Samba e OpenLDAP: creare un controller di dominio con Debian Lenny: differenze tra le versioni

* Debian Lenny 5.0

* Per Debian Sarge 3.0 vedi: [[Samba  e OpenLDAP: creare un controller di dominio]]

* Per Debian Etch 4.0 vedi: [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]

Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]], basata su '''Debian Etch'''.<br/>

Vedremo questa volta come installare un server basato su '''Debian Lenny''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>

Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>

Il presente HOWTO è stato realizzato utilizzando un sistema Debian 5.0 Lenny con tutti gli aggiornamenti di sicurezza ufficiali.  

La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/>

<br/>

In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:

* Nome del server: server

* Password admin di LDAP: password

Questi parametri vanno ovviamente adattati alle vostre esigenze.

Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>

Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>

</pre>

Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>

In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>

Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>

Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.

Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>

Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>

Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.

Installiamo per prima cosa alcuni moduli di PHP necessari:

<pre>

</pre>

{{ Warningbox | Il comando precedente va scritto in un'unica riga }}

Ora possiamo installare phpldapadmin:

<pre>

L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.

L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.

<pre>

# apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf

</pre>

Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>

<br/>

I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>

Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.

Installare il pacchetto smbldap-tools

<pre>

# apt-get install smbldap-tools

</pre>

<pre>

# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

</pre>

Se non si è sicuri del DN da inserire lanciare il comando:

<pre>

e copiare o prendere nota del codice che viene restituito.

<br/>

<pre>

SID="S-1-5-21-2318037123-1631426476-2439636316"

</pre><br/>

Passiamo ora alla configurazione del server LDAP.<br/>

Innanzitutto effettuiamo un backup di LDAP:

<pre>

</pre>

<pre>

# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/

Quindi generate l'hash MD5 della password di root di LDAP:

<pre>

</pre>

e prendete nota del risultato.<br/>

<pre>

include /etc/ldap/schema/samba.schema

</pre>

<pre>

index objectClass eq,pres

# Indexing options for database #1

#index          objectClass eq

index cn                    pres,sub,eq

index sn                    pres,sub,eq

# These access lines apply to database #1 only

#access to attrs=userPassword,shadowLastChange

         by dn="cn=admin,dc=dominio,dc=local" write

         by anonymous auth

#suffix        "dc=debian,dc=org"

</pre>

<pre>

# /etc/init.d/slapd stop

# ldapsearch -x

</pre>

<pre>

# slapd -d 256

<br/>

<pre>

BASE dc=dominio,dc=local

<br/>

<pre>

# mkdir /dominio

# mkdir /dominio/pubblica

</pre>

<pre>

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original

       netbios name = SERVER

       realm = dominio.local

       case sensitive = No

   ### Imposto il server come controller di dominio ###

       preferred master = yes

       local master = yes

       domain master = yes

       domain logons = yes

   ### Opzioni di connessione e sicurezza. Configurazione Wins ###

       encrypt passwords = yes

       null passwords = no

       wins support = yes

       idmap uid = 10000-90000

       time server = yes

       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192

   ### Configuro Winbind

       winbind enum groups = yes

       winbind separator = +

       winbind use default domain = Yes

       encrypt passwords = yes

       log level = 2

       max log size = 50

   ### Impostazione charset corretto ###

       hide dot files = yes

       unix charset = ISO8859-1

       enable privileges = yes

       ldap delete dn = Yes

   ### Permetto il cambio password da Windows

       ldap password sync = yes

       pam password change = Yes

   ### Profili mobili, directory home, script di logon ###

       logon drive = H:

       logon path = \\%L\profiles\%U

   ### Script LDAP per gestione utenti e gruppi ###

       passwd program = /usr/sbin/smbldap-passwd %u

       add user script = /usr/sbin/smbldap-useradd -m "%u"

       ldap delete dn = Yes

       delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

       set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

   ### Sistema di stampa ###

   ### Condivisioni ###

### Percorso degli script di logon

[netlogon]

       path = /dominio/netlogon

       guest ok = no

       browseable = no

       share modes = no

### Percorso per i roaming profiles

       guest ok = no

       inherit permissions = yes

[pubblica]

       path = /dominio/pubblica

       read only = No

       create mask = 0660

       map acl inherit = yes

       inherit permissions = yes

# Per condividere l'unità CD del server

Il resto del file va lasciato invariato.

Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.<br/>

La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:

Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.

Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.

<pre>

# smbldap-useradd -a -m -c "Admin" Administrator

# smbldap-usermod -G "Domain Admins" Administrator

</pre>

Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.<br/>

Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.

Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>

Innanzitutto bisogna collegarci con un browser al nostro server:

</pre>

A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.

Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:

<pre>

</pre>

Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:

<pre>

</pre>

Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:

* Account LDAP per root cn=admin,dc=dominio,dc=local

* Password LDAP di root: password

<pre>

passwd: compat

pam_login_attribute uid

pam_member_attribute gid

bind_policy soft

pam_password md5

Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:

<pre>

</pre>

L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:

<pre>

</pre>

Riavviate il vostro server e controllate eventuali messaggi di errore al boot.

Una volta ripartito, con i comandi:

</pre>

dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.

Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:

<pre>

net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  

</pre>

<pre>

</pre>

Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.

Adesso siamo pronti per la creazione del primo utente con il comando:

# smbldap-usermod -G "NomeGruppo" nome.utente

</pre>

Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:

<pre>

</pre>

E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.  

Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.

Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.

Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>

A tal fine il primo accesso può essere fatto dal server stesso con il comando:

# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)

# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )

# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.

*'''Windows Vista'''

# Non ancora testato.

*'''Windows 7'''

# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:

<pre>

DWORD  DNSNameResolutionRequired = 0

</pre>

A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.

Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti è possibile seguire 2 strade differenti:

# Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti

# /etc/init.d/winbind stop

</pre>

<pre>

[global]

</pre>

Affinché un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinché peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.<br/>

<pre>

# apt-get install libnss-ldap

A questo punto è possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.

Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.

Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.

# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup

Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:

Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.

# Per ripristinare un offline backup:

## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)

# Per ripristinare un online backup:

Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>

In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.

OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:

<pre>

Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.

<br/>

Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.

* '''LDAP-Account-Manager'''

Una volta installato, collegatevi col vostro browser all'indirizzo:

<pre>

</pre>

Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:

</pre>

<pre>

# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente

</pre>

<pre>

# smbldap-groupadd "NomeGruppo"

</pre>

Per impostare il gruppo primario dell'utente:

<pre>

</pre>

<pre>

# ldapsearch -x objectClass=posixGroup

</pre>

<pre>

# smbldap-groupshow "gruppo"

</pre>

<pre>

smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup

</pre>

<pre>

smbclient -L nomeserver

</pre>

<pre>

   slapcat -l /tmp/backup.ldif     

   slapadd -c -l /tmp/backup.ldif

</pre>

<pre>

ldapsearch -b "dc=miodominio,dc=local" -x

</pre>

Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.

[[Samba e OpenLDAP: creare un controller di dominio]]<br/>

[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>

[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>

[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>