Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni
| Riga 433: | Riga 433: | ||
Salviamo tutto e copiamolo in /etc/ldap/schema: | Salviamo tutto e copiamolo in /etc/ldap/schema: | ||
<pre> | <pre> | ||
#cp /tmp/samba.ldif /etc/ldap/schema | # cp /tmp/samba.ldif /etc/ldap/schema | ||
</pre> | </pre> | ||
Quindi generate l'hash MD5 della password di root di LDAP: | Quindi generate l'hash MD5 della password di root di LDAP: | ||
Versione delle 14:44, 2 ott 2011
|
Attenzione. Questa guida è da considerarsi abbandonata, per via del tempo trascorso dall'ultima verifica.
Potrà essere resa obsoleta, previa segnalazione sul forum, se nessuno si propone per l'adozione. |
 Versioni Compatibili Debian 6 "squeeze" |
|
Attenzione: questo articolo è ancora incompleto e in fase di scrittura da parte del suo autore.
Sentitevi liberi di contribuire, proponendo modifiche alla guida tramite l'apposita pagina di discussione, in modo da non interferire con il lavoro portato avanti sulla voce. Per altre informazioni si rimanda al template. |
Introduzione
Questo articolo è un aggiornamento della guida Samba e OpenLDAP: creare un controller di dominio con Debian Lenny, basata su Debian Lenny.
Vedremo questa volta come installare un server basato su Debian Squeeze e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.
Sistema installato e prerequisiti
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 6.0 Squeeze con tutti gli aggiornamenti di sicurezza ufficiali. La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più:
- un sistema LAMP come descritto ad esempio in questa guida: Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5
- un server DNS, come descritto ad esempio in questa guida: Un server DNS e DHCP su Debian
Si suppone per comodità che tutti i servizi (LDAP, LAMP, DNS) risiedano sullo stesso server.
Durante tutto il processo si presuppone di agire come utente root.
Parametri di rete utilizzati
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
- Nome del server: server
- Nome del dominio: dominio.local
- Nome NETBIOS del dominio: DOMINIO
- Classe IP: 10.0.0.0 / 255.0.0.0
- IP Server: 10.0.0.11
- Password di root: mia_password
- Password Administrator del dominio: mia_password
- Password admin di LDAP: mia_password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Installazione del server LDAP
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny, che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
# apt-get install slapd ldap-utils samba-doc
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato è dominio.local, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
# dpkg-reconfigure slapd
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
- Omettere la configurazione di OpenLDAP: no
- Nome del dominio: dominio.local
- Nome dell'organizzazione: DOMINIO
- Password di admin: mia_password
- Conferma password: mia_password
- Motore database da utilizzare: BDB
- Cancellare il database quando si effettua il purge di slapd: no
- Spostare il vecchio database: sì
- Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
# ldapsearch -x -b “dc=dominio,dc=local”
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Installazione di una interfaccia grafica per amministrare OpenLDAP
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su phpldapadmin, che sembra essere la più diffusa.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
Installazione dei prerequisiti
Installiamo per prima cosa alcuni moduli di PHP necessari:
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
|
ATTENZIONE Il comando precedente va scritto in un'unica riga |
Installazione di PHPLdapAdmin
Ora possiamo installare phpldapadmin:
# apt-get install phpldapadmin
Configurare il file /etc/phpldapadmin/config.php:
*********************************************
* Define your LDAP servers in this section *
*********************************************
$servers = new Datastore();
$servers->newServer('ldap_pla');
$servers->setValue('server','name','DOMINIO Server');
$servers->setValue('server','host','127.0.0.1');
$servers->setValue('server','base',array('dc=dominio,dc=local'));
$servers->setValue('login','auth_type','session');
Controllate che siano decommentate e configurate le stringhe $Server.
Per verificare la corretta installazione del pacchetto, aprite il browser su:
https://10.0.0.11/phpldapadmin
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
# wget http://www.nomis52.net/data/mkntpwd.tar.gz
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
# apt-get install build-essential # tar -zxf mkntpwd.tar.gz # cd mkntpwd # make # cp mkntpwd /usr/local/bin # mkntpwd
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
Installazione di Samba
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
# apt-get install samba smbclient smbfs samba-doc swat resolvconf
La versione di Samba nei repository di Squeeze supporta solo parzialmente il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Squeeze (si veda: Il_repository_Backports) e installare da lì una versione di Samba più aggiornata:
# apt-get -t squeeze-backports install samba smbclient smbfs samba-doc swat resolvconf
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:
- Nome del Dominio/Workgroup: DOMINIO
- Utilizzare password cifrate: SI
- Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
# apt-get install smbldap-tools
Configurazione
Nei doc di smbldap-tools possiamo trovare uno script che ci consente di creare i files di configurazione in modo veloce ed automatico:
gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz perl /usr/share/doc/smbldap-tools/configure.pl
Verranno replicate tutte le configurazioni presenti in samba, se c'è qualòcosa di sbagliato non confermate con invio, ma scrivete la modifica da apportare direttamente e poi date invio.
Tuttavia, dato che non mi fido molto degli script, nel seguito della guida verranno date le indicazioni per procedere ad una configurazione manuale.
Copiare inannzitutto i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools.
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf # cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=dominio,dc=local", in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.
Se non si è sicuri del DN da inserire lanciare il comando:
# slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
slaveDN="cn=admin,dc=dominio,dc=local" slavePw="password" masterDN="cn=admin,dc=dominio,dc=local" masterPw="password"
Il contenuto del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap_bind.conf:
############################ # Credential Configuration # ############################ # Notes: you can specify two differents configuration if you use a # master ldap for writing access and a slave ldap server for reading access # By default, we will use the same DN (so it will work for standard Samba # release) slaveDN="cn=admin,dc=dominio,dc=local" slavePw="mia_password" masterDN="cn=admin,dc=dominio,dc=local" masterPw="mia_password"
Eseguire ora il comando:
# net getlocalsid
e copiare o prendere nota del codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316" slaveLDAP="127.0.0.1" slavePort="389" masterLDAP="127.0.0.1" masterPort="389"
Verificare che il TLS sia disabilitato.
ldapTLS="0"
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
suffix="dc=dominio,dc=local"
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
defaultMaxPasswordAge="180"
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
userSmbHome="\\SERVER\homes\%U" userProfile="\\SERVER\profiles\%U"
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
userScript="logon.bat"
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
mailDomain="dominio.local"
Il contenuto completo del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap.conf:
#
# Purpose :
# . be the configuration file for all smbldap-tools scripts
##############################################################################
##
General Configuration
# ##############################################################################
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-125945932-740595490-3132273231"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
sambaDomain="DOMINIO"
realm="DOMINIO.LOCAL"
##############################################################################
#
# LDAP Configuration
#
##############################################################################
# Slave LDAP server
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
# Master LDAP server: needed for write operations
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
verify="require"
# CA certificate
cafile="/etc/smbldap-tools/ca.pem"
# certificate to use to connect to the ldap server
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
# key certificate to use to connect to the ldap server
clientkey="/etc/smbldap-tools/smbldap-tools.key"
# LDAP Suffix
suffix="dc=dominio,dc=local"
# Where are stored Users
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
userLoginShell="/bin/false"
# Home directory
userHome="/dominio/homes/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System Computer"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="180"
##############################################################################
##
SAMBA Configuration
# ##############################################################################
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
userSmbHome="\\SERVER\homes\%U"
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\SERVER\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
userHomeDrive="Z:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="dominio.local"
##############################################################################
#
# SMBLDAP-TOOLS Configuration
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
userLoginShell="/bin/false"
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
userLoginShell="/bin/bash"
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
# chmod 0644 /etc/smbldap-tools/smbldap.conf # chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Configurazione del server LDAP
Passiamo ora alla configurazione del server LDAP.
Innanzitutto effettuiamo un backup di LDAP:
# slapcat > ~/slapd.ldif
o più semplicemente
# cp -R /etc/ldap/slapd.d /etc/slapd.d.backup
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA.
# wget http://www.pepinet.com/download/samba/hdb.schema -P /etc/ldap/schema/ # wget http://www.pepinet.com/download/samba/qmailuser.schema -P /etc/ldap/schema/ # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Creiamo il file schema_convert.conf:
# touch /tmp/schema_convert.conf # nano /tmp/schema_convert.conf
e editiamolo in questa maniera:
include /etc/ldap/schema/core.schema include /etc/ldap/schema/collective.schema include /etc/ldap/schema/corba.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/duaconf.schema include /etc/ldap/schema/dyngroup.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/java.schema include /etc/ldap/schema/misc.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/openldap.schema include /etc/ldap/schema/ppolicy.schema include /etc/ldap/schema/samba.schema
Salviamo:
# mkdir /tmp/ldif_output
# slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/samba.ldif
# nano /tmp/samba.ldif
e modifichiamo il file come segue:
dn: cn=samba,cn=schema,cn=config ... cn: samba
Rimuoviamo le stringhe a fondo pagina:
structuralObjectClass: olcSchemaConfig entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95 creatorsName: cn=config createTimestamp: 20080827045234Z entryCSN: 20080827045234.341425Z#000000#000#000000 modifiersName: cn=config modifyTimestamp: 20080827045234Z
Salviamo tutto e copiamolo in /etc/ldap/schema:
# cp /tmp/samba.ldif /etc/ldap/schema
Quindi generate l'hash MD5 della password di root di LDAP:
# slappasswd -h {MD5}
e prendete nota del risultato.
Ora occorre modificare il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo nella sezione Schema and objectClass definitions lo schema per samba:
include /etc/ldap/schema/samba.schema
Nella sezione Indexing options aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
index objectClass eq,pres index uid,uidNumber,gidNumber,memberUid eq,pres index ou,cn,mail,surname,givenname eq,pres,sub index loginShell eq,pres index displayName pres,sub,eq index nisMapName,nisMapEntry eq,pres,sub index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index sambaGroupType eq index sambaSIDList eq index uniqueMember eq index default sub
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
access to attribute=userPassword
con:
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
Infine aggiungere le informazioni per l'autenticazione:
rootdn "cn=admin,dc=dominio,dc=local"
rootpw {MD5}Qhz9FD5FDD9YFKBJVAngcw==
Il contenuto del file dovrebbe essere il seguente:
/etc/ldap/sldap.conf:
#######################################################################
# Global Directives:
#sizelimit 20
timelimit -1
threads 8
# Features to permit
allow bind_v2
# Schema and objectClass definitions
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/qmailuser.schema
include /etc/ldap/schema/samba.schema
#include /etc/ldap/schema/hdb.schema
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
argsfile /var/run/slapd/slapd.args
# Read slapd.conf(5) for possible values
loglevel none
# Where the dynamically loaded modules are stored
modulepath /usr/lib/ldap
moduleload back_bdb
# The maximum number of entries that is returned for a search operation
sizelimit 500
# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1
#######################################################################
# Specific Backend Directives for bdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend bdb
#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend <other>
#######################################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database bdb
# The base of your directory in database #1
suffix "dc=dominio,dc=local"
# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
rootdn "cn=admin,dc=dominio,dc=local"
rootpw {MD5}8Fy5aWO9Ks1d5nFGx3aQ3D==
# Where the database file are physically stored for database #1
directory "/var/lib/ldap"
# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.
dbconfig set_cachesize 0 2097152 0
# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500
# Indexing options for database #1
#index objectClass eq
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index uidNumber eq
index gidNumber eq
index memberUID eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index mailHost eq
index givenName pres,sub,eq
index default sub
# Password Hash Definition
password-hash {MD5}
# Overlay Unique
#overlay unique
#unique_uri ldap:///ou=Users,dc=dominio,dc=local?uidNumber,cn?sub
#unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub
# Save the time that the entry gets modified, for database #1
lastmod on
# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint 512 30
# Where to store the replica logs for database #1
# replogfile /var/lib/ldap/replog
##########################################################
# Configurazione dei permessi per i vari utenti
# del'albero LDAP
############################################################
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
#access to attrs=userPassword,shadowLastChange
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory
by dn="cn=admin,dc=dominio,dc=local" write
by anonymous auth
by self write
by * none
# Everyone must be able to read password expiry attributes,
# if you are not granting rootdn access to workstations.
# Otherwise, the client system won't be able to know if
# user's password has expired, and will prompt him/her to
# change his/her password everytime he/she logs in.
# The owner must also be able to write it when he/she
# changes his/her own password.
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
by dn="cn=admin,dc=dominio,dc=local" write
by self write
by * read
# Ensure read access to the base for things like
# supportedSASLMechanisms. Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read
# The admin dn has full write access, everyone else
# can read everything.
access to *
by dn="cn=admin,dc=dominio,dc=local" write
by * read
# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
# by dn="cn=admin,dc=dominio,dc=local" write
# by dnattr=owner write
#######################################################################
# Specific Directives for database #2, of type 'other' (can be bdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database <other>
# The base of your directory for database #2
#suffix "dc=debian,dc=org"
Possiamo far ripartire slapd affinché tutte le modifiche apportate siano prese in considerazione.
# /etc/init.d/slapd stop # rm -rf /var/lib/ldap/* # slapadd -l ~/slapd.ldif # slapindex # chown -Rf openldap:openldap /var/lib/ldap # /etc/init.d/slapd start
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
# slapcat # ldapsearch -x
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di slapd può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
# slapd -d 256
In tal modo viene avviato visualizzando varie informazioni di debug a video.
Per approfondimenti
Samba e OpenLDAP: creare un controller di dominio
Samba e OpenLDAP: creare un controller di dominio con Debian Etch
Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny
Implementare un'architettura ridondante master/slave OpenLDAP
Scansione antivirus con ClamAV su condivisioni Samba
Accedere alle condivisioni Samba dal browser
Creare un Cestino di rete per le condivisioni Samba