6 999
contributi
S3v (discussione | contributi) (tolto "Stub") |
|||
(17 versioni intermedie di 5 utenti non mostrate) | |||
Riga 1: | Riga 1: | ||
{{Versioni compatibili| | {{Versioni compatibili|Lenny}} | ||
==Versioni compatibili== | ==Versioni compatibili== | ||
* Debian Lenny 5.0 | * Debian Lenny 5.0 | ||
Riga 74: | Riga 74: | ||
==Configurazione del servizio DNS== | ==Configurazione del servizio DNS== | ||
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian | Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian]]. Quindi si introducano le seguenti modifiche nei file di configurazione di <code>bind</code>: | ||
* '''<code>/etc/bind/named.conf.options</code>''' | * '''<code>/etc/bind/named.conf.options</code>''' | ||
<pre> | <pre> | ||
Riga 241: | Riga 241: | ||
</pre> | </pre> | ||
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/> | Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/> | ||
Nei file riportati si considera che il dominio specificato è < | Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet. | ||
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/> | In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/> | ||
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/> | Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/> | ||
Riga 323: | Riga 323: | ||
</pre> | </pre> | ||
===Configurazione=== | ===Configurazione=== | ||
Copiare i file < | Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>. | ||
<pre> | <pre> | ||
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf | ||
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf | ||
</pre> | </pre> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/> | ||
Se non si è sicuri del DN da inserire lanciare il comando: | Se non si è sicuri del DN da inserire lanciare il comando: | ||
<pre> | <pre> | ||
Riga 358: | Riga 358: | ||
e copiare o prendere nota del codice che viene restituito. | e copiare o prendere nota del codice che viene restituito. | ||
<br/> | <br/> | ||
Modificare il file < | Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto. Il contenuto completo del file dovrebbe essere il seguente:<br/> | ||
<code>'''/etc/smbldap-tools/smbldap.conf'''</code>: | <code>'''/etc/smbldap-tools/smbldap.conf'''</code>: | ||
<pre> | <pre> | ||
Riga 519: | Riga 519: | ||
slapcat > ~/slapd.ldif | slapcat > ~/slapd.ldif | ||
</pre> | </pre> | ||
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in < | Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA. | ||
<pre> | <pre> | ||
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ | # wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ | ||
Riga 530: | Riga 530: | ||
</pre> | </pre> | ||
e prendete nota del risultato.<br/> | e prendete nota del risultato.<br/> | ||
Ora occorre modificare pesantemente il file di configurazione di slapd (< | Ora occorre modificare pesantemente il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/> | ||
<code>'''/etc/ldap/sldap.conf'''</code>: | <code>'''/etc/ldap/sldap.conf'''</code>: | ||
<pre> | <pre> | ||
Riga 757: | Riga 757: | ||
==Configurazione dei client per LDAP== | ==Configurazione dei client per LDAP== | ||
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file < | Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <code>/etc/ldap/ldap.conf</code> aggiungendo le righe: | ||
* '''< | * '''<code>/etc/ldap/ldap.conf</code>''' | ||
<pre> | <pre> | ||
HOST server.dominio.local | HOST server.dominio.local | ||
Riga 885: | Riga 885: | ||
# ldapsearch -x | # ldapsearch -x | ||
</pre> | </pre> | ||
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di < | La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard Debian con il comando: | ||
<pre> | <pre> | ||
# slapd -d 256 | # slapd -d 256 | ||
Riga 1 065: | Riga 1 065: | ||
==Configurazione di Samba== | ==Configurazione di Samba== | ||
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file < | Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/> | ||
<pre> | <pre> | ||
# mkdir /dominio | # mkdir /dominio | ||
Riga 1 073: | Riga 1 073: | ||
# mkdir /dominio/pubblica | # mkdir /dominio/pubblica | ||
</pre> | </pre> | ||
La configurazione di Samba si riduce a modificare il file < | La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti: | ||
<pre> | <pre> | ||
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original | # mv /etc/samba/smb.conf /etc/samba/smb.conf.original | ||
Riga 1 167: | Riga 1 167: | ||
enable privileges = yes | enable privileges = yes | ||
ldap delete dn = Yes | ldap delete dn = Yes | ||
ldap ssl = no | #ldap ssl = no | ||
### Permetto il cambio password da Windows | ### Permetto il cambio password da Windows | ||
Riga 1 173: | Riga 1 173: | ||
pam password change = Yes | pam password change = Yes | ||
unix password sync = Yes | unix password sync = Yes | ||
pam password change = no | #pam password change = no | ||
### Profili mobili, directory home, script di logon ### | ### Profili mobili, directory home, script di logon ### | ||
Riga 1 380: | Riga 1 380: | ||
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. | Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi. | ||
===1 - Utilizzo degli script forniti con smbldap-tools=== | ===1 - Utilizzo degli script forniti con smbldap-tools=== | ||
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto < | La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato: | ||
<pre> | <pre> | ||
# smbldap-populate -a root -k 0 -m 0 | # smbldap-populate -a root -k 0 -m 0 | ||
# smbldap-useradd -a -m -c "Admin" Administrator | # smbldap-useradd -a -m -c "Admin" Administrator | ||
# smbldap-usermod -G "Domain Admins" Administrator | # smbldap-usermod -G "Domain Admins" Administrator | ||
</pre> | </pre> | ||
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/> | ||
Riga 1 528: | Riga 1 527: | ||
* Account LDAP per root cn=admin,dc=dominio,dc=local | * Account LDAP per root cn=admin,dc=dominio,dc=local | ||
* Password LDAP di root: password | * Password LDAP di root: password | ||
A questo punto bisogna modificare il file < | A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> cambiando le tre linee | ||
<pre> | <pre> | ||
passwd: compat | passwd: compat | ||
Riga 1 907: | Riga 1 906: | ||
# /etc/init.d/winbind stop | # /etc/init.d/winbind stop | ||
</pre> | </pre> | ||
e modifichiamo il file < | e modifichiamo il file <code>/etc/samba/smb.conf</code> con le seguenti direttive: | ||
<pre> | <pre> | ||
[global] | [global] | ||
Riga 1 977: | Riga 1 976: | ||
</pre> | </pre> | ||
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/> | Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/> | ||
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (< | Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<code>ldap://10.0.0.11</code>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap. | ||
<pre> | <pre> | ||
# apt-get install libnss-ldap | # apt-get install libnss-ldap | ||
Riga 2 114: | Riga 2 113: | ||
===Offline Physical Backup=== | ===Offline Physical Backup=== | ||
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. | Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo. | ||
# Stopare il server LDAP: < | # Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code> | ||
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup | # Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup | ||
# Riavviare il server LDAP: < | # Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code> | ||
===Offline Logical Backup=== | ===Offline Logical Backup=== | ||
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: | Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP: | ||
# < | # <code>/usr/sbin/rcldap stop</code> | ||
# < | # <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato | ||
# < | # <code>/usr/sbin/rcldap start</code> | ||
===Online Backup=== | ===Online Backup=== | ||
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. | Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio. | ||
# < | # <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/> | ||
dove < | dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code> | ||
===Database Restore=== | ===Database Restore=== | ||
# Per ripristinare un offline backup: | # Per ripristinare un offline backup: | ||
## < | ## <code>/usr/sbin/rcldap stop</code> | ||
## copiare i files salvati in <code>/var/lib/ldap</code> (Se Offline Physical Backup) | ## copiare i files salvati in <code>/var/lib/ldap</code> (Se Offline Physical Backup) | ||
## < | ## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup) | ||
## < | ## <code>/usr/sbin/rcldap start</code> | ||
# Per ripristinare un online backup: | # Per ripristinare un online backup: | ||
## < | ## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/> | ||
dove < | dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local | ||
==Replica del database LDAP su un altro server== | ==Replica del database LDAP su un altro server== | ||
Riga 2 254: | Riga 2 253: | ||
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/> | [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/> | ||
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> | [[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/> | ||
[[ | [[Samba: guida estesa]]<br/> | ||
[[ | [[Samba: creare un cestino di rete per le condivisioni]]<br /> | ||
[[ | [[ClamAV: scansione antivirus delle condivisioni Samba]] | ||
=Credits= | |||
* | ==Credits== | ||
* [http://stefano.dscnet.org/howto/samba-pdc-ldap-kerberos/node1.html Samba PDC con LDAP e Kerberos] di Stefano Sasso | |||
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]] | * [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]] | ||
{{Autori | |||
|Autore=[[Utente:Ferdybassi|Ferdybassi]] | |||
}} | |||
[[Categoria: | |||
[[Categoria: | [[Categoria:Reti con Windows]][[Categoria:Samba]] |
contributi