Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny
Attenzione. Questa guida è da considerarsi abbandonata, per via del tempo trascorso dall'ultima verifica.
Potrà essere resa obsoleta, previa segnalazione sul forum, se nessuno si propone per l'adozione. |
Versioni Compatibili Debian 5 "lenny" |
Versioni compatibili
- Debian Lenny 5.0
- Per Debian Sarge 3.0 vedi: Samba e OpenLDAP: creare un controller di dominio
- Per Debian Etch 4.0 vedi: Samba e OpenLDAP: creare un controller di dominio con Debian Etch
Introduzione
Questo articolo è un aggiornamento della guida Samba e OpenLDAP: creare un controller di dominio con Debian Etch, basata su Debian Etch.
Vedremo questa volta come installare un server basato su Debian Lenny e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux. Il server configurato fornirà quindi le informazioni di autenticazione e autorizzazione per entrambi i sistemi.
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poiché i file da modificare saranno numerosi, di certo risulterebbe molto difficile e laborioso andare a caccia di eventuali errori.
Kerberos
A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinché funga anche da Key Distribution Center (KDC) Kerberos. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [Wikipedia]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba e aggiunge sicurezza all'intera LAN.
Sistema installato e prerequisiti
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un server web Apache e con PHP5 funzionanti. Si veda ad esempio Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5 per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.
Durante tutto il processo si presuppone di agire come utente root.
Parametri di rete utilizzati
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
- Nome del server: server
- Nome del dominio: dominio.local
- Nome NETBIOS del dominio: DOMINIO
- Classe IP: 10.0.0.0 / 255.0.0.0
- IP Server: 10.0.0.11
- Password di root: password
- Password Administrator del dominio: password
- Password admin di LDAP: password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Tecnologie utilizzate
- Heimdal Kerberos
La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perché scegliere Heimdal invece di MIT Kerberos?
Fondamentalmente perché Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
- OpenLDAP
Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
- OpenSSL
Verrà utilizzato SSL (Secure Socket Layer) per garantire la sicurezza nelle connessioni al server OpenLDAP
- Cyrus SASL
SASL è Simple Authentication and Security Layer, un metodo per aggiungere il supporto all'autenticazione a diversi protocolli di rete. Nella nostra "infrastruttura" verrà utilizzato a sostegno delle connessioni al server OpenLDAP. Inoltre, assieme a Kerberos, sarà in grado di fornire soluzioni si "Single Sign-On" ai servizi presenti nella nostra rete.
- NSSwitch
La libreria nss-ldap ci consentirà di recuperare le informazioni dei nostri utenti dal server OpenLDAP
- PAM-Krb5
La libreria pam-krb5 ci consentirà di autenticare i nostri utenti su Kerberos
- Bind
Un servizio fondamentale per il corretto funzionamento di Kerberos è il DNS. Per questo utilizzeremo Bind.
- Samba
Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.
Configurazione iniziale
Nome host
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file /etc/hosts
e /etc/hostname
:
/etc/hosts
10.0.0.11 server.dominio.local server 127.0.0.1 localhost.localdomain localhost
/etc/hostname
server
Ora del server
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: Impostare e modificare data e ora. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite.
Installazione delle librerie Kerberos
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
# apt-get install libsasl2-2 libsasl2-modules sasl2-bin libsasl2-modules-gssapi-heimdal libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal libkrb5-25-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
ATTENZIONE Il comando precedente va scritto in un'unica riga |
Configurazione del servizio DNS
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: Un server DNS e DHCP su Debian. Quindi si introducano le seguenti modifiche nei file di configurazione di bind
:
/etc/bind/named.conf.options
auth-nxdomain no; # conform to RFC1035 listen-on-v6 { any; }; version "Version X";
/etc/bind/dominio.local
$ORIGIN dominio.local. dominio.local. IN A 10.0.0.11 ; server PDC server IN A 10.0.0.11 s-server IN CNAME server.dominio.local. ns1 IN CNAME server.dominio.local. kerberos IN CNAME server.dominio.local. ldap IN CNAME server.dominio.local. ; The Kerberos realm _kerberos IN TXT "dominio.local" _kerberos.it IN TXT "dominio.local" _kerberos.srv IN TXT "dominio.local" _kerberos._tcp IN SRV 10 1 88 server.dominio.local. _kerberos._udp IN SRV 10 1 88 server.dominio.local. _kerberos-adm._tcp IN SRV 10 1 749 server.dominio.local. _kerberos-master._udp IN SRV 0 0 88 server.dominio.local. _kpasswd._udp IN SRV 10 1 464 server.dominio.local. _ldap._tcp IN SRV 10 1 389 server.dominio.local. ; Information Search _ldap_dc IN TXT "dc=dominio,dc=local" _samba_pdc_domain IN TXT "DOMINIO" _samba_pdc_ip_address IN TXT "10.0.0.11"
Infine riavviamo bind
# /etc/init.d/bind9 restart
e testiamo la configurazione
# nslookup > server 10.0.0.11 Default server: 10.0.0.11 Address: 10.0.0.11#53 > set q=ns > dominio.local Server: 10.0.0.11 Address: 10.0.0.11#53 dominio.local nameserver = server.dominio.local. > exit
Installazione del server LDAP
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
Struttura dell'albero LDAP
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
DC=dominio,DC=local +-- OU=Groups (gruppi posix/samba) +-- OU=Computers (computer samba = utenti posix) +-- OU=Users (utenti posix/samba) +--OU=KerberosPrincipals (principal Kerberos)
Generazione dei certificati SSL
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
# mkdir -p /etc/ldap/ssl # cd /etc/ldap/ssl # mkdir certs # mkdir private # chmod 700 private # echo '01' > serial # touch index.txt
Poi modifichiamo il file /etc/ldap/ssl/CA.conf
:
[ ca ] default_ca = local_ca [ local_ca ] dir = /etc/ldap/ssl certificate = /etc/ldap/ssl/cacert.pem database = /etc/ldap/ssl/index.txt new_certs_dir = /etc/ldap/ssl/certs private_key = /etc/ldap/ssl/private/cakey.pem serial = /etc/ldap/ssl/serial default_crl_days = 3650 default_days = 3650 default_md = md5 default_bits = 1024 encrypt_key = yes policy = local_ca_policy x509_extensions = local_ca_extensions unique_subject = no [ local_ca_policy ] commonName = supplied stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName = supplied organizationalUnitName = supplied [ local_ca_extensions ] subjectAltName = DNS:nome_server.dominio.local basicConstraints = CA:false nsCertType = server [ req ] default_bits = 2048 default_keyfile = /etc/ldap/ssl/private/cakey.pem default_md = md5 prompt = no distinguished_name = dominio x509_extensions = x509_cert [ dominio ] countryName = IT stateOrProvinceName = Lodi localityName = Lodi emailAddress = admin@dominio.local organizationName = Dominio organizationalUnitName = Lab commonName = nome_server.dominio.local [ x509_cert ] nsCertType = server basicConstraints = CA:true
e il file /etc/ldap/ssl/LocalServer.conf
[ req ] prompt = no distinguished_name = dominio [ dominio ] countryName = IT stateOrProvinceName = Lodi localityName = Lodi emailAddress = admin@dominio.local organizationName = Dominio organizationalUnitName = Lab commonName = nome_server.dominio.local
Possiamo ora generare i nostri certificati:
# cd /etc/ldap/ssl/ # export OPENSSL_CONF=/etc/ldap/ssl/CA.conf # openssl req -x509 -newkey rsa:1024 -out cacert.pem -outform PEM -days 3650 -passout pass:PASSWORD_ROBUSTA # export OPENSSL_CONF=/etc/ldap/ssl/LocalServer.conf # openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM -passout pass:PASSWORD_ROBUSTA # openssl rsa < tempkey.pem > serverkey.pem -passin pass:PASSWORD_ROBUSTA # chmod 400 serverkey.pem # export OPENSSL_CONF=/etc/ldap/ssl/CA.conf # openssl ca -in tempreq.pem -out servercrt.pem -passin pass:PASSWORD_ROBUSTA
Installazione di OpenLDAP
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
# apt-get install slapd ldap-utils
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato è dominio.local
, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
# dpkg-reconfigure slapd
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
- Omettere la configurazione di OpenLDAP: no
- Nome del dominio: dominio.local
- Nome dell'organizzazione: DOMINIO
- Password di admin: password
- Conferma password: password
- Motore database da utilizzare: BDB
- Cancellare il database quando si effettua il purge di slapd: no
- Spostare il vecchio database: sì
- Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
# ldapsearch -x -b “dc=dominio,dc=local”
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Installazione di una interfaccia grafica per amministrare OpenLDAP
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su phpldapadmin, che sembra essere la più diffusa.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
Installazione dei prerequisiti
Installiamo per prima cosa alcuni moduli di PHP necessari:
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
ATTENZIONE Il comando precedente va scritto in un'unica riga |
Installazione di PHPLdapAdmin
Ora possiamo installare phpldapadmin:
# apt-get install phpldapadmin
Per verificare la corretta installazione del pacchetto, aprite il browser su:
https://10.0.0.11/phpldapadmin
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
# wget http://www.pepinet.com/download/samba/mkntpwd.tar.gz
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
# apt-get install build-essential # tar -zxf mkntpwd.tar.gz # cd mkntpwd # make # cp mkntpwd /usr/local/bin # mkntpwd
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
Installazione di Samba
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:
- Nome del Dominio/Workgroup: DOMINIO
- Utilizzare password cifrate: SI
- Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
# apt-get install smbldap-tools
Configurazione
Copiare i file smbldap.conf
e smbldap_bind.conf
in /etc/smbldap-tools
.
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf
inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=dominio,dc=local", in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.
Se non si è sicuri del DN da inserire lanciare il comando:
# slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
slaveDN="cn=admin,dc=dominio,dc=local" slavePw="password" masterDN="cn=admin,dc=dominio,dc=local" masterPw="password"
Il contenuto del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap_bind.conf
:
############################ # Credential Configuration # ############################ slaveDN="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" slavePw="password" masterDN="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" masterPw="password"
Eseguire ora il comando:
# net getlocalsid
e copiare o prendere nota del codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf
inserendo il SID appena ottenuto. Il contenuto completo del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap.conf
:
############################################################################## ## General Configuration # ############################################################################## # Put your own SID. To obtain this number do: "net getlocalsid". SID="S-1-5-21-125945932-740595490-3132273231" # Domain name the Samba server is in charged. sambaDomain="DOMINIO" realm="DOMINIO.LOCAL" ############################################################################## # # LDAP Configuration # ############################################################################## # Slave LDAP server slaveLDAP="127.0.0.1" # Slave LDAP port slavePort="389" # Master LDAP server: needed for write operations masterLDAP="127.0.0.1" # Master LDAP port masterPort="389" # Use TLS for LDAP # If set to 1, this option will use start_tls for connection ldapTLS="1" # How to verify the server's certificate (none, optional or require) verify="require" # CA certificate cafile="/etc/ldap/ssl/cacert.pem" # certificate to use to connect to the ldap server clientcert="/etc/ldap/ssl/servercrt.pem" # key certificate to use to connect to the ldap server clientkey="/etc/ldap/ssl/serverkey.pem" # LDAP Suffix suffix="dc=dominio,dc=local" # Where are stored Users usersdn="ou=Users,${suffix}" # Where are stored Computers computersdn="ou=Computers,${suffix}" # Where are stored Groups groupsdn="ou=Groups,${suffix}" # Where are stored Idmap entries (used if samba is a domain member server) idmapdn="ou=Idmap,${suffix}" # Where to store next uidNumber and gidNumber available for new users and groups sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" # Default scope Used scope="sub" # Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT) hash_encrypt="MD5" # if hash_encrypt is set to CRYPT, you may set a salt format. # default is "%s", but many systems will generate MD5 hashed # passwords if you use "$1$%.8s". This parameter is optional! crypt_salt_format="%s" ############################################################################## # # Unix Accounts Configuration # ############################################################################## # Login defs # Default Login Shell userLoginShell="/bin/false" # Home directory userHome="/dominio/homes/%U" # Default mode used for user homeDirectory userHomeDirectoryMode="700" # Gecos userGecos="System Computer" # Default User (POSIX and Samba) GID defaultUserGid="513" # Default Computer (Samba) GID defaultComputerGid="515" # Skel dir skeletonDir="/etc/skel" # Default password validation time (time in days) Comment the next line if # you don't want password to be enable for defaultMaxPasswordAge days (be # careful to the sambaPwdMustChange attribute's value) defaultMaxPasswordAge="180" ############################################################################## ## SAMBA Configuration # ############################################################################## # The UNC path to home drives location (%U username substitution) # Just set it to a null string if you want to use the smb.conf 'logon home' # directive and/or disable roaming profiles userSmbHome="\\SERVER\homes\%U" # The UNC path to profiles locations (%U username substitution) # Just set it to a null string if you want to use the smb.conf 'logon path' # directive and/or disable roaming profiles userProfile="\\SERVER\profiles\%U" # The default Home Drive Letter mapping # (will be automatically mapped at logon time if home directory exist) userHomeDrive="Z:" # The default user netlogon script name (%U username substitution) # if not used, will be automatically username.cmd # make sure script file is edited under dos userScript="logon.bat" # Domain appended to the users "mail"-attribute # when smbldap-useradd -M is used mailDomain="dominio.local" ############################################################################## # # SMBLDAP-TOOLS Configuration # ############################################################################## # Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but # prefer Crypt::SmbHash library with_smbpasswd="0" smbpasswd="/usr/bin/smbpasswd" # Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm) # but prefer Crypt:: libraries with_slappasswd="0" slappasswd="/usr/sbin/slappasswd"
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
userLoginShell="/bin/false"
È stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
userLoginShell="/bin/bash"
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
# chmod 0644 /etc/smbldap-tools/smbldap.conf # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Recuperiamo ora le versioni modificate di alcuni script smbldap:
# wget http://www.pepinet.com/download/samba/smbldap-useradd -P /tmp/ # wget http://www.pepinet.com/download/samba/smbldap-passwd -P /tmp/ # mv /tmp/smbldap-useradd /usr/sbin/ # mv /tmp/smbldap-passwd /usr/sbin/ # chmod +x /usr/sbin/smbldap-useradd # chmod +x /usr/sbin/smbldap-passwd
e sistemiamo directory e permessi:
# chmod 600 /etc/smbldap-tools/ -R # chmod 700 /usr/sbin/smbldap-*
Configurazione del server LDAP
Passiamo ora alla configurazione del server LDAP.
Innanzitutto effettuiamo un backup di LDAP:
slapcat > ~/slapd.ldif
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in /etc/ldap/schema
lo schema LDAP necessario per SAMBA.
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ # wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/ # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Quindi generate l'hash MD5 della password di root di LDAP:
slappasswd -h {MD5} -s password
e prendete nota del risultato.
Ora occorre modificare pesantemente il file di configurazione di slapd (/etc/ldap/slapd.conf
) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:
/etc/ldap/sldap.conf
:
####################################################################### # Global Directives: sizelimit 20 timelimit -1 threads 8 # Features to permit allow bind_v2 # Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/qmailuser.schema include /etc/ldap/schema/samba.schema include /etc/ldap/schema/hdb.schema ######################################################### # Configurazione di TLS e SSL ######################################################### TLSCertificateFile /etc/ldap/ssl/servercrt.pem TLSCertificateKeyFile /etc/ldap/ssl/serverkey.pem TLSCACertificateFile /etc/ldap/ssl/cacert.pem sasl-host server.dominio.local sasl-realm DOMINIO.LOCAL # Mapping of SASL authentication identities to LDAP entries authz-regexp uid=(.+),cn=(.+),cn=.+,cn=auth ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(cn=$1@$2)) authz-regexp uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local authz-regexp gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local authz-regexp uid=(.+),cn=.+,cn=auth ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(krb5PrincipalName=$1@DOMINIO.LOCAL)) sasl-secprops noanonymous security ssf=0 ##################################################### # Fine blocco TLS e SSL ##################################################### # Where the pid file is put. The init.d script # will not stop the server if you change this. pidfile /var/run/slapd/slapd.pid # List of arguments that were passed to the server argsfile /var/run/slapd/slapd.args # Read slapd.conf(5) for possible values loglevel none # Where the dynamically loaded modules are stored modulepath /usr/lib/ldap moduleload back_bdb moduleload unique moduleload auditlog # The maximum number of entries that is returned for a search operation #sizelimit 500 # The tool-threads parameter sets the actual amount of cpu's that is used # for indexing. tool-threads 1 ####################################################################### # Specific Backend Directives for bdb: # Backend specific directives apply to this backend until another # 'backend' directive occurs backend bdb ####################################################################### # Specific Backend Directives for 'other': # Backend specific directives apply to this backend until another # 'backend' directive occurs #backend <other> ####################################################################### # Specific Directives for database #1, of type bdb: # Database specific directives apply to this databasse until another # 'database' directive occurs database bdb # The base of your directory in database #1 suffix "dc=dominio,dc=local" # rootdn directive for specifying a superuser on the database. This is needed # for syncrepl. # rootdn "cn=admin,dc=dominio,dc=local" rootdn "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" rootpw {MD5}5S2YxFmBmhF3WTbY37t5KQ== # Where the database file are physically stored for database #1 directory "/var/lib/ldap" # The dbconfig settings are used to generate a DB_CONFIG file the first # time slapd starts. dbconfig set_cachesize 0 2097152 0 # Number of objects that can be locked at the same time. dbconfig set_lk_max_objects 1500 # Number of locks (both requested and granted) dbconfig set_lk_max_locks 1500 # Number of lockers dbconfig set_lk_max_lockers 1500 # Indexing options for database #1 index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq index cn pres,sub,eq index sn pres,sub,eq index uid pres,sub,eq index displayName pres,sub,eq index uidNumber eq index gidNumber eq index memberUID eq index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index mailHost eq index givenName pres,sub,eq index default sub index krb5PrincipalName,krb5PrincipalRealm eq,pres # Password Hash Definition password-hash {MD5} # Overlay Unique overlay unique unique_uri ldap:///dc=dominio,dc=local?uidNumber,uid,krb5PrincipalName?sub unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub # Overlay Auditlog overlay auditlog auditlog /var/log/ldapchanges.log # Save the time that the entry gets modified, for database #1 lastmod on # Checkpoint the BerkeleyDB database periodically in case of system # failure and to speed slapd shutdown. checkpoint 512 30 # Where to store the replica logs for database #1 # replogfile /var/lib/ldap/replog #################################################### # Configurazione permessi per i vari utenti # dell'albero LDAP #################################################### # Heimdal User mapping authz-regexp "gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth" dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" authz-regexp ^uid=([^,]+),cn=[^,]+,cn=auth$ uid=$1,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write # The userPassword by default can be changed # by the entry owning it if they are authenticated. # Others should not be able to see it, except the # admin entry below # These access lines apply to database #1 only access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory,krb5Key,krb5KeyVersionNumber by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write by anonymous auth by self write by * none # Everyone must be able to read password expiry attributes, # if you are not granting rootdn access to workstations. # Otherwise, the client system won't be able to know if # user's password has expired, and will prompt him/her to # change his/her password everytime he/she logs in. # The owner must also be able to write it when he/she # changes his/her own password. access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write by self write by * read # Ensure read access to the base for things like # supportedSASLMechanisms. Without this you may # have problems with SASL not knowing what # mechanisms are available and the like. # Note that this is covered by the 'access to *' # ACL below too but if you change that as people # are wont to do you'll still need this if you # want SASL (and possible other things) to work # happily. access to dn.base="" by * read # The admin dn has full write access, everyone else # can read everything. access to * by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write by * read # For Netscape Roaming support, each user gets a roaming # profile for which they have write access to #access to dn=".*,ou=Roaming,o=morsnet" # by dn="cn=admin,dc=dominio,dc=local" write # by dnattr=owner write ####################################################################### # Specific Directives for database #2, of type 'other' (can be bdb too): # Database specific directives apply to this databasse until another # 'database' directive occurs #database <other> # The base of your directory for database #2 #suffix "dc=debian,dc=org"
Configurazione dei client per LDAP
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file /etc/ldap/ldap.conf
aggiungendo le righe:
/etc/ldap/ldap.conf
HOST server.dominio.local BASE dc=dominio,dc=local URI ldaps://127.0.0.1/ PORT 636 TLS_CACERT /etc/ldap/ssl/cacert.pem TLS_REQCERT never TIMELIMIT 2
Primo avvio di slapd
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: /etc/default/slapd
SLAPD_CONF= SLAPD_PIDFILE= SLAPD_SENTINEL_FILE=/etc/ldap/noslapd SLAPD_OPTIONS="" SLAPD_USER="openldap" SLAPD_GROUP="openldap" SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///" export KRB5_KTNAME="/etc/ldap/ldap.keytab"
Stoppiamo il demone ldap e rimuoviamo il database del precedente albero:
# /etc/init.d/slapd stop # rm -f /var/lib/ldap/*
Andiamo quindi a creare le impostazioni per il database del nuovo albero: /var/lib/ldap/DB_CONFIG
set_cachesize 0 150000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_lk_max_objects 1500 set_lk_max_locks 1500 set_lk_max_lockers 1500 set_flags DB_LOG_AUTOREMOVE
Sistemiamo i permessi:
# chown openldap.openldap /var/lib/ldap -R # chown openldap.openldap /etc/ldap -R # find /var/lib/ldap -type d -exec chmod 700 {} \; # find /var/lib/ldap -type f -exec chmod 600 {} \; # find /etc/ldap -type d -exec chmod 700 {} \; # find /etc/ldap -type f -exec chmod 600 {} \; # touch /var/log/ldapchanges.log # chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2 # chmod 600 /var/log/ldapchanges.log /etc/sasldb2
e configuriamo logrotate: /etc/logrotate.d/ldapchanges
/var/log/ldapchanges.log { rotate 5 weekly compress }
Possiamo ora avviare slapd:
# /etc/init.d/slapd start
Creazione albero LDAP iniziale
Possiamo ora creare la struttura di base del nostro albero.
Creiamo il file /root/ldap_base.ldif
con questo contenuto:
dn: dc=dominio,dc=local dc: dominio objectClass: top objectClass: domain dn: ou=Users,dc=dominio,dc=local ou: Users objectClass: top objectClass: organizationalUnit dn: ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local ou: KerberosPrincipals objectClass: top objectClass: organizationalUnit dn: ou=Groups,dc=dominio,dc=local ou: Groups objectClass: top objectClass: organizationalUnit dn: ou=Computers,dc=dominio,dc=local ou: Computers objectClass: top objectClass: organizationalUnit dn: krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local objectClass: top objectClass: person objectClass: krb5Principal objectClass: krb5KDCEntry krb5PrincipalName: ldapmaster/admin@DOMINIO.LOCAL krb5KeyVersionNumber: 1 krb5MaxLife: 86400 krb5MaxRenew: 604800 krb5KDCFlags: 126 cn: ldapmaster/admin@dominio.local sn: ldapmaster/admin@dominio.local userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ==
Quindi importiamo il file ldif nel nostro albero:
# ldapadd -x -D krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local -w password_root_ldap -f /root/ldap_base.ldif
che dovrebbe dare come output:
adding new entry "dc=dominio,dc=local" adding new entry "ou=Users,dc=dominio,dc=local" adding new entry "ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" adding new entry "ou=Groups,dc=dominio,dc=local" adding new entry "ou=Computers,dc=dominio,dc=local" adding new entry "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
# slapcat # ldapsearch -x
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di slapd
può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard Debian con il comando:
# slapd -d 256
In tal modo viene avviato visualizzando varie informazioni di debug a video.
Configurazione di Kerberos
Rimozione dei servizi inutili
Iniziamo modificando il file /etc/inetd.conf
e rimuoviamo alcuni servizi kerberizzati attivati di default:
.... #ident stream tcp wait identd /usr/sbin/identd identd .... #krb_prop stream tcp nowait root /usr/sbin/tcpd /usr/sbin/hpropd #kshell stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/rshd -k #ftp stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/ftpd -a plain #telnet stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/telnetd -a none #pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/popper #kx stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/kxd
Riavviamo quindi inetd
:
# /etc/init.d/openbsd-inetd restart
Kerberos KDC
Configuriamo il Kerberos KDC modificando il file /etc/krb5.conf
[libdefaults] ticket_lifetime = 80000 renew_lifetime = 80000 default_realm = DOMINIO.LOCAL default_keytab_name = FILE:/etc/krb5.keytab default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5 default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5 default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5 default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5 kdc_timesync = 1 forwardable = true proxiable = true # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } [realms] DOMINIO.LOCAL = { kdc = server.dominio.local admin_server = server.dominio.local default_domain = dominio.local } [domain_realm] .dominio.local = DOMINIO.LOCAL dominio.local = DOMINIO.LOCAL [kdc] enable-kerberos4 = false kdc_warn_pwexpire = 7 database = { realm = DOMINIO.LOCAL dbname = ldap:ou=Users,dc=dominio,dc=local hdb-ldap-structural-object = inetOrgPerson mkey_file = /var/lib/heimdal-kdc/m-key acl_file = /etc/kadmind.acl log_file = /var/log/kdc-db.log } hdb-ldap-create-base = ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local [logging] kdc = FILE:/var/log/heimdal/kdc.log admin_server = FILE:/var/log/heimdal/admin.log default = FILE:/var/log/heimdal/default.log [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = true }
Modifichiamo quindi le ACL del KDC: /etc/kadmind.acl
ldapmaster/admin@DOMINIO.LOCAL add,delete,get host/*@DOMINIO.LOCAL * NO cpw *@DOMINIO.LOCAL kadmin/admin@DOMINIO.LOCAL all root/admin@DOMINIO.LOCAL all addmachine/admin@DOMINIO.LOCAL all Administrator/admin@DOMINIO.LOCAL all
Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
# mkdir -p /var/log/heimdal # rm -rf /etc/krb5.keytab # /etc/init.d/heimdal-kcm restart # /etc/init.d/heimdal-kdc restart
Inizializzazione reame Kerberos
Inizializziamo ora il reame kerberos:
# kstash --random-key # kadmin -l init --realm-max-ticket-life=unlimited --realm-max-renewable-life=unlimited DOMINIO.LOCAL
e creiamo le chiavi per il server e i suoi servizi (samba e ldap):
# kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= host/server.dominio.local # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= host/server # kadmin -l ext_keytab host/server.dominio.local # kadmin -l ext_keytab host/server # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= ldap/server.dominio.local # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= ldap/server # kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server.dominio.local # kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/server # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= cifs/server.dominio.local # kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= cifs/server # kadmin -l ext_keytab cifs/server.dominio.local # kadmin -l ext_keytab cifs/server
Sistemiamo ora i permessi per il keytab ldap:
# chown openldap.openldap /etc/ldap/ldap.keytab # chmod 400 /etc/ldap/ldap.keytab
e impostiamo la password per due principal kerberos:
# kadmin -l cpw --password=secret1 ldapmaster/admin # kadmin -l cpw --password=secret1 kadmin/admin
Infine riavviamo ancora il kdc
:
# /etc/init.d/heimdal-kcm restart # /etc/init.d/heimdal-kdc restart
Configurazione di SASL
Configuriamo SASL (si veda [Wikipedia] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file /etc/default/saslauthd
:
DESC="SASL Authentication Daemon" NAME="saslauthd" MECH_OPTIONS="" THREADS=5 START=yes MECHANISMS="ldap" OPTIONS="-m /var/run/saslauthd"
Poi il file /usr/lib/sasl2/slapd.conf
:
pwcheck_method: saslauthd
e il file /etc/saslauthd.conf
:
ldap_servers: ldap://127.0.0.1 ldap_port: 389 ldap_version: 3 ldap_referrals: no ldap_search_base: dc=dominio,dc=local
Sistemiamo i permessi e riavviamo il servizio:
# chown openldap.openldap /usr/lib/sasl2/slapd.conf # chmod 400 /usr/lib/sasl2/slapd.conf # /etc/init.d/saslauthd restart
Configurazione di Samba
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file /etc/smbldap-tools/smbldap.conf
, quindi è bene stare attenti a non commettere errori.
# mkdir /dominio # mkdir /dominio/homes # mkdir /dominio/profiles # mkdir /dominio/netlogon # mkdir /dominio/pubblica
La configurazione di Samba si riduce a modificare il file /etc/samba/smb.conf
. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original # touch /etc/samba/smb.conf # nano /etc/samba/smb.conf
/etc/samba/smb.conf
:
[global] ### Configurazione di base del server ### workgroup = DOMINIO netbios name = SERVER realm = DOMINIO.LOCAL server string = DOMINOP PDC Server - Samba %v case sensitive = No use kerberos keytab = yes use spnego = yes client NTLMv2 auth = yes username map = /etc/samba/usermap ### Imposto il server come controller di dominio ### os level = 255 preferred master = yes local master = yes domain master = yes domain logons = yes admin users = Administrator root addmachine @"Domain Admins" ### Opzioni di connessione e sicurezza. Configurazione Wins ### security = user guest ok = no map to guest = Bad User encrypt passwords = yes null passwords = no hosts allow = 127.0.0.1 10.0.0.0/255.0.0.0 wins support = yes idmap uid = 10000-90000 idmap gid = 10000-90000 idmap backend = ldap:ldaps://127.0.0.1 name resolve order = wins lmhosts host bcast dns proxy = yes time server = yes socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192 keepalive = 20 preserve case = yes short preserve case = yes bind interfaces only = yes interfaces = bond0, lo ### Configuro Winbind winbind uid = 10000-90000 winbind gid = 10000-90000 winbind enum users = yes winbind enum groups = yes winbind separator = + password server = server_name winbind use default domain = Yes encrypt passwords = yes ### Impedisco gli errori getpeername dei client XP smb ports = 139 ### Configurazione dei log ### log file = /var/log/samba/log.%m log level = 2 max log size = 50 debug level = 1 syslog = 0 utmp = Yes ### Impostazione charset corretto ### hide unreadable = yes hide dot files = yes unix charset = ISO8859-1 dos charset = UTF-8 display charset = UTF-8 restrict anonymous = 0 panic action = /usr/share/samba/panic-action %d ### Configurazione del supporto a LDAP ### passdb backend = ldapsam:ldaps://127.0.0.1 ldap admin dn = krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local ldap ssl = On ldapsam:trusted = yes ldap suffix = dc=dominio,dc=local ldap machine suffix = ou=Computers ldap user suffix = ou=Users ldap group suffix = ou=Groups ldap idmap suffix = ou=Idmap enable privileges = yes ldap delete dn = Yes #ldap ssl = no ### Permetto il cambio password da Windows ldap password sync = yes pam password change = Yes unix password sync = Yes #pam password change = no ### Profili mobili, directory home, script di logon ### logon home = \\%L\homes\%U\ logon drive = H: logon path = \\%L\profiles\%U logon script = %U.bat OR netlogon.bat ### Script LDAP per gestione utenti e gruppi ### passwd program = /usr/sbin/smbldap-passwd %u passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated* add user script = /usr/sbin/smbldap-useradd -m -a "%u" ldap delete dn = Yes delete user script = /usr/sbin/smbldap-userdel "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" ### Sistema di stampa ### load printers = yes printcap name = /etc/printcap printing = cups printcap name = cups ; Se desidero che solo il gruppo indicato possa amministrare le stampanti ; NOTA: il gruppo deve essere creato nella struttura LDAP ;printer admin = @sambaadmins ### Comando per loggare login e logoff (Legge amministratore di sistema) root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" ON root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" OFF ### Condivisioni ### ### Percorso degli script di logon [netlogon] comment = Network Logon Service path = /dominio/netlogon guest ok = no writable = yes browseable = no share modes = no admin users = @"Domain Admins" ### Percorso per i roaming profiles [profiles] comment = Profili degli utenti path = /dominio/profiles writeable = yes browseable = no guest ok = no hide files = /desktop.ini/ntuser.ini/NTUSER.*/ create mask = 0600 directory mask = 0700 csc policy = disable profile acls = Yes ### Condivisione stampanti [printers] comment = Stampanti browseable = no path = /var/spool/samba printable = yes public = no writable = no create mode = 0700 ### I client Windows si aspettano questa cartella come fonte per i drivers [print$] comment = Drivers delle stampanti path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no ### Home folders degli utenti [homes] path = /dominio/homes/%U comment = Home directory browseable = no writeable = yes valid users = %S read only = no guest ok = no inherit permissions = yes admin users = %u write list = %u read list = %u create mask = 0700 directory mask = 0700 ### Directory condivisa [pubblica] path = /dominio/pubblica read only = No create mask = 0660 directory mask = 2770 hide special files = yes hide files = /lost+found/ acl group control = yes inherit acls = yes map acl inherit = yes inherit permissions = yes map archive = no # Per condividere l'unità CD del server ;[cdrom] ; comment = Samba server CD ; writable = no ; locking = no ; path = /media/cdrom0 ; public = yes ; Per il mount - umount automatico del CD ; Perchè funzioni il file /etc/fstab deve contenere una ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0 ;preexec = /bin/mount /cdrom ; postexec = /bin/umount /cdrom
Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
# testparm
Modifichiamo anche il file /etc/samba/usermap
:
addmachine = DOMINIO.LOCAL\addmachine/admin root = DOMINIO.LOCAL\root/admin Administrator = DOMINIO.LOCAL\Administrator/admin
e scarichiamo lo script log_access_login.bash
che ci servirà per loggare gli accessi al dominio:
# wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba # chmod 700 /etc/samba/log_access_login.bash
Modifichiamo inoltre il file /etc/request-key.conf
aggiungendo:
create cifs.spnego * * /usr/sbin/cifs.upcall %k %d
sistemiamo ora le ultime directory necessarie:
# mkdir -p /var/log/samba/login-logoff # rm -rf /etc/samba/*tdb # rm -rf /var/lib/samba/*tdb # rm -rf /var/lib/samba/*dat # rm -f /var/log/samba/*
facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione:
# smbpasswd -w password
che restituirà questo output:
Setting stored password for "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" in secrets.tdb
Ora possiamo riavviare il servizio:
# /etc/init.d/samba restart
Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID:
# net getlocalsid DOMINIO
Quindi andiamo a modificare il file /etc/smbldap-tools/smbldap.conf
inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316" sambaDomain="DOMINIO" realm="dominio.local" slaveLDAP="127.0.0.1" slavePort="389" masterLDAP="127.0.0.1" masterPort="389"
Il resto del file va lasciato invariato.
Popolamento del database LDAP
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
1 - Utilizzo degli script forniti con smbldap-tools
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools
che abbiamo già installato:
# smbldap-populate -a root -k 0 -m 0 # smbldap-useradd -a -m -c "Admin" Administrator # smbldap-usermod -G "Domain Admins" Administrator
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:
# ldapsearch -x | less
e:
# ldapsearch -x uid=Administrator
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
# smbldap-passwd Administrator
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
2 - Utilizzo della GUI phpLDAPadmin
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.
Innanzitutto bisogna collegarci con un browser al nostro server:
https://10.0.0.11/phpldapadmin
Cliccate sul link di login e inserite le seguenti informazioni:
Login DN: cn=admin,dc=dominio,dc=local Password: password
Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce Create ner entry here".
Selezionate il template corretto (Samba3 Account se volete creare un nuovo utente e Samba3 Group Mapping se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
smbldap-passwd Administrator
Modifiche al database LDAP
È necessario ora effettuare alcune modifiche nella struttura creata. Iniziamo modificando il primo User ID libero: creiamo il file /root/ldap_nextuid.ldif
:
dn: sambaDomainName=ESEMPIO,dc=dominio,dc=local replace: uidNumber uidNumber: 2000 - replace: gidNumber gidNumber: 2000
Lanciamo poi:
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_nextuid.ldif
Poi introduciamo alcune modifiche per l'utente root inserito in LDAP: /root/ldap_rootuser.ldif
:
dn: uid=root,ou=Users,dc=dominio,dc=local changetype: modify add: objectClass objectClass: krb5Principal objectClass: krb5KDCEntry - add: krb5KeyVersionNumber krb5KeyVersionNumber: 1 - add: krb5PrincipalName krb5PrincipalName: root/admin@DOMINIO.LOCAL - add: krb5KDCFlags krb5KDCFlags: 126 - add: krb5MaxRenew krb5MaxRenew: 604800 - add: krb5MaxLife krb5MaxLife: 86400 - replace: homeDirectory homeDirectory: /root - replace: gidNumber gidNumber: 512
Lanciamo quindi:
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_rootuser.ldif
Infine introduciamo alcune modifiche per l'utente nobody inserito in LDAP: /root/ldap_nobodyuser.ldif
:
dn: uid=nobody,ou=Users,dc=dominio,dc=local changetype: modify replace: gidNumber gidNumber: 514
E lanciamo poi:
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_nobodyuser.ldif
Creiamo ora un utente per l'aggiunta di macchine al dominio samba/kerberos e diamogli una password:
# smbldap-useradd -a -m addmachine # smbldap-passwd addmachine
Modifichiamo anche per questo utente alcuni dati. Creiamo quindi il file /root/ldap_addmachineuser.ldif
:
dn: uid=addmachine,ou=Users,dc=dominio,dc=local replace: krb5PrincipalName krb5PrincipalName: addmachine/admin@DOMINIO.LOCAL
e lanciamo poi:
# ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" -w password -f /root/ldap_addmachineuser.ldif
Configurazione delle autenticazioni Unix
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti Unix di sistema.
Installazione del demone name service caching daemon (nscd)
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
# apt-get install nscd
La configurazione di default è più che sufficiente per i nostri scopi.
Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba:
# /etc/init.d/samba restart
Installazione di libnss-ldap
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
apt-get install libnss-ldap
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
# dpkg-reconfigure libnss-ldap
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
- Server LDAP: 127.0.0.1
- Distinguished Name (DN): dc=dominio,dc=local
- LDAP Version: 3
- È richiesto l'utente per il database LDAP: no
- Privilegi speciali LDAP per root: sí
- Configurazione leggibile e scrivibile solo dal propietario: sí
- Account LDAP per root cn=admin,dc=dominio,dc=local
- Password LDAP di root: password
A questo punto bisogna modificare il file /etc/nsswitch.conf
cambiando le tre linee
passwd: compat group: compat shadow: compat
con
passwd: files ldap group: files ldap shadow: files ldap hosts: files dns ldap
Il contenuto del file dovrebbe essere il seguente:
/etc/nsswitch.conf
# /etc/nsswitch.conf passwd: files ldap [notfound=continue] shadow: files ldap [notfound=continue] group: files ldap [notfound=continue] hosts: files dns wins networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Modificate inotre il file /etc/libnss-ldap.conf
, decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
host 127.0.0.1 base dc=dominio,dc=local ldap_version 3 scope one pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute gid pam_password crypt bind_policy soft pam_password md5 nss_base_passwd ou=Users,dc=dominio,dc=local?sub nss_base_passwd ou=Computers,dc=dominio,dc=local?sub nss_base_shadow ou=Users,dc=dominio,dc=local?sub nss_base_group ou=Groups,dc=dominio,dc=local?one
e il file /etc/ldap.conf
:
base dc=dominio,dc=local uri ldaps://127.0.0.1 rootbinddn krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local port 636 ldap_version 3 bind_policy soft bind_timelimit 2 timelimit 2 scope sub nss_reconnect_maxsleeptime 8 nss_reconnect_sleeptime 1 nss_initgroups_ignoreusers root nss_srv_domain dominio.local pam_password exop pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberUid nss_base_passwd ou=Users,dc=dominio,dc=local?one nss_base_shadow ou=Users,dc=dominio,dc=local?one nss_base_passwd ou=Computers,dc=dominio,dc=local?one nss_base_shadow ou=Computers,dc=dominio,dc=local?one nss_base_group ou=Groups,dc=dominio,dc=local?one ssl on
e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret
e rendiamolo leggibile solo a root:
# echo password_root_ldap > /etc/ldap.secret # chown root.root /etc/ldap.secret # chmod 600 /etc/ldap.secret
A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
... udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek ...
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
addgroup --system tss addgroup --system kvm addgroup --system rdma addgroup --system fuse addgroup --system scanner addgroup --system nvram adduser --system tss
Installazione di libpam-ldap
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
# apt-get install libpam-ldap # dpkg-reconfigure libpam-ldap
rispondendo in questo modo alle domande poste dall'installer:
- Server LDAP: 127.0.0.1
- Distinguished name (DN): dc=dominio,dc=local
- LDAP version: 3
- Make local root Database admin: sí
- Si richiede utente per database LDAP: no
- LDAP account for root cn=admin,dc=dominio,dc=local
- LDAP root password: password
- Local crypt to use when changing passwords: md5
Modificate come segue il file /etc/pam_ldap.conf
:
bind_policy soft nss_base_passwd dc=dominio,dc=local?sub nss_base_shadow dc=dominio,dc=local?sub nss_base_group ou=Groups,dc=dominio,dc=local?one
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:
/etc/pam.d/common-account
account sufficient pam_unix.so account sufficient pam_ldap.so account sufficient pam_krb5.so account required pam_deny.so
/etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure auth sufficient pam_ldap.so auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so
/etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure md5 password required pam_winbind.so password sufficient pam_ldap.so
/etc/pam.d/common-session
session optional pam_unix.so session optional pam_krb5.so session optional pam_mkhomedir.so skel=/etc/skel/ umask=077 session sufficient pam_ldap.so
Test di funzionamento
Riavviate il vostro server e controllate eventuali messaggi di errore al boot. Una volta ripartito, con i comandi:
getent passwd getent group
dovremmo vedere elencati anche gli utenti e i gruppi di dominio OpenLDAP. Il comando:
smbclient -L localhost -U Administrator
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
Assegnazione dei permessi agli utenti di dominio
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins" \SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege \SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" \SePrintOperatorPrivilege
dove DEBIAN è il nome Samba assegnato al server.
Aggiungere i primi utenti di dominio
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. Adesso siamo pronti per la creazione del primo utente con il comando:
# smbldap-useradd -a -m -c "Nome Utente" username
Dove -a
serve per creare anche i dati UNIX, -m
crea l'home directory e -c
specifica il nome completo.
Infine impostare la password dell'utente con:
# smbldap-passwd username
Per verificare il tutto usare il comando:
# smbldap-usershow username
Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio:
# smbldap-groupadd "NomeGruppo"
Aggiungiamo gli utenti ai gruppi desiderati:
# smbldap-usermod -G "NomeGruppo" nome.utente
Se vogliamo che un utente possa loggarsi correttamente anche in un desktop GNU/Linux dobbiamo "clonare" in LDAP anche le informazioni sui vari gruppi a cui l'utente dovrà appartenere per poter operare correttamente nel suo ambiente di lavoro (gruppi video, plugdev, disk, fuse, ...) e inserire l'utente in tali gruppi, sempre usando i tools smbldap.
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di creare a mano le homes directory:
# mkdir /home/users/nome.utente # cp /etc/skel/.* /home/users/nome.utente/ # chown -R nome.utente /home/users/nome.utente
Creazione di un semplice script da eseguire al login di Windows
È possibile creare uno script logon.bat
(come specificato nel file /etc/smbldap-tools/smbldap.conf
) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
# apt-get install tofrodos
creiamo lo script con l'editor che preferiamo
# vim /dominio/netlogon/logon.bat
syncronizziamo gli orologi del client Windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
net time %LOGONSERVER% /set /yes net use X: \\SERVER\Nome_Condivisione
infine
# unix2dos /dominio/netlogon/logon.bat
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente Linux.
Restart dei servizi
Riavviamo quindi come ultima cosa tutti i servizi:
# /etc/init.d/bind9 restart # /etc/init.d/slapd restart # /etc/init.d/samba restart # /etc/init.d/heimdal-kdc restart # /etc/init.d/heimdal-kcm restart # /etc/init.d/ntp restart # /etc/init.d/saslauthd restart # /etc/init.d/openbsd-inetd restart
Test di funzionamento del Single Sing-On
Autentichiamoci in kerberos:
# kinit ldapmaster/admin ldapmaster/admin@DOMINIO.LOCAL's Password:
e verifichiamo di aver ottenuto le credenziali:
# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: ldapmaster/admin@DOMINIO.LOCAL Issued Expires Principal Apr 16 14:15:03 Apr 17 12:28:23 krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL
Proviamo quindi a fare un accesso al server LDAP:
# ldapwhoami -Y GSSAPI SASL/GSSAPI authentication started SASL username: ldapmaster/admin@DOMINIO.LOCAL SASL SSF: 56 SASL installing layers dn:krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=kerberosprincipals,ou=users,dc=dominio,dc=local Result: Success (0)
e ri-verifichiamo le credenziali:
# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: ldapmaster/admin@DOMINIO.LOCAL Issued Expires Principal Apr 16 14:21:17 Apr 17 12:34:37 krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL Apr 16 14:21:25 Apr 17 12:34:37 ldap/server.dominio.local@DOMINIO.LOCAL
Proviamo quindi con Samba:
# kdestroy # kinit addmachine/admin # smbclient //server/netlogon -k OS=[Unix] Server=[Samba 3.0.24] smb: \> # klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: addmachine/admin@DOMINIO.LOCAL Issued Expires Principal Apr 16 14:18:19 Apr 17 12:31:39 krbtgt/DOMINIO.LOCAL@DOMINIO.LOCAL Apr 16 14:18:24 Apr 17 12:31:39 cifs/server.dominio.local@DOMINIO.LOCAL
Test e connessione al dominio
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
# smbclient -L localhost -U Administrator
Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server.
La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client:
- Windows 95/98/ME
- Verificare che sia installato il "Client per Reti Microsoft" fra le proprietà di rete
- Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
- Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
- Se si è configurata su
smb.conf
l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows. - Inserire il nome del proprio dominio e cliccare OK.
- Windows NT
- Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà
- Selezionare Dominio e inserire il nome del prorio dominio
- Selezionare Crea un Computer Account
- Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l'utente root deve essere aggiunto a smbpasswd.
- Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio.
- Windows 2000
- Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull'icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà).
- Windows XP
La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).
- Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione)
- Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) )
- Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
- Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
- Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
- A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
- Windows Vista
- Non ancora testato.
- Windows 7
- Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
HKLM\System\CCS\Services\LanmanWorkstation\Parameters DWORD DomainCompatibilityMode = 1 DWORD DNSNameResolutionRequired = 0
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
Unire un server Samba al dominio
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
- Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
- Usare il server di dominio per l'autenticazione
Il primo caso non verrà trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere.
Innanzitutto occorre configurare correttamente le ricerche DNS e installare i servizi necessari:
/etc/resolv.conf
search dominio.local nameserver 10.0.0.11
Per testare il corretto funzionamento del DNS potete provare il comando:
# host 10.0.0.11
che deve restituire:
> 11.0.0.10.in-addr.arpa domain name pointer > server.dominio.local.
Installiamo ora samba e winbind:
# apt-get install samba winbind
Winbind è un software che permette agli utenti di accedere alla macchina Linux (e a quei servizi che prevedono l'autenticazione PAM) usando le informazioni di account già presenti in un Domain Controller Windows. Più in dettaglio winbindd fornisce informazioni su utenti e gruppi NT a nsswitch, che è un servizio presente ormai in tutte le moderne librerie C e che permette di ottenere i dati relativi ad utenti, gruppi ed host da vari tipi di fonti diverse (NIS, DNS e adesso anche Winbind); il servizio di autenticazione viene invece garantito dalla presenza di un apposito modulo PAM.
Quindi stoppiamo i demoni appena installati:
# /etc/init.d/samba stop # /etc/init.d/winbind stop
e modifichiamo il file /etc/samba/smb.conf
con le seguenti direttive:
[global] # Impostazioni per il dominio security = domain workgroup = DOMINIO realm = DOMINIO.LOCAL server string = Server Samba netbios name = FILESERVER # os level deve essere inferiore a quello del PDC os level = 20 preferred master = False domain master = False # Impostazioni Wins e DNS wins server = 10.0.0.11 dns proxy = no name resolve order = wins hosts bcast # Impostazioni LDAP e utenti ldap suffix = dc=dominio,dc=local ldap machine suffix = ou=Computers ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap idmap suffix = ou=Idmap ldap admin dn=cn=admin,dc=dominio,dc=local idmap backend = ldap:"ldap://10.0.0.11" # Rimappo gli utenti remoti con uid e gid diversi winbind uid = 10000-90000 winbind gid = 10000-90000 winbind enum users = yes winbind enum groups = yes winbind separator = + password server = server winbind use default domain = Yes encrypt passwords = yes # Samba LOG syslog = 0 log level = 3 passdb:1 auth:1 winbind:1 panic action = /usr/share/samba/panic-action %d max log size = 1000 log file = /var/log/samba/log.%m ;template primary group = "Domain Users" # Files/Directories map acl inherit = yes case sensitive = no directory mask = 0770 [condivisione] comment = Dati Condivisi path = /dominio/dati read only = No create mask = 0660 directory mask = 2770 hide special files = yes hide files = /lost+found/ acl group control = yes inherit acls = yes map acl inherit = yes inherit permissions = yes map archive = no
Fare ripartire Samba con:
/etc/init.d/samba start
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.
Installare il pacchetto libnss-ldap e configurarlo in modo da puntare al server LDAP installato sul PDC (ldap://10.0.0.11
) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
# apt-get install libnss-ldap
Registriamo la password di root di OpenLDAP con il comando:
echo -n "password" > /etc/libnss-ldap.secret
Modificate i seguenti files:
/etc/nsswitch.conf
:
passwd: compat ldap winbind group: compat ldap winbind shadow: compat ldap
/etc/ldap/ldap.conf
:
BASE dc=domimio,dc=local URI ldap://10.0.0.11:389
/etc/libnss-ldap.conf
:
base dc=dominio,dc=local uri ldap://10.0.0.11/ ldap_version 3 # The ldap-admin account. The appropriate password is in /etc/libnss-ldap.secret. Keep the permissions right. rootbinddn cn=admin,dc=dominio,dc=local
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
# apt-get install libpam-ldap # dpkg-reconfigure libpam-ldap
rispondendo in questo modo alle domande poste dall'installer:
- Server LDAP: 127.0.0.1
- Distinguished name (DN): dc=dominio,dc=local
- LDAP version: 3
- Make local root Database admin: sí
- Si richiede utente per database LDAP: no
- LDAP account for root cn=admin,dc=dominio,dc=local
- LDAP root password: password
- Local crypt to use when changing passwords: md5
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:
/etc/pam.d/common-account
# #/etc/pam.d/common-account - authorization settings common to all services ## This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # #account required pam_unix.so account sufficient pam_ldap.so account required pam_unix.so try_first_pass
/etc/pam.d/common-auth
# # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # #auth required pam_unix.so nullok_secure auth sufficient pam_ldap.so auth required pam_unix.so nullok_secure use_first_pass
/etc/pam.d/common-password
# /etc/pam.d/common-password - password-related modules common to all services # #This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be #used to change user passwords. The default is pam_unix # The "nullok" option allows users to change an empty password, else # empty passwords are treated as locked accounts. # # (Add `md5' after the module name to enable MD5 passwords) # # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in # login.defs. Also the "min" and "max" options enforce the length of the # new password. #password required pam_unix.so nullok obscure min=4 max=8 md5 # Alternate strength checking for password. Note that this # requires the libpam-cracklib package to be installed. # You will need to comment out the password line above and # uncomment the next two in order to use this. # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') # # password required pam_cracklib.so retry=3 minlen=6 difok=3 # password required pam_unix.so use_authtok nullok md5 password sufficient pam_ldap.so password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
/etc/pam.d/common-session
session sufficient pam_ldap.so session required pam_unix.so
Non dimenticate di aggiungre gli utenti di sistema, per evitare l'errore udev visto in precedenza:
addgroup --system tss addgroup --system kvm addgroup --system rdma addgroup --system fuse addgroup --system scanner addgroup --system nvram adduser --system tss
Ora facciamo ripartire i demoni:
# /etc/init.d/samba restart # /etc/init.d/winbind restart
Per unire il server al dominio e creare l'utente relativo al pc è necessario dare il seguente comando:
net rpc join -D dominio.local -U Administrator%password
Per controllare che tutto sia andato a buon fine si può riavviare il PC e eseguire il comando:
getent passwd
che dovrebbe restituire sia le utenze locali sia quelle definite nel database LDAP. A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
Backup e restore del database LDAP
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare sempre un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
Offline Physical Backup
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
- Stopare il server LDAP:
/usr/sbin/rcldap stop
- Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
- Riavviare il server LDAP:
/usr/sbin/rcldap start
Offline Logical Backup
Questo tipo di backup, noto anche come database dump richiede sempre l'arresto del servizio LDAP:
/usr/sbin/rcldap stop
slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')
Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato/usr/sbin/rcldap start
Online Backup
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')
dove LDAPServer
è il nome del server e baseDN
è il distinguished name (DN) della struttura LDAP, nel nostro caso dc=dominio,dc=local
Database Restore
- Per ripristinare un offline backup:
/usr/sbin/rcldap stop
- copiare i files salvati in
/var/lib/ldap
(Se Offline Physical Backup) slapadd -l nome_del_backupfile
(Se Offline Logical Backup)/usr/sbin/rcldap start
- Per ripristinare un online backup:
ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile
dove adminDN
è nel nostro caso dn=admin,dc=dominio,dc=local
Replica del database LDAP su un altro server
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.
In tal caso suggerisco di seguire questa guida, nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
db4
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
# apt-get install db4.2-util
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
Interfacce web alternative per OpenLDAP
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
- LDAP-Account-Manager
apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash
Una volta installato, collegatevi col vostro browser all'indirizzo:
http://ip_vostro_server/
Prima di effettuare il login, cliccate sulla voce LAM configuration, scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
- la voce Tree Suffix con il DN del vostro dominio: dc=dominio,dc=local
- la voce List of valid users con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local
- la voce Password con la password di Administrator del dominio
Quindi cliccate su Edit Account Types e modificate le voci come segue:
- al posto di People sostituite Users
- al posto di group sostituite Groups
- al posto di machines sostituite Computers
- eliminate l'indicazione ou=domains nella voce Samba Domains
Date infine OK a questa schermata e OK alla successiva.
Come ultima cosa cliccate sulla voce LAM configuration, scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.
Ora siete pronti per effettuare il login in LDAP Account Manager.
- GOsa
To do
- Luma
Non è un'interfaccia web, ma un'applicazione scritta in python. È molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
apt-get install luma
Comandi utili e consigli finali
Creazione di utenti
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente # smbldap-passwd nome.utente
Per verificare il tutto usare il comando
# smbldap-usershow nome.utente
Creazione di un gruppo
# smbldap-groupadd "NomeGruppo"
Aggiunta di un utente a un gruppo
Per impostare il gruppo primario dell'utente:
# smbldap-usermod -g "NomeGruppo" nome.utente
Per aggiungere l'utente a ulteriori gruppi:
# smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente
Elencare i gruppi memorizzati in LDAP
# ldapsearch -x objectClass=posixGroup
Elencare gli utenti di un gruppo
# smbldap-groupshow "gruppo"
Backuppare una directory condivisa dal server usando le credenziali di un utente specifico
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
Elencare le risorse condivise di una macchina
smbclient -L nomeserver
Per fare delle modifiche nel DB in maniera semplice
slapcat -l /tmp/backup.ldif # stoppare il servizio /etc/init.d/slapd stop # una copia del vecchio db cp -r /var/lib/ldap /var/lib/ldap.old mkdir /var/lib/ldap Modificare il file backup.ldif e quindi reimportarlo slapadd -c -l /tmp/backup.ldif
Comandi utili LDAP
ldapsearch -b "dc=miodominio,dc=local" -x ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif # per importare un ldif ldapdelete -x -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups
con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
Per approfondimenti
Samba e OpenLDAP: creare un controller di dominio
Samba e OpenLDAP: creare un controller di dominio con Debian Etch
Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
Implementare un'architettura ridondante master/slave OpenLDAP
Samba: guida estesa
Samba: creare un cestino di rete per le condivisioni
ClamAV: scansione antivirus delle condivisioni Samba
Credits
- Samba PDC con LDAP e Kerberos di Stefano Sasso
- Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
Guida scritta da: Ferdybassi | Debianized 20% |
Estesa da: | |
Verificata da: | |
Verificare ed estendere la guida | Cos'è una guida Debianized |