Guide@Debianizzati.Org

Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni

Pagina Discussione

Samba e OpenLDAP: creare un controller di dominio con Debian Lenny (visualizza wikitesto)

Versione delle 12:13, 6 giu 2015

5 329 byte rimossi ,  6 giu 2015
m
nessun oggetto della modifica
mNessun oggetto della modifica
 
(66 versioni intermedie di 5 utenti non mostrate)
Riga 1: Riga 1:
{{stub}}
{{SAMBA
{{Versioni compatibili|Debian Lenny 5.0|}}
|precedente=Samba e OpenLDAP: creare un controller di dominio con Debian Etch
=Versioni compatibili=
|successivo=Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze}}{{Versioni compatibili|ONLY|Lenny}}
== Versioni compatibili ==
* Debian Lenny 5.0
* Debian Lenny 5.0
* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]
* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]
* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]


=Introduzione=
== Introduzione ==
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
==Kerberos==
A differenza dei precedenti How-To basati su Debian Sarge e Debian Etch, in questa guida vedremo inoltre come configurare il nostro server Debian Lenny affinchè funga anche da '''Key Distribution Center (KDC) Kerberos'''. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [[http://it.wikipedia.org/wiki/Protocollo_Kerberos Wikipedia]]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba.


=Sistema installato e prerequisiti=
== Sistema installato e prerequisiti ==
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  
La '''configurazione iniziale''' del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti. Si veda ad esempio [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]] per una guida in merito e non si prosegua se tutti i requisiti non sono soddisfatti.<br/>
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/>
Durante tutto il processo si presuppone di agire come utente root.
Durante tutto il processo si presuppone di agire come utente root.
<br/>
<br/>


==Parametri di rete utilizzati==
=== Parametri di rete utilizzati ===
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
* Nome del server: server
* Nome del server: server
Riga 31: Riga 30:
* Password admin di LDAP: password
* Password admin di LDAP: password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Questi parametri vanno ovviamente adattati alle vostre esigenze.
 
== Installazione del server LDAP ==
=Configurazione iniziale=
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
==Nome host==
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file <code>/etc/hosts</code> e <code>/etc/hostname</code>:
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
* '''<code>/etc/hosts</code>'''
<pre>
<pre>
10.0.0.11 server.dominio.local server
# apt-get install slapd ldap-utils
127.0.0.1 localhost.localdomain localhost
</pre>
</pre>
* '''<code>/etc/hostname</code>'''
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
<pre>
<pre>
server
# dpkg-reconfigure slapd
</pre>
</pre>
==Ora del server==
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato in questa guida: [[Impostare e modificare data e ora]]. Configurate il servizio seguendo il secondo metodo della guida, poi proseguite.
* Omettere la configurazione di OpenLDAP: no
==Installazione delle librerie Kerberos==
* Nome del dominio: dominio.local
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
* Nome dell'organizzazione: DOMINIO
* Password di admin: password
* Conferma password: password
* Motore database da utilizzare: BDB
* Cancellare il database quando si effettua il purge di slapd: no
* Spostare il vecchio database: sì
* Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
<pre>
<pre>
# apt-get install libsasl2-2 libsasl2-modules sasl2-bin libsasl2-modules-gssapi-heimdal
# ldapsearch -x -b “dc=dominio,dc=local”
libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs
heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal
libkrb5-22-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.


=Configurazione del servizio DNS=
== Installazione di una interfaccia grafica per amministrare OpenLDAP ==
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS seguendo questa guida: [[Un server DNS e DHCP su Debian Etch]]. Quindi si introducano le seguendi modifiche nei files di configurazione di <code>bind</code>:
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
* '''<code>/etc/bind/named.conf.options</code>'''
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
<pre>
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
        auth-nxdomain no;    # conform to RFC1035
=== Installazione dei prerequisiti ===
        listen-on-v6 { any; };
Installiamo per prima cosa alcuni moduli di PHP necessari:
 
        version "Version X";
</pre>
* '''<code>/etc/bind/dominio.local</code>'''
<pre>
<pre>
$ORIGIN dominio.local.
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap
dominio.local.            IN A              10.0.0.11
php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
 
; server PDC
server                  IN A              10.0.0.11
s-server                IN CNAME          server.dominio.local.
ns1                    IN CNAME          server.dominio.local.
kerberos                IN CNAME          server.dominio.local.
ldap                   IN CNAME          server.dominio.local.
 
; The Kerberos realm
_kerberos              IN TXT            "dominio.local"
_kerberos.it            IN TXT            "dominio.local"
_kerberos.srv          IN TXT            "dominio.local"
_kerberos._tcp          IN SRV 10 1 88    server.dominio.local.
_kerberos._udp          IN SRV 10 1 88    server.dominio.local.
_kerberos-adm._tcp      IN SRV 10 1 749  server.dominio.local.
_kerberos-master._udp  IN SRV 0  0 88    server.dominio.local.
_kpasswd._udp          IN SRV 10 1 464  server.dominio.local.
_ldap._tcp              IN SRV 10 1 389  server.dominio.local.
 
; Information Search
_ldap_dc                IN TXT            "dc=dominio,dc=local"
_samba_pdc_domain      IN TXT            "DOMINIO"
_samba_pdc_ip_address  IN TXT            "10.0.0.11"
</pre>
</pre>
Infine riavviamo bind
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
=== Installazione di PHPLdapAdmin ===
Ora possiamo installare phpldapadmin:
<pre>
<pre>
# /etc/init.d/bind9 restart
# apt-get install phpldapadmin
</pre>
</pre>
e testiamo la configurazione
Per verificare la corretta installazione del pacchetto, aprite il browser su:
<pre>
<pre>
# nslookup
https://10.0.0.11/phpldapadmin
> server 10.0.0.11
Default server: 10.0.0.11
Address: 10.0.0.11#53
> set q=ns
> dominio.local
Server:        10.0.0.11
Address:       10.0.0.11#53
 
dominio.local    nameserver = server.dominio.local.
> exit
</pre>
</pre>
 
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
=Installazione del server LDAP=
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
==Struttura dell'albero LDAP==
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
<pre>
<pre>
DC=dominio,DC=local
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
+-- OU=Groups (gruppi posix/samba)
+-- OU=Computers (computer samba = utenti posix)
+-- OU=Users (utenti posix/samba)
    +--OU=KerberosPrincipals (principal Kerberos)
</pre>
</pre>
==Generazione dei certificati SSL==
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
<pre>
<pre>
# mkdir -p /etc/ldap/ssl
# apt-get install build-essential
# cd /etc/ldap/ssl
# tar -zxf mkntpwd.tar.gz
# mkdir certs
# cd mkntpwd
# mkdir private
# make
# chmod 700 private
# cp mkntpwd /usr/local/bin
# echo '01' > serial
# mkntpwd
# touch index.txt
</pre>
Poi modifichiamo il file <code>/etc/ldap/ssl/CA.conf</code>:
<pre>
[ ca ]
default_ca  = local_ca
 
[ local_ca  ]
dir = /etc/ldap/ssl
certificate = /etc/ldap/ssl/cacert.pem
database = /etc/ldap/ssl/index.txt
new_certs_dir = /etc/ldap/ssl/certs
private_key = /etc/ldap/ssl/private/cakey.pem
serial = /etc/ldap/ssl/serial
default_crl_days = 3650
default_days = 3650
default_md = md5
default_bits = 1024
encrypt_key = yes
policy = local_ca_policy
x509_extensions = local_ca_extensions
unique_subject = no
 
[ local_ca_policy ]
commonName = supplied
stateOrProvinceName = supplied
countryName = supplied
emailAddress = supplied
organizationName = supplied
organizationalUnitName = supplied
 
[ local_ca_extensions ]
subjectAltName = DNS:nome_server.dominio.local
basicConstraints = CA:false
nsCertType = server
 
[ req ]
default_bits = 2048
default_keyfile = /etc/ldap/ssl/private/cakey.pem
default_md = md5
prompt = no
distinguished_name = dominio
x509_extensions = x509_cert
 
[ dominio ]
countryName = IT
stateOrProvinceName = Lodi
localityName = Lodi
emailAddress = admin@dominio.local
organizationName = Dominio
organizationalUnitName = Lab
commonName = nome_server.dominio.local
 
[ x509_cert ]
nsCertType = server
basicConstraints = CA:true
</pre>
</pre>
e il file <code>/etc/ldap/ssl/LocalServer.conf</code>
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
<pre>
[ req ]
prompt = no
distinguished_name = dominio


[ dominio ]
== Installazione di Samba ==
countryName = IT
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
stateOrProvinceName = Lodi
localityName = Lodi
emailAddress = admin@dominio.local
organizationName = Dominio
organizationalUnitName  = Lab
commonName = nome_server.dominio.local
</pre>
Possiamo ora generare i nostri certificati:
<pre>
<pre>
# cd /etc/ldap/ssl/
# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
# export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
# openssl req -x509 -newkey rsa:1024 -out cacert.pem -outform PEM -days 3650 -passout pass:PASSWORD_ROBUSTA
# export OPENSSL_CONF=/etc/ldap/ssl/LocalServer.conf
# openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM -passout pass:PASSWORD_ROBUSTA
# openssl rsa < tempkey.pem > serverkey.pem -passin pass:PASSWORD_ROBUSTA
# chmod 400 serverkey.pem
# export OPENSSL_CONF=/etc/ldap/ssl/CA.conf
# openssl ca -in tempreq.pem -out servercrt.pem -passin pass:PASSWORD_ROBUSTA
</pre>
</pre>


==Installazione di OpenLDAP==
La versione di Samba nei repository di Lenny (3.3.5) non supporta il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Lenny (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata:
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
<pre>
<pre>
# apt-get install slapd ldap-utils
# apt-get -t lenny-backports install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
</pre>
</pre>
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
*Nome del Dominio/Workgroup: DOMINIO
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
*Utilizzare password cifrate: SI
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
*Utilizzare DHCP per i nomi Netbios: NO
Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
<br/>
 
== Configurare i SMBLDAP TOOLS ==
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
=== Installazione ===
Installare il pacchetto smbldap-tools
<pre>
<pre>
# dpkg-reconfigure slapd
# apt-get install smbldap-tools
</pre>
</pre>
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
=== Configurazione ===
* Omettere la configurazione di OpenLDAP: no
Copiare i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>.
* Nome del dominio: dominio.local
* Nome dell'organizzazione: DOMINIO
* Password di admin: password
* Conferma password: password
* Motore database da utilizzare: BDB
* Cancellare il database quando si effettua il purge di slapd: no
* Spostare il vecchio database: sì
* Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
<pre>
<pre>
# ldapsearch -x -b “dc=dominio,dc=local”
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
</pre>
</pre>
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
 
Se non si è sicuri del DN da inserire lanciare il comando:
=Installazione di una interfaccia grafica per amministrare OpenLDAP=
<pre>
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
# slapcat
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
==Installazione dei prerequisiti==
Installiamo per prima cosa alcuni moduli di PHP necessari:
<pre>
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap
php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/>
 
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
==Installazione di PHPLdapAdmin==
Ora possiamo installare phpldapadmin:
<pre>
<pre>
# apt-get install phpldapadmin
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
</pre>
</pre>
Per verificare la corretta installazione del pacchetto, aprite il browser su:
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/smbldap-tools/smbldap_bind.conf''':
<pre>
<pre>
https://10.0.0.11/phpldapadmin
############################
</pre>
# Credential Configuration #
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
############################
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
# Notes: you can specify two differents configuration if you use a
<pre>
# master ldap for writing access and a slave ldap server for reading access
# wget http://www.pepinet.com/download/samba/mkntpwd.tar.gz
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
</pre>
</pre>
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
Eseguire ora il comando:
<pre>
<pre>
# apt-get install build-essential
# net getlocalsid
# tar -zxf mkntpwd.tar.gz
# cd mkntpwd
# make
# cp mkntpwd /usr/local/bin
# mkntpwd
</pre>
</pre>
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
e copiare o prendere nota del codice che viene restituito.
 
<br/>
=Installazione di Samba=
Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
<pre>
<pre>
# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
SID="S-1-5-21-2318037123-1631426476-2439636316"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
</pre>
</pre>
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
Verificare che il TLS sia disabilitato.
*Nome del Dominio/Workgroup: DOMINIO
*Utilizzare password cifrate: SI
*Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
<br/>
 
=Configurare i SMBLDAP TOOLS=
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
==Installazione==
Installare il pacchetto smbldap-tools
<pre>
<pre>
# apt-get install smbldap-tools
ldapTLS="0"
</pre>
</pre>
==Configurazione==
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
Copiare i file <tt>smbldap.conf</tt> e <tt>smbldap_bind.conf</tt> in <tt>/etc/smbldap-tools</tt>.
<pre>
<pre>
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
suffix="dc=dominio,dc=local"
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
</pre>
</pre>
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
Se non si è sicuri del DN da inserire lanciare il comando:
<pre>
<pre>
# slapcat
defaultMaxPasswordAge="180"
</pre>
</pre>
e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/>
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
<pre>
<pre>
slaveDN="cn=admin,dc=dominio,dc=local"
userSmbHome="\\SERVER\homes\%U"
slavePw="password"
userProfile="\\SERVER\profiles\%U"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
</pre>
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
'''/etc/smbldap-tools/smbldap_bind.conf''':
<pre>
<pre>
############################
userScript="logon.bat"
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"
</pre>
</pre>
Eseguire ora il comando:
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
<pre>
<pre>
# net getlocalsid
mailDomain="dominio.local"
</pre>
</pre>
e copiare o prendere nota del codice che viene restituito.
Il contenuto completo del file dovrebbe essere il seguente:<br/>
<br/>
'''/etc/smbldap-tools/smbldap.conf''':
Modificare il file <tt>/etc/smbldap-tools/smbldap.conf</tt> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
<pre>
<pre>
SID="S-1-5-21-2318037123-1631426476-2439636316"
#
slaveLDAP="127.0.0.1"
# Purpose :
slavePort="389"
# . be the configuration file for all smbldap-tools scripts
masterLDAP="127.0.0.1"
##############################################################################
masterPort="389"
##
</pre>
General Configuration
Verificare che il TLS sia disabilitato.
# ##############################################################################
<pre>
# Put your own SID. To obtain this number do: "net getlocalsid".
ldapTLS="0"
# If not defined, parameter is taking from "net getlocalsid" return
</pre>
SID="S-1-5-21-125945932-740595490-3132273231"
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
# Domain name the Samba server is in charged.
<pre>
# If not defined, parameter is taking from smb.conf configuration file
suffix="dc=dominio,dc=local"
sambaDomain="DOMINIO"
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
realm="DOMINIO.LOCAL"
</pre>
 
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
##############################################################################
<pre>
#
defaultMaxPasswordAge="180"
# LDAP Configuration
</pre>
#
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
##############################################################################
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
# Slave LDAP server
<pre>
# If not defined, parameter is set to "127.0.0.1"
userSmbHome="\\SERVER\homes\%U"
slaveLDAP="127.0.0.1"
userProfile="\\SERVER\profiles\%U"
# Slave LDAP port
</pre>
# If not defined, parameter is set to "389"
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
slavePort="389"
<pre>
# Master LDAP server: needed for write operations
userScript="logon.bat"
# If not defined, parameter is set to "127.0.0.1"
</pre>
masterLDAP="127.0.0.1"
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
# Master LDAP port
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
# If not defined, parameter is set to "389"
<pre>
masterPort="389"
mailDomain="dominio.local"
# Use TLS for LDAP
</pre>
# If set to 1, this option will use start_tls for connection
Il contenuto completo del file dovrebbe essere il seguente:<br/>
# (you should also used the port 389)
'''/etc/smbldap-tools/smbldap.conf''':
# If not defined, parameter is set to "1"
<pre>
ldapTLS="0"
#
# How to verify the server's certificate (none, optional or require)
# Purpose :
verify="require"
# . be the configuration file for all smbldap-tools scripts
# CA certificate
##############################################################################
cafile="/etc/smbldap-tools/ca.pem"
##
# certificate to use to connect to the ldap server
General Configuration
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
# ##############################################################################
# key certificate to use to connect to the ldap server
# Put your own SID. To obtain this number do: "net getlocalsid".
clientkey="/etc/smbldap-tools/smbldap-tools.key"
# If not defined, parameter is taking from "net getlocalsid" return
# LDAP Suffix
SID="S-1-5-21-125945932-740595490-3132273231"
suffix="dc=dominio,dc=local"
# Domain name the Samba server is in charged.
# Where are stored Users
# If not defined, parameter is taking from smb.conf configuration file
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
sambaDomain="DOMINIO"
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
##############################################################################
#
#
# LDAP Configuration
# Unix Accounts Configuration
#
#
##############################################################################
##############################################################################
# Slave LDAP server
# Login defs
# If not defined, parameter is set to "127.0.0.1"
# Default Login Shell
slaveLDAP="127.0.0.1"
userLoginShell="/bin/false"
# Slave LDAP port
# Home directory
# If not defined, parameter is set to "389"
userHome="/dominio/homes/%U"
slavePort="389"
# Default mode used for user homeDirectory
# Master LDAP server: needed for write operations
userHomeDirectoryMode="700"
# If not defined, parameter is set to "127.0.0.1"
# Gecos
masterLDAP="127.0.0.1"
userGecos="System Computer"
# Master LDAP port
# Default User (POSIX and Samba) GID
# If not defined, parameter is set to "389"
defaultUserGid="513"
masterPort="389"
# Default Computer (Samba) GID
# Use TLS for LDAP
defaultComputerGid="515"
# If set to 1, this option will use start_tls for connection
# Skel dir
# (you should also used the port 389)
skeletonDir="/etc/skel"
# If not defined, parameter is set to "1"
# Default password validation time (time in days) Comment the next line if
ldapTLS="0"
# you don't want password to be enable for defaultMaxPasswordAge days (be
# How to verify the server's certificate (none, optional or require)
# careful to the sambaPwdMustChange attribute's value)
verify="require"
defaultMaxPasswordAge="180"
# CA certificate
##############################################################################
cafile="/etc/smbldap-tools/ca.pem"
##
# certificate to use to connect to the ldap server
SAMBA Configuration
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
# ##############################################################################
# key certificate to use to connect to the ldap server
# The UNC path to home drives location (%U username substitution)
clientkey="/etc/smbldap-tools/smbldap-tools.key"
# Just set it to a null string if you want to use the smb.conf 'logon home'
# LDAP Suffix
# directive and/or disable roaming profiles
suffix="dc=dominio,dc=local"
userSmbHome="\\SERVER\homes\%U"
# Where are stored Users
# The UNC path to profiles locations (%U username substitution)
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
# Just set it to a null string if you want to use the smb.conf 'logon path'
usersdn="ou=Users,${suffix}"
# directive and/or disable roaming profiles
# Where are stored Computers
userProfile="\\SERVER\profiles\%U"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
# The default Home Drive Letter mapping
computersdn="ou=Computers,${suffix}"
# (will be automatically mapped at logon time if home directory exist)
# Where are stored Groups
userHomeDrive="Z:"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
# The default user netlogon script name (%U username substitution)
groupsdn="ou=Groups,${suffix}"
# if not used, will be automatically username.cmd
# Where are stored Idmap entries (used if samba is a domain member server)
# make sure script file is edited under dos
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
userScript="logon.bat"
#idmapdn="ou=Idmap,${suffix}"
# Domain appended to the users "mail"-attribute
# Where to store next uidNumber and gidNumber available for new users and groups
# when smbldap-useradd -M is used
# If not defined, entries are stored in sambaDomainName object.
mailDomain="dominio.local"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
##############################################################################
#
#
# Unix Accounts Configuration
# SMBLDAP-TOOLS Configuration
#
#
##############################################################################
##############################################################################
# Login defs
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# Default Login Shell
# prefer Crypt::SmbHash library
userLoginShell="/bin/false"
with_smbpasswd="0"
# Home directory
smbpasswd="/usr/bin/smbpasswd"
userHome="/dominio/homes/%U"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# Default mode used for user homeDirectory
# but prefer Crypt:: libraries
userHomeDirectoryMode="700"
with_slappasswd="0"
# Gecos
slappasswd="/usr/sbin/slappasswd"
userGecos="System Computer"
</pre>
# Default User (POSIX and Samba) GID
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
defaultUserGid="513"
<pre>
# Default Computer (Samba) GID
userLoginShell="/bin/false"
defaultComputerGid="515"
</pre>
# Skel dir
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
skeletonDir="/etc/skel"
<pre>
# Default password validation time (time in days) Comment the next line if
userLoginShell="/bin/bash"
# you don't want password to be enable for defaultMaxPasswordAge days (be
</pre>
# careful to the sambaPwdMustChange attribute's value)
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
defaultMaxPasswordAge="180"
<pre>
##############################################################################
# chmod 0644 /etc/smbldap-tools/smbldap.conf
##
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
SAMBA Configuration
</pre><br/>
# ##############################################################################
 
# The UNC path to home drives location (%U username substitution)
== Configurazione del server LDAP ==
# Just set it to a null string if you want to use the smb.conf 'logon home'
Passiamo ora alla configurazione del server LDAP.<br/>
# directive and/or disable roaming profiles
 
userSmbHome="\\SERVER\homes\%U"
Innanzitutto effettuiamo un backup di LDAP:
# The UNC path to profiles locations (%U username substitution)
<pre>
# Just set it to a null string if you want to use the smb.conf 'logon path'
# slapcat > ~/slapd.ldif
# directive and/or disable roaming profiles
</pre>
userProfile="\\SERVER\profiles\%U"
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
# The default Home Drive Letter mapping
<pre>
# (will be automatically mapped at logon time if home directory exist)
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
userHomeDrive="Z:"
# wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/
# The default user netlogon script name (%U username substitution)
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="dominio.local"
##############################################################################
#
# SMBLDAP-TOOLS Configuration
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
</pre>
</pre>
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
Quindi generate l'hash MD5 della password di root di LDAP:
<pre>
<pre>
userLoginShell="/bin/false"
# slappasswd -h {MD5}
</pre>
</pre>
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
e prendete nota del risultato.<br/>
Ora occorre modificare il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo nella sezione <code>Schema and objectClass definitions</code> lo schema per samba:
<pre>
<pre>
userLoginShell="/bin/bash"
include /etc/ldap/schema/samba.schema
</pre>
</pre>
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
Nella sezione <code>Indexing options</code> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
<pre>
<pre>
# chmod 0644 /etc/smbldap-tools/smbldap.conf
index objectClass eq,pres
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
index uid,uidNumber,gidNumber,memberUid eq,pres
</pre><br/>
index ou,cn,mail,surname,givenname eq,pres,sub
 
index loginShell                        eq,pres
=Configurazione del server LDAP=
index displayName                      pres,sub,eq
Passiamo ora alla configurazione del server LDAP.<br/>
index nisMapName,nisMapEntry            eq,pres,sub
 
index sambaSID eq
Innanzitutto effettuiamo un backup di LDAP:
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index sambaGroupType eq
index sambaSIDList eq
index uniqueMember eq
index default                          sub
</pre>
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
<pre>
<pre>
slapcat > ~/slapd.ldif
access to attribute=userPassword
</pre>
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
con:
<pre>
<pre>
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
# wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
</pre>
</pre>
Quindi generate l'hash MD5 della password di root di LDAP:
Infine aggiungere le informazioni per l'autenticazione:
<pre>
<pre>
slappasswd -h {MD5}
rootdn          "cn=admin,dc=dominio,dc=local"
rootpw          {MD5}Qhz9FD5FDD9YFKBJVAngcw==
</pre>
</pre>
e prendete nota del risultato.<br/>
Il contenuto del file dovrebbe essere il seguente:<br/>
Ora occorre modificare pesantemente il file di configurazione di slapd (<tt>/etc/ldap/slapd.conf</tt>) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/ldap/sldap.conf''':
'''/etc/ldap/sldap.conf''':
<pre>
<pre>
#######################################################################
#######################################################################
# Global Directives:
# Global Directives:
sizelimit 20
#sizelimit 20
timelimit -1
timelimit -1
threads 8
threads 8
Riga 563: Riga 416:
include        /etc/ldap/schema/qmailuser.schema
include        /etc/ldap/schema/qmailuser.schema
include        /etc/ldap/schema/samba.schema
include        /etc/ldap/schema/samba.schema
include        /etc/ldap/schema/hdb.schema
#include        /etc/ldap/schema/hdb.schema
 
#########################################################
# Configurazione di TLS e SSL
#########################################################
 
TLSCertificateFile      /etc/ldap/ssl/servercrt.pem
TLSCertificateKeyFile  /etc/ldap/ssl/serverkey.pem
TLSCACertificateFile    /etc/ldap/ssl/cacert.pem
 
sasl-host server.dominio.local
sasl-realm DOMINIO.LOCAL
 
# Mapping of SASL authentication identities to LDAP entries
authz-regexp
  uid=(.+),cn=(.+),cn=.+,cn=auth
  ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(cn=$1@$2))
 
authz-regexp
  uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth
  krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
 
authz-regexp
  gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth
  krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
 
authz-regexp
  uid=(.+),cn=.+,cn=auth
  ldap:///dc=dominio,dc=local??sub?(|(uid=$1)(krb5PrincipalName=$1@DOMINIO.LOCAL))
 
sasl-secprops  noanonymous
security ssf=0
 
#####################################################
# Fine blocco TLS e SSL
#####################################################


# Where the pid file is put. The init.d script
# Where the pid file is put. The init.d script
Riga 613: Riga 431:
modulepath      /usr/lib/ldap
modulepath      /usr/lib/ldap
moduleload      back_bdb
moduleload      back_bdb
moduleload      unique
moduleload      auditlog


# The maximum number of entries that is returned for a search operation
# The maximum number of entries that is returned for a search operation
#sizelimit 500
sizelimit 500


# The tool-threads parameter sets the actual amount of cpu's that is used
# The tool-threads parameter sets the actual amount of cpu's that is used
Riga 646: Riga 462:
# rootdn directive for specifying a superuser on the database. This is needed
# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
# for syncrepl.
# rootdn          "cn=admin,dc=dominio,dc=local"
rootdn          "cn=admin,dc=dominio,dc=local"
rootdn          "krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
rootpw          {MD5}8Fy5aWO9Ks1d5nFGx3aQ3D==
rootpw          {MD5}5S2YxFmBmhF3WTbY37t5KQ==


# Where the database file are physically stored for database #1
# Where the database file are physically stored for database #1
Riga 664: Riga 479:


# Indexing options for database #1
# Indexing options for database #1
#index          objectClass eq
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index cn                    pres,sub,eq
index cn                    pres,sub,eq
Riga 678: Riga 494:
index givenName            pres,sub,eq
index givenName            pres,sub,eq
index default              sub
index default              sub
index krb5PrincipalName,krb5PrincipalRealm      eq,pres


# Password Hash Definition
# Password Hash Definition
Riga 684: Riga 499:


# Overlay Unique
# Overlay Unique
overlay unique
#overlay unique
unique_uri ldap:///dc=dominio,dc=local?uidNumber,uid,krb5PrincipalName?sub
#unique_uri ldap:///ou=Users,dc=dominio,dc=local?uidNumber,cn?sub
unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub
#unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub
 
# Overlay Auditlog
overlay auditlog
auditlog /var/log/ldapchanges.log


# Save the time that the entry gets modified, for database #1
# Save the time that the entry gets modified, for database #1
Riga 698: Riga 509:
# failure and to speed slapd shutdown.
# failure and to speed slapd shutdown.
checkpoint      512 30
checkpoint      512 30
# Where to store the replica logs for database #1
# Where to store the replica logs for database #1
# replogfile    /var/lib/ldap/replog
# replogfile    /var/lib/ldap/replog




####################################################
##########################################################
# Configurazione permessi per i vari utenti
# Configurazione dei permessi per i vari utenti
# dell'albero LDAP
# del'albero LDAP
####################################################
############################################################
 
# Heimdal User mapping
authz-regexp "gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth"
        dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local"
authz-regexp ^uid=([^,]+),cn=[^,]+,cn=auth$ uid=$1,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write


# The userPassword by default can be changed
# The userPassword by default can be changed
Riga 718: Riga 523:
# admin entry below
# admin entry below
# These access lines apply to database #1 only
# These access lines apply to database #1 only
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory,krb5Key,krb5KeyVersionNumber
#access to attrs=userPassword,shadowLastChange
         by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory
         by dn="cn=admin,dc=dominio,dc=local" write
         by anonymous auth
         by anonymous auth
         by self write
         by self write
Riga 732: Riga 538:
# changes his/her own password.
# changes his/her own password.
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
         by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
         by dn="cn=admin,dc=dominio,dc=local" write
         by self write
         by self write
         by * read
         by * read
Riga 750: Riga 556:
# can read everything.
# can read everything.
access to *
access to *
         by dn="krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local" write
         by dn="cn=admin,dc=dominio,dc=local" write
         by * read
         by * read


Riga 767: Riga 573:
# The base of your directory for database #2
# The base of your directory for database #2
#suffix        "dc=debian,dc=org"
#suffix        "dc=debian,dc=org"
</pre>
</pre>
Possiamo far ripartire <tt>slapd</tt> affinché tutte le modifiche apportate siano prese in considerazione.
Possiamo far ripartire <code>slapd</code> affinché tutte le modifiche apportate siano prese in considerazione.
<pre>
<pre>
# /etc/init.d/slapd stop
# /etc/init.d/slapd stop
Riga 783: Riga 588:
# ldapsearch -x
# ldapsearch -x
</pre>
</pre>
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <tt>slapd</tt> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
<pre>
<pre>
# slapd -d 256
# slapd -d 256
Riga 790: Riga 595:
<br/>
<br/>


=Configurazione dei client per LDAP=
== Configurazione dei client per LDAP ==
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <tt>/etc/ldap/ldap.conf</tt> aggiungendo le righe:
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file <code>/etc/ldap/ldap.conf</code> aggiungendo le righe:
* '''<tt>/etc/ldap/ldap.conf</tt>'''
<pre>
<pre>
HOST server.dominio.local
BASE dc=dominio,dc=local
BASE dc=dominio,dc=local
URI ldaps://127.0.0.1/
URI ldap://127.0.0.1/
PORT 636
TLS_CACERT /etc/ldap/ssl/cacert.pem
TLS_REQCERT never
TIMELIMIT 2
</pre>
</pre>
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
Riga 809: Riga 608:
<br/>
<br/>


=Configurazione di Samba=
== Configurazione di Samba ==
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <tt>/etc/smbldap-tools/smbldap.conf</tt>, quindi è bene stare attenti a non commettere errori.<br/>
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/>
<pre>
<pre>
# mkdir /dominio
# mkdir /dominio
Riga 818: Riga 617:
# mkdir /dominio/pubblica
# mkdir /dominio/pubblica
</pre>
</pre>
La configurazione di Samba si riduce a modificare il file <tt>/etc/samba/smb.conf</tt>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
<pre>
<pre>
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
Riga 831: Riga 630:
       netbios name = SERVER
       netbios name = SERVER
       realm = dominio.local
       realm = dominio.local
       server string = DOMINOP PDC Server - Samba %v
       server string = server - dominio PDC server - Samba %v
       case sensitive = No
       case sensitive = No
        
       username map = /etc/samba/usermap
 
   ### Imposto il server come controller di dominio ###
   ### Imposto il server come controller di dominio ###
       os level = 65
       os level = 255
       preferred master = yes
       preferred master = yes
       local master = yes
       local master = yes
       domain master = yes
       domain master = yes
       domain logons = yes
       domain logons = yes
      admin users = Administrator root @"Domain Admins"


   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
Riga 847: Riga 648:
       encrypt passwords = yes
       encrypt passwords = yes
       null passwords = no
       null passwords = no
       hosts allow = 127.0.0.1 10.0.0.0/255.0.0.0
       hosts allow = 127.0.0.1 10.0.0.0/255.255.255.0
       wins support = yes
       wins support = yes
       idmap uid = 10000-90000
       idmap uid = 10000-90000
Riga 856: Riga 657:
       time server = yes
       time server = yes
       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
      keepalive = 20
      preserve case = yes
      short preserve case = yes


   ### Configuro Winbind
   ### Configuro Winbind
Riga 863: Riga 667:
       winbind enum groups = yes
       winbind enum groups = yes
       winbind separator = +
       winbind separator = +
       password server = server_name
       password server = 10.0.0.11
       winbind use default domain = Yes
       winbind use default domain = Yes
       encrypt passwords = yes
       encrypt passwords = yes
Riga 874: Riga 678:
       log level = 2
       log level = 2
       max log size = 50
       max log size = 50
     
 
   ### Impostazione charset corretto ###
   ### Impostazione charset corretto ###
      hide unreadable = yes
        hide unreadable = yes
       hide dot files = yes
       hide dot files = yes
       unix charset = ISO8859-1
       unix charset = ISO8859-1
Riga 894: Riga 698:
       enable privileges = yes
       enable privileges = yes
       ldap delete dn = Yes
       ldap delete dn = Yes
      ldap ssl = no
        ldap ssl = no


   ### Permetto il cambio password da Windows
   ### Permetto il cambio password da Windows
  ### Nota: con questa configurazione gli utenti non potranno
  ### effettuare il login sulla shell del server, ma solo
  ### dai client XP
       ldap password sync = yes
       ldap password sync = yes
       pam password change = Yes
       pam password change = Yes
       unix password sync = Yes
       unix password sync = No


   ### Profili mobili, directory home, script di logon ###
   ### Profili mobili, directory home, script di logon ###
Riga 905: Riga 712:
       logon drive = H:
       logon drive = H:
       logon path = \\%L\profiles\%U
       logon path = \\%L\profiles\%U
       logon script = %U.bat OR netlogon.bat
       logon script = logon.bat


   ### Script LDAP per gestione utenti e gruppi ###
   ### Script LDAP per gestione utenti e gruppi ###
       passwd program = /usr/sbin/smbldap-passwd %u
       passwd program = /usr/sbin/smbldap-passwd %u
       passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*token*updated*
       passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authen$
       add user script = /usr/sbin/smbldap-useradd -m "%u"
       add user script = /usr/sbin/smbldap-useradd -m "%u"
       ldap delete dn = Yes
       ldap delete dn = Yes
Riga 919: Riga 726:
       delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
       delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
       set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
       set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
  ### Comando per loggare login e logoff (Legge amministratore di sistema)
      root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u"$
      root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u$


   ### Sistema di stampa ###
   ### Sistema di stampa ###
Riga 931: Riga 742:


   ### Condivisioni ###
   ### Condivisioni ###
 
 
### Percorso degli script di logon
### Percorso degli script di logon
[netlogon]
[netlogon]
Riga 937: Riga 748:
       path = /dominio/netlogon
       path = /dominio/netlogon
       guest ok = no
       guest ok = no
       writable = no
       writable = yes
       browseable = no
       browseable = no
       share modes = no
       share modes = no
      admin users = @"Domain Admins"


### Percorso per i roaming profiles
### Percorso per i roaming profiles
Riga 982: Riga 794:
       guest ok = no
       guest ok = no
       inherit permissions = yes
       inherit permissions = yes
      admin users = %u
      write list = %u
      read list = %u
      create mask = 0700
      directory mask = 0700


### Directory condivisa
### Directory Pubblica
[pubblica]
[pubblica]
       path = /dominio/pubblica
       path = /dominio/pubblica
      comment = Directory Pubblica
       read only = No
       read only = No
       create mask = 0660
       create mask = 0660
Riga 995: Riga 813:
       map acl inherit = yes
       map acl inherit = yes
       inherit permissions = yes
       inherit permissions = yes
       map archive = no  
       map archive = no


# Per condividere l'unità CD del server
# Per condividere l'unità CD del server
Riga 1 015: Riga 833:
# testparm
# testparm
</pre>
</pre>
Ora possiamo cambiare la password di amministratore e riavviare il servizio:
Modifichiamo anche il file <code>/etc/samba/usermap</code>:
<pre>
root = DOMINIO.LOCAL\root/admin
Administrator = DOMINIO.LOCAL\Administrator/admin
</pre>
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
<pre>
# wget http://www.pepinet.com/download/samba/log_access_login.bash -P /etc/samba
# chmod 700 /etc/samba/log_access_login.bash
</pre>
Sistemiamo ora le ultime directory necessarie:
<pre>
# mkdir -p /var/log/samba/login-logoff
# rm -rf /etc/samba/*tdb
# rm -rf /var/lib/samba/*tdb
# rm -rf /var/lib/samba/*dat
# rm -f /var/log/samba/*
</pre>
facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione:
<pre>
<pre>
# smbpasswd -w password
# smbpasswd -w password
</pre>
e riavviamo il servizio:
<pre>
# /etc/init.d/samba restart
# /etc/init.d/samba restart
</pre>
</pre>
Riga 1 036: Riga 875:
Il resto del file va lasciato invariato.
Il resto del file va lasciato invariato.


=Popolamento del database LDAP=
== Popolamento del database LDAP ==
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
Riga 1 065: Riga 904:
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
==1 - Utilizzo degli script forniti con smbldap-tools==
=== 1 - Utilizzo degli script forniti con smbldap-tools ===
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato:
<pre>
<pre>
# smbldap-populate -k 0
# smbldap-populate -a root -k 0
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -G "Domain Admins" Administrator
# smbldap-usermod -u 0 Administrator
# smbldap-populate -a Administrator -k 0
</pre>
</pre>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>
Riga 1 090: Riga 927:
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.


==2 - Utilizzo della GUI phpLDAPadmin==
=== 2 - Utilizzo della GUI phpLDAPadmin ===
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
Innanzitutto bisogna collegarci con un browser al nostro server:
Innanzitutto bisogna collegarci con un browser al nostro server:
Riga 1 111: Riga 948:
</pre>
</pre>


=Configurazione delle autenticazioni Unix=
== Configurazione delle autenticazioni Unix ==
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
==Installazione del demone name service caching daemon (nscd)==
=== Installazione del demone name service caching daemon (nscd) ===
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
<pre>
<pre>
Riga 1 124: Riga 961:
</pre>
</pre>


==Installazione di libnss-ldap==
=== Installazione di libnss-ldap ===
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
<pre>
<pre>
apt-get install libnss-ldap
# apt-get install libnss-ldap
</pre>
</pre>
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
Riga 1 142: Riga 979:
* Account LDAP per root cn=admin,dc=dominio,dc=local
* Account LDAP per root cn=admin,dc=dominio,dc=local
* Password LDAP di root: password
* Password LDAP di root: password
A questo punto bisogna modificare il file <tt>/etc/nsswitch.conf</tt> cambiando le tre linee
A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> cambiando le tre linee
<pre>
<pre>
passwd: compat
passwd: compat
Riga 1 159: Riga 996:
<pre>
<pre>
# /etc/nsswitch.conf
# /etc/nsswitch.conf
 
##
passwd:   files ldap [notfound=continue]
Example configuration of GNU Name Service Switch functionality.
shadow:   files ldap [notfound=continue]
# If you have the `glibc-doc-reference' and `info' packages installed, try:
group:     files ldap [notfound=continue]
# `info libc "Name Service Switch"' for information about this file.
 
passwd: files ldap
hosts:         files dns wins
group: files ldap
networks:       files
shadow: files ldap
 
hosts: files dns ldap
protocols:     db files
hosts: files dns
services:       db files
networks: files
ethers:         db files
protocols: db files
rpc:           db files
services: db files
 
ethers: db files
netgroup:       nis
rpc: db files
netgroup: nis
</pre>
</pre>
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
Riga 1 183: Riga 1 021:
pam_login_attribute uid
pam_login_attribute uid
pam_member_attribute gid
pam_member_attribute gid
pam_password crypt
bind_policy soft
bind_policy soft
pam_password md5
pam_password md5
Riga 1 190: Riga 1 027:
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one
nss_base_group ou=Groups,dc=dominio,dc=local?one
</pre>
e il file '''<code>/etc/ldap.conf</code>''':
<pre>
base dc=dominio,dc=local
uri ldaps://127.0.0.1
rootbinddn krb5PrincipalName=ldapmaster/admin@DOMINIO.LOCAL,ou=KerberosPrincipals,ou=Users,dc=dominio,dc=local
port 636
ldap_version 3
bind_policy soft
bind_timelimit 2
timelimit 2
scope sub
nss_reconnect_maxsleeptime 8
nss_reconnect_sleeptime 1
nss_initgroups_ignoreusers root
nss_srv_domain esempio.lan
pam_password exop
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberUid
nss_base_passwd ou=Users,dc=dominio,dc=local?one
nss_base_shadow ou=Users,dc=dominio,dc=local?one
nss_base_passwd ou=Computers,dc=dominio,dc=local?one
nss_base_shadow ou=Computers,dc=dominio,dc=local?one
nss_base_group  ou=Groups,dc=dominio,dc=local?one
ssl on
</pre>
e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret e rendiamolo leggibile solo a root:
<pre>
# echo password_root_ldap > /etc/ldap.secret
# chown root.root /etc/ldap.secret
# chmod 600 /etc/ldap.secret
</pre>
</pre>
<br/>
<br/>
Riga 1 240: Riga 1 040:
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
<pre>
<pre>
addgroup --system tss
# addgroup --system tss
addgroup --system kvm
# addgroup --system kvm
addgroup --system rdma
# addgroup --system rdma
addgroup --system fuse
# addgroup --system fuse
addgroup --system scanner
# addgroup --system scanner
addgroup --system nvram
# addgroup --system nvram
adduser --system tss
# adduser --system tss
</pre>
</pre>


==Installazione di libpam-ldap==
=== Installazione di libpam-ldap ===
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
<pre>
<pre>
Riga 1 339: Riga 1 139:
</pre>
</pre>


==Test di funzionamento==
Infine registriamo la password di root di OpenLDAP con i comandi:
<pre>
echo -n "password" > /etc/libnss-ldap.secret
echo -n "password" > /etc/pam_ldap.secret
</pre>
=== Test di funzionamento ===
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Riavviate il vostro server e controllate eventuali messaggi di errore al boot.
Una volta ripartito, con i comandi:
Una volta ripartito, con i comandi:
Riga 1 352: Riga 1 157:
</pre>
</pre>
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
=Assegnazione dei permessi agli utenti di dominio=
 
== Assegnazione dei permessi agli utenti di dominio ==
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
<pre>
<pre>
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  
\SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege  
SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege  
\SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
</pre>
</pre>
<pre>
<pre>
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" \SePrintOperatorPrivilege
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege
</pre>
</pre>
dove DEBIAN è il nome Samba assegnato al server.
dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga.


=Aggiungere i primi utenti di dominio=
== Aggiungere i primi utenti di dominio ==
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Adesso siamo pronti per la creazione del primo utente con il comando:
Adesso siamo pronti per la creazione del primo utente con il comando:
Riga 1 387: Riga 1 193:
# smbldap-usermod -G "NomeGruppo" nome.utente
# smbldap-usermod -G "NomeGruppo" nome.utente
</pre>
</pre>
Con queste impostazioni avremo, quindi:
<br/>
<br/><br/>
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
<pre>
<pre>
Riga 1 396: Riga 1 201:
</pre>
</pre>


=Creazione di un semplice script da eseguire al login di windows=
== Creazione di un semplice script da eseguire al login di windows ==
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
Riga 1 418: Riga 1 223:
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.


=Test e connessione al dominio=
== Test e connessione al dominio ==
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
Riga 1 448: Riga 1 253:
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
*'''Windows Vista'''
*'''Windows Vista'''
# Non ancora testato.
# Non ancora testato.
*'''Windows 7'''
*'''Windows 7'''
Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida.
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
<pre>
<pre>
Riga 1 459: Riga 1 265:
DWORD  DNSNameResolutionRequired = 0
DWORD  DNSNameResolutionRequired = 0
</pre>
</pre>
Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7
<br/>
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.


=Unire un server Samba al dominio=
== Unire un server Samba al dominio ==
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
Riga 1 492: Riga 1 300:
# /etc/init.d/winbind stop
# /etc/init.d/winbind stop
</pre>
</pre>
e modifichiamo il file <tt>/etc/samba/smb.conf</tt> con le seguenti direttive:
e modifichiamo il file <code>/etc/samba/smb.conf</code> con le seguenti direttive:
<pre>
<pre>
[global]
[global]
Riga 1 562: Riga 1 370:
</pre>
</pre>
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<tt>ldap://10.0.0.11</tt>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
Installare il pacchetto '''libnss-ldap''' e configurarlo in modo da puntare al server LDAP installato sul PDC (<code>ldap://10.0.0.11</code>) e fornendo la base LDAP corretta (dc=dominio,dc=local) e la corretta password dell'amministratore del database ldap.
<pre>
<pre>
# apt-get install libnss-ldap
# apt-get install libnss-ldap
Riga 1 695: Riga 1 503:
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.


=Backup e restore del database LDAP=
== Backup e restore del database LDAP ==
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
==Offline Physical Backup==
=== Offline Physical Backup ===
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
# Stopare il server LDAP: <tt>/usr/sbin/rcldap stop</tt>
# Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code>
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Riavviare il server LDAP: <tt>/usr/sbin/rcldap start</tt>
# Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code>


==Offline Logical Backup==
=== Offline Logical Backup ===
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
# <tt>/usr/sbin/rcldap stop</tt>
# <code>/usr/sbin/rcldap stop</code>
# <tt>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</tt> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <tt>/usr/sbin/rcldap start</tt>
# <code>/usr/sbin/rcldap start</code>


==Online Backup==
=== Online Backup ===
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
# <tt>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</tt><br/>
# <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/>
dove <tt>LDAPServer</tt> è il nome del server e <tt>baseDN</tt> è il distinguished name (DN) della struttura LDAP, nel nostro caso <tt>dc=dominio,dc=local</tt>
dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code>
==Database Restore==
=== Database Restore ===
# Per ripristinare un offline backup:
# Per ripristinare un offline backup:
## <tt>/usr/sbin/rcldap stop</tt>
## <code>/usr/sbin/rcldap stop</code>
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## <tt>slapadd -l nome_del_backupfile</tt> (Se Offline Logical Backup)
## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup)
## <tt>/usr/sbin/rcldap start</tt>
## <code>/usr/sbin/rcldap start</code>
# Per ripristinare un online backup:
# Per ripristinare un online backup:
## <tt>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</tt><br/>
## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/>
dove <tt>adminDN</tt> è nel nostro caso dn=admin,dc=dominio,dc=local
dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local


=Replica del database LDAP su un altro server=
== Replica del database LDAP su un altro server ==
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.


=db4=
== db4 ==
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
<pre>
<pre>
Riga 1 734: Riga 1 542:
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
<br/>
<br/>
=Interfacce web alternative per OpenLDAP=
== Interfacce web alternative per OpenLDAP ==
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
* '''LDAP-Account-Manager'''
* '''LDAP-Account-Manager'''
Riga 1 742: Riga 1 550:
Una volta installato, collegatevi col vostro browser all'indirizzo:
Una volta installato, collegatevi col vostro browser all'indirizzo:
<pre>
<pre>
http://ip_vostro_server/
http://ip_vostro_server/lam
</pre>
</pre>
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
Riga 1 764: Riga 1 572:
</pre>
</pre>


=Comandi utili e consigli finali=
== Comandi utili e consigli finali ==
==Creazione di utenti==
=== Creazione di utenti ===
<pre>
<pre>
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
Riga 1 775: Riga 1 583:
</pre>
</pre>


==Creazione di un gruppo==
=== Creazione di un gruppo ===
<pre>
<pre>
# smbldap-groupadd "NomeGruppo"
# smbldap-groupadd "NomeGruppo"
</pre>
</pre>


==Aggiunta di un utente a un gruppo==
=== Aggiunta di un utente a un gruppo ===
Per impostare il gruppo primario dell'utente:
Per impostare il gruppo primario dell'utente:
<pre>
<pre>
Riga 1 790: Riga 1 598:
</pre>
</pre>


==Elencare i gruppi memorizzati in LDAP==
=== Elencare i gruppi memorizzati in LDAP ===
<pre>
<pre>
# ldapsearch -x objectClass=posixGroup
# ldapsearch -x objectClass=posixGroup
</pre>
</pre>
==Elencare gli utenti di un gruppo==
=== Elencare gli utenti di un gruppo ===
<pre>
<pre>
# smbldap-groupshow "gruppo"
# smbldap-groupshow "gruppo"
</pre>
</pre>
==Backuppare una directory condivisa dal server usando le credenziali di un utente specifico==
=== Backuppare una directory condivisa dal server usando le credenziali di un utente specifico ===
<pre>
<pre>
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup
</pre>
</pre>
==Elencare le risorse condivise di una macchina==
=== Elencare le risorse condivise di una macchina ===
<pre>
<pre>
smbclient -L nomeserver
smbclient -L nomeserver
</pre>
</pre>
==Per fare delle modifiche nel DB in maniera semplice==
=== Per fare delle modifiche nel DB in maniera semplice ===
<pre>
<pre>
   slapcat -l /tmp/backup.ldif     
   slapcat -l /tmp/backup.ldif     
Riga 1 812: Riga 1 620:
   # stoppare il servizio
   # stoppare il servizio


   /etc/init.d/slapd stop
   /etc/init.d/slapd stop
 
 
   # una copia del vecchio db
   # una copia del vecchio db
 
 
   cp -r /var/lib/ldap  /var/lib/ldap.old
   cp -r /var/lib/ldap  /var/lib/ldap.old
   mkdir /var/lib/ldap
   mkdir /var/lib/ldap
 
 
   Modificare il file backup.ldif e quindi reimportarlo
   Modificare il file backup.ldif e quindi reimportarlo
 
 
   slapadd -c -l /tmp/backup.ldif
   slapadd -c -l /tmp/backup.ldif
</pre>
</pre>
==Comandi utili LDAP==
=== Comandi utili LDAP ===
<pre>
<pre>
ldapsearch -b "dc=miodominio,dc=local" -x
ldapsearch -b "dc=miodominio,dc=local" -x
 
 
ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x
ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x
 
 
ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif  # per importare un ldif
ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif  # per importare un ldif
 
ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
== Approfondimenti ==
=== Debianizzati ===
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/>
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Samba: guida estesa]]<br/>
[[Samba: creare un cestino di rete per le condivisioni]]<br/>
[[ClamAV: scansione antivirus delle condivisioni Samba]]<br />
 
 
{{Autori
|Autore = [[Utente:Ferdybassi|Ferdybassi]]
|Verificata_da=
:[[Utente:porkyhttp|porkyhttp]] 17:06, 06 mag 2012 (CEST)
|Numero_revisori=1
}}


ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"
[[Categoria:Reti con Windows]][[Categoria:Samba]]
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
=Per approfondimenti=
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
[[Accedere alle condivisioni Samba dal browser]]<br/>
[[Creare un Cestino di rete per le condivisioni Samba]]<br/>
<br/>
<br/>
: [[Utente:Ferdybassi|Ferdybassi]]
----
[[Categoria:Server]]
[[Categoria:Networking]]
HAL 9000
3 581

contributi

Estratto da "https://guide.debianizzati.org/index.php/Speciale:DiffMobile/18611...39199"