Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni

nessun oggetto della modifica
Nessun oggetto della modifica
Riga 1: Riga 1:
{{stub}}
{{Versioni compatibili|Debian Lenny 5.0|}}
{{Versioni compatibili|Debian Lenny 5.0|}}
=Versioni compatibili=
=Versioni compatibili=
Riga 8: Riga 7:
=Introduzione=
=Introduzione=
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux. Il server configurato fornirà quindi le informazioni di autenticazione e autorizzazione per entrambi i sistemi.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
==Kerberos==
A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinchè funga anche da '''Key Distribution Center (KDC) Kerberos'''. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [[http://it.wikipedia.org/wiki/Protocollo_Kerberos Wikipedia]]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba.


=Sistema installato e prerequisiti=
=Sistema installato e prerequisiti=
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
La '''configurazione iniziale''' del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti. Si veda ad esempio [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]] per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.<br/>
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/>
Durante tutto il processo si presuppone di agire come utente root.
Durante tutto il processo si presuppone di agire come utente root.
<br/>
<br/>
Riga 31: Riga 28:
* Password admin di LDAP: password
* Password admin di LDAP: password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Questi parametri vanno ovviamente adattati alle vostre esigenze.
=Tecnologie utilizzate=
* '''Heimdal Kerberos'''
La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perchè scegliere Heimdal invece di MIT Kerberos?<br/>
Fondamentalmente perchè Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
* '''OpenLDAP'''
Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
* '''OpenSSL'''
Verrà utilizzato SSL (Secure Socket Layer) per garantire la sicurezza nelle connessioni al server OpenLDAP
* '''Cyrus SASL'''
SASL è Simple Authentication and Security Layer, un metodo per aggiungere il supporto all'autenticazione a diversi protocolli di rete. Nella nostra "infrastruttura" verrà utilizzato a sostegno delle connessioni al server OpenLDAP. Inoltre, assieme a Kerberos, sarà in grado di fornire soluzioni si "Single Sign-On" ai servizi presenti nella nostra rete.
* '''NSSwitch'''
La libreria nss-ldap ci consentirà di recuperare le informazioni dei nostri utenti dal server OpenLDAP
* '''PAM-Krb5'''
La libreria pam-krb5 ci consentirà di autenticare i nostri utenti su Kerberos
* '''Bind'''
Un servizio fondamentale per il corretto funzionamento di Kerberos è il DNS. Per questo utilizzeremo Bind.
* '''Samba'''
Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.
=Configurazione iniziale=
==Nome host==
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file <code>/etc/hosts</code> e <code>/etc/hostname</code>:
* '''<code>/etc/hosts</code>'''
<pre>
10.0.0.11 server.dominio.local server
127.0.0.1 localhost.localdomain localhost
</pre>
* '''<code>/etc/hostname</code>'''
<pre>
server
</pre>
==Ora del server==
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: [[Impostare e modificare data e ora]]. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite.
==Installazione delle librerie Kerberos==
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
<pre>
# apt-get install libsasl2-2 libsasl2-modules sasl2-bin libsasl2-modules-gssapi-heimdal
libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs
heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal
libkrb5-22-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
=Configurazione del servizio DNS=
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian Etch]]. Quindi si introducano le seguendi modifiche nei files di configurazione di <code>bind</code>:
* '''<code>/etc/bind/named.conf.options</code>'''
<pre>
        auth-nxdomain no;    # conform to RFC1035
        listen-on-v6 { any; };
        version "Version X";
</pre>
* '''<code>/etc/bind/dominio.local</code>'''
<pre>
$ORIGIN dominio.local.
dominio.local.            IN A              10.0.0.11
; server PDC
server                  IN A              10.0.0.11
s-server                IN CNAME          server.dominio.local.
ns1                    IN CNAME          server.dominio.local.
kerberos                IN CNAME          server.dominio.local.
ldap                    IN CNAME          server.dominio.local.
; The Kerberos realm
_kerberos              IN TXT            "dominio.local"
_kerberos.it            IN TXT            "dominio.local"
_kerberos.srv          IN TXT            "dominio.local"
_kerberos._tcp          IN SRV 10 1 88    server.dominio.local.
_kerberos._udp          IN SRV 10 1 88    server.dominio.local.
_kerberos-adm._tcp      IN SRV 10 1 749  server.dominio.local.
_kerberos-master._udp  IN SRV 0  0 88    server.dominio.local.
_kpasswd._udp          IN SRV 10 1 464  server.dominio.local.
_ldap._tcp              IN SRV 10 1 389  server.dominio.local.
; Information Search
_ldap_dc                IN TXT            "dc=dominio,dc=local"
_samba_pdc_domain      IN TXT            "DOMINIO"
_samba_pdc_ip_address  IN TXT            "10.0.0.11"
</pre>
Infine riavviamo bind
<pre>
# /etc/init.d/bind9 restart
</pre>
e testiamo la configurazione
<pre>
# nslookup
> server 10.0.0.11
Default server: 10.0.0.11
Address: 10.0.0.11#53
> set q=ns
> dominio.local
Server:        10.0.0.11
Address:        10.0.0.11#53
dominio.local    nameserver = server.dominio.local.
> exit
</pre>
=Installazione del server LDAP=
=Installazione del server LDAP=
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento.<br/>
==Struttura dell'albero LDAP==
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
<pre>
DC=dominio,DC=local
+-- OU=Groups (gruppi posix/samba)
+-- OU=Computers (computer samba = utenti posix)
+-- OU=Users (utenti posix/samba)
    +--OU=KerberosPrincipals (principal Kerberos)
</pre>
==Generazione dei certificati SSL==
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
<pre>
# mkdir -p /etc/ldap/ssl
# cd /etc/ldap/ssl
# mkdir certs
# mkdir private
# chmod 700 private
# echo '01' > serial
# touch index.txt
</pre>
Poi modifichiamo il file <code>/etc/ldap/ssl/CA.conf</code>:
<pre>
[ ca ]
default_ca  = local_ca
 
[ local_ca  ]
dir = /etc/ldap/ssl
certificate = /etc/ldap/ssl/cacert.pem
database = /etc/ldap/ssl/index.txt
new_certs_dir = /etc/ldap/ssl/certs
private_key = /etc/ldap/ssl/private/cakey.pem
serial = /etc/ldap/ssl/serial
default_crl_days = 3650
default_days = 3650
default_md = md5
default_bits = 1024
encrypt_key = yes
policy = local_ca_policy
x509_extensions = local_ca_extensions
unique_subject = no
 
[ local_ca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName = supplied
organizationalUnitName = supplied
 
[ local_ca_extensions ]
subjectAltName = DNS:nome_server.dominio.local
basicConstraints = CA:false
nsCertType = server
 
[ req ]
default_bits = 2048
default_keyfile = /etc/ldap/ssl/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = dominio
x509_extensions = x509_cert
 
[ dominio ]
countryName = IT
stateOrProvinceName = Lodi
localityName = Lodi
emailAddress = admin@dominio.local
organizationName = Dominio
organizationalUnitName = Lab
commonName = nome_server.dominio.local
 
[ x509_cert ]
nsCertType = server
basicConstraints = CA:true
</pre>
e il file <code>/etc/ldap/ssl/LocalServer.conf</code>
<pre>
[ req ]
prompt = no
distinguished_name = dominio
 
[ dominio ]
countryName = IT
stateOrProvinceName = Lodi
localityName = Lodi
emailAddress = admin@dominio.local
organizationName = Dominio
organizationalUnitName  = Lab
commonName = nome_server.dominio.local
</pre>
Possiamo ora generare i nostri certificati:
<pre>
# cd /etc/ldap/ssl/
# export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
# openssl req -x509 -newkey rsa:1024 -out cacert.pem -outform PEM -days 3650 -passout pass:PASSWORD_ROBUSTA
# export OPENSSL_CONF=/etc/ldap/ssl/LocalServer.conf
# openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM -passout pass:PASSWORD_ROBUSTA
# openssl rsa < tempkey.pem > serverkey.pem -passin pass:PASSWORD_ROBUSTA
# chmod 400 serverkey.pem
# export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
# openssl ca -in tempreq.pem -out servercrt.pem -passin pass:PASSWORD_ROBUSTA
</pre>
 
==Installazione di OpenLDAP==
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
<pre>
<pre>
Riga 277: Riga 71:
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
==Installazione di PHPLdapAdmin==
==Installazione di PHPLdapAdmin==
Ora possiamo installare phpldapadmin:
Ora possiamo installare phpldapadmin:
Riga 290: Riga 83:
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/mkntpwd.tar.gz
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
</pre>
</pre>
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Riga 348: Riga 141:
# Credential Configuration #
# Credential Configuration #
############################
############################
slaveDN="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
slavePw="password"
masterDN="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
masterPw="password"
</pre>
</pre>
Riga 398: Riga 195:
'''/etc/smbldap-tools/smbldap.conf''':
'''/etc/smbldap-tools/smbldap.conf''':
<pre>
<pre>
#
# Purpose :
# . be the configuration file for all smbldap-tools scripts
##############################################################################
##############################################################################
##
##
Riga 403: Riga 203:
# ##############################################################################
# ##############################################################################
# Put your own SID. To obtain this number do: "net getlocalsid".
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-125945932-740595490-3132273231"
SID="S-1-5-21-125945932-740595490-3132273231"
# Domain name the Samba server is in charged.
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
sambaDomain="DOMINIO"
sambaDomain="DOMINIO"
realm="DOMINIO.LOCAL"
##############################################################################
##############################################################################
#
#
Riga 415: Riga 214:
##############################################################################
##############################################################################
# Slave LDAP server
# Slave LDAP server
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
slavePort="389"
# Master LDAP server: needed for write operations
# Master LDAP server: needed for write operations
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port
# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"
masterPort="389"
# Use TLS for LDAP
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# If set to 1, this option will use start_tls for connection
ldapTLS="1"
# (you should also used the port 389)
 
# If not defined, parameter is set to "1"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
# How to verify the server's certificate (none, optional or require)
verify="require"
verify="require"
# CA certificate
# CA certificate
cafile="/etc/ldap/ssl/cacert.pem"
cafile="/etc/smbldap-tools/ca.pem"
# certificate to use to connect to the ldap server
# certificate to use to connect to the ldap server
clientcert="/etc/ldap/ssl/servercrt.pem"
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
# key certificate to use to connect to the ldap server
# key certificate to use to connect to the ldap server
clientkey="/etc/ldap/ssl/serverkey.pem"
clientkey="/etc/smbldap-tools/smbldap-tools.key"
 
# LDAP Suffix
# LDAP Suffix
suffix="dc=dominio,dc=local"
suffix="dc=dominio,dc=local"
# Where are stored Users
# Where are stored Users
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Where are stored Computers
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Where are stored Groups
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Where are stored Idmap entries (used if samba is a domain member server)
idmapdn="ou=Idmap,${suffix}"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
# Default scope Used
scope="sub"
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
hash_encrypt="MD5"
Riga 459: Riga 263:
# passwords if you use "$1$%.8s". This parameter is optional!
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
crypt_salt_format="%s"
##############################################################################
##############################################################################
#
#
Riga 534: Riga 337:
</pre><br/>
</pre><br/>


Recuperiamo ora le versioni modificate di alcuni script smbldap:
<pre>
# wget http://www.pepinet.com/download/samba/smbldap-useradd -P /tmp/
# wget http://www.pepinet.com/download/samba/smbldap-passwd -P /tmp/
# mv /tmp/smbldap-useradd /usr/sbin/
# mv /tmp/smbldap-passwd /usr/sbin/
# chmod +x /usr/sbin/smbldap-useradd
# chmod +x /usr/sbin/smbldap-passwd
</pre>
e sistemiamo directory e permessi:
<pre>
# chmod 600 /etc/smbldap-tools/ -R
# chmod 700 /usr/sbin/smbldap-*
</pre>
=Configurazione del server LDAP=
=Configurazione del server LDAP=
Passiamo ora alla configurazione del server LDAP.<br/>
Passiamo ora alla configurazione del server LDAP.<br/>
Riga 555: Riga 344:
slapcat > ~/slapd.ldif
slapcat > ~/slapd.ldif
</pre>
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
Adesso dobbiamo copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
# wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
</pre>
</pre>
Riga 566: Riga 353:
</pre>
</pre>
e prendete nota del risultato.<br/>
e prendete nota del risultato.<br/>
Ora occorre modificare pesantemente il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/>
Ora occorre modificare il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo nella sezione <tt>Schema and objectClass definitions</tt> lo schema per samba:
<pre>
include /etc/ldap/schema/samba.schema
</pre>
Nella sezione <tt>Indexing options</tt> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
<pre>
index objectClass eq,pres
index uid,uidNumber,gidNumber,memberUid eq,pres
index ou,cn,mail,surname,givenname eq,pres,sub
index loginShell                        eq,pres
index displayName                      pres,sub,eq
index nisMapName,nisMapEntry            eq,pres,sub
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index sambaGroupType eq
index sambaSIDList eq
index uniqueMember eq
index default                          sub
</pre>
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
<pre>
access to attribute=userPassword
</pre>
con:
<pre>
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
</pre>
Infine aggiungere le informazioni per l'autenticazione:
<pre>
rootdn          "cn=admin,dc=dominio,dc=local"
rootpw          {MD5}Qhz9FD5FDD9YFKBJVAngcw==
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/ldap/sldap.conf''':
'''/etc/ldap/sldap.conf''':
<pre>
<pre>
#######################################################################
# Allow LDAPv2 binds
# Global Directives:
sizelimit 20
timelimit -1
threads 8
 
# Features to permit
allow bind_v2
allow bind_v2
# Schema and objectClass definitions
# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/qmailuser.schema
include /etc/ldap/schema/samba.schema
include        /etc/ldap/schema/samba.schema
pidfile /var/run/slapd/slapd.pid
include        /etc/ldap/schema/hdb.schema
argsfile /var/run/slapd/slapd.args
 
loglevel 0
#########################################################
modulepath /usr/lib/ldap
# Configurazione di TLS e SSL
moduleload back_bdb
#########################################################
sizelimit 500
 
TLSCertificateFile      /etc/ldap/ssl/servercrt.pem
TLSCertificateKeyFile  /etc/ldap/ssl/serverkey.pem
TLSCACertificateFile    /etc/ldap/ssl/cacert.pem
 
sasl-host server.dominio.local
sasl-realm DOMINIO.LOCAL
 
# Mapping of SASL authentication identities to LDAP entries
authz-regexp
  uid=(.+),cn=(.+),cn=.+,cn=auth
  ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(cn=$1@$2))
 
authz-regexp
  uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth
  krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
 
authz-regexp
  gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth
  krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
 
authz-regexp
  uid=(.+),cn=.+,cn=auth
  ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(krb5PrincipalName=$1@DOMINIO.LOCAL))
 
sasl-secprops  noanonymous
security ssf=0
 
#####################################################
# Fine blocco TLS e SSL
#####################################################
 
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid
 
# List of arguments that were passed to the server
argsfile       /var/run/slapd/slapd.args
 
# Read slapd.conf(5) for possible values
loglevel       none
 
# Where the dynamically loaded modules are stored
modulepath     /usr/lib/ldap
moduleload     back_bdb
moduleload      unique
moduleload      auditlog
 
# The maximum number of entries that is returned for a search operation
#sizelimit 500
 
# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1
tool-threads 1
 
backend bdb
#######################################################################
checkpoint 512 30
# Specific Backend Directives for bdb:
database bdb
# Backend specific directives apply to this backend until another
suffix "dc=dominio,dc=local"
# 'backend' directive occurs
rootdn          "cn=admin,dc=dominio,dc=local"
backend         bdb
rootpw          {MD5}Qhz9FD5FDD9YFKBJVAngcw==
 
directory "/var/lib/ldap"
#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend                <other>
 
#######################################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database        bdb
 
# The base of your directory in database #1
suffix         "dc=dominio,dc=local"
 
# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
# rootdn          "cn=admin,dc=dominio,dc=local"
rootdn          "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
rootpw          {MD5}5S2YxFmBmhF3WTbY37t5KQ==
 
# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"
 
# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.
dbconfig set_cachesize 0 2097152 0
dbconfig set_cachesize 0 2097152 0
# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500
dbconfig set_lk_max_lockers 1500
 
index objectClass eq,pres
# Indexing options for database #1
index uid,uidNumber,gidNumber,memberUid eq,pres
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index ou,cn,mail,surname,givenname eq,pres,sub
index cn                   pres,sub,eq
index loginShell                        eq,pres
index sn                    pres,sub,eq
index displayName                       pres,sub,eq
index uid                  pres,sub,eq
index nisMapName,nisMapEntry            eq,pres,sub
index displayName           pres,sub,eq
index sambaSID eq
index uidNumber            eq
index sambaPrimaryGroupSID eq
index gidNumber            eq
index sambaDomainName eq
index memberUID            eq
index sambaGroupType eq
index sambaSID             eq
index sambaSIDList eq
index sambaPrimaryGroupSID eq
index uniqueMember eq
index sambaDomainName       eq
index default                          sub
index mailHost              eq
lastmod on
index givenName            pres,sub,eq
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
index default              sub
by dn="cn=admin,dc=dominio,dc=local" write
index krb5PrincipalName,krb5PrincipalRealm      eq,pres
by anonymous auth
 
by self write
# Password Hash Definition
by * none
password-hash {MD5}
access to attrs=shadowLastChange,shadowMax
 
# Overlay Unique
overlay unique
unique_uri ldap:///dc=dominio,dc=local?uidNumber,uid,krb5PrincipalName?sub
unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub
 
# Overlay Auditlog
overlay auditlog
auditlog /var/log/ldapchanges.log
 
# Save the time that the entry gets modified, for database #1
lastmod         on
 
# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30
 
# Where to store the replica logs for database #1
# replogfile    /var/lib/ldap/replog
 
 
####################################################
# Configurazione permessi per i vari utenti
# dell'albero LDAP
####################################################
 
# Heimdal User mapping
authz-regexp "gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth"
        dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
authz-regexp ^uid=([^,]+),cn=[^,]+,cn=auth$ uid=$1,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
 
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory,krb5Key,krb5KeyVersionNumber
        by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
        by anonymous auth
        by self write
        by * none
 
# Everyone must be able to read password expiry attributes,
# if you are not granting rootdn access to workstations.
# Otherwise, the client system won't be able to know if
# user's password has expired, and will prompt him/her to
# change his/her password everytime he/she logs in.
# The owner must also be able to write it when he/she
# changes his/her own password.
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
        by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
         by self write
         by self write
         by * read
         by * read
# Ensure read access to the base for things like
# supportedSASLMechanisms.  Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read
access to dn.base="" by * read
# The admin dn has full write access, everyone else
# can read everything.
access to *
access to *
        by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
by dn="cn=admin,dc=dominio,dc=local" write
        by * read
by * read
 
# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
#        by dn="cn=admin,dc=dominio,dc=local" write
#        by dnattr=owner write
 
#######################################################################
# Specific Directives for database #2, of type 'other' (can be bdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database        <other>
 
# The base of your directory for database #2
#suffix        "dc=debian,dc=org"
 
</pre>
</pre>
 
Possiamo far ripartire <tt>slapd</tt> affinché tutte le modifiche apportate siano prese in considerazione.
=Configurazione dei client per LDAP=
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
* '''<tt>/etc/ldap/ldap.conf</tt>'''
<pre>
HOST server.dominio.local
BASE dc=dominio,dc=local
URI ldaps://127.0.0.1/
PORT 636
TLS_CACERT /etc/ldap/ssl/cacert.pem
TLS_REQCERT never
TIMELIMIT 2
</pre>
=Primo avvio di slapd=
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>'''
<pre>
SLAPD_CONF=
SLAPD_PIDFILE=
SLAPD_SENTINEL_FILE=/etc/ldap/noslapd
SLAPD_OPTIONS=""
SLAPD_USER="openldap"
SLAPD_GROUP="openldap"
SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///"
export KRB5_KTNAME="/etc/ldap/ldap.keytab"
</pre>
Stoppiamo il demone ldap e rimuoviamo il database del precedente albero:
<pre>
<pre>
# /etc/init.d/slapd stop
# /etc/init.d/slapd stop
# rm -f /var/lib/ldap/*
# rm -rf /var/lib/ldap/*
</pre>
# slapadd -l ~/slapd.ldif
Andiamo quindi a creare le impostazioni per il database del nuovo albero: '''<code>/var/lib/ldap/DB_CONFIG</code>'''
# slapindex
<pre>
# chown -Rf openldap:openldap /var/lib/ldap
set_cachesize          0 150000000 1
set_lg_regionmax        262144
set_lg_bsize            2097152
set_lk_max_objects      1500
set_lk_max_locks        1500
set_lk_max_lockers      1500
set_flags              DB_LOG_AUTOREMOVE
</pre>
Sistemiamo i permessi:
<pre>
# chown openldap.openldap /var/lib/ldap -R
# chown openldap.openldap /etc/ldap -R
# find /var/lib/ldap -type d -exec chmod 700 {} \;
# find /var/lib/ldap -type f -exec chmod 600 {} \;
# find /etc/ldap -type d -exec chmod 700 {} \;
# find /etc/ldap -type f -exec chmod 600 {} \;
# touch /var/log/ldapchanges.log
# chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2
# chmod 600 /var/log/ldapchanges.log /etc/sasldb2
</pre>
e configuriamo logrotate: '''<code>/etc/logrotate.d/ldapchanges</code>'''
<pre>
/var/log/ldapchanges.log {
        rotate 5
        weekly 
        compress
}
</pre>
Possiamo ora avviare slapd:
<pre>
# /etc/init.d/slapd start
# /etc/init.d/slapd start
</pre>
==Creazione albero LDAP iniziale==
Possiamo ora creare la struttura di base del nostro albero.<br/>
Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto:
<pre>
dn: dc=dominio,dc=local
dc: dominio
objectClass: top
objectClass: domain
dn: ou=Users,dc=dominio,dc=local
ou: Users
objectClass: top
objectClass: organizationalUnit
dn: ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
ou: KerberosPrincipals
objectClass: top
objectClass: organizationalUnit
dn: ou=Groups,dc=dominio,dc=local
ou: Groups
objectClass: top
objectClass: organizationalUnit
dn: ou=Computers,dc=dominio,dc=local
ou: Computers
objectClass: top
objectClass: organizationalUnit
dn: krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
objectClass: top
objectClass: person
objectClass: krb5Principal
objectClass: krb5KDCEntry
krb5PrincipalName: ldapmaster/admin@DOMINIO.LOCAL
krb5KeyVersionNumber: 1
krb5MaxLife: 86400
krb5MaxRenew: 604800
krb5KDCFlags: 126
cn: ldapmaster/admin@dominio.local
sn: ldapmaster/admin@dominio.local
userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ==
</pre>
Quindi importiamo il file ldif nel nostro albero:
<pre>
# ldapadd -x -D krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local -w password_root_ldap -f /root/ldap_base.ldif
</pre>
che dovrebbe dare come output:
<pre>
adding new entry "dc=dominio,dc=local"
adding new entry "ou=Users,dc=dominio,dc=local"
adding new entry "ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
adding new entry "ou=Groups,dc=dominio,dc=local"
adding new entry "ou=Computers,dc=dominio,dc=local"
adding new entry "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
</pre>
</pre>
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
Riga 926: Riga 461:
</pre>
</pre>
In tal modo viene avviato visualizzando varie informazioni di debug a video.
In tal modo viene avviato visualizzando varie informazioni di debug a video.
<br/>


=Configurazione di Kerberos=
=Configurazione dei client per LDAP=
==Rimozione dei servizi inutili==
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
Iniziamo modificando il file '''<code>/etc/inetd.conf</code>''' e rimuoviamo alcuni servizi kerberizzati attivati di default:
<pre>
<pre>
....
BASE dc=dominio,dc=local
#ident          stream  tcp    wait    identd  /usr/sbin/identd        identd
URI ldap://127.0.0.1/
....
#krb_prop      stream  tcp    nowait  root    /usr/sbin/tcpd /usr/sbin/hpropd
#kshell stream  tcp    nowait  root    /usr/sbin/tcpd /usr/lib/heimdal-servers/rshd -k
#ftp    stream  tcp    nowait  root    /usr/sbin/tcpd /usr/lib/heimdal-servers/ftpd -a plain
#telnet stream  tcp    nowait  root    /usr/sbin/tcpd /usr/lib/heimdal-servers/telnetd -a none
#pop-3  stream  tcp    nowait  root    /usr/sbin/tcpd /usr/lib/heimdal-servers/popper
#kx    stream  tcp    nowait  root    /usr/sbin/tcpd /usr/lib/heimdal-servers/kxd
</pre>
</pre>
Riavviamo quindi <code>inetd</code>:
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
<pre>
<pre>
# /etc/init.d/openbsd-inetd restart
# ldapsearch -x
</pre>
==Kerberos KDC==
Configuriamo il Kerberos KDC modificando il file '''<code>/etc/krb5.conf</code>'''
<pre>
[libdefaults]
        ticket_lifetime = 80000
        renew_lifetime = 80000
        default_realm = DOMINIO.LOCAL
        default_keytab_name = FILE:/etc/krb5.keytab
        default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
        default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
        default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
        default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
        kdc_timesync = 1
        forwardable = true
        proxiable = true
 
# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
 
[realms]
DOMINIO.LOCAL = {
        kdc = server.dominio.local
        admin_server = server.dominio.local
        default_domain = dominio.local
}
 
[domain_realm]
        .dominio.local  = DOMINIO.LOCAL
        dominio.local  = DOMINIO.LOCAL
 
[kdc]
    enable-kerberos4 = false
    kdc_warn_pwexpire = 7
    database = {
        realm = DOMINIO.LOCAL
        dbname = ldap:ou=Users,dc=dominio,dc=local
        hdb-ldap-structural-object = inetOrgPerson
        mkey_file = /var/lib/heimdal-kdc/m-key
        acl_file = /etc/kadmind.acl
        log_file = /var/log/kdc-db.log
    }
    hdb-ldap-create-base = ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
   
[logging]
        kdc = FILE:/var/log/heimdal/kdc.log
        admin_server = FILE:/var/log/heimdal/admin.log
        default = FILE:/var/log/heimdal/default.log
 
[appdefaults]
pam = {
  ticket_lifetime = 1d
  renew_lifetime = 1d
  forwardable = true
  proxiable = true
}
</pre>
Modifichiamo quindi le ACL del KDC: '''<code>/etc/kadmind.acl</code>'''
<pre>
ldapmaster/admin@DOMINIO.LOCAL  add,delete,get    host/*@DOMINIO.LOCAL
*                              NO cpw            *@DOMINIO.LOCAL
kadmin/admin@DOMINIO.LOCAL      all
root/admin@DOMINIO.LOCAL        all
addmachine/admin@DOMINIO.LOCAL  all
</pre>
Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
<pre>
# mkdir -p /var/log/heimdal
# rm -rf /etc/krb5.keytab
# /etc/init.d/heimdal-kcm restart
# /etc/init.d/heimdal-kdc restart
</pre>
==Inizializzazione reame Kerberos==
Inizializziamo ora il reame kerberos:
<pre>
# kstash --random-key
# kadmin -l init --realm-max-ticket-life=unlimited --realm-max-renewable-life=unlimited DOMINIO.LOCAL
</pre>
e creiamo le chiavi per il server e i suoi servizi (samba e ldap):
<pre>
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= host/server.dominio.local
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= host/server
# kadmin -l ext_keytab host/server.dominio.local
# kadmin -l ext_keytab host/server
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= ldap/server.dominio.local
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= ldap/server
# kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server.dominio.local
# kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= cifs/server.dominio.local
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \
  --pw-expiration-time=never --attributes= cifs/server
# kadmin -l ext_keytab cifs/server.dominio.local
# kadmin -l ext_keytab cifs/server
</pre>
Sistemiamo ora i permessi per il keytab ldap:
<pre>
# chown openldap.openldap /etc/ldap/ldap.keytab
# chmod 400 /etc/ldap/ldap.keytab
</pre>
e impostiamo la password per due principal kerberos:
<pre>
# kadmin -l cpw --password=secret1 ldapmaster/admin
# kadmin -l cpw --password=secret1 kadmin/admin
</pre>
Infine riavviamo ancora il <code>kdc</code>:
<pre>
# /etc/init.d/heimdal-kcm restart
# /etc/init.d/heimdal-kdc restart
</pre>
 
=Configurazione di SASL=
Configuriamo SASL (si veda [[http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Wikipedia]] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file '''<code>/etc/default/saslauthd</code>''':
<pre>
DESC="SASL Authentication Daemon"
NAME="saslauthd"
MECH_OPTIONS=""
THREADS=5
START=yes
MECHANISMS="ldap"
OPTIONS="-m /var/run/saslauthd"
</pre>
Poi il file '''<code>/usr/lib/sasl2/slapd.conf</code>''':
<pre>
pwcheck_method: saslauthd
</pre>
e il file '''<code>/etc/saslauthd.conf</code>''':
<pre>
ldap_servers: ldap://127.0.0.1
ldap_port: 389
ldap_version: 3
ldap_referrals: no
ldap_search_base: dc=dominio,dc=local
</pre>
Sistemiamo i permessi e riavviamo il servizio:
<pre>
# chown openldap.openldap /usr/lib/sasl2/slapd.conf
# chmod 400 /usr/lib/sasl2/slapd.conf
# /etc/init.d/saslauthd restart
</pre>
</pre>
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente.
<br/>


=Configurazione di Samba=
=Configurazione di Samba=
Riga 1 122: Riga 500:
       server string = DOMINOP PDC Server - Samba %v
       server string = DOMINOP PDC Server - Samba %v
       case sensitive = No
       case sensitive = No
      use kerberos keytab = yes
      use spnego = yes
      client NTLMv2 auth = yes
      username map = /etc/samba/usermap
        
        
   ### Imposto il server come controller di dominio ###
   ### Imposto il server come controller di dominio ###
       os level = 255
       os level = 65
       preferred master = yes
       preferred master = yes
       local master = yes
       local master = yes
       domain master = yes
       domain master = yes
       domain logons = yes
       domain logons = yes
      admin users = root addmachine @"Domain Admins"


   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
Riga 1 146: Riga 518:
       idmap uid = 10000-90000
       idmap uid = 10000-90000
       idmap gid = 10000-90000
       idmap gid = 10000-90000
       idmap backend = ldap:ldaps://127.0.0.1
       idmap backend = ldap:ldap://127.0.0.1
       name resolve order = wins lmhosts host bcast
       name resolve order = wins lmhosts host bcast
       dns proxy = yes
       dns proxy = no
       time server = yes
       time server = yes
       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
      keepalive = 20
      preserve case = yes
      short preserve case = yes
 
  bind interfaces only = yes
      interfaces = bond0, lo


   ### Configuro Winbind
   ### Configuro Winbind
Riga 1 175: Riga 541:
       log level = 2
       log level = 2
       max log size = 50
       max log size = 50
      debug level = 1
      syslog = 0
      utmp = Yes
        
        
   ### Impostazione charset corretto ###
   ### Impostazione charset corretto ###
Riga 1 185: Riga 548:
       dos charset = UTF-8
       dos charset = UTF-8
       display charset = UTF-8
       display charset = UTF-8
      restrict anonymous = 0


       panic action = /usr/share/samba/panic-action %d
       panic action = /usr/share/samba/panic-action %d


   ### Configurazione del supporto a LDAP ###
   ### Configurazione del supporto a LDAP ###
       passdb backend = ldapsam:ldaps://127.0.0.1
       passdb backend = ldapsam:ldap://127.0.0.1
      ldap admin dn = krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
      ldap ssl = On
      ldapsam:trusted = yes
       ldap suffix = dc=dominio,dc=local
       ldap suffix = dc=dominio,dc=local
       ldap machine suffix = ou=Computers
       ldap machine suffix = ou=Computers
Riga 1 199: Riga 558:
       ldap group suffix = ou=Groups
       ldap group suffix = ou=Groups
       ldap idmap suffix = ou=Idmap
       ldap idmap suffix = ou=Idmap
      ldap admin dn = cn=admin,dc=dominio,dc=local
       enable privileges = yes
       enable privileges = yes
       ldap delete dn = Yes
       ldap delete dn = Yes
Riga 1 207: Riga 567:
       pam password change = Yes
       pam password change = Yes
       unix password sync = Yes
       unix password sync = Yes
      pam password change = no


   ### Profili mobili, directory home, script di logon ###
   ### Profili mobili, directory home, script di logon ###
Riga 1 218: Riga 577:
       passwd program = /usr/sbin/smbldap-passwd %u
       passwd program = /usr/sbin/smbldap-passwd %u
       passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*
       passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*
       add user script = /usr/sbin/smbldap-useradd -m -a "%u"
       add user script = /usr/sbin/smbldap-useradd -m "%u"
       ldap delete dn = Yes
       ldap delete dn = Yes
       delete user script = /usr/sbin/smbldap-userdel "%u"
       delete user script = /usr/sbin/smbldap-userdel "%u"
Riga 1 237: Riga 596:
       ;printer admin = @sambaadmins
       ;printer admin = @sambaadmins


  ### Comando per loggare login e logoff (Legge amministratore di sistema)
      root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" ON
      root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" OFF
 


   ### Condivisioni ###
   ### Condivisioni ###
Riga 1 249: Riga 604:
       path = /dominio/netlogon
       path = /dominio/netlogon
       guest ok = no
       guest ok = no
       writable = yes
       writable = no
       browseable = no
       browseable = no
       share modes = no
       share modes = no
      admin users = @"Domain Admins"


### Percorso per i roaming profiles
### Percorso per i roaming profiles
Riga 1 295: Riga 649:
       guest ok = no
       guest ok = no
       inherit permissions = yes
       inherit permissions = yes
      admin users = %u
      write list = %u
      read list = %u
      create mask = 0700
      directory mask = 0700


### Directory condivisa
### Directory condivisa
Riga 1 333: Riga 682:
# testparm
# testparm
</pre>
</pre>
Modifichiamo anche il file <code>/etc/samba/usermap</code>:
Ora possiamo cambiare la password di amministratore e riavviare il servizio:
<pre>
addmachine = DOMINIO.LOCAL\addmachine/admin
root = DOMINIO.LOCAL\root/admin
</pre>
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
<pre>
# wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba
# chmod 700 /etc/samba/log_access_login.bash
</pre>
Modifichiamo inoltre il file <code>/etc/request-key.conf</code> aggiungendo:
<pre>
create  cifs.spnego    *      *              /usr/sbin/cifs.upcall %k %d
</pre>
sistemiamo ora le ultime directory necessarie:
<pre>
# mkdir -p /var/log/samba/login-logoff
# rm -rf /etc/samba/*tdb
# rm -rf /var/lib/samba/*tdb
# rm -rf /var/lib/samba/*dat
# rm -f /var/log/samba/*
</pre>
facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione:
<pre>
<pre>
# smbpasswd -w password
# smbpasswd -w password
</pre>
che restituirà questo output:
<pre>
Setting stored password for "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" in secrets.tdb
</pre>
Ora possiamo riavviare il servizio:
<pre>
# /etc/init.d/samba restart
# /etc/init.d/samba restart
</pre>
</pre>
Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID:
<pre>
# net getlocalsid DOMINIO
</pre>
Quindi andiamo a modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
<pre>
SID="S-1-5-21-2318037123-1631426476-2439636316"
sambaDomain="DOMINIO"
realm="dominio.local"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
</pre>
Il resto del file va lasciato invariato.


=Popolamento del database LDAP=
=Popolamento del database LDAP=
Riga 1 415: Riga 720:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
<pre>
<pre>
# smbldap-populate -a root -k 0 -m 0
# smbldap-populate -k 0
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -u 0 Administrator
# smbldap-usermod -u 0 Administrator
# smbldap-populate -a Administrator -k 0
</pre>
</pre>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Riga 1 455: Riga 761:
<pre>
<pre>
smbldap-passwd Administrator
smbldap-passwd Administrator
</pre>
==Modifiche al database LDAP==
È necessario ora effettuare alcune modifiche nella struttura creata. Iniziamo modificando il primo User ID libero: creiamo il file <code>/root/ldap_nextuid.ldif</code>:
<pre>
dn: sambaDomainName=ESEMPIO,dc=dominio,dc=local
replace: uidNumber
uidNumber: 2000
-
replace: gidNumber
gidNumber: 2000
</pre>
Lanciamo poi:
<pre>
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_nextuid.ldif
<pre>
Poi introduciamo alcune modifiche per l'utente root inserito in LDAP: <code>/root/ldap_rootuser.ldif</code>:
<pre>
dn: uid=root,ou=Users,dc=dominio,dc=local
changetype: modify
add: objectClass
objectClass: krb5Principal
objectClass: krb5KDCEntry
-
add: krb5KeyVersionNumber
krb5KeyVersionNumber: 1
-
add: krb5PrincipalName
krb5PrincipalName: root/admin@DOMINIO.LOCAL
-
add: krb5KDCFlags
krb5KDCFlags: 126
-
add: krb5MaxRenew
krb5MaxRenew: 604800
-
add: krb5MaxLife
krb5MaxLife: 86400
-
replace: homeDirectory
homeDirectory: /root
-
replace: gidNumber
gidNumber: 512
</pre>
Lanciamo quindi:
<pre>
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_rootuser.ldif
</pre>
Infine introduciamo alcune modifiche per l'utente nobody inserito in LDAP: <code>/root/ldap_nobodyuser.ldif</code>:
<pre>
dn: uid=nobody,ou=Users,dc=dominio,dc=local
changetype: modify
replace: gidNumber
gidNumber: 514
</pre>
E lanciamo poi:
<pre>
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_nobodyuser.ldif
</pre>
Creiamo ora un utente per l'aggiunta di macchine al dominio samba/kerberos e diamogli una password:
<pre>
# smbldap-useradd -a -m addmachine
# smbldap-passwd addmachine
</pre>
Modifichiamo anche per questo utente alcuni dati. Creiamo quindi il file <code>/root/ldap_addmachineuser.ldif</code>:
<pre>
dn: uid=addmachine,ou=Users,dc=dominio,dc=local
replace: krb5PrincipalName
krb5PrincipalName: addmachine/admin@DOMINIO.LOCAL
<pre>
e lanciamo poi:
<pre>
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_addmachineuser.ldif
</pre>
</pre>


Riga 1 578: Riga 811:
<pre>
<pre>
# /etc/nsswitch.conf
# /etc/nsswitch.conf
 
##
passwd:   files ldap [notfound=continue]
Example configuration of GNU Name Service Switch functionality.
shadow:   files ldap [notfound=continue]
# If you have the `glibc-doc-reference' and `info' packages installed, try:
group:     files ldap [notfound=continue]
# `info libc "Name Service Switch"' for information about this file.
 
passwd: files ldap
hosts:         files dns wins
group: files ldap
networks:       files
shadow: files ldap
 
hosts: files dns ldap
protocols:     db files
hosts: files dns
services:       db files
networks: files
ethers:         db files
protocols: db files
rpc:           db files
services: db files
 
ethers: db files
netgroup:       nis
rpc: db files
netgroup: nis
</pre>
</pre>
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Riga 1 609: Riga 843:
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one
nss_base_group ou=Groups,dc=dominio,dc=local?one
</pre>
e il file '''<code>/etc/ldap.conf</code>''':
<pre>
base dc=dominio,dc=local
uri ldaps://127.0.0.1
rootbinddn krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
port 636
ldap_version 3
bind_policy soft
bind_timelimit 2
timelimit 2
scope sub
nss_reconnect_maxsleeptime 8
nss_reconnect_sleeptime 1
nss_initgroups_ignoreusers root
nss_srv_domain esempio.lan
pam_password exop
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberUid
nss_base_passwd ou=Users,dc=dominio,dc=local?one
nss_base_shadow ou=Users,dc=dominio,dc=local?one
nss_base_passwd ou=Computers,dc=dominio,dc=local?one
nss_base_shadow ou=Computers,dc=dominio,dc=local?one
nss_base_group  ou=Groups,dc=dominio,dc=local?one
ssl on
</pre>
e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret e rendiamolo leggibile solo a root:
<pre>
# echo password_root_ldap > /etc/ldap.secret
# chown root.root /etc/ldap.secret
# chmod 600 /etc/ldap.secret
</pre>
</pre>
<br/>
<br/>
Riga 1 836: Riga 1 033:
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
=Restart dei servizi=
Riavviamo quindi come ultima cosa tutti i servizi:
<pre>
# /etc/init.d/bind9 restart
# /etc/init.d/slapd restart
# /etc/init.d/samba restart
# /etc/init.d/heimdal-kdc restart
# /etc/init.d/heimdal-kcm restart
# /etc/init.d/ntp restart
# /etc/init.d/saslauthd restart
# /etc/init.d/openbsd-inetd restart
</pre>


=Test e connessione al dominio=
=Test e connessione al dominio=
1 508

contributi