3 581
contributi
Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux: differenze tra le versioni
Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux (visualizza wikitesto)
Versione delle 15:22, 7 dic 2019
, 7 dic 2019ha spostato Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux a Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux
(Nuova pagina: {{Sommario|titolo=Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server|contenuto= #[[Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Intro|Introduzio...) |
m (ha spostato Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux a Old:Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Configurare Client Linux) |
||
| (25 versioni intermedie di 3 utenti non mostrate) | |||
| Riga 1: | Riga 1: | ||
{{ | {{Old:Template:Samba e OpenLDAP su Ubuntu server}} | ||
}} | |||
== Introduzione == | == Introduzione == | ||
In questa sezione illustrerò come configurare samba e PAM su un client Ubuntu Desktop 10.10 | In questa sezione illustrerò come configurare samba e PAM su un client Ubuntu Desktop 10.10 affinché si connettano ad un dominio samba con backend ldap. | ||
=== Configurazione Samba === | === Configurazione Samba === | ||
Una volta installato samba: | Una volta installato samba: | ||
<pre> | <pre> | ||
$ apt-get install samba samba-doc | $ apt-get install samba samba-doc nscd | ||
</pre> | </pre> | ||
Si passa alla fase della configurazione di smb.conf con security = DOMAIN (per l'uso di un NT4/samba domain): | Si passa alla fase della configurazione di <code>smb.conf</code> con security = DOMAIN (per l'uso di un NT4/samba domain): | ||
<pre> | <pre> | ||
[global] | [global] | ||
| Riga 41: | Riga 25: | ||
# WINS Server - Tells the NMBD components of Samba to be a WINS Client | # WINS Server - Tells the NMBD components of Samba to be a WINS Client | ||
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both | # Note: Samba can be either a WINS Server, or a WINS Client, but NOT both | ||
# wins server = 192.168.2.1 | |||
password server = | password server = * | ||
# dns proxy = no | |||
# What naming service and in what order should we use to resolve host names | # What naming service and in what order should we use to resolve host names | ||
# to IP addresses | # to IP addresses | ||
name resolve order = wins bcast | name resolve order = lmhosts host wins bcast | ||
#### Networking #### | #### Networking #### | ||
| Riga 313: | Riga 297: | ||
guest ok = no | guest ok = no | ||
</pre> | </pre> | ||
Non è stato configurato winbind | Non è stato configurato winbind perché ldap ha già il modulo di autenticazione e ci pensa lui ad autenticare gli utenti.<br/> | ||
Gli unici comandi nuovi sono: | Gli unici comandi nuovi sono: | ||
<pre> | <pre> | ||
security = DOMAIN | security = DOMAIN | ||
password server = * | password server = * | ||
</pre> | </pre> | ||
Questi devono essere settati e per quanto concerne il wins server l'indirizzo dipende dall'IP che avete assegnato al server. | Questi devono essere settati e per quanto concerne il wins server l'indirizzo dipende dall'IP che avete assegnato al server. | ||
=== Autenticazione PAM e NSS === | === Autenticazione PAM e NSS === | ||
Ora dobbiamo prima installare i pacchetti: | Ora dobbiamo prima installare i pacchetti: | ||
<pre> | <pre> | ||
# apt-get install libnss-ldap libpam-ldap | |||
</pre> | </pre> | ||
ora configuriamo come [[Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server LDAP | ora configuriamo come [[Samba e OpenLDAP: creare un controller di dominio con Ubuntu Server Autenticazione LDAP]], rispondendo a tutte le domande.<br/> | ||
Il file di configurazione ldap.conf dovrebbe essere, più o meno, come questo: | Il file di configurazione <code>ldap.conf</code> dovrebbe essere, più o meno, come questo: | ||
<pre> | <pre> | ||
# Your LDAP server. Must be resolvable without using LDAP. | # Your LDAP server. Must be resolvable without using LDAP. | ||
| Riga 340: | Riga 324: | ||
# Another way to specify your LDAP server is to provide an | # Another way to specify your LDAP server is to provide an | ||
uri ldap://192.168.2.1 | uri ldap://192.168.2.1 | ||
# Unix Domain Sockets to connect to a local LDAP Server. | # Unix Domain Sockets to connect to a local LDAP Server. | ||
#uri ldap://127.0.0.1/ | #uri ldap://127.0.0.1/ | ||
| Riga 366: | Riga 350: | ||
# The port. | # The port. | ||
# Optional: default is 389. | # Optional: default is 389. | ||
port 389 | |||
#port 636 | #port 636 | ||
# The search scope. | # The search scope. | ||
| Riga 609: | Riga 593: | ||
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,couchdb,daemon,games,gdm,gnats,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,rtkit,saned,speech-dispatcher,sync,sys,syslog,usbmux,uucp,www-data | nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,couchdb,daemon,games,gdm,gnats,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,rtkit,saned,speech-dispatcher,sync,sys,syslog,usbmux,uucp,www-data | ||
</pre> | </pre> | ||
Ricordatevi di settare l' | Ricordatevi di settare l'URI secondo l'indirizzo corrispondente del vostro server ldap che avete settato in <code>/etc/default/slapd</code> alla voce SLAPD_SERVICES (es. ldap://192.168.2.1:389), cancellate ldaps:// se non avete settato un TLS. | ||
Ora configuriamo nsswitch.conf così: | Ora configuriamo <code>nsswitch.conf</code> così: | ||
<pre> | <pre> | ||
passwd: files ldap | passwd: files ldap | ||
| Riga 632: | Riga 616: | ||
</pre> | </pre> | ||
e selezioniamo ldap e deselezioniamo winbind. | e selezioniamo ldap e deselezioniamo winbind. | ||
Dopodiché aprire <code>/etc/pam.d/common-password</code> e settiamo così: | |||
<pre> | <pre> | ||
password [success=2 default=ignore] pam_unix.so obscure sha512 | password [success=2 default=ignore] pam_unix.so obscure sha512 | ||
password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass | password [success=1 user_unknown=ignore default=die] pam_ldap.so try_first_pass | ||
</pre> | </pre> | ||
Dalla seconda voce deve essere cancellato '''use_authok''' che si trova prima di '''try_first_pass''',altrimenti non vi permetterà di cambiare la password. | Dalla seconda voce deve essere cancellato '''use_authok''' che si trova prima di '''try_first_pass''', altrimenti non vi permetterà di cambiare la password.<br/> | ||
Vi avviso che se settate agli utenti una shell '''/bin/false''' il terminale client non si aprirà, perciò vi conviene settare una shell '''/bin/ bash''' a tutti gli utenti. | Vi avviso che se settate agli utenti una [[shell]] '''/bin/false''' il terminale client non si aprirà, perciò vi conviene settare una shell '''/bin/ bash''' a tutti gli utenti. | ||
=== Aggancio al dominio e test === | === Aggancio al dominio e test === | ||
Ora è arrivato il momento di agganciare il client al dominio con: | Ora è arrivato il momento di agganciare il client al dominio con: | ||
| Riga 653: | Riga 638: | ||
$ getent group | $ getent group | ||
</pre> | </pre> | ||
Ora dovrebbero comparirvi l'elenco degli utenti (anche di dominio) e i gruppi (inclusi quelli di dominio). | Ora dovrebbero comparirvi l'elenco degli utenti (anche di dominio) e i gruppi (inclusi quelli di dominio).<br/> | ||
Ricordatevi di settare i permessi di scrittura della cartella /home al gruppo cui fanno parte gli utenti (es. Domain Users), altrimenti al log in non verrà creata la cartella utente e si bloccherà tutto. | Ricordatevi di settare i permessi di scrittura della cartella <code>/home</code> al gruppo cui fanno parte gli utenti (es. Domain Users), altrimenti al log in non verrà creata la cartella utente e si bloccherà tutto. | ||
<pre> | <pre> | ||
$ chown -R root: | $ chown -R root:root /home | ||
$ chmod -R | $ chmod -R 755 /home | ||
</pre> | </pre> | ||
Non vi resta che loggarvi come utenti di dominio. | Non vi resta che loggarvi come utenti di dominio. | ||
== Esportare cartella Home == | |||
=== Lato server === | |||
Installiamo i servizi NFS: | |||
<pre> | |||
# apt-get install portmap nfs-kernel-server nfs-common | |||
</pre> | |||
Per indicare al server quali saranno le cartelle che dovranno essere condivise modifichiamo il file <code>/etc/exports</code>: | |||
<pre> | |||
/home 192.168.2.0/24(rw) | |||
</pre> | |||
Se volete condividere la cartella dell’esempio precedente, ma in sola lettura: | |||
<pre> | |||
/home 192.168.2.0/24(ro) | |||
</pre> | |||
Adesso possiamo rendere il sistema più sicuro specificando quali client possono accedere al PC e quali invece no. | |||
Negheremo l'accesso a tutti i client tranne ad alcuni, la nostra riga in <code>/etc/hosts.deny</code> dovrà essere: | |||
<pre> | |||
portmap mountd nfsd statd lockd rquotad : ALL EXCEPT 192.168.2.0/24 | |||
</pre> | |||
=== Lato Client === | |||
Installiamo, nel caso non fossero già presenti, i pacchetti necessari: | |||
<pre> | |||
# apt-get install portmap nfs-common | |||
</pre> | |||
Possiamo montare la condivisione direttamente nel file <code>/etc/fstab</code> per averla disponibile automaticamente all'avvio. | |||
Per fare ciò modifichiamo il file <code>/etc/fstab</code>: | |||
<pre> | |||
ip_server:/home /home nfs defaults 0 2 | |||
</pre> | |||
Riavviare tutto. | |||
'''N.B.''':Per evitare eventuali problemi al log in sul client, settare i permessi delle cartelle utenti della home del server nel seguente modo: | |||
<pre> | |||
# chown utente:root /home/utente | |||
# chmod 771 /home/utente | |||
</pre> | |||