Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni

Versioni Compatibili ERRORE: valore non valido ( Debian Squeeze 6.0 )! Vedi qui.

Versioni compatibili

• Debian Squeeze 6.0
• Per Debian Sarge 3.0 vedi: Samba e OpenLDAP: creare un controller di dominio
• Per Debian Etch 4.0 vedi: Samba e OpenLDAP: creare un controller di dominio con Debian Etch
• Per Debian Lenny 5.0 vedi: Samba e OpenLDAP: creare un controller di dominio con Debian Lenny

Introduzione

Questo articolo è un aggiornamento della guida Samba e OpenLDAP: creare un controller di dominio con Debian Lenny, basata su Debian Lenny.
Vedremo questa volta come installare un server basato su Debian Squeeze e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.

Sistema installato e prerequisiti

Il presente HOWTO è stato realizzato utilizzando un sistema Debian Squeeze 6.0 con tutti gli aggiornamenti di sicurezza ufficiali. La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un server web Apache e con PHP5 funzionanti.
Durante tutto il processo si presuppone di agire come utente root.

Parametri di rete utilizzati

In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:

• Nome del server: server
• Nome del dominio: dominio.local
• Nome NETBIOS del dominio: DOMINIO
• Classe IP: 10.0.0.0 / 255.0.0.0
• IP Server: 10.0.0.11
• Password di root: password
• Password Administrator del dominio: password
• Password admin di LDAP: password

Questi parametri vanno ovviamente adattati alle vostre esigenze.

Installazione del server LDAP

Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny, che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.

# apt-get install slapd ldap-utils

Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato è dominio.local, un dominio interno non valido per Internet. In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:

# dpkg-reconfigure slapd

Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:

• Omettere la configurazione di OpenLDAP: no
• Nome del dominio: dominio.local
• Nome dell'organizzazione: DOMINIO
• Password di admin: password
• Conferma password: password
• Motore database da utilizzare: BDB
• Cancellare il database quando si effettua il purge di slapd: no
• Spostare il vecchio database: sì
• Permettere LDAPv2: sì (potete anche mettere no)

Per verificare il corretto funzionamento del servizio, avviare il demone

# /etc/init.d/slapd start

e dare il comando:

# ldapsearch -x -b “dc=dominio,dc=local”

Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.