3 581
contributi
mNessun oggetto della modifica |
|||
(34 versioni intermedie di 5 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{Versioni compatibili| | {{SAMBA | ||
=Versioni compatibili= | |precedente=Samba e OpenLDAP: creare un controller di dominio con Debian Etch | ||
|successivo=Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze}}{{Versioni compatibili|ONLY|Lenny}} | |||
== Versioni compatibili == | |||
* Debian Lenny 5.0 | * Debian Lenny 5.0 | ||
* Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]] | * Per Debian Sarge 3.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio]] | ||
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]] | * Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]] | ||
=Introduzione= | == Introduzione == | ||
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> | Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/> | ||
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/> | Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/> | ||
Riga 11: | Riga 13: | ||
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/> | Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/> | ||
=Sistema installato e prerequisiti= | == Sistema installato e prerequisiti == | ||
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. | Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali. | ||
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/> | La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/> | ||
Riga 17: | Riga 19: | ||
<br/> | <br/> | ||
==Parametri di rete utilizzati== | === Parametri di rete utilizzati === | ||
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete: | In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete: | ||
* Nome del server: server | * Nome del server: server | ||
Riga 28: | Riga 30: | ||
* Password admin di LDAP: password | * Password admin di LDAP: password | ||
Questi parametri vanno ovviamente adattati alle vostre esigenze. | Questi parametri vanno ovviamente adattati alle vostre esigenze. | ||
=Installazione del server LDAP= | == Installazione del server LDAP == | ||
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/> | Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/> | ||
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/> | Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/> | ||
Riga 36: | Riga 38: | ||
</pre> | </pre> | ||
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/> | Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/> | ||
Nei file riportati si considera che il dominio specificato è < | Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet. | ||
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/> | In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/> | ||
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/> | Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/> | ||
Riga 60: | Riga 62: | ||
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP. | Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP. | ||
=Installazione di una interfaccia grafica per amministrare OpenLDAP= | == Installazione di una interfaccia grafica per amministrare OpenLDAP == | ||
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/> | Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/> | ||
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/> | Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/> | ||
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. | Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP. | ||
==Installazione dei prerequisiti== | === Installazione dei prerequisiti === | ||
Installiamo per prima cosa alcuni moduli di PHP necessari: | Installiamo per prima cosa alcuni moduli di PHP necessari: | ||
<pre> | <pre> | ||
Riga 71: | Riga 73: | ||
</pre> | </pre> | ||
{{ Warningbox | Il comando precedente va scritto in un'unica riga }} | {{ Warningbox | Il comando precedente va scritto in un'unica riga }} | ||
==Installazione di PHPLdapAdmin== | === Installazione di PHPLdapAdmin === | ||
Ora possiamo installare phpldapadmin: | Ora possiamo installare phpldapadmin: | ||
<pre> | <pre> | ||
Riga 96: | Riga 98: | ||
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd. | L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd. | ||
=Installazione di Samba= | == Installazione di Samba == | ||
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo. | L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo. | ||
<pre> | <pre> | ||
# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf | # apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf | ||
</pre> | |||
La versione di Samba nei repository di Lenny (3.3.5) non supporta il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Lenny (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata: | |||
<pre> | |||
# apt-get -t lenny-backports install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf | |||
</pre> | </pre> | ||
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/> | Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/> | ||
Riga 108: | Riga 115: | ||
<br/> | <br/> | ||
=Configurare i SMBLDAP TOOLS= | == Configurare i SMBLDAP TOOLS == | ||
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/> | I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/> | ||
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo. | Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo. | ||
==Installazione== | === Installazione === | ||
Installare il pacchetto smbldap-tools | Installare il pacchetto smbldap-tools | ||
<pre> | <pre> | ||
# apt-get install smbldap-tools | # apt-get install smbldap-tools | ||
</pre> | </pre> | ||
==Configurazione== | === Configurazione === | ||
Copiare i file < | Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>. | ||
<pre> | <pre> | ||
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | ||
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | ||
</pre> | </pre> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/> | ||
Se non si è sicuri del DN da inserire lanciare il comando: | Se non si è sicuri del DN da inserire lanciare il comando: | ||
<pre> | <pre> | ||
Riga 156: | Riga 163: | ||
e copiare o prendere nota del codice che viene restituito. | e copiare o prendere nota del codice che viene restituito. | ||
<br/> | <br/> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). | ||
<pre> | <pre> | ||
SID="S-1-5-21-2318037123-1631426476-2439636316" | SID="S-1-5-21-2318037123-1631426476-2439636316" | ||
Riga 339: | Riga 346: | ||
</pre><br/> | </pre><br/> | ||
=Configurazione del server LDAP= | == Configurazione del server LDAP == | ||
Passiamo ora alla configurazione del server LDAP.<br/> | Passiamo ora alla configurazione del server LDAP.<br/> | ||
Innanzitutto effettuiamo un backup di LDAP: | Innanzitutto effettuiamo un backup di LDAP: | ||
<pre> | <pre> | ||
slapcat > ~/slapd.ldif | # slapcat > ~/slapd.ldif | ||
</pre> | </pre> | ||
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in < | Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA. | ||
<pre> | <pre> | ||
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ | # wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ | ||
Riga 354: | Riga 361: | ||
Quindi generate l'hash MD5 della password di root di LDAP: | Quindi generate l'hash MD5 della password di root di LDAP: | ||
<pre> | <pre> | ||
slappasswd -h {MD5} | # slappasswd -h {MD5} | ||
</pre> | </pre> | ||
e prendete nota del risultato.<br/> | e prendete nota del risultato.<br/> | ||
Ora occorre modificare il file di configurazione di slapd (< | Ora occorre modificare il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo nella sezione <code>Schema and objectClass definitions</code> lo schema per samba: | ||
<pre> | <pre> | ||
include /etc/ldap/schema/samba.schema | include /etc/ldap/schema/samba.schema | ||
</pre> | </pre> | ||
Nella sezione < | Nella sezione <code>Indexing options</code> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA: | ||
<pre> | <pre> | ||
index objectClass eq,pres | index objectClass eq,pres | ||
Riga 473: | Riga 480: | ||
# Indexing options for database #1 | # Indexing options for database #1 | ||
#index objectClass eq | #index objectClass eq | ||
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres, | index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq | ||
index cn pres,sub,eq | index cn pres,sub,eq | ||
index sn pres,sub,eq | index sn pres,sub,eq | ||
Riga 517: | Riga 524: | ||
# These access lines apply to database #1 only | # These access lines apply to database #1 only | ||
#access to attrs=userPassword,shadowLastChange | #access to attrs=userPassword,shadowLastChange | ||
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange | access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory | ||
by dn="cn=admin,dc=dominio,dc=local" write | by dn="cn=admin,dc=dominio,dc=local" write | ||
by anonymous auth | by anonymous auth | ||
Riga 567: | Riga 574: | ||
#suffix "dc=debian,dc=org" | #suffix "dc=debian,dc=org" | ||
</pre> | </pre> | ||
Possiamo far ripartire < | Possiamo far ripartire <code>slapd</code> affinché tutte le modifiche apportate siano prese in considerazione. | ||
<pre> | <pre> | ||
# /etc/init.d/slapd stop | # /etc/init.d/slapd stop | ||
Riga 581: | Riga 588: | ||
# ldapsearch -x | # ldapsearch -x | ||
</pre> | </pre> | ||
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di < | La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando: | ||
<pre> | <pre> | ||
# slapd -d 256 | # slapd -d 256 | ||
Riga 588: | Riga 595: | ||
<br/> | <br/> | ||
=Configurazione dei client per LDAP= | == Configurazione dei client per LDAP == | ||
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file < | Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <code>/etc/ldap/ldap.conf</code> aggiungendo le righe: | ||
<pre> | <pre> | ||
BASE dc=dominio,dc=local | BASE dc=dominio,dc=local | ||
Riga 601: | Riga 608: | ||
<br/> | <br/> | ||
=Configurazione di Samba= | == Configurazione di Samba == | ||
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file < | Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/> | ||
<pre> | <pre> | ||
# mkdir /dominio | # mkdir /dominio | ||
Riga 610: | Riga 617: | ||
# mkdir /dominio/pubblica | # mkdir /dominio/pubblica | ||
</pre> | </pre> | ||
La configurazione di Samba si riduce a modificare il file < | La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti: | ||
<pre> | <pre> | ||
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original | # mv /etc/samba/smb.conf /etc/samba/smb.conf.original | ||
Riga 694: | Riga 701: | ||
### Permetto il cambio password da Windows | ### Permetto il cambio password da Windows | ||
### Nota: con questa configurazione gli utenti non potranno | |||
### effettuare il login sulla shell del server, ma solo | |||
### dai client XP | |||
ldap password sync = yes | ldap password sync = yes | ||
pam password change = Yes | pam password change = Yes | ||
unix password sync = | unix password sync = No | ||
### Profili mobili, directory home, script di logon ### | ### Profili mobili, directory home, script di logon ### | ||
Riga 865: | Riga 875: | ||
Il resto del file va lasciato invariato. | Il resto del file va lasciato invariato. | ||
=Popolamento del database LDAP= | == Popolamento del database LDAP == | ||
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/> | Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/> | ||
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows: | La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows: | ||
Riga 894: | Riga 904: | ||
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. | Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. | ||
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. | Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. | ||
==1 - Utilizzo degli script forniti con smbldap-tools== | === 1 - Utilizzo degli script forniti con smbldap-tools === | ||
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto < | La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato: | ||
<pre> | <pre> | ||
# smbldap-populate -k 0 | # smbldap-populate -a root -k 0 | ||
# smbldap-useradd -a -m -c "Admin" Administrator | # smbldap-useradd -a -m -c "Admin" Administrator | ||
# smbldap-usermod -G "Domain Admins" Administrator | # smbldap-usermod -G "Domain Admins" Administrator | ||
</pre> | </pre> | ||
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | ||
Riga 918: | Riga 927: | ||
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. | Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password. | ||
==2 - Utilizzo della GUI phpLDAPadmin== | === 2 - Utilizzo della GUI phpLDAPadmin === | ||
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/> | Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/> | ||
Innanzitutto bisogna collegarci con un browser al nostro server: | Innanzitutto bisogna collegarci con un browser al nostro server: | ||
Riga 939: | Riga 948: | ||
</pre> | </pre> | ||
=Configurazione delle autenticazioni Unix= | == Configurazione delle autenticazioni Unix == | ||
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema. | A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema. | ||
==Installazione del demone name service caching daemon (nscd)== | === Installazione del demone name service caching daemon (nscd) === | ||
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa: | Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa: | ||
<pre> | <pre> | ||
Riga 952: | Riga 961: | ||
</pre> | </pre> | ||
==Installazione di libnss-ldap== | === Installazione di libnss-ldap === | ||
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando: | Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando: | ||
<pre> | <pre> | ||
apt-get install libnss-ldap | # apt-get install libnss-ldap | ||
</pre> | </pre> | ||
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando: | Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando: | ||
Riga 970: | Riga 979: | ||
* Account LDAP per root cn=admin,dc=dominio,dc=local | * Account LDAP per root cn=admin,dc=dominio,dc=local | ||
* Password LDAP di root: password | * Password LDAP di root: password | ||
A questo punto bisogna modificare il file < | A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> cambiando le tre linee | ||
<pre> | <pre> | ||
passwd: compat | passwd: compat | ||
Riga 1 012: | Riga 1 021: | ||
pam_login_attribute uid | pam_login_attribute uid | ||
pam_member_attribute gid | pam_member_attribute gid | ||
bind_policy soft | bind_policy soft | ||
pam_password md5 | pam_password md5 | ||
Riga 1 032: | Riga 1 040: | ||
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti: | Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti: | ||
<pre> | <pre> | ||
addgroup --system tss | # addgroup --system tss | ||
addgroup --system kvm | # addgroup --system kvm | ||
addgroup --system rdma | # addgroup --system rdma | ||
addgroup --system fuse | # addgroup --system fuse | ||
addgroup --system scanner | # addgroup --system scanner | ||
addgroup --system nvram | # addgroup --system nvram | ||
adduser --system tss | # adduser --system tss | ||
</pre> | </pre> | ||
==Installazione di libpam-ldap== | === Installazione di libpam-ldap === | ||
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente: | L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente: | ||
<pre> | <pre> | ||
Riga 1 131: | Riga 1 139: | ||
</pre> | </pre> | ||
==Test di funzionamento== | Infine registriamo la password di root di OpenLDAP con i comandi: | ||
<pre> | |||
echo -n "password" > /etc/libnss-ldap.secret | |||
echo -n "password" > /etc/pam_ldap.secret | |||
</pre> | |||
=== Test di funzionamento === | |||
Riavviate il vostro server e controllate eventuali messaggi di errore al boot. | Riavviate il vostro server e controllate eventuali messaggi di errore al boot. | ||
Una volta ripartito, con i comandi: | Una volta ripartito, con i comandi: | ||
Riga 1 144: | Riga 1 157: | ||
</pre> | </pre> | ||
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server. | dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server. | ||
=Assegnazione dei permessi agli utenti di dominio= | |||
== Assegnazione dei permessi agli utenti di dominio == | |||
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio: | Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio: | ||
<pre> | <pre> | ||
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins" | net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins" | ||
SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege | |||
SeDiskOperatorPrivilege SeRemoteShutdownPrivilege | |||
</pre> | </pre> | ||
<pre> | <pre> | ||
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" | net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege | ||
</pre> | </pre> | ||
dove DEBIAN è il nome Samba assegnato al server. | dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga. | ||
=Aggiungere i primi utenti di dominio= | == Aggiungere i primi utenti di dominio == | ||
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. | Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. | ||
Adesso siamo pronti per la creazione del primo utente con il comando: | Adesso siamo pronti per la creazione del primo utente con il comando: | ||
Riga 1 179: | Riga 1 193: | ||
# smbldap-usermod -G "NomeGruppo" nome.utente | # smbldap-usermod -G "NomeGruppo" nome.utente | ||
</pre> | </pre> | ||
<br/> | |||
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory: | Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory: | ||
<pre> | <pre> | ||
Riga 1 188: | Riga 1 201: | ||
</pre> | </pre> | ||
=Creazione di un semplice script da eseguire al login di windows= | == Creazione di un semplice script da eseguire al login di windows == | ||
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows. | E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows. | ||
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos. | Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos. | ||
Riga 1 210: | Riga 1 223: | ||
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux. | Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux. | ||
=Test e connessione al dominio= | == Test e connessione al dominio == | ||
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/> | Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/> | ||
A tal fine il primo accesso può essere fatto dal server stesso con il comando: | A tal fine il primo accesso può essere fatto dal server stesso con il comando: | ||
Riga 1 240: | Riga 1 253: | ||
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer) | # Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer) | ||
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) ) | # Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) ) | ||
# Scaricare | # Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande | ||
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator. | # A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator. | ||
*'''Windows Vista''' | *'''Windows Vista''' | ||
# Non ancora testato. | # Non ancora testato. | ||
*'''Windows 7''' | *'''Windows 7''' | ||
Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida. | |||
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro: | # Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro: | ||
<pre> | <pre> | ||
Riga 1 251: | Riga 1 265: | ||
DWORD DNSNameResolutionRequired = 0 | DWORD DNSNameResolutionRequired = 0 | ||
</pre> | </pre> | ||
Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7 | |||
<br/> | |||
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP. | A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP. | ||
=Unire un server Samba al dominio= | == Unire un server Samba al dominio == | ||
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti: | Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti: | ||
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti | # Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti | ||
Riga 1 284: | Riga 1 300: | ||
# /etc/init.d/winbind stop | # /etc/init.d/winbind stop | ||
</pre> | </pre> | ||
e modifichiamo il file < | e modifichiamo il file <code>/etc/samba/smb.conf</code> con le seguenti direttive: | ||
<pre> | <pre> | ||
[global] | [global] | ||
Riga 1 354: | Riga 1 370: | ||
</pre> | </pre> | ||
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/> | Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/> | ||
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (< | Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<code>ldap://10.0.0.11</code>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap. | ||
<pre> | <pre> | ||
# apt-get install libnss-ldap | # apt-get install libnss-ldap | ||
Riga 1 487: | Riga 1 503: | ||
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio. | A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio. | ||
=Backup e restore del database LDAP= | == Backup e restore del database LDAP == | ||
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server. | Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server. | ||
==Offline Physical Backup== | === Offline Physical Backup === | ||
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. | Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. | ||
# Stopare il server LDAP: < | # Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code> | ||
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup | # Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup | ||
# Riavviare il server LDAP: < | # Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code> | ||
==Offline Logical Backup== | === Offline Logical Backup === | ||
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: | Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: | ||
# < | # <code>/usr/sbin/rcldap stop</code> | ||
# < | # <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato | ||
# < | # <code>/usr/sbin/rcldap start</code> | ||
==Online Backup== | === Online Backup === | ||
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. | Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. | ||
# < | # <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/> | ||
dove < | dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code> | ||
==Database Restore== | === Database Restore === | ||
# Per ripristinare un offline backup: | # Per ripristinare un offline backup: | ||
## < | ## <code>/usr/sbin/rcldap stop</code> | ||
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup) | ## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup) | ||
## < | ## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup) | ||
## < | ## <code>/usr/sbin/rcldap start</code> | ||
# Per ripristinare un online backup: | # Per ripristinare un online backup: | ||
## < | ## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/> | ||
dove < | dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local | ||
=Replica del database LDAP su un altro server= | == Replica del database LDAP su un altro server == | ||
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/> | Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/> | ||
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica. | In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica. | ||
=db4= | == db4 == | ||
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare: | OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare: | ||
<pre> | <pre> | ||
Riga 1 526: | Riga 1 542: | ||
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB. | Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB. | ||
<br/> | <br/> | ||
=Interfacce web alternative per OpenLDAP= | == Interfacce web alternative per OpenLDAP == | ||
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager. | Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager. | ||
* '''LDAP-Account-Manager''' | * '''LDAP-Account-Manager''' | ||
Riga 1 534: | Riga 1 550: | ||
Una volta installato, collegatevi col vostro browser all'indirizzo: | Una volta installato, collegatevi col vostro browser all'indirizzo: | ||
<pre> | <pre> | ||
http://ip_vostro_server/ | http://ip_vostro_server/lam | ||
</pre> | </pre> | ||
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite: | Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite: | ||
Riga 1 556: | Riga 1 572: | ||
</pre> | </pre> | ||
=Comandi utili e consigli finali= | == Comandi utili e consigli finali == | ||
==Creazione di utenti== | === Creazione di utenti === | ||
<pre> | <pre> | ||
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente | # smbldap-useradd -a -m -c "Descrizione Utente" nome.utente | ||
Riga 1 567: | Riga 1 583: | ||
</pre> | </pre> | ||
==Creazione di un gruppo== | === Creazione di un gruppo === | ||
<pre> | <pre> | ||
# smbldap-groupadd "NomeGruppo" | # smbldap-groupadd "NomeGruppo" | ||
</pre> | </pre> | ||
==Aggiunta di un utente a un gruppo== | === Aggiunta di un utente a un gruppo === | ||
Per impostare il gruppo primario dell'utente: | Per impostare il gruppo primario dell'utente: | ||
<pre> | <pre> | ||
Riga 1 582: | Riga 1 598: | ||
</pre> | </pre> | ||
==Elencare i gruppi memorizzati in LDAP== | === Elencare i gruppi memorizzati in LDAP === | ||
<pre> | <pre> | ||
# ldapsearch -x objectClass=posixGroup | # ldapsearch -x objectClass=posixGroup | ||
</pre> | </pre> | ||
==Elencare gli utenti di un gruppo== | === Elencare gli utenti di un gruppo === | ||
<pre> | <pre> | ||
# smbldap-groupshow "gruppo" | # smbldap-groupshow "gruppo" | ||
</pre> | </pre> | ||
==Backuppare una directory condivisa dal server usando le credenziali di un utente specifico== | === Backuppare una directory condivisa dal server usando le credenziali di un utente specifico === | ||
<pre> | <pre> | ||
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup | smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup | ||
</pre> | </pre> | ||
==Elencare le risorse condivise di una macchina== | === Elencare le risorse condivise di una macchina === | ||
<pre> | <pre> | ||
smbclient -L nomeserver | smbclient -L nomeserver | ||
</pre> | </pre> | ||
==Per fare delle modifiche nel DB in maniera semplice== | === Per fare delle modifiche nel DB in maniera semplice === | ||
<pre> | <pre> | ||
slapcat -l /tmp/backup.ldif | slapcat -l /tmp/backup.ldif | ||
Riga 1 615: | Riga 1 631: | ||
slapadd -c -l /tmp/backup.ldif | slapadd -c -l /tmp/backup.ldif | ||
</pre> | </pre> | ||
==Comandi utili LDAP== | === Comandi utili LDAP === | ||
<pre> | <pre> | ||
ldapsearch -b "dc=miodominio,dc=local" -x | ldapsearch -b "dc=miodominio,dc=local" -x | ||
Riga 1 626: | Riga 1 642: | ||
</pre> | </pre> | ||
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto. | Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto. | ||
= | == Approfondimenti == | ||
=== Debianizzati === | |||
[[Samba e OpenLDAP: creare un controller di dominio]]<br/> | [[Samba e OpenLDAP: creare un controller di dominio]]<br/> | ||
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/> | [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/> | ||
Riga 1 632: | Riga 1 649: | ||
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/> | [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/> | ||
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> | [[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> | ||
[[ | [[Samba: guida estesa]]<br/> | ||
[[ | [[Samba: creare un cestino di rete per le condivisioni]]<br/> | ||
[[ | [[ClamAV: scansione antivirus delle condivisioni Samba]]<br /> | ||
{{Autori | |||
|Autore = [[Utente:Ferdybassi|Ferdybassi]] | |||
[[Categoria: | |Verificata_da= | ||
[[Categoria: | :[[Utente:porkyhttp|porkyhttp]] 17:06, 06 mag 2012 (CEST) | ||
|Numero_revisori=1 | |||
}} | |||
[[Categoria:Reti con Windows]][[Categoria:Samba]] |
contributi