
| Builtin System Operators - 549 - Alias<br/>
| |
| Builtin Print Operators - 550 - Alias<br/>
| |
| Builtin Backup Operators - 551 - Alias<br/>
| |
| Builtin Replicator - 552 - Alias<br/>
| |
| Builtin RAS Servers - 553 - Alias<br/>
| |
| }}
| |
| Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
| |
| Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
| |
| ==1 - Utilizzo degli script forniti con smbldap-tools==
| |
| La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
| |
| <pre> | | <pre> |
| # smbldap-populate -k 0 | | # smbldap-passwd username |
| # smbldap-useradd -a -m -c "Admin" Administrator
| |
| # smbldap-usermod -G "Domain Admins" Administrator
| |
| # smbldap-usermod -u 0 Administrator
| |
| # smbldap-populate -a Administrator -k 0
| |
| </pre> | | </pre> |
| Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
| | Per verificare il tutto usare il comando: |
| Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: | |
| <pre> | | <pre> |
| # ldapsearch -x | less | | # smbldap-usershow username |
| </pre> | | </pre> |
| e:
| | Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio: |
| <pre> | | <pre> |
| # ldapsearch -x uid=Administrator | | # smbldap-groupadd "NomeGruppo" |
| | </pre> |
| | Aggiungiamo gli utenti ai gruppi desiderati: |
| | <pre> |
| | # smbldap-usermod -G "NomeGruppo" nome.utente |
| </pre> | | </pre> |
| Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
| | <br/> |
| | Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory: |
| <pre> | | <pre> |
| # smbldap-passwd Administrator | | # mkdir /home/users/nome.utente |
| | # cp /etc/skel/.* /home/users/nome.utente/ |
| | # chown -R nome.utente /home/users/nome.utente |
| </pre> | | </pre> |
| Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida.
| |
| Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
| |
|
| |
|
| ==2 - Utilizzo della GUI phpLDAPadmin== | | == Creazione di un semplice script da eseguire al login di windows == |
| Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
| | E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows. |
| Innanzitutto bisogna collegarci con un browser al nostro server:
| | Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos. |
| <pre> | | <pre> |
| https://10.0.0.11/phpldapadmin
| | # apt-get install tofrodos |
| </pre> | | </pre> |
| Cliccate sul link di login e inserite le seguenti informazioni:
| | creiamo lo script con l'editor che preferiamo |
| <pre> | | <pre> |
| Login DN: cn=admin,dc=dominio,dc=local
| | # vim /dominio/netlogon/logon.bat |
| Password: password
| |
| </pre> | | </pre> |
| [[Immagine:Sambapdc01.jpg|center]]<br/>[[Immagine:Sambapdc02.jpg|center]]<br/>
| | syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file |
| Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce '''Create ner entry here".
| |
| [[Immagine:Sambapdc04.jpg|center]]
| |
| Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
| |
| {{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
| |
| Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
| |
| <pre> | | <pre> |
| smbldap-passwd Administrator
| | net time %LOGONSERVER% /set /yes |
| | net use X: \\SERVER\Nome_Condivisione |
| </pre> | | </pre> |
| | | infine |
| =Configurazione delle autenticazioni Unix=
| |
| A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
| |
| ==Installazione del demone name service caching daemon (nscd)==
| |
| Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
| |
| <pre> | | <pre> |
| # apt-get install nscd | | # unix2dos /dominio/netlogon/logon.bat |
| </pre> | | </pre> |
| La configurazione di default è più che sufficiente per i nostri scopi.<br/>
| | Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. |
| Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba:
| | Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux. |
| | |
| | == Test e connessione al dominio == |
| | Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/> |
| | A tal fine il primo accesso può essere fatto dal server stesso con il comando: |
| <pre> | | <pre> |
| # /etc/init.d/samba restart | | # smbclient -L localhost -U Administrator |
| </pre> | | </pre> |
| | | Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server. |
| ==Installazione di libnss-ldap==
| | <br/><br/> |
| Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
| | La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client: |
| <pre> | | <br/><br/> |
| apt-get install libnss-ldap
| | *'''Windows 95/98/ME''' |
| </pre>
| | # Verificare che sia installato il "Client per Reti Microsoft" fra le proprietà di rete |
| Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
| | # Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario). |
| <pre>
| | # Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT. |
| # dpkg-reconfigure libnss-ldap | | # Se si è configurata su smb.conf l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows. |
| </pre>
| | # Inserire il nome del proprio dominio e cliccare OK. |
| Rispondete in questo modo alle domande che vi vengono poste dall'installer:
| | *'''Windows NT''' |
| * Server LDAP: 127.0.0.1 | | # Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà |
| * Distinguished Name (DN): dc=dominio,dc=local | | # Selezionare Dominio e inserire il nome del prorio dominio |
| * LDAP Version: 3
| | # Selezionare Crea un Computer Account |
| * E' richiesto l'utente per il database LDAP: no
| | # Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l'utente root deve essere aggiunto a smbpasswd. |
| * Privilegi speciali LDAP per root: sí
| | # Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio. |
| * Configurazione leggibile e scrivibile solo dal propietario: sí
| | *'''Windows 2000''' |
| * Account LDAP per root cn=admin,dc=dominio,dc=local
| | # Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull'icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà). |
| * Password LDAP di root: password
| | *'''Windows XP''' |
| A questo punto bisogna modificare il file <tt>/etc/nsswitch.conf</tt> cambiando le tre linee
| | La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based). |
| | # Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione) |
| | # Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) ) |
| | # Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer) |
| | # Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) ) |
| | # Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande |
| | # A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator. |
| | *'''Windows Vista''' |
| | # Non ancora testato. |
| | *'''Windows 7''' |
| | Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida. |
| | # Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro: |
| <pre> | | <pre> |
| passwd: compat
| | HKLM\System\CCS\Services\LanmanWorkstation\Parameters |
| group: compat
| | DWORD DomainCompatibilityMode = 1 |
| shadow: compat
| | DWORD DNSNameResolutionRequired = 0 |
| </pre> | | </pre> |
| con | | Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7 |
| | <br/> |
| | A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP. |
| | |
| | == Unire un server Samba al dominio == |
| | Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti: |
| | # Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti |
| | # Usare il server di dominio per l'autenticazione |
| | Il primo caso non verrà trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere. |
| | <br/> |
| | Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/> |
| | '''/etc/resolv.conf'''<br/> |
| <pre> | | <pre> |
| passwd: files ldap
| | search dominio.local |
| group: files ldap
| | nameserver 10.0.0.11 |
| shadow: files ldap
| |
| hosts: files dns ldap
| |
| </pre> | | </pre> |
| Il contenuto del file dovrebbe essere il seguente:<br/>
| | Per testare il corretto funzionamento del DNS potete provare il comando: |
| '''/etc/nsswitch.conf'''
| |
| <pre> | | <pre> |
| # /etc/nsswitch.conf | | # host 10.0.0.11 |
| | |
| passwd: files ldap [notfound=continue]
| |
| shadow: files ldap [notfound=continue]
| |
| group: files ldap [notfound=continue]
| |
| | |
| hosts: files dns wins
| |
| networks: files
| |
| | |
| protocols: db files
| |
| services: db files
| |
| ethers: db files
| |
| rpc: db files
| |
| | |
| netgroup: nis
| |
| </pre> | | </pre> |
| Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
| | che deve restituire: |
| | <pre> |
| | > 11.0.0.10.in-addr.arpa domain name pointer |
| | > server.dominio.local. |
| | </pre> |
| | Installiamo ora samba e winbind: |
| <pre> | | <pre> |
| host 127.0.0.1
| | # apt-get install samba winbind |
| base dc=dominio,dc=local
| |
| ldap_version 3
| |
| scope one
| |
| pam_filter objectclass=posixaccount
| |
| pam_login_attribute uid
| |
| pam_member_attribute gid
| |
| pam_password crypt
| |
| bind_policy soft
| |
| pam_password md5
| |
| nss_base_passwd ou=Users,dc=dominio,dc=local?sub
| |
| nss_base_passwd ou=Computers,dc=dominio,dc=local?sub
| |
| nss_base_shadow ou=Users,dc=dominio,dc=local?sub
| |
| nss_base_group ou=Groups,dc=dominio,dc=local?one
| |
| </pre> | | </pre> |
| e il file '''<code>/etc/ldap.conf</code>''': | | Winbind è un software che permette agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l'autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows. Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch, che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.<br/> |
| | Quindi stoppiamo i demoni appena installati: |
| <pre> | | <pre> |
| base dc=dominio,dc=local
| | # /etc/init.d/samba stop |
| uri ldaps://127.0.0.1
| | # /etc/init.d/winbind stop |
| rootbinddn krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
| |
| port 636
| |
|
| |
| ldap_version 3
| |
| bind_policy soft
| |
| bind_timelimit 2
| |
| timelimit 2
| |
| scope sub
| |
| nss_reconnect_maxsleeptime 8
| |
| nss_reconnect_sleeptime 1
| |
| nss_initgroups_ignoreusers root
| |
| nss_srv_domain esempio.lan
| |
|
| |
| pam_password exop
| |
| | |
| pam_filter objectclass=posixAccount
| |
| pam_login_attribute uid
| |
| pam_member_attribute memberUid
| |
|
| |
| nss_base_passwd ou=Users,dc=dominio,dc=local?one
| |
| nss_base_shadow ou=Users,dc=dominio,dc=local?one
| |
| nss_base_passwd ou=Computers,dc=dominio,dc=local?one
| |
| nss_base_shadow ou=Computers,dc=dominio,dc=local?one
| |
| nss_base_group ou=Groups,dc=dominio,dc=local?one
| |
| | |
| ssl on
| |
| </pre> | | </pre> |
| e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret e rendiamolo leggibile solo a root: | | e modifichiamo il file <code>/etc/samba/smb.conf</code> con le seguenti direttive: |
| <pre> | | <pre> |
| # echo password_root_ldap > /etc/ldap.secret
| | [global] |
| # chown root.root /etc/ldap.secret | | # Impostazioni per il dominio |
| # chmod 600 /etc/ldap.secret
| | security = domain |
| </pre>
| | workgroup = DOMINIO |
| <br/>
| | realm = DOMINIO.LOCAL |
| A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
| | server string = Server Samba |
| <pre>
| | netbios name = FILESERVER |
| ...
| | # os level deve essere inferiore a quello del PDC |
| udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server
| | os level = 20 |
| udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
| | preferred master = False |
| udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable
| | domain master = False |
| udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek
| | |
| ...
| | # Impostazioni Wins e DNS |
| </pre>
| | wins server = 10.0.0.11 |
| Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
| | dns proxy = no |
| <pre>
| | name resolve order = wins hosts bcast |
| addgroup --system tss
| |
| addgroup --system kvm
| |
| addgroup --system rdma
| |
| addgroup --system fuse
| |
| addgroup --system scanner
| |
| addgroup --system nvram
| |
| adduser --system tss
| |
| </pre>
| |
|
| |
|
| ==Installazione di libpam-ldap== | | # Impostazioni LDAP e utenti |
| L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
| | ldap suffix = dc=dominio,dc=local |
| <pre>
| | ldap machine suffix = ou=Computers |
| # apt-get install libpam-ldap
| | ldap group suffix = ou=Groups |
| # dpkg-reconfigure libpam-ldap
| | ldap user suffix = ou=Users |
| </pre>
| | ldap idmap suffix = ou=Idmap |
| rispondendo in questo modo alle domande poste dall'installer:
| | ldap admin dn=cn=admin,dc=dominio,dc=local |
| * Server LDAP: 127.0.0.1
| | idmap backend = ldap:"ldap://10.0.0.11" |
| * Distinguished name (DN): dc=dominio,dc=local
| | |
| * LDAP version: 3
| | # Rimappo gli utenti remoti con uid e gid diversi |
| * Make local root Database admin: sí
| | winbind uid = 10000-90000 |
| * Si richiede utente per database LDAP: no
| | winbind gid = 10000-90000 |
| * LDAP account for root cn=admin,dc=dominio,dc=local
| | winbind enum users = yes |
| * LDAP root password: password
| | winbind enum groups = yes |
| * Local crypt to use when changing passwords: md5
| | winbind separator = + |
| Modificate come segue il file '''/etc/pam_ldap.conf''':
| | password server = server |
| <pre>
| | winbind use default domain = Yes |
| bind_policy soft
| | encrypt passwords = yes |
| nss_base_passwd dc=dominio,dc=local?sub
| | |
| nss_base_shadow dc=dominio,dc=local?sub
| | # Samba LOG |
| nss_base_group ou=Groups,dc=dominio,dc=local?one
| | syslog = 0 |
| </pre>
| | log level = 3 passdb:1 auth:1 winbind:1 |
| Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
| | panic action = /usr/share/samba/panic-action %d |
| '''/etc/pam.d/common-account'''<br/>
| | max log size = 1000 |
| <pre>
| | log file = /var/log/samba/log.%m |
| #
| | ;template primary group = "Domain Users" |
| #/etc/pam.d/common-account - authorization settings common to all services | | |
| ##
| | # Files/Directories |
| This file is included from other service-specific PAM config files,
| | map acl inherit = yes |
| # and should contain a list of the authorization modules that define
| | case sensitive = no |
| # the central access policy for use on the system. The default is to
| | directory mask = 0770 |
| # only deny service to users whose accounts are expired in /etc/shadow.
| | |
| #
| | [condivisione] |
| #account required pam_unix.so
| | comment = Dati Condivisi |
| account sufficient pam_ldap.so
| | path = /dominio/dati |
| account required pam_unix.so try_first_pass
| | read only = No |
| | create mask = 0660 |
| | directory mask = 2770 |
| | hide special files = yes |
| | hide files = /lost+found/ |
| | acl group control = yes |
| | inherit acls = yes |
| | map acl inherit = yes |
| | inherit permissions = yes |
| | map archive = no |
| </pre> | | </pre> |
| <br/>
| | Fare ripartire Samba con: |
| '''/etc/pam.d/common-auth'''<br/>
| |
| <pre> | | <pre> |
| #
| | /etc/init.d/samba start |
| # /etc/pam.d/common-auth - authentication settings common to all services
| | </pre> |
| #
| | Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/> |
| # This file is included from other service-specific PAM config files,
| | Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<code>ldap://10.0.0.11</code>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap. |
| # and should contain a list of the authentication modules that define
| | <pre> |
| # the central authentication scheme for use on the system
| | # apt-get install libnss-ldap |
| # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
| |
| # traditional Unix authentication mechanisms.
| |
| # | |
| #auth required pam_unix.so nullok_secure
| |
| #auth [success=1 default=ignore] pam_unix.so
| |
| #auth required pam_ldap.so use_first_pass
| |
| auth sufficient pam_ldap.so
| |
| auth required pam_unix.so nullok_secure use_first_pass
| |
| </pre> | | </pre> |
| <br/>
| | Registriamo la password di root di OpenLDAP con il comando: |
| '''/etc/pam.d/common-password'''<br/>
| |
| <pre> | | <pre> |
| # /etc/pam.d/common-password - password-related modules common to all services
| | echo -n "password" > /etc/libnss-ldap.secret |
| ##
| | </pre> |
| This file is included from other service-specific PAM config files,
| | Modificate i seguenti files:<br/> |
| # and should contain a list of modules that define the services to be
| | '''/etc/nsswitch.conf''': |
| #used to change user passwords. The default is pam_unix
| |
| # The "nullok" option allows users to change an empty password, else
| |
| # empty passwords are treated as locked accounts.
| |
| #
| |
| # (Add `md5' after the module name to enable MD5 passwords)
| |
| #
| |
| # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
| |
| # login.defs. Also the "min" and "max" options enforce the length of the
| |
| # new password.
| |
| #password required pam_unix.so nullok obscure min=4 max=8 md5
| |
| # Alternate strength checking for password. Note that this
| |
| # requires the libpam-cracklib package to be installed.
| |
| # You will need to comment out the password line above and
| |
| # uncomment the next two in order to use this.
| |
| # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
| |
| #
| |
| # password required pam_cracklib.so retry=3 minlen=6 difok=3
| |
| # password required pam_unix.so use_authtok nullok md5
| |
| password sufficient pam_ldap.so
| |
| password required pam_unix.so nullok obscure md5 use_first_pass
| |
| </pre> | |
| <br/> | |
| '''/etc/pam.d/common-session'''<br/> | |
| <pre> | | <pre> |
| session sufficient pam_ldap.so
| | passwd: compat ldap winbind |
| session required pam_unix.so
| | group: compat ldap winbind |
| | shadow: compat ldap |
| </pre> | | </pre> |
| | | '''/etc/ldap/ldap.conf''': |
| ==Test di funzionamento==
| |
| Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
| |
| Una volta ripartito, con i comandi:
| |
| <pre> | | <pre> |
| getent passwd
| | BASE dc=domimio,dc=local |
| getent group
| | URI ldap://10.0.0.11:389 |
| </pre> | | </pre> |
| dovremmo vedere elencati anche gli utenti e i gruppi di dominio OpenLDAP.
| | '''/etc/libnss-ldap.conf''': |
| Il comando:
| |
| <pre> | | <pre> |
| smbclient -L localhost -U Administrator
| | base dc=dominio,dc=local |
| | uri ldap://10.0.0.11/ |
| | ldap_version 3 |
| | # The ldap-admin account. The appropriate password is in /etc/libnss-ldap.secret. Keep the permissions right. |
| | rootbinddn cn=admin,dc=dominio,dc=local |
| </pre> | | </pre> |
| dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
| | L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente: |
| =Assegnazione dei permessi agli utenti di dominio=
| |
| Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
| |
| <pre> | | <pre> |
| net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"
| | # apt-get install libpam-ldap |
| \SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege
| | # dpkg-reconfigure libpam-ldap |
| \SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
| |
| </pre> | | </pre> |
| | rispondendo in questo modo alle domande poste dall'installer: |
| | * Server LDAP: 127.0.0.1 |
| | * Distinguished name (DN): dc=dominio,dc=local |
| | * LDAP version: 3 |
| | * Make local root Database admin: sí |
| | * Si richiede utente per database LDAP: no |
| | * LDAP account for root cn=admin,dc=dominio,dc=local |
| | * LDAP root password: password |
| | * Local crypt to use when changing passwords: md5 |
| | Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/> |
| | '''/etc/pam.d/common-account'''<br/> |
| <pre> | | <pre> |
| net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" \SePrintOperatorPrivilege
| | # |
| | #/etc/pam.d/common-account - authorization settings common to all services |
| | ## |
| | This file is included from other service-specific PAM config files, |
| | # and should contain a list of the authorization modules that define |
| | # the central access policy for use on the system. The default is to |
| | # only deny service to users whose accounts are expired in /etc/shadow. |
| | # |
| | #account required pam_unix.so |
| | account sufficient pam_ldap.so |
| | account required pam_unix.so try_first_pass |
| </pre> | | </pre> |
| dove DEBIAN è il nome Samba assegnato al server.
| | <br/> |
| | | '''/etc/pam.d/common-auth'''<br/> |
| =Aggiungere i primi utenti di dominio=
| |
| Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
| |
| Adesso siamo pronti per la creazione del primo utente con il comando:
| |
| <pre> | | <pre> |
| # smbldap-useradd -a -m -c "Nome Utente" username | | # |
| | # /etc/pam.d/common-auth - authentication settings common to all services |
| | # |
| | # This file is included from other service-specific PAM config files, |
| | # and should contain a list of the authentication modules that define |
| | # the central authentication scheme for use on the system |
| | # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the |
| | # traditional Unix authentication mechanisms. |
| | # |
| | #auth required pam_unix.so nullok_secure |
| | auth sufficient pam_ldap.so |
| | auth required pam_unix.so nullok_secure use_first_pass |
| </pre> | | </pre> |
| Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.<br/>
| | <br/> |
| Infine impostare la password dell'utente con:
| | '''/etc/pam.d/common-password'''<br/> |
| <pre> | | <pre> |
| # smbldap-passwd username | | # /etc/pam.d/common-password - password-related modules common to all services |
| </pre>
| | # |
| Per verificare il tutto usare il comando:
| | #This file is included from other service-specific PAM config files, |
| <pre>
| | # and should contain a list of modules that define the services to be |
| # smbldap-usershow username | | #used to change user passwords. The default is pam_unix |
| | # The "nullok" option allows users to change an empty password, else |
| | # empty passwords are treated as locked accounts. |
| | # |
| | # (Add `md5' after the module name to enable MD5 passwords) |
| | # |
| | # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in |
| | # login.defs. Also the "min" and "max" options enforce the length of the |
| | # new password. |
| | #password required pam_unix.so nullok obscure min=4 max=8 md5 |
| | # Alternate strength checking for password. Note that this |
| | # requires the libpam-cracklib package to be installed. |
| | # You will need to comment out the password line above and |
| | # uncomment the next two in order to use this. |
| | # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') |
| | # |
| | # password required pam_cracklib.so retry=3 minlen=6 difok=3 |
| | # password required pam_unix.so use_authtok nullok md5 |
| | password sufficient pam_ldap.so |
| | password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass |
| </pre> | | </pre> |
| Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio:
| | <br/> |
| | '''/etc/pam.d/common-session'''<br/> |
| <pre> | | <pre> |
| # smbldap-groupadd "NomeGruppo"
| | session sufficient pam_ldap.so |
| | session required pam_unix.so |
| </pre> | | </pre> |
| Aggiungiamo gli utenti ai gruppi desiderati:
| | Non dimenticate di aggiungre gli utenti di sistema, per evitare l'errore udev visto in precedenza: |
| <pre> | | <pre> |
| # smbldap-usermod -G "NomeGruppo" nome.utente
| | addgroup --system tss |
| | addgroup --system kvm |
| | addgroup --system rdma |
| | addgroup --system fuse |
| | addgroup --system scanner |
| | addgroup --system nvram |
| | adduser --system tss |
| </pre> | | </pre> |
| Con queste impostazioni avremo, quindi:
| | Ora facciamo ripartire i demoni: |
| <br/><br/>
| |
| Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
| |
| <pre> | | <pre> |
| # mkdir /home/users/nome.utente | | # /etc/init.d/samba restart |
| # cp /etc/skel/.* /home/users/nome.utente/ | | # /etc/init.d/winbind restart |
| # chown -R nome.utente /home/users/nome.utente
| |
| </pre> | | </pre> |
| | | Per unire il server al dominio e creare l'utente relativo al pc è necessario dare il seguente comando: |
| =Creazione di un semplice script da eseguire al login di windows=
| |
| E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.
| |
| Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
| |
| <pre> | | <pre> |
| # apt-get install tofrodos
| | net rpc join -D dominio.local -U Administrator%password |
| </pre> | | </pre> |
| creiamo lo script con l'editor che preferiamo
| | Per controllare che tutto sia andato a buon fine si può riavviare il PC e eseguire il comando: |
| <pre> | | <pre> |
| # vim /dominio/netlogon/logon.bat
| | getent passwd |
| </pre> | | </pre> |
| syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
| | che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP. |
| | A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio. |
| | |
| | == Backup e restore del database LDAP == |
| | Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server. |
| | === Offline Physical Backup === |
| | Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. |
| | # Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code> |
| | # Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup |
| | # Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code> |
| | |
| | === Offline Logical Backup === |
| | Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: |
| | # <code>/usr/sbin/rcldap stop</code> |
| | # <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato |
| | # <code>/usr/sbin/rcldap start</code> |
| | |
| | === Online Backup === |
| | Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. |
| | # <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/> |
| | dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code> |
| | === Database Restore === |
| | # Per ripristinare un offline backup: |
| | ## <code>/usr/sbin/rcldap stop</code> |
| | ## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup) |
| | ## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup) |
| | ## <code>/usr/sbin/rcldap start</code> |
| | # Per ripristinare un online backup: |
| | ## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/> |
| | dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local |
| | |
| | == Replica del database LDAP su un altro server == |
| | Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/> |
| | In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica. |
| | |
| | == db4 == |
| | OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare: |
| <pre> | | <pre> |
| net time %LOGONSERVER% /set /yes
| | # apt-get install db4.2-util |
| net use X: \\SERVER\Nome_Condivisione
| |
| </pre> | | </pre> |
| infine
| | Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB. |
| | <br/> |
| | == Interfacce web alternative per OpenLDAP == |
| | Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager. |
| | * '''LDAP-Account-Manager''' |
| <pre> | | <pre> |
| # unix2dos /dominio/netlogon/logon.bat
| | apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash |
| </pre> | | </pre> |
| Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
| | Una volta installato, collegatevi col vostro browser all'indirizzo: |
| Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
| |
| | |
| =Test e connessione al dominio=
| |
| Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
| |
| A tal fine il primo accesso può essere fatto dal server stesso con il comando:
| |
| <pre> | | <pre> |
| # smbclient -L localhost -U Administrator
| | http://ip_vostro_server/lam |
| </pre> | | </pre> |
| Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server.
| | Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite: |
| <br/><br/>
| | * la voce '''Tree Suffix''' con il DN del vostro dominio: dc=dominio,dc=local |
| La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client:
| | * la voce '''List of valid users''' con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local |
| <br/><br/>
| | * la voce Password con la password di Administrator del dominio |
| *'''Windows 95/98/ME''' | | Quindi cliccate su '''Edit Account Types''' e modificate le voci come segue: |
| # Verificare che sia installato il "Client per Reti Microsoft" fra le proprietà di rete
| | * al posto di People sostituite Users |
| # Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
| | * al posto di group sostituite Groups |
| # Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
| | * al posto di machines sostituite Computers |
| # Se si è configurata su smb.conf l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
| | * eliminate l'indicazione ou=domains nella voce Samba Domains |
| # Inserire il nome del proprio dominio e cliccare OK.
| | Date infine OK a questa schermata e OK alla successiva.<br/> |
| *'''Windows NT'''
| | Come ultima cosa cliccate sulla voce '''LAM configuration''', scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.<br/> |
| # Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà
| | Ora siete pronti per effettuare il login in LDAP Account Manager.<br/> |
| # Selezionare Dominio e inserire il nome del prorio dominio
| | * '''GOsa''' |
| # Selezionare Crea un Computer Account
| | ''To do'' |
| # Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l'utente root deve essere aggiunto a smbpasswd.
| | * '''Luma''' |
| # Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio.
| | Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando: |
| *'''Windows 2000''' | | <pre> |
| # Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull'icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà).
| | apt-get install luma |
| *'''Windows XP''' | | </pre> |
| La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).
| | |
| # Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione)
| | == Comandi utili e consigli finali == |
| # Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) )
| | === Creazione di utenti === |
| # Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
| | <pre> |
| # Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) ) | | # smbldap-useradd -a -m -c "Descrizione Utente" nome.utente |
| # Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande | | # smbldap-passwd nome.utente |
| # A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
| | </pre> |
| *'''Windows Vista'''
| | Per verificare il tutto usare il comando |
| # Non ancora testato.
| |
| *'''Windows 7'''
| |
| # Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
| |
| <pre> | | <pre> |
| HKLM\System\CCS\Services\LanmanWorkstation\Parameters
| | # smbldap-usershow nome.utente |
| DWORD DomainCompatibilityMode = 1
| |
| DWORD DNSNameResolutionRequired = 0
| |
| </pre> | | </pre> |
| A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
| |
|
| |
|
| =Unire un server Samba al dominio= | | === Creazione di un gruppo === |
| Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
| | <pre> |
| # Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
| | # smbldap-groupadd "NomeGruppo" |
| # Usare il server di dominio per l'autenticazione | | </pre> |
| Il primo caso non verrà trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere.
| | |
| <br/> | | === Aggiunta di un utente a un gruppo === |
| Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/>
| | Per impostare il gruppo primario dell'utente: |
| '''/etc/resolv.conf'''<br/> | |
| <pre> | | <pre> |
| search dominio.local
| | # smbldap-usermod -g "NomeGruppo" nome.utente |
| nameserver 10.0.0.11
| |
| </pre> | | </pre> |
| Per testare il corretto funzionamento del DNS potete provare il comando: | | Per aggiungere l'utente a ulteriori gruppi: |
| <pre> | | <pre> |
| # host 10.0.0.11 | | # smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente |
| </pre> | | </pre> |
| che deve restituire:
| | |
| | === Elencare i gruppi memorizzati in LDAP === |
| <pre> | | <pre> |
| > 11.0.0.10.in-addr.arpa domain name pointer
| | # ldapsearch -x objectClass=posixGroup |
| > server.dominio.local.
| |
| </pre> | | </pre> |
| Installiamo ora samba e winbind:
| | === Elencare gli utenti di un gruppo === |
| <pre> | | <pre> |
| # apt-get install samba winbind | | # smbldap-groupshow "gruppo" |
| </pre> | | </pre> |
| Winbind è un software che permette agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l'autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows. Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch, che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.<br/>
| | === Backuppare una directory condivisa dal server usando le credenziali di un utente specifico === |
| Quindi stoppiamo i demoni appena installati:
| |
| <pre> | | <pre> |
| # /etc/init.d/samba stop
| | smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup |
| # /etc/init.d/winbind stop
| |
| </pre> | | </pre> |
| e modifichiamo il file <tt>/etc/samba/smb.conf</tt> con le seguenti direttive:
| | === Elencare le risorse condivise di una macchina === |
| <pre> | | <pre> |
| [global]
| | smbclient -L nomeserver |
| # Impostazioni per il dominio
| | </pre> |
| security = domain
| | === Per fare delle modifiche nel DB in maniera semplice === |
| workgroup = DOMINIO
| | <pre> |
| realm = DOMINIO.LOCAL
| | slapcat -l /tmp/backup.ldif |
| server string = Server Samba
| | |
| netbios name = FILESERVER
| | # stoppare il servizio |
| # os level deve essere inferiore a quello del PDC
| |
| os level = 20
| |
| preferred master = False
| |
| domain master = False
| |
|
| |
|
| # Impostazioni Wins e DNS
| | /etc/init.d/slapd stop |
| wins server = 10.0.0.11
| |
| dns proxy = no
| |
| name resolve order = wins hosts bcast
| |
|
| |
|
| # Impostazioni LDAP e utenti
| | # una copia del vecchio db |
| ldap suffix = dc=dominio,dc=local
| |
| ldap machine suffix = ou=Computers
| |
| ldap group suffix = ou=Groups
| |
| ldap user suffix = ou=Users
| |
| ldap idmap suffix = ou=Idmap
| |
| ldap admin dn=cn=admin,dc=dominio,dc=local
| |
| idmap backend = ldap:"ldap://10.0.0.11"
| |
|
| |
|
| # Rimappo gli utenti remoti con uid e gid diversi
| | cp -r /var/lib/ldap /var/lib/ldap.old |
| winbind uid = 10000-90000
| | mkdir /var/lib/ldap |
| winbind gid = 10000-90000
| |
| winbind enum users = yes
| |
| winbind enum groups = yes
| |
| winbind separator = +
| |
| password server = server
| |
| winbind use default domain = Yes
| |
| encrypt passwords = yes
| |
|
| |
| # Samba LOG
| |
| syslog = 0
| |
| log level = 3 passdb:1 auth:1 winbind:1
| |
| panic action = /usr/share/samba/panic-action %d
| |
| max log size = 1000
| |
| log file = /var/log/samba/log.%m
| |
| ;template primary group = "Domain Users"
| |
|
| |
|
| # Files/Directories
| | Modificare il file backup.ldif e quindi reimportarlo |
| map acl inherit = yes
| | |
| case sensitive = no
| | slapadd -c -l /tmp/backup.ldif |
| directory mask = 0770
| |
|
| |
| [condivisione]
| |
| comment = Dati Condivisi
| |
| path = /dominio/dati
| |
| read only = No
| |
| create mask = 0660
| |
| directory mask = 2770
| |
| hide special files = yes
| |
| hide files = /lost+found/
| |
| acl group control = yes
| |
| inherit acls = yes
| |
| map acl inherit = yes
| |
| inherit permissions = yes
| |
| map archive = no
| |
| </pre> | | </pre> |
| Fare ripartire Samba con:
| | === Comandi utili LDAP === |
| <pre> | | <pre> |
| /etc/init.d/samba start
| | ldapsearch -b "dc=miodominio,dc=local" -x |
| </pre>
| | |
| Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
| | ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x |
| Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<tt>ldap://10.0.0.11</tt>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
| |
| <pre>
| |
| # apt-get install libnss-ldap
| |
| </pre>
| |
| Registriamo la password di root di OpenLDAP con il comando:
| |
| <pre>
| |
| echo -n "password" > /etc/libnss-ldap.secret
| |
| </pre>
| |
| Modificate i seguenti files:<br/>
| |
| '''/etc/nsswitch.conf''':
| |
| <pre>
| |
| passwd: compat ldap winbind
| |
| group: compat ldap winbind
| |
| shadow: compat ldap
| |
| </pre>
| |
| '''/etc/ldap/ldap.conf''':
| |
| <pre>
| |
| BASE dc=domimio,dc=local
| |
| URI ldap://10.0.0.11:389
| |
| </pre>
| |
| '''/etc/libnss-ldap.conf''':
| |
| <pre>
| |
| base dc=dominio,dc=local
| |
| uri ldap://10.0.0.11/
| |
| ldap_version 3
| |
| # The ldap-admin account. The appropriate password is in /etc/libnss-ldap.secret. Keep the permissions right.
| |
| rootbinddn cn=admin,dc=dominio,dc=local
| |
| </pre>
| |
| L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
| |
| <pre>
| |
| # apt-get install libpam-ldap
| |
| # dpkg-reconfigure libpam-ldap
| |
| </pre>
| |
| rispondendo in questo modo alle domande poste dall'installer:
| |
| * Server LDAP: 127.0.0.1
| |
| * Distinguished name (DN): dc=dominio,dc=local
| |
| * LDAP version: 3
| |
| * Make local root Database admin: sí
| |
| * Si richiede utente per database LDAP: no
| |
| * LDAP account for root cn=admin,dc=dominio,dc=local
| |
| * LDAP root password: password
| |
| * Local crypt to use when changing passwords: md5
| |
| Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
| |
| '''/etc/pam.d/common-account'''<br/>
| |
| <pre>
| |
| #
| |
| #/etc/pam.d/common-account - authorization settings common to all services
| |
| ##
| |
| This file is included from other service-specific PAM config files,
| |
| # and should contain a list of the authorization modules that define
| |
| # the central access policy for use on the system. The default is to
| |
| # only deny service to users whose accounts are expired in /etc/shadow.
| |
| #
| |
| #account required pam_unix.so
| |
| account sufficient pam_ldap.so
| |
| account required pam_unix.so try_first_pass
| |
| </pre>
| |
| <br/>
| |
| '''/etc/pam.d/common-auth'''<br/>
| |
| <pre>
| |
| #
| |
| # /etc/pam.d/common-auth - authentication settings common to all services
| |
| #
| |
| # This file is included from other service-specific PAM config files,
| |
| # and should contain a list of the authentication modules that define
| |
| # the central authentication scheme for use on the system
| |
| # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
| |
| # traditional Unix authentication mechanisms.
| |
| #
| |
| #auth required pam_unix.so nullok_secure
| |
| auth sufficient pam_ldap.so
| |
| auth required pam_unix.so nullok_secure use_first_pass
| |
| </pre>
| |
| <br/>
| |
| '''/etc/pam.d/common-password'''<br/>
| |
| <pre>
| |
| # /etc/pam.d/common-password - password-related modules common to all services
| |
| #
| |
| #This file is included from other service-specific PAM config files,
| |
| # and should contain a list of modules that define the services to be
| |
| #used to change user passwords. The default is pam_unix
| |
| # The "nullok" option allows users to change an empty password, else
| |
| # empty passwords are treated as locked accounts.
| |
| #
| |
| # (Add `md5' after the module name to enable MD5 passwords)
| |
| #
| |
| # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
| |
| # login.defs. Also the "min" and "max" options enforce the length of the
| |
| # new password.
| |
| #password required pam_unix.so nullok obscure min=4 max=8 md5
| |
| # Alternate strength checking for password. Note that this
| |
| # requires the libpam-cracklib package to be installed.
| |
| # You will need to comment out the password line above and
| |
| # uncomment the next two in order to use this.
| |
| # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
| |
| #
| |
| # password required pam_cracklib.so retry=3 minlen=6 difok=3
| |
| # password required pam_unix.so use_authtok nullok md5
| |
| password sufficient pam_ldap.so
| |
| password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
| |
| </pre>
| |
| <br/>
| |
| '''/etc/pam.d/common-session'''<br/>
| |
| <pre>
| |
| session sufficient pam_ldap.so
| |
| session required pam_unix.so
| |
| </pre>
| |
| Non dimenticate di aggiungre gli utenti di sistema, per evitare l'errore udev visto in precedenza:
| |
| <pre>
| |
| addgroup --system tss
| |
| addgroup --system kvm
| |
| addgroup --system rdma
| |
| addgroup --system fuse
| |
| addgroup --system scanner
| |
| addgroup --system nvram
| |
| adduser --system tss
| |
| </pre>
| |
| Ora facciamo ripartire i demoni:
| |
| <pre>
| |
| # /etc/init.d/samba restart
| |
| # /etc/init.d/winbind restart
| |
| </pre>
| |
| Per unire il server al dominio e creare l'utente relativo al pc è necessario dare il seguente comando:
| |
| <pre>
| |
| net rpc join -D dominio.local -U Administrator%password
| |
| </pre>
| |
| Per controllare che tutto sia andato a buon fine si può riavviare il PC e eseguire il comando:
| |
| <pre>
| |
| getent passwd
| |
| </pre>
| |
| che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP.
| |
| A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
| |
| | |
| =Backup e restore del database LDAP=
| |
| Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
| |
| ==Offline Physical Backup==
| |
| Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
| |
| # Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
| |
| # Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
| |
| # Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
| |
| | |
| ==Offline Logical Backup==
| |
| Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
| |
| # <tt>/usr/sbin/rcldap stop</tt>
| |
| # <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
| |
| # <tt>/usr/sbin/rcldap start</tt>
| |
| | |
| ==Online Backup==
| |
| Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
| |
| # <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
| |
| dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
| |
| ==Database Restore==
| |
| # Per ripristinare un offline backup:
| |
| ## <tt>/usr/sbin/rcldap stop</tt>
| |
| ## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
| |
| ## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
| |
| ## <tt>/usr/sbin/rcldap start</tt>
| |
| # Per ripristinare un online backup:
| |
| ## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
| |
| dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
| |
| | |
| =Replica del database LDAP su un altro server=
| |
| Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
| |
| In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
| |
| | |
| =db4=
| |
| OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
| |
| <pre>
| |
| # apt-get install db4.2-util
| |
| </pre>
| |
| Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
| |
| <br/>
| |
| =Interfacce web alternative per OpenLDAP=
| |
| Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
| |
| * '''LDAP-Account-Manager'''
| |
| <pre>
| |
| apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash
| |
| </pre>
| |
| Una volta installato, collegatevi col vostro browser all'indirizzo:
| |
| <pre>
| |
| http://ip_vostro_server/
| |
| </pre>
| |
| Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
| |
| * la voce '''Tree Suffix''' con il DN del vostro dominio: dc=dominio,dc=local
| |
| * la voce '''List of valid users''' con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local
| |
| * la voce Password con la password di Administrator del dominio | |
| Quindi cliccate su '''Edit Account Types''' e modificate le voci come segue:
| |
| * al posto di People sostituite Users
| |
| * al posto di group sostituite Groups
| |
| * al posto di machines sostituite Computers
| |
| * eliminate l'indicazione ou=domains nella voce Samba Domains
| |
| Date infine OK a questa schermata e OK alla successiva.<br/>
| |
| Come ultima cosa cliccate sulla voce '''LAM configuration''', scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.<br/>
| |
| Ora siete pronti per effettuare il login in LDAP Account Manager.<br/>
| |
| * '''GOsa'''
| |
| ''To do''
| |
| * '''Luma'''
| |
| Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
| |
| <pre>
| |
| apt-get install luma
| |
| </pre>
| |
|
| |
|
| =Comandi utili e consigli finali=
| | ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif # per importare un ldif |
| ==Creazione di utenti==
| |
| <pre>
| |
| # smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
| |
| # smbldap-passwd nome.utente
| |
| </pre>
| |
| Per verificare il tutto usare il comando
| |
| <pre>
| |
| # smbldap-usershow nome.utente | |
| </pre>
| |
|
| |
|
| ==Creazione di un gruppo== | | ldapdelete -x -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic" |
| <pre>
| |
| # smbldap-groupadd "NomeGruppo"
| |
| </pre>
| |
| | |
| ==Aggiunta di un utente a un gruppo== | |
| Per impostare il gruppo primario dell'utente:
| |
| <pre>
| |
| # smbldap-usermod -g "NomeGruppo" nome.utente
| |
| </pre> | | </pre> |
| Per aggiungere l'utente a ulteriori gruppi:
| | Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto. |
| <pre>
| | == Approfondimenti == |
| # smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente
| | === Debianizzati === |
| </pre>
| | [[Samba e OpenLDAP: creare un controller di dominio]]<br/> |
| | | [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/> |
| ==Elencare i gruppi memorizzati in LDAP== | | [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/> |
| <pre>
| | [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/> |
| # ldapsearch -x objectClass=posixGroup
| | [[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> |
| </pre> | | [[Samba: guida estesa]]<br/> |
| ==Elencare gli utenti di un gruppo==
| | [[Samba: creare un cestino di rete per le condivisioni]]<br/> |
| <pre> | | [[ClamAV: scansione antivirus delle condivisioni Samba]]<br /> |
| # smbldap-groupshow "gruppo"
| |
| </pre> | |
| ==Backuppare una directory condivisa dal server usando le credenziali di un utente specifico==
| |
| <pre> | |
| smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
| |
| </pre> | |
| ==Elencare le risorse condivise di una macchina==
| |
| <pre>
| |
| smbclient -L nomeserver
| |
| </pre> | |
| ==Per fare delle modifiche nel DB in maniera semplice==
| |
| <pre> | |
| slapcat -l /tmp/backup.ldif
| |
|
| |
|
| # stoppare il servizio
| |
|
| |
|
| /etc/init.d/slapd stop
| | {{Autori |
| | | |Autore = [[Utente:Ferdybassi|Ferdybassi]] |
| # una copia del vecchio db
| | |Verificata_da= |
| | | :[[Utente:porkyhttp|porkyhttp]] 17:06, 06 mag 2012 (CEST) |
| cp -r /var/lib/ldap /var/lib/ldap.old
| | |Numero_revisori=1 |
| mkdir /var/lib/ldap
| | }} |
| | |
| Modificare il file backup.ldif e quindi reimportarlo
| |
| | |
| slapadd -c -l /tmp/backup.ldif
| |
| </pre>
| |
| ==Comandi utili LDAP==
| |
| <pre>
| |
| ldapsearch -b "dc=miodominio,dc=local" -x
| |
| | |
| ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x
| |
| | |
| ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif # per importare un ldif
| |
|
| |
|
| ldapdelete -x -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
| | [[Categoria:Reti con Windows]][[Categoria:Samba]] |
| </pre>
| |
| Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
| |
| =Per approfondimenti=
| |
| [[Samba e OpenLDAP: creare un controller di dominio]]<br/> | |
| [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
| |
| [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/> | |
| [[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
| |
| [[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
| |
| [[Accedere alle condivisioni Samba dal browser]]<br/>
| |
| [[Creare un Cestino di rete per le condivisioni Samba]]<br/>
| |
| <br/>
| |
| <br/>
| |
| : [[Utente:Ferdybassi|Ferdybassi]]
| |
| ----
| |
| [[Categoria:Server]]
| |
| [[Categoria:Networking]]
| |