Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny: differenze tra le versioni

Vai alla navigazione Vai alla ricerca

Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny (visualizza wikitesto)

Versione delle 17:59, 7 giu 2015

1 003 byte aggiunti ,  7 giu 2015
tolto "Stub"
(tolto "Stub")
 
(27 versioni intermedie di 5 utenti non mostrate)
Riga 1: Riga 1:
{{Versioni compatibili|Debian Lenny 5.0|}}
{{Versioni compatibili|Lenny}}
=Versioni compatibili=
==Versioni compatibili==
* Debian Lenny 5.0
* Debian Lenny 5.0
* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]
* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]


=Introduzione=
==Introduzione==
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux. Il server configurato fornirà quindi le informazioni di autenticazione e autorizzazione per entrambi i sistemi.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux. Il server configurato fornirà quindi le informazioni di autenticazione e autorizzazione per entrambi i sistemi.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poiché i file da modificare saranno numerosi, di certo risulterebbe molto difficile e laborioso andare a caccia di eventuali errori.
==Kerberos==
===Kerberos===
A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinchè funga anche da '''Key Distribution Center (KDC) Kerberos'''. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [[http://it.wikipedia.org/wiki/Protocollo_Kerberos Wikipedia]]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba e aggiunge sicurezza all'intera LAN.
A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinché funga anche da '''Key Distribution Center (KDC) Kerberos'''. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [[http://it.wikipedia.org/wiki/Protocollo_Kerberos Wikipedia]]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba e aggiunge sicurezza all'intera LAN.


=Sistema installato e prerequisiti=
==Sistema installato e prerequisiti==
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
La '''configurazione iniziale''' del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti. Si veda ad esempio [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]] per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.<br/>
La '''configurazione iniziale''' del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti. Si veda ad esempio [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]] per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.<br/>
Riga 19: Riga 19:
<br/>
<br/>


==Parametri di rete utilizzati==
===Parametri di rete utilizzati===
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
* Nome del server: server
* Nome del server: server
Riga 31: Riga 31:
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Questi parametri vanno ovviamente adattati alle vostre esigenze.


=Tecnologie utilizzate=
==Tecnologie utilizzate==
* '''Heimdal Kerberos'''
* '''Heimdal Kerberos'''
La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perchè scegliere Heimdal invece di MIT Kerberos?<br/>
La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perché scegliere Heimdal invece di MIT Kerberos?<br/>
Fondamentalmente perchè Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
Fondamentalmente perché Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
* '''OpenLDAP'''
* '''OpenLDAP'''
Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
Riga 49: Riga 49:
* '''Samba'''
* '''Samba'''
Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.  
Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.  
=Configurazione iniziale=
==Configurazione iniziale==
==Nome host==
===Nome host===
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file <code>/etc/hosts</code> e <code>/etc/hostname</code>:
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file <code>/etc/hosts</code> e <code>/etc/hostname</code>:
* '''<code>/etc/hosts</code>'''
* '''<code>/etc/hosts</code>'''
Riga 61: Riga 61:
server
server
</pre>
</pre>
==Ora del server==
===Ora del server===
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: [[Impostare e modificare data e ora]]. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite.
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: [[Impostare e modificare data e ora]]. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite.
==Installazione delle librerie Kerberos==
===Installazione delle librerie Kerberos===
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
<pre>
<pre>
Riga 69: Riga 69:
libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs
libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs
heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal
heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal
libkrb5-22-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
libkrb5-25-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}


=Configurazione del servizio DNS=
==Configurazione del servizio DNS==
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian Etch]]. Quindi si introducano le seguendi modifiche nei files di configurazione di <code>bind</code>:
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian]]. Quindi si introducano le seguenti modifiche nei file di configurazione di <code>bind</code>:
* '''<code>/etc/bind/named.conf.options</code>'''
* '''<code>/etc/bind/named.conf.options</code>'''
<pre>
<pre>
Riga 129: Riga 129:
</pre>
</pre>


=Installazione del server LDAP=
==Installazione del server LDAP==
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
==Struttura dell'albero LDAP==
===Struttura dell'albero LDAP===
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
<pre>
<pre>
Riga 141: Riga 141:
     +--OU=KerberosPrincipals (principal Kerberos)
     +--OU=KerberosPrincipals (principal Kerberos)
</pre>
</pre>
==Generazione dei certificati SSL==
===Generazione dei certificati SSL===
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
<pre>
<pre>
Riga 235: Riga 235:
</pre>
</pre>


==Installazione di OpenLDAP==
===Installazione di OpenLDAP===
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
<pre>
<pre>
Riga 241: Riga 241:
</pre>
</pre>
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Riga 265: Riga 265:
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.


=Installazione di una interfaccia grafica per amministrare OpenLDAP=
==Installazione di una interfaccia grafica per amministrare OpenLDAP==
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
==Installazione dei prerequisiti==
===Installazione dei prerequisiti===
Installiamo per prima cosa alcuni moduli di PHP necessari:
Installiamo per prima cosa alcuni moduli di PHP necessari:
<pre>
<pre>
Riga 277: Riga 277:
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}


==Installazione di PHPLdapAdmin==
===Installazione di PHPLdapAdmin===
Ora possiamo installare phpldapadmin:
Ora possiamo installare phpldapadmin:
<pre>
<pre>
Riga 302: Riga 302:
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.


=Installazione di Samba=
==Installazione di Samba==
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
<pre>
<pre>
Riga 314: Riga 314:
<br/>
<br/>


=Configurare i SMBLDAP TOOLS=
==Configurare i SMBLDAP TOOLS==
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Riga 322: Riga 322:
# apt-get install smbldap-tools
# apt-get install smbldap-tools
</pre>
</pre>
==Configurazione==
===Configurazione===
Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>.
<pre>
<pre>
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
</pre>
</pre>
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Se non si è sicuri del DN da inserire lanciare il comando:
Se non si è sicuri del DN da inserire lanciare il comando:
<pre>
<pre>
Riga 342: Riga 342:
</pre>
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/smbldap-tools/smbldap_bind.conf''':
<code>'''/etc/smbldap-tools/smbldap_bind.conf'''</code>:
<pre>
<pre>
############################
############################
Riga 358: Riga 358:
e copiare o prendere nota del codice che viene restituito.
e copiare o prendere nota del codice che viene restituito.
<br/>
<br/>
Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto. Il contenuto completo del file dovrebbe essere il seguente:<br/>
Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto. Il contenuto completo del file dovrebbe essere il seguente:<br/>
'''/etc/smbldap-tools/smbldap.conf''':
<code>'''/etc/smbldap-tools/smbldap.conf'''</code>:
<pre>
<pre>
##############################################################################
##############################################################################
Riga 487: Riga 487:
userLoginShell="/bin/false"
userLoginShell="/bin/false"
</pre>
</pre>
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
È stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
<pre>
<pre>
userLoginShell="/bin/bash"
userLoginShell="/bin/bash"
Riga 512: Riga 512:
</pre>
</pre>


=Configurazione del server LDAP=
==Configurazione del server LDAP==
Passiamo ora alla configurazione del server LDAP.<br/>
Passiamo ora alla configurazione del server LDAP.<br/>


Riga 519: Riga 519:
slapcat > ~/slapd.ldif
slapcat > ~/slapd.ldif
</pre>
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
Riga 530: Riga 530:
</pre>
</pre>
e prendete nota del risultato.<br/>
e prendete nota del risultato.<br/>
Ora occorre modificare pesantemente il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/>
Ora occorre modificare pesantemente il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/ldap/sldap.conf''':
<code>'''/etc/ldap/sldap.conf'''</code>:
<pre>
<pre>
#######################################################################
#######################################################################
Riga 756: Riga 756:
</pre>
</pre>


=Configurazione dei client per LDAP=
==Configurazione dei client per LDAP==
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <code>/etc/ldap/ldap.conf</code> aggiungendo le righe:
* '''<tt>/etc/ldap/ldap.conf</tt>'''
* '''<code>/etc/ldap/ldap.conf</code>'''
<pre>
<pre>
HOST server.dominio.local
HOST server.dominio.local
Riga 768: Riga 768:
TIMELIMIT 2
TIMELIMIT 2
</pre>
</pre>
=Primo avvio di slapd=
==Primo avvio di slapd==
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>'''
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: '''<code>/etc/default/slapd</code>'''
<pre>
<pre>
Riga 819: Riga 819:
# /etc/init.d/slapd start
# /etc/init.d/slapd start
</pre>
</pre>
==Creazione albero LDAP iniziale==
===Creazione albero LDAP iniziale===
Possiamo ora creare la struttura di base del nostro albero.<br/>
Possiamo ora creare la struttura di base del nostro albero.<br/>
Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto:
Creiamo il file '''<code>/root/ldap_base.ldif</code>''' con questo contenuto:
Riga 885: Riga 885:
# ldapsearch -x
# ldapsearch -x
</pre>
</pre>
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <tt>slapd</tt> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard Debian con il comando:
<pre>
<pre>
# slapd -d 256
# slapd -d 256
Riga 891: Riga 891:
In tal modo viene avviato visualizzando varie informazioni di debug a video.
In tal modo viene avviato visualizzando varie informazioni di debug a video.


=Configurazione di Kerberos=
==Configurazione di Kerberos==
==Rimozione dei servizi inutili==
===Rimozione dei servizi inutili===
Iniziamo modificando il file '''<code>/etc/inetd.conf</code>''' e rimuoviamo alcuni servizi kerberizzati attivati di default:
Iniziamo modificando il file '''<code>/etc/inetd.conf</code>''' e rimuoviamo alcuni servizi kerberizzati attivati di default:
<pre>
<pre>
Riga 909: Riga 909:
# /etc/init.d/openbsd-inetd restart
# /etc/init.d/openbsd-inetd restart
</pre>
</pre>
==Kerberos KDC==
===Kerberos KDC===
Configuriamo il Kerberos KDC modificando il file '''<code>/etc/krb5.conf</code>'''
Configuriamo il Kerberos KDC modificando il file '''<code>/etc/krb5.conf</code>'''
<pre>
<pre>
Riga 981: Riga 981:
root/admin@DOMINIO.LOCAL        all
root/admin@DOMINIO.LOCAL        all
addmachine/admin@DOMINIO.LOCAL  all
addmachine/admin@DOMINIO.LOCAL  all
Administrator/admin@DOMINIO.LOCAL all
</pre>
</pre>
Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
Riga 989: Riga 990:
# /etc/init.d/heimdal-kdc restart
# /etc/init.d/heimdal-kdc restart
</pre>
</pre>
==Inizializzazione reame Kerberos==
 
===Inizializzazione reame Kerberos===
Inizializziamo ora il reame kerberos:
Inizializziamo ora il reame kerberos:
<pre>
<pre>
Riga 1 032: Riga 1 034:
</pre>
</pre>


=Configurazione di SASL=
==Configurazione di SASL==
Configuriamo SASL (si veda [[http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Wikipedia]] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file '''<code>/etc/default/saslauthd</code>''':
Configuriamo SASL (si veda [[http://en.wikipedia.org/wiki/Simple_Authentication_and_Security_Layer Wikipedia]] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file '''<code>/etc/default/saslauthd</code>''':
<pre>
<pre>
Riga 1 062: Riga 1 064:
</pre>
</pre>


=Configurazione di Samba=
==Configurazione di Samba==
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <tt>/etc/smbldap-tools/smbldap.conf</tt>, quindi è bene stare attenti a non commettere errori.<br/>
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/>
<pre>
<pre>
# mkdir /dominio
# mkdir /dominio
Riga 1 071: Riga 1 073:
# mkdir /dominio/pubblica
# mkdir /dominio/pubblica
</pre>
</pre>
La configurazione di Samba si riduce a modificare il file <tt>/etc/samba/smb.conf</tt>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
<pre>
<pre>
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Riga 1 077: Riga 1 079:
# nano /etc/samba/smb.conf
# nano /etc/samba/smb.conf
</pre>
</pre>
'''/etc/samba/smb.conf''':
<code>'''/etc/samba/smb.conf'''</code>:
<pre>
<pre>
[global]
[global]
Riga 1 097: Riga 1 099:
       domain master = yes
       domain master = yes
       domain logons = yes
       domain logons = yes
       admin users = root addmachine @"Domain Admins"
       admin users = Administrator root addmachine @"Domain Admins"




Riga 1 165: Riga 1 167:
       enable privileges = yes
       enable privileges = yes
       ldap delete dn = Yes
       ldap delete dn = Yes
       ldap ssl = no
       #ldap ssl = no


   ### Permetto il cambio password da Windows
   ### Permetto il cambio password da Windows
Riga 1 171: Riga 1 173:
       pam password change = Yes
       pam password change = Yes
       unix password sync = Yes
       unix password sync = Yes
       pam password change = no
       #pam password change = no


   ### Profili mobili, directory home, script di logon ###
   ### Profili mobili, directory home, script di logon ###
Riga 1 301: Riga 1 303:
addmachine = DOMINIO.LOCAL\addmachine/admin
addmachine = DOMINIO.LOCAL\addmachine/admin
root = DOMINIO.LOCAL\root/admin
root = DOMINIO.LOCAL\root/admin
Administrator = DOMINIO.LOCAL\Administrator/admin
</pre>
</pre>
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
Riga 1 347: Riga 1 350:
Il resto del file va lasciato invariato.
Il resto del file va lasciato invariato.


=Popolamento del database LDAP=
==Popolamento del database LDAP==
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
Riga 1 376: Riga 1 379:
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
==1 - Utilizzo degli script forniti con smbldap-tools==
===1 - Utilizzo degli script forniti con smbldap-tools===
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato:
<pre>
<pre>
# smbldap-populate -a root -k 0 -m 0
# smbldap-populate -a root -k 0 -m 0
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -u 0 Administrator
</pre>
</pre>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Riga 1 400: Riga 1 402:
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.


==2 - Utilizzo della GUI phpLDAPadmin==
===2 - Utilizzo della GUI phpLDAPadmin===
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
Innanzitutto bisogna collegarci con un browser al nostro server:
Innanzitutto bisogna collegarci con un browser al nostro server:
Riga 1 415: Riga 1 417:
[[Immagine:Sambapdc04.jpg|center]]
[[Immagine:Sambapdc04.jpg|center]]
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti Linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }} Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
<pre>
<pre>
smbldap-passwd Administrator
smbldap-passwd Administrator
</pre>
</pre>
==Modifiche al database LDAP==
===Modifiche al database LDAP===
È necessario ora effettuare alcune modifiche nella struttura creata. Iniziamo modificando il primo User ID libero: creiamo il file <code>/root/ldap_nextuid.ldif</code>:
È necessario ora effettuare alcune modifiche nella struttura creata. Iniziamo modificando il primo User ID libero: creiamo il file <code>/root/ldap_nextuid.ldif</code>:
<pre>
<pre>
Riga 1 488: Riga 1 490:
replace: krb5PrincipalName
replace: krb5PrincipalName
krb5PrincipalName: addmachine/admin@DOMINIO.LOCAL
krb5PrincipalName: addmachine/admin@DOMINIO.LOCAL
<pre>
</pre>
e lanciamo poi:
e lanciamo poi:
<pre>
<pre>
Riga 1 494: Riga 1 496:
</pre>
</pre>


=Configurazione delle autenticazioni Unix=
==Configurazione delle autenticazioni Unix==
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti Unix di sistema.
==Installazione del demone name service caching daemon (nscd)==
===Installazione del demone name service caching daemon (nscd)===
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
<pre>
<pre>
Riga 1 507: Riga 1 509:
</pre>
</pre>


==Installazione di libnss-ldap==
===Installazione di libnss-ldap===
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
<pre>
<pre>
Riga 1 520: Riga 1 522:
* Distinguished Name (DN): dc=dominio,dc=local
* Distinguished Name (DN): dc=dominio,dc=local
* LDAP Version: 3
* LDAP Version: 3
* E' richiesto l'utente per il database LDAP: no
* È richiesto l'utente per il database LDAP: no
* Privilegi speciali LDAP per root: sí
* Privilegi speciali LDAP per root: sí
* Configurazione leggibile e scrivibile solo dal propietario: sí
* Configurazione leggibile e scrivibile solo dal propietario: sí
* Account LDAP per root cn=admin,dc=dominio,dc=local
* Account LDAP per root cn=admin,dc=dominio,dc=local
* Password LDAP di root: password
* Password LDAP di root: password
A questo punto bisogna modificare il file <tt>/etc/nsswitch.conf</tt> cambiando le tre linee
A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> cambiando le tre linee
<pre>
<pre>
passwd: compat
passwd: compat
Riga 1 539: Riga 1 541:
</pre>
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/nsswitch.conf'''
<code>'''/etc/nsswitch.conf'''</code>
<pre>
<pre>
# /etc/nsswitch.conf
# /etc/nsswitch.conf
Riga 1 557: Riga 1 559:
netgroup:      nis
netgroup:      nis
</pre>
</pre>
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Modificate inotre il file <code>'''/etc/libnss-ldap.conf'''</code>, decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
<pre>
<pre>
host 127.0.0.1
host 127.0.0.1
Riga 1 605: Riga 1 607:
ssl on
ssl on
</pre>
</pre>
e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret e rendiamolo leggibile solo a root:
e memorizziamo poi la password dell'amministratore ldap in <code>/etc/ldap.secret</code> e rendiamolo leggibile solo a root:
<pre>
<pre>
# echo password_root_ldap > /etc/ldap.secret
# echo password_root_ldap > /etc/ldap.secret
Riga 1 632: Riga 1 634:
</pre>
</pre>


==Installazione di libpam-ldap==
===Installazione di libpam-ldap===
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
<pre>
<pre>
Riga 1 647: Riga 1 649:
* LDAP root password: password
* LDAP root password: password
* Local crypt to use when changing passwords: md5
* Local crypt to use when changing passwords: md5
Modificate come segue il file '''/etc/pam_ldap.conf''':
Modificate come segue il file <code>'''/etc/pam_ldap.conf'''</code>:
<pre>
<pre>
bind_policy soft
bind_policy soft
Riga 1 655: Riga 1 657:
</pre>
</pre>
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
'''/etc/pam.d/common-account'''<br/>
<code>'''/etc/pam.d/common-account'''</code><br/>
<pre>
account sufficient        pam_unix.so
account sufficient        pam_ldap.so
account sufficient        pam_krb5.so
account required          pam_deny.so
</pre>
<br/>
<code>'''/etc/pam.d/common-auth'''</code><br/>
<pre>
<pre>
#
auth    sufficient        pam_unix.so nullok_secure
#/etc/pam.d/common-account - authorization settings common to all services
auth    sufficient        pam_ldap.so
##
auth    sufficient       pam_krb5.so use_first_pass
This file is included from other service-specific PAM config files,
auth    required         pam_deny.so
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
#account required pam_unix.so
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-auth'''<br/>
<code>'''/etc/pam.d/common-password'''</code><br/>
<pre>
<pre>
#
password  sufficient  pam_unix.so nullok obscure md5
# /etc/pam.d/common-auth - authentication settings common to all services
password  required     pam_winbind.so
#
password sufficient   pam_ldap.so
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
#auth required pam_unix.so nullok_secure
#auth [success=1 default=ignore] pam_unix.so
#auth required pam_ldap.so use_first_pass
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-password'''<br/>
<code>'''/etc/pam.d/common-session'''</code><br/>
<pre>
<pre>
# /etc/pam.d/common-password - password-related modules common to all services
session      optional      pam_unix.so
##
session      optional      pam_krb5.so
This file is included from other service-specific PAM config files,
session      optional      pam_mkhomedir.so skel=/etc/skel/ umask=077
# and should contain a list of modules that define the services to be
session     sufficient   pam_ldap.so
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
#password required pam_unix.so nullok obscure min=4 max=8 md5
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure md5 use_first_pass
</pre>
<br/>
'''/etc/pam.d/common-session'''<br/>
<pre>
session    sufficient      pam_ldap.so
session    required        pam_unix.so
</pre>
</pre>


==Test di funzionamento==
===Test di funzionamento===
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Una volta ripartito, con i comandi:
Una volta ripartito, con i comandi:
Riga 1 735: Riga 1 701:
</pre>
</pre>
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
=Assegnazione dei permessi agli utenti di dominio=
==Assegnazione dei permessi agli utenti di dominio==
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
<pre>
<pre>
Riga 1 747: Riga 1 713:
dove DEBIAN è il nome Samba assegnato al server.
dove DEBIAN è il nome Samba assegnato al server.


=Aggiungere i primi utenti di dominio=
==Aggiungere i primi utenti di dominio==
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Adesso siamo pronti per la creazione del primo utente con il comando:
Adesso siamo pronti per la creazione del primo utente con il comando:
Riga 1 753: Riga 1 719:
# smbldap-useradd -a -m -c "Nome Utente" username
# smbldap-useradd -a -m -c "Nome Utente" username
</pre>
</pre>
Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.<br/>
Dove <code>-a</code> serve per creare anche i dati UNIX, <code>-m</code> crea l'home directory e <code>-c</code> specifica il nome completo.<br/>
Infine impostare la password dell'utente con:
Infine impostare la password dell'utente con:
<pre>
<pre>
Riga 1 770: Riga 1 736:
# smbldap-usermod -G "NomeGruppo" nome.utente
# smbldap-usermod -G "NomeGruppo" nome.utente
</pre>
</pre>
Con queste impostazioni avremo, quindi:
Se vogliamo che un utente possa loggarsi correttamente anche in un desktop GNU/Linux dobbiamo "clonare" in LDAP anche le informazioni sui vari gruppi a cui l'utente dovrà appartenere per poter operare correttamente nel suo ambiente di lavoro (gruppi video, plugdev, disk, fuse, ...) e inserire l'utente in tali gruppi, sempre usando i tools smbldap.
<br/><br/>
<br/><br/>
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
Riga 1 779: Riga 1 745:
</pre>
</pre>


=Creazione di un semplice script da eseguire al login di windows=
==Creazione di un semplice script da eseguire al login di Windows==
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
È possibile creare uno script <code>logon.bat</code> (come specificato nel file <code>/etc/smbldap-tools/smbldap.conf</code>) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
<pre>
<pre>
Riga 1 789: Riga 1 755:
# vim /dominio/netlogon/logon.bat
# vim /dominio/netlogon/logon.bat
</pre>
</pre>
syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
syncronizziamo gli orologi del client Windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
<pre>
<pre>
net time %LOGONSERVER% /set /yes
net time %LOGONSERVER% /set /yes
Riga 1 799: Riga 1 765:
</pre>
</pre>
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente Linux.


=Restart dei servizi=
==Restart dei servizi==
Riavviamo quindi come ultima cosa tutti i servizi:
Riavviamo quindi come ultima cosa tutti i servizi:
<pre>
<pre>
Riga 1 814: Riga 1 780:
</pre>
</pre>


=Test e connessione al dominio=
==Test di funzionamento del Single Sing-On==
Autentichiamoci in kerberos:
<pre>
# kinit ldapmaster/admin
ldapmaster/admin@DOMINIO.LOCAL's Password:
</pre>
e verifichiamo di aver ottenuto le credenziali:
<pre>
# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ldapmaster/admin@DOMINIO.LOCAL
 
  Issued          Expires          Principal
Apr 16 14:15:03  Apr 17 12:28:23  krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL
</pre>
Proviamo quindi a fare un accesso al server LDAP:
<pre>
# ldapwhoami -Y GSSAPI
SASL/GSSAPI authentication started
SASL username: ldapmaster/admin@DOMINIO.LOCAL
SASL SSF: 56
SASL installing layers
dn:krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=kerberosprincipals,ou=users,dc=dominio,dc=local
Result: Success (0)
</pre>
e ri-verifichiamo le credenziali:
<pre>
# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: ldapmaster/admin@DOMINIO.LOCAL
 
Issued          Expires          Principal
Apr 16 14:21:17  Apr 17 12:34:37  krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL
Apr 16 14:21:25  Apr 17 12:34:37  ldap/server.dominio.local@DOMINIO.LOCAL
</pre>
Proviamo quindi con Samba:
<pre>
# kdestroy
# kinit addmachine/admin
 
# smbclient //server/netlogon -k
OS=[Unix] Server=[Samba 3.0.24]
smb: \>
 
# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: addmachine/admin@DOMINIO.LOCAL
 
  Issued          Expires          Principal
Apr 16 14:18:19  Apr 17 12:31:39  krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL
Apr 16 14:18:24  Apr 17 12:31:39  cifs/server.dominio.local@DOMINIO.LOCAL
</pre>
==Test e connessione al dominio==
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
Riga 1 828: Riga 1 846:
# Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
# Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
# Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
# Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
# Se si è configurata su smb.conf l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
# Se si è configurata su <code>smb.conf</code> l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
# Inserire il nome del proprio dominio e cliccare OK.
# Inserire il nome del proprio dominio e cliccare OK.
*'''Windows NT'''
*'''Windows NT'''
Riga 1 857: Riga 1 875:
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.


=Unire un server Samba al dominio=
==Unire un server Samba al dominio==
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
Riga 1 864: Riga 1 882:
<br/>
<br/>
Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/>
Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:<br/>
'''/etc/resolv.conf'''<br/>
<code>'''/etc/resolv.conf'''</code><br/>
<pre>
<pre>
search dominio.local
search dominio.local
Riga 1 888: Riga 1 906:
# /etc/init.d/winbind stop
# /etc/init.d/winbind stop
</pre>
</pre>
e modifichiamo il file <tt>/etc/samba/smb.conf</tt> con le seguenti direttive:
e modifichiamo il file <code>/etc/samba/smb.conf</code> con le seguenti direttive:
<pre>
<pre>
[global]
[global]
Riga 1 958: Riga 1 976:
</pre>
</pre>
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<tt>ldap://10.0.0.11</tt>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<code>ldap://10.0.0.11</code>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
<pre>
<pre>
# apt-get install libnss-ldap
# apt-get install libnss-ldap
Riga 1 967: Riga 1 985:
</pre>
</pre>
Modificate i seguenti files:<br/>
Modificate i seguenti files:<br/>
'''/etc/nsswitch.conf''':
<code>'''/etc/nsswitch.conf'''</code>:
<pre>
<pre>
passwd: compat ldap winbind
passwd: compat ldap winbind
Riga 1 973: Riga 1 991:
shadow: compat ldap
shadow: compat ldap
</pre>
</pre>
'''/etc/ldap/ldap.conf''':
<code>'''/etc/ldap/ldap.conf'''</code>:
<pre>
<pre>
BASE    dc=domimio,dc=local
BASE    dc=domimio,dc=local
URI    ldap://10.0.0.11:389
URI    ldap://10.0.0.11:389
</pre>
</pre>
'''/etc/libnss-ldap.conf''':
<code>'''/etc/libnss-ldap.conf'''</code>:
<pre>
<pre>
base dc=dominio,dc=local
base dc=dominio,dc=local
Riga 2 001: Riga 2 019:
* Local crypt to use when changing passwords: md5
* Local crypt to use when changing passwords: md5
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:<br/><br/>
'''/etc/pam.d/common-account'''<br/>
<code>'''/etc/pam.d/common-account'''</code><br/>
<pre>
<pre>
#
#
Riga 2 016: Riga 2 034:
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-auth'''<br/>
<code>'''/etc/pam.d/common-auth'''</code><br/>
<pre>
<pre>
#
#
Riga 2 032: Riga 2 050:
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-password'''<br/>
<code>'''/etc/pam.d/common-password'''</code><br/>
<pre>
<pre>
# /etc/pam.d/common-password - password-related modules common to all services
# /etc/pam.d/common-password - password-related modules common to all services
Riga 2 060: Riga 2 078:
</pre>
</pre>
<br/>
<br/>
'''/etc/pam.d/common-session'''<br/>
<code>'''/etc/pam.d/common-session'''</code><br/>
<pre>
<pre>
session    sufficient      pam_ldap.so
session    sufficient      pam_ldap.so
Riga 2 091: Riga 2 109:
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.


=Backup e restore del database LDAP=
==Backup e restore del database LDAP==
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
==Offline Physical Backup==
===Offline Physical Backup===
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
# Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code>
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
# Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code>


==Offline Logical Backup==
===Offline Logical Backup===
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
# <tt>/usr/sbin/rcldap stop</tt>
# <code>/usr/sbin/rcldap stop</code>
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <tt>/usr/sbin/rcldap start</tt>
# <code>/usr/sbin/rcldap start</code>


==Online Backup==
===Online Backup===
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
# <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/>
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code>
==Database Restore==
===Database Restore===
# Per ripristinare un offline backup:
# Per ripristinare un offline backup:
## <tt>/usr/sbin/rcldap stop</tt>
## <code>/usr/sbin/rcldap stop</code>
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## copiare i files salvati in <code>/var/lib/ldap</code> (Se Offline Physical Backup)
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup)
## <tt>/usr/sbin/rcldap start</tt>
## <code>/usr/sbin/rcldap start</code>
# Per ripristinare un online backup:
# Per ripristinare un online backup:
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/>
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local


=Replica del database LDAP su un altro server=
==Replica del database LDAP su un altro server==
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.


=db4=
==db4==
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
<pre>
<pre>
Riga 2 130: Riga 2 148:
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
<br/>
<br/>
=Interfacce web alternative per OpenLDAP=
==Interfacce web alternative per OpenLDAP==
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
* '''LDAP-Account-Manager'''
* '''LDAP-Account-Manager'''
Riga 2 155: Riga 2 173:
''To do''
''To do''
* '''Luma'''
* '''Luma'''
Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
Non è un'interfaccia web, ma un'applicazione scritta in python. È molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
<pre>
<pre>
apt-get install luma
apt-get install luma
</pre>
</pre>


=Comandi utili e consigli finali=
==Comandi utili e consigli finali==
==Creazione di utenti==
===Creazione di utenti===
<pre>
<pre>
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
Riga 2 171: Riga 2 189:
</pre>
</pre>


==Creazione di un gruppo==
===Creazione di un gruppo===
<pre>
<pre>
# smbldap-groupadd "NomeGruppo"
# smbldap-groupadd "NomeGruppo"
</pre>
</pre>


==Aggiunta di un utente a un gruppo==
===Aggiunta di un utente a un gruppo===
Per impostare il gruppo primario dell'utente:
Per impostare il gruppo primario dell'utente:
<pre>
<pre>
Riga 2 186: Riga 2 204:
</pre>
</pre>


==Elencare i gruppi memorizzati in LDAP==
===Elencare i gruppi memorizzati in LDAP===
<pre>
<pre>
# ldapsearch -x objectClass=posixGroup
# ldapsearch -x objectClass=posixGroup
</pre>
</pre>
==Elencare gli utenti di un gruppo==
===Elencare gli utenti di un gruppo===
<pre>
<pre>
# smbldap-groupshow "gruppo"
# smbldap-groupshow "gruppo"
</pre>
</pre>
==Backuppare una directory condivisa dal server usando le credenziali di un utente specifico==
===Backuppare una directory condivisa dal server usando le credenziali di un utente specifico===
<pre>
<pre>
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
</pre>
</pre>
==Elencare le risorse condivise di una macchina==
===Elencare le risorse condivise di una macchina===
<pre>
<pre>
smbclient -L nomeserver
smbclient -L nomeserver
</pre>
</pre>
==Per fare delle modifiche nel DB in maniera semplice==
===Per fare delle modifiche nel DB in maniera semplice===
<pre>
<pre>
   slapcat -l /tmp/backup.ldif     
   slapcat -l /tmp/backup.ldif     
Riga 2 219: Riga 2 237:
   slapadd -c -l /tmp/backup.ldif
   slapadd -c -l /tmp/backup.ldif
</pre>
</pre>
==Comandi utili LDAP==
===Comandi utili LDAP===
<pre>
<pre>
ldapsearch -b "dc=miodominio,dc=local" -x
ldapsearch -b "dc=miodominio,dc=local" -x
Riga 2 229: Riga 2 247:
ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
</pre>
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
Nel caso si reinstalli slapd controllare non ci sia un backup in <code>/var/backups</code> con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
=Per approfondimenti=
==Per approfondimenti==
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
[[Samba: guida estesa]]<br/>
[[Accedere alle condivisioni Samba dal browser]]<br/>
[[Samba: creare un cestino di rete per le condivisioni]]<br />
[[Creare un Cestino di rete per le condivisioni Samba]]<br/>
[[ClamAV: scansione antivirus delle condivisioni Samba]]
<br/>
 
<br/>
==Credits==
: [[Utente:Ferdybassi|Ferdybassi]]
* [http://stefano.dscnet.org/howto/samba-pdc-ldap-kerberos/node1.html Samba PDC con LDAP e Kerberos] di Stefano Sasso
----
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]
[[Categoria:Server]]
 
[[Categoria:Networking]]
{{Autori
|Autore=[[Utente:Ferdybassi|Ferdybassi]]
}}
 
[[Categoria:Reti con Windows]][[Categoria:Samba]]
S3v
6 999

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/18669...39259"

Menu di navigazione