Samba e OpenLDAP: creare un controller di dominio con Debian Squeeze: differenze tra le versioni

Da Guide@Debianizzati.Org.
Vai alla navigazione Vai alla ricerca
Nessun oggetto della modifica
m (→‎Introduzione: rimossa guida obsoleta)
 
(131 versioni intermedie di 8 utenti non mostrate)
Riga 1: Riga 1:
{{stub}}
{{SAMBA
{{Versioni compatibili|Ubuntu Server 10.04 LTS|}}
|precedente=Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
 
|successivo=Samba e OpenLDAP: creare un controller di dominio Active Directory con Debian Wheezy}}{{Versioni compatibili|ONLY|Squeeze}}
<br/>
{{ Warningbox | Questa guida per ora è solo una bozza per facilitare il lavoro dei redattori. Quella che segue non è ancora una configurazione adatta ad ambienti di produzione e c'è la forte probabilità che conduca ad un sistema mal configurato e instabile }}
<br/>
== Versioni compatibili ==
* Per Ubuntu Server 10.04 LTS
 
== Introduzione ==
== Introduzione ==
Questo articolo è un aggiornamento della guida [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny]], basata su '''Debian Lenny'''.<br/>
Guide simili per precedenti versioni di Debian o altre distribuzioni linux:
Vedremo questa volta come installare un server basato su '''Ubuntu Server 10.04 LTS''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
* [[Samba e OpenLDAP: creare un controller di dominio | Debian Sarge]]
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Etch | Debian Etch]]
* [[Samba e OpenLDAP: creare un controller di dominio con Debian Lenny | Debian Lenny]]
Vedremo questa volta come installare un server basato su '''Debian Squeeze''' e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.<br/>
== Sistema installato e prerequisiti ==
== Sistema installato e prerequisiti ==
Il presente HOWTO è stato testato utilizzando un sistema Ubuntu Server 10.04 LTS con tutti gli aggiornamenti di sicurezza ufficiali. La versioni di Samba utilizzata è 3.4.7 e la versione di OpenLdap utilizzata è la 2.4.21. 
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 6.0 Squeeze con tutti gli aggiornamenti di sicurezza ufficiali.  
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più un '''server web Apache''' e con '''PHP5''' funzionanti.<br/>
La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più:
* un sistema LAMP come descritto ad esempio in questa guida: [[Installare un ambiente LAMP: Linux, Apache2, SSL, MySQL, PHP5]]
* un server DNS, come descritto ad esempio in questa guida: [[Un server DNS e DHCP su Debian]]
Si suppone per comodità che tutti i servizi (LDAP, LAMP, DNS) risiedano sullo stesso server.<br/>
Durante tutto il processo si presuppone di agire come utente root.
Durante tutto il processo si presuppone di agire come utente root.
<br/>
=== Parametri di rete utilizzati ===
=== Parametri di rete utilizzati ===
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
<pre>
* Nome del server: server
* Nome del server: server
* Nome del dominio: dominio.local
* Nome del dominio: dominio.local
* Nome NETBIOS del dominio: DOMINIO
* Nome NETBIOS del dominio: DOMINIO
* Classe IP: 192.168.2.0 / 255.255.255.0
* Classe IP: 10.0.0.0 / 255.255.255.0
* eth1: 192.168.2.1
* IP Server: 10.0.0.10
* Password di root: secret
* Password di root: mia_password
* Password Administrator del dominio: secret
* Password Administrator del dominio: mia_password
* Password admin di LDAP: secret
* Password admin di LDAP: mia_password
Questi parametri vanno ovviamente adattati alle vostre esigenze.
 
== Installazione del server LDAP ==
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
<pre>
# apt-get install slapd ldap-utils samba-doc
</pre>
</pre>
Questi parametri vanno ovviamente adattati alle vostre esigenze.
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
== Configurazioni preliminari ==
Nei file riportati si considera che il dominio specificato è <code>dominio.local</code>, un dominio interno non valido per Internet.
Al fine di non incappare in errori e al fine di velocizzare la ricerca dei nomi e ip è necessario installare e configurare bind9.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
Per poter assegnare gli indirizzi IP ai client di una rete è necessario configurare il DHCP server.  
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Ricordo che si deve impostare l'interfaccia eth1 con ip statico 192.168.2.1 altrimenti il dhcp server non funzionerà.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
Per chi ha Ubuntu si deve prima disinstallare apparmor, questo servizio è una vera scocciatura ed inutile per un server:
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
<pre>
# dpkg-reconfigure slapd
</pre>
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
* Omettere la configurazione di OpenLDAP: no
* Nome del dominio: dominio.local
* Nome dell'organizzazione: DOMINIO
* Password di admin: mia_password
* Conferma password: mia_password
* Motore database da utilizzare: BDB
* Cancellare il database quando si effettua il purge di slapd: no
* Spostare il vecchio database: sì
* Permettere LDAPv2: sì (potete anche mettere no)
Per verificare il corretto funzionamento del servizio, dare il comando:
<pre>
<pre>
#apt-get purge apparmor
# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
</pre>  
</pre>
=== Configurazione DHCP ===
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.


Un server DHCP può fornire anche altre proprietà di configurazione come:
== Installazione di una interfaccia grafica per amministrare OpenLDAP ==
 
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
*  Nome dell'host
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
*  Nome del dominio
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
*  Gateway predefinito
=== Installazione dei prerequisiti ===
*  Server NTP (Network Time Protocol)
Installiamo per prima cosa alcuni moduli di PHP necessari:
*  Server di stampa
 
Il vantaggio di utilizzare DHCP è che i cambiamenti apportati alla rete, per esempio una modifica dell'indirizzo del server DNS, devono essere apportati solamente al server DHCP, mentre tutti gli host della rete vengono riconfigurati quando i client DHCP interrogano il server DHCP. Come ulteriore vantaggio, risulta anche molto semplice integrare nuovi computer nella rete, senza la necessità di controllare la disponibilità di un indirizzo IP. I conflitti nell'allocazione degli indirizzi IP sono quindi notevolmente ridotti.
 
Installare il DHCP server:
<pre>
<pre>
#apt-get install dhcp3-server
# apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
</pre>
</pre>


Per abbreviare non spiegherò i parametri configurati, ma andrò direttamente alla configurazione di esempio. La configurazione contempla un DHCP server dinamico.
=== Installazione di PHPLdapAdmin ===
Ora possiamo installare phpldapadmin:
<pre>
<pre>
#vim /etc/dhcp3/dhcpd.conf
# apt-get install phpldapadmin
</pre>
</pre>
editare come esempio:
Configurare il file '''/etc/phpldapadmin/config.php''':
<pre>
<pre>
include "/etc/dhcp3/rndc.key";
*********************************************
* Define your LDAP servers in this section  *
*********************************************


server-identifier sole;
$servers = new Datastore();
ddns-updates on;
ddns-update-style interim;
ddns-domainname "dominio.local";
ddns-rev-domainname "in-addr.arpa";
ignore client-updates;


zone dominio.local. {
$servers->newServer('ldap_pla');
primary 127.0.0.1;
key "rndc-key";
}


option domain-name "dominio.local";
$servers->setValue('server','name','DOMINIO Server');
option domain-name-servers 192.168.2.1;
option netbios-name-servers 192.168.2.1;
option netbios-node-type 8;
option ntp-servers  192.168.2.1;     
option ip-forwarding off;


$servers->setValue('server','host','127.0.0.1');


default-lease-time 2592000;
$servers->setValue('server','base',array('dc=dominio,dc=local'));
max-lease-time 3092000;
authoritative;


$servers->setValue('login','auth_type','session');
</pre>
Controllate che siano decommentate e  configurate le stringhe $Server.
<br/>
Per verificare la corretta installazione del pacchetto, aprite il browser su:
<pre>
https://10.0.0.11/phpldapadmin
</pre>
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.<br/>
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
<pre>
# wget http://debian.easyteam.org/files/samba/mkntpwd.tar.gz
</pre>
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
<pre>
# apt-get install build-essential
# tar -zxf mkntpwd.tar.gz
# cd mkntpwd
# make
# cp mkntpwd /usr/local/bin
# mkntpwd
</pre>
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.


subnet 192.168.2.0 netmask 255.255.255.0 {
== Installazione di Samba ==
range 192.168.2.10 192.168.2.200;
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
option routers 192.168.2.1;
<pre>
option broadcast-address 192.168.2.255;
# apt-get install samba smbclient smbfs samba-doc swat resolvconf
allow unknown-clients;
</pre>
zone 2.168.192.in-addr.arpa. {
primary 192.168.2.1;
key "rndc-key";
}


zone localdomain. {
La versione di Samba nei repository di Squeeze supporta solo parzialmente il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Squeeze (''si veda: [[Il_repository_Backports]]'') e installare da lì una versione di Samba più aggiornata:
primary 192.168.2.1;
<pre>
key "rndc-key";
# apt-get -t squeeze-backports install samba smbclient smbfs samba-doc swat resolvconf
}
}
</pre>
</pre>
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:<br/>
*Nome del Dominio/Workgroup: DOMINIO
*Utilizzare password cifrate: SI
*Utilizzare DHCP per i nomi Netbios: NO
Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.


Riavviamo:
== Configurare i SMBLDAP TOOLS ==
'''/etc/init.d/dhcp3-server restart'''
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
 
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
La configurazione sopra descritta è un server dhcp dinamico, il quale aggiorna il DNS automaticamente. Come potete notare è stato aggiunta una stringa di path ''/etc/dhcp3/rndc.key'', questa è la chiave creata in sede di configurazione bind ed è stata copiata nella cartella del dhcp.
=== Installazione ===
Non descrivo altro sul dhcp e rimando a guide più dettagliate come questa: [http://www.debian-administration.org/article/Configuring_Dynamic_DNS__DHCP_on_Debian_Stable] 
Installare il pacchetto smbldap-tools
=== Configurazione DNS ===
<pre>
Il DNS (Domain Name Service) è un servizio Internet che mappa gli indirizzi IP e i nomi di dominio univoci (FQDN) tra di loro facendo in modo di non dover ricordare gli indirizzi IP. I computer che eseguono DNS sono chiamati server dei nomi. Ubuntu è dotato di BIND (Berkley Internet Naming Daemon), il più diffuso programma usato per mantenere un server dei nomi su Linux.
# apt-get install smbldap-tools
Ci sono diversi metodi per configurare BIND9. Alcune delle configurazioni più comuni consistono in un server dei nomi cache, un server primario e un server secondario.
</pre>
 
=== Configurazione ===
    * Quando configurato come un server dei nomi cache, BIND9 troverà la risposta alle interrogazioni sui nomi e la archivierà.
Nei doc di smbldap-tools possiamo trovare uno script che ci consente di creare i files di configurazione in modo veloce ed automatico:
    * Come server primario, BIND9 legge i dati per una zona da un file ed è autoritativo per quella zona.
    * Nella configurazione come server secondario, BIN9 ottiene i dati della zona da un altro server dei nomi per quella zona.
 
Installazione:
<pre>
<pre>
# apt-get install bind9 dnsutils
gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
perl /usr/share/doc/smbldap-tools/configure.pl
</pre>
</pre>
La configurazione che descriverò è basata su di un server primario che è autoritativo per quella zona. Descriverò solo la zona che ci servirà per risolvere i nomi dei client perciò non descriverò la zona localhost (che dovrebbe essere configurata di default).
Verranno replicate tutte le configurazioni presenti in samba, se c'è qualòcosa di sbagliato non confermate con invio, ma scrivete la modifica da apportare direttamente e poi date invio.
<br/>
Tuttavia, dato che non mi fido molto degli script, nel seguito della guida verranno date le indicazioni per procedere ad una configurazione manuale.


Bind9 divide i files named.conf in tre configurazioni, rispettivamente named.conf.local, named.conf.options, named.conf.default-zones.
Copiare inannzitutto i file <code>smbldap.conf</code> e <code>smbldap_bind.conf</code> in <code>/etc/smbldap-tools</code>.
 
Descriverò tutti e tre precisando però che tutte le configurazioni devono essere richiamate da named.conf.
 
'''/etc/bind/named.conf.options'''
<pre>
<pre>
options {
# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
directory "/var/cache/bind";
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
        allow-transfer {
</pre>
              127.0.0.1;
Modificare il file <code>/etc/smbldap-tools/smbldap_bind.conf</code> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
              192.168.2.0/24;
Se non si è sicuri del DN da inserire lanciare il comando:
        };
        allow-query {
              127.0.0.1;
              192.168.2.0/24;
        };
forwarders {
83.103.25.250;
62.101.93.101;
};
        auth-nxdomain no;    # conform to RFC1035
listen-on { any; };
listen-on-v6 { any; };
};
</pre>'''
 
/etc/bind/named.conf.local'''
<pre>
<pre>
logging {
# slapcat
    channel query.log {     
        file "/var/log/query.log";
        severity debug 3;
    };
    category queries { query.log; };
};
 
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
 
include "/etc/bind/rndc.key";
 
zone "dominio.local" {
  type master;
  file "/etc/bind/db.dominio.local";
  allow-transfer { 127.0.0.1; 192.168.2.0/24; };
  allow-update { key "rndc-key"; };
  notify yes;
};
 
zone "2.168.192.in-addr.arpa" {
  type master;
  file "/etc/bind/db.192.168.2";
  allow-transfer { 127.0.0.1; 192.168.2.0/24; };
  allow-update { key "rndc-key"; };
  notify yes;
};
</pre>
</pre>
 
e cercare una riga che inizia con <nowiki>"dn: cn="</nowiki>. Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.<br/>
Ora ci resta da configurare le zone:
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
'''
/etc/bind/db.dominio.local'''
<pre>
<pre>
$TTL 604800
slaveDN="cn=admin,dc=dominio,dc=local"
$ORIGIN dominio.local.
slavePw="password"
@ SOA server.dominio.local. root.localhost. (
masterDN="cn=admin,dc=dominio,dc=local"
2010092446 ; serial
masterPw="password"
604800    ; refresh (1 week)
86400      ; retry (1 day)
2419200    ; expire (4 weeks)
604800 )    ; minimum (1 week)
;
@ NS server.dominio.local.
_samba_pdc_domain TXT "DOMINIO"
_samba_pdc_ip_address TXT "192.168.2.1"
_ldap_dc                TXT  "dc=dominio,dc=local"
_ldap_tcp SRV 0 0 389 server.dominio.local.
server A 192.168.2.1
pc1 A 192.168.2.179
pc2 A 192.168.2.73
pc3 A 192.168.2.95
pc4  A 192.168.2.173
</pre>
</pre>
Notate che il serial ha il seguente formato (aaaammggss): deve essere cambiato ogni volta che si fanno cambiamenti alla configurazione. (ss=seriale, che avanza di uno ogni volta che si cambia la configurazione, tuttavia prima di cambiarlo si deve prima cambiare la data e se nello stesso giorno non si fanno altri cambiamenti allora rimane inalterato).
Il contenuto del file dovrebbe essere il seguente:<br/>
pc1,pc2,... sono i clients presenti sulla rete e per ogni di esso si deve aggiungere l'IP corrispondente assegnato dal dhcp, che dovrebbe però aggiornarlo automaticamnte essendo dinamico.
'''/etc/smbldap-tools/smbldap_bind.conf''':
 
<pre>
Ora vediamo il reverse zone:
############################
'''/etc/bind/db.192.168.2'''
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="mia_password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="mia_password"
</pre>
Eseguire ora il comando:
<pre>
<pre>
$TTL 604800
# net getlocalsid
$ORIGIN 2.168.192.in-addr.arpa.
@ SOA server.dominio.local. root.localhost. (
2010092446 ; serial
604800    ; refresh (1 week)
86400      ; retry (1 day)
2419200    ; expire (4 weeks)
604800 )    ; minimum (1 week)
;
@ NS server.dominio.local.
1 PTR server.dominio.local.
179 PTR pc1.dominio.local.
73 PTR pc2.dominio.local.
95 PTR pc3.dominio.local.
173 PTR pc4.dominio.local.
</pre>
</pre>
 
e copiare o prendere nota del codice che viene restituito.
Ora configuriamo la chiave:
<br/>
'''/etc/bind/rndc.key'''
Modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
<pre>
<pre>
key "rndc-key" {
SID="S-1-5-21-2318037123-1631426476-2439636316"
algorithm hmac-md5;
slaveLDAP="127.0.0.1"
secret "b/E3LQuAiHs926ucqAP7Mg==";
slavePort="389"
};
masterLDAP="127.0.0.1"
masterPort="389"
</pre>
</pre>
"rndc-key" è il nome della chiave che ritroviamo anche nelle varie zone del file named.conf e nel dhcpd.conf.
Verificare che il TLS sia disabilitato.
la chiave è creata con un determinato algoritmo che in questo caso è l'hash md5.
Il comando per creare la chiave è:
<pre>
<pre>
# dnssec-keygen -a HMAC-MD5 -b 128 -n USER rndc-key
ldapTLS="0"
</pre>
</pre>
Copiare la chiave generata nel file /etc/bind/rndc.key, se il file non c'è bisogna crearlo.
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO).
Un esempio di chiave generata è:
<pre>
<pre>
rndc-key. IN KEY 0 3 157 '''pfZ3xnS348/f5YRznSxWAg=='''
suffix="dc=dominio,dc=local"
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"
</pre>
</pre>
Quello che inizia per pfZ........ è la chiave.
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
 
Impostare i permessi:
 
<pre>
<pre>
chown -R root:bind /etc/bind
defaultMaxPasswordAge="180"
chmod -R 664 /etc/bind
chown root:bind /etc/bind/*
chmod 664 /etc/bind/*
</pre>
</pre>
 
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.<br/>
Configuriamo il resolv.conf:
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
'''/etc/resolv.conf'''
<pre>
<pre>
nameserver 127.0.0.1
userSmbHome="\\SERVER\homes\%U"
nameserver 192.168.2.1
userProfile="\\SERVER\profiles\%U"
domain dominio.local
search dominio.local
</pre>
</pre>
Impostare il blocco scrittura automatica:
SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro:
<pre>
<pre>
# chattr +i /etc/resolv.conf
userScript="logon.bat"
Per sbloccare la scrittura:
# chattr -i /etc/resolv.conf
</pre>
</pre>
 
Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.<br/>
Riavviamo il tutto:
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
'''/etc/init.d/bind9 restart'''
 
testare il funzionamento:
<pre>
<pre>
# nslookup
mailDomain="dominio.local"
# < server
Dovrebbe restituirvi l'indirizzo ip e la zona.
#< pc1
Dovrebbe restituirvi indirizzo ip e zone
# < exit
Uscita
</pre>
</pre>
Il contenuto completo del file dovrebbe essere il seguente:<br/>
'''/etc/smbldap-tools/smbldap.conf''':
<pre>
#
# Purpose :
# . be the configuration file for all smbldap-tools scripts
##############################################################################
##
General Configuration
# ##############################################################################
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-125945932-740595490-3132273231"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
sambaDomain="DOMINIO"
realm="DOMINIO.LOCAL"


== LDAP Server ==
##############################################################################
=== Installazione del server LDAP ===
#
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.<br/>
# LDAP Configuration
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida [[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]], che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.<br/>
#
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.<br/>
##############################################################################
# Slave LDAP server
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
# Master LDAP server: needed for write operations
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
verify=""
# CA certificate
cafile=""
# certificate to use to connect to the ldap server
clientcert=""
# key certificate to use to connect to the ldap server
clientkey=""
# LDAP Suffix
suffix="dc=dominio,dc=local"
# Where are stored Users
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
userLoginShell="/bin/false"
# Home directory
userHome="/dominio/homes/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System Computer"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="180"
##############################################################################
##
SAMBA Configuration
# ##############################################################################
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
userSmbHome="\\SERVER\homes\%U"
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\SERVER\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
userHomeDrive="Z:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="dominio.local"
##############################################################################
#
# SMBLDAP-TOOLS Configuration
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
</pre>
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
<pre>
<pre>
# apt-get install slapd ldap-utils samba-doc
userLoginShell="/bin/false"
</pre>
</pre>
Si presume che l'utente operi con l'account root per eseguire le operazioni di seguito descritte.
E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.<br/>
Nei file riportati si considera che il dominio specificato è <tt>dominio.local</tt>, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.<br/>
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.<br/>
Per tutte le altre opzioni possono essere confermate le impostazioni di default.<br/>
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
<pre>
<pre>
# dpkg-reconfigure slapd
userLoginShell="/bin/bash"
</pre>
</pre>
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato.
* Omettere la configurazione di OpenLDAP: no
<pre>
* Nome del dominio: dominio.local
# chmod 0644 /etc/smbldap-tools/smbldap.conf
* Nome dell'organizzazione: DOMINIO
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
* Password di admin: secret
</pre><br/>
* Conferma password: secret
* Cancellare il database quando si effettua il purge di slapd: no
* Spostare il vecchio database: sì
* Permettere LDAPv2: no


=== Configurazione del server LDAP ===
== Configurazione del server LDAP ==
Passiamo ora alla configurazione del server LDAP.<br/>
Passiamo ora alla configurazione del server LDAP.<br/>
La versione utilizzata di OpenLdap ha come sistema di configurazione la cartella slapd.d ubicata in <code>/etc/ldap/slapd.d</code> ed è stato quindi soppresso il precedente file di configurazione ''slapd.conf''. La differenza non è di poco conto: il vecchio file di configurazione era statico e perciò richiedeva sempre lo stop del demone ''slapd''. Il nuovo è dinamico e permette perciò la modifica ''on the fly'' della configurazione del demone.
<br/>
Il vecchio metodo di configurazione sarà in futuro abbandonato; raccomando quindi di utilizzare il nuovo sistema, a meno che non sussistano pesanti vincoli di compatibilità con vecchie strutture dati.
<br/>
In questa guida verrà quindi utilizzato ''slapd.d'' come metodo di default, ma ricordo che in ''/etc/default/slapd'' si può impostare il vecchio sistema ''slapd.conf'', oppure si può convertire un vecchio database slapd.conf in slapd.d con il comando:
<pre>
# slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d
</pre>
Un esempio di configurazione con il vecchio ''slapd.conf'' sarà riportato nel capitolo seguente della guida.


=== Configurazione del server LDAP con ''slapd.d'' ===
Innanzitutto effettuiamo un backup di LDAP:
Innanzitutto effettuiamo un backup di LDAP:
<pre>
<pre>
# slapcat > ~/slapd.ldif
# slapcat > ~/slapd.ldif
</pre>
</pre>
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <tt>/etc/ldap/schema</tt> lo schema LDAP necessario per SAMBA.
o più semplicemente
<pre>
<pre>
# cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/
# cp -R /etc/ldap/slapd.d /etc/slapd.d.backup
# gzip -d /etc/ldap/schema/samba.schema.gz
</pre>
# mkdir /tmp/ldif_output
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
 
<pre>
Creiamo il file schema_convert.conf ed editatelo:
# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
 
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
#touch /tmp/schema_convert.conf
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
# vim /tmp/schema_convert.conf
</pre>
 
Creiamo il file schema_convert.conf:
editate così:
<pre>
 
# touch /tmp/schema_convert.conf
''include /etc/ldap/schema/core.schema
# nano /tmp/schema_convert.conf
</pre>
e editiamolo in questa maniera:
<pre>
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/corba.schema
Riga 350: Riga 421:
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/samba.schema''
include /etc/ldap/schema/samba.schema
 
</pre>
salvate
Salviamo il file e creiamo una directory temporanea per gli output di ''slapcat'':
 
<pre>
# slapcat -f schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/samba.ldif
# mkdir /tmp/ldif_output
# vim /tmp/samba.ldif
# slapcat -f /tmp/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/samba.ldif
 
# nano /tmp/samba.ldif
modificate il file come segue:
</pre>
 
e modifichiamo il file come segue:
''dn: cn=samba,cn=schema,cn=config
<pre>
dn: cn=samba,cn=schema,cn=config
...
...
cn: samba''
cn: samba
 
</pre>
rimuovere le stringhe a fondo pagina:
Rimuoviamo le stringhe a fondo pagina:
 
<pre>
''structuralObjectClass: olcSchemaConfig
structuralObjectClass: olcSchemaConfig
entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95
entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95
creatorsName: cn=config
creatorsName: cn=config
Riga 371: Riga 443:
entryCSN: 20080827045234.341425Z#000000#000#000000
entryCSN: 20080827045234.341425Z#000000#000#000000
modifiersName: cn=config
modifiersName: cn=config
modifyTimestamp: 20080827045234Z''
modifyTimestamp: 20080827045234Z
 
</pre>
Salvate tutto e copiare in /etc/ldap/schema:
Salviamo tutto e copiamolo in /etc/ldap/schema:
 
<pre>
#cp /tmp/samba.ldif /etc/ldap/schema
# cp /tmp/samba.ldif /etc/ldap/schema
</pre>
Quindi generate l'hash SSHA della password di root di LDAP:
<pre>
# slappasswd
</pre>
e prendete nota del risultato.<br/>
Impostiamo la password di amministratore per configurare l'albero di directory LDAP:
<pre>
# ldapmodify -Y EXTERNAL -H ldapi:///
</pre>
La risposta sarà:
<pre>
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
</pre>
</pre>
 
Inseriamo le seguenti righe:
Quindi generate l'hash MD5 della password di root di LDAP:
<pre>
<pre>
# slappasswd -s secret -h {MD5}
dn: olcDatabase={0}config,cn=config
add: olcRootPW
olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
</pre>
</pre>
e prendete nota del risultato della password in md5.
terminando con ''Ctrl+D''.
 
<br/>
La versione utilizzata di OpenLdap ha come file di configurazione la cartella slapd.d ubicata in /etc/ldap/slapd.d ed è stato quindi soppresso il precedente slapd.conf. La differenza è nella configurazione e nella funzionalità degli stessi. Il primo file di configurazione era statico perciò richiedeva sempre lo stop del demone slapd. Il secondo è dinamico perciò va da sè che è molto più flessibile.
Ora occorre aggiungere gli schemi che ci serviranno per la configurazione:
 
In questa guida verrà utilizzato slapd.d come di default, ma ricordo che in /etc/default/slapd si può impostare il vecchio database slapd.conf oppure si può convertire un vecchio database slapd.conf in slapd.d con il comando:
#slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d
 
Ora occorre aggiungere gli schemi che ci serviranno per la cnfigurazione:
<pre>
<pre>
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
Riga 395: Riga 478:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif  
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif  
 
</pre>
Creare il file module.ldif per aggiungere il modulo del backend e crearlo:
Creiamo il file ''module.ldif'' per aggiungere il modulo del backend:
 
<pre>
# touch /tmp/module.ldif
# touch /tmp/module.ldif
# vim /tmp/module.ldif
# nano /tmp/module.ldif
 
</pre>
editarlo così:
editandolo così:
 
<pre>
dn: cn=module,cn=config
dn: olcDatabase={1}bdb,cn=config
objectClass: olcModuleList
changetype: modify
cn: module
replace: olcSuffix
olcModulepath: /usr/lib/ldap
olcModuleload: back_bdb.la
 
salvare e caricare il file:
 
ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/module.ldif
 
Creare il file backend.ldif ed editarlo:
 
# touch /tmp/backend.ldif
# vim /tmp/backend.ldif
 
editarlo così:
 
dn: olcDatabase=bdb
objectClass: olcDatabaseConfig
objectClass: olcBdbConfig
olcDatabase: bdb
olcDbDirectory: /var/lib/ldap
olcSuffix: dc=dominio,dc=local
olcSuffix: dc=dominio,dc=local
olcAccess: {0}to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn="cn=admin,dc=dominio,dc=local" write by anonymous auth by self write by * none
-
olcAccess: {1}to attrs=shadowLastChange by self write by * read
replace: olcRootDN
olcAccess: {2}to dn.base="" by self write by * read
olcAccess: {3}to * by dn="cn=admin,dc=dominio,dc=local" write by * read
olcLastMod: TRUE
olcRootDN: cn=admin,dc=dominio,dc=local
olcRootDN: cn=admin,dc=dominio,dc=local
olcDbCheckpoint: 512 30
-
olcDbConfig: {0}set_cachesize 0 2097152 0
replace: olcAccess
olcDbConfig: {1}set_lk_max_objects 1500
olcAccess: to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn="cn=admin,dc=dominio,dc=local" write by anonymous auth by self write by * none
olcDbConfig: {2}set_lk_max_locks 1500
olcAccess: to attrs=shadowLastChange by self write by * read
olcDbConfig: {3}set_lk_max_lockers 1500
olcAccess: to dn.base="" by * read by self write
olcDbIndex: objectClass eq
olcAccess: to * by dn="cn=admin,dc=dominio,dc=local" write by * read by self write
-
</pre>
Aggiungiamo alla configurazione il backend in questo modo:
<pre>
#ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/module.ldif
</pre>
e controlliamo che tutto sia andato a buon fine:
<pre>
# ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}bdb
</pre>
Ora aggiungiamo le informazioni per una corretta indicizzazione:
<pre>
# touch /tmp/index.ldif
# nano /tmp/index.ldif
</pre>
editando il file così:
<pre>
dn: olcDatabase={1}bdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uidNumber eq
olcDbIndex: uidNumber eq
olcDbIndex: cn pres,sub,eq
olcDbIndex: sn pres,sub,eq
olcDbIndex: gidNumber eq
olcDbIndex: gidNumber eq
olcDbIndex: uid pres,sub,eq
olcDbIndex: loginShell eq
olcDbIndex: memberUid eq
olcDbIndex: uid eq,pres,sub
olcDbIndex: uniqueMember eq
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: displayName pres,sub,eq
olcDbIndex: uniqueMember eq,pres
olcDbIndex: sambaSID eq
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaDomainName eq
olcDbIndex: sambaDomainName eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaGroupType eq
olcDbIndex: default sub
olcDbIndex: default sub
</pre>
</pre>
 
e aggiungendolo alla configurazione di LDAP:
Infine aggiungere le informazioni per l'autenticazione e la criptazione della password degli utenti:
<pre>
<pre>
# vim /etc/ldap/slapd.d/cn=config/olcDatabase={1}bdb.ldif
# ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/index.ldif
 
e aggiungere:
 
olcRootPW: {MD5}..--..\\..//..::
olcPasswordHash: {MD5}
</pre>
</pre>
 
Infine editiamo il file ''/etc/ldap/slapd.d/cn=config.ldif'' così:
Editiamo cn=config.ldif così:
<pre>
<pre>
olcLogLevel: 1 2 8 64 128 256 512
olcLogLevel: 1 2 8 64 128 256 512
olcAuthzPolicy: none
olcAuthzPolicy: none
olcAuthzRegexp: uid=(.*),cn=.*,cn=auth ldap:///dc=milanoaccademia,dc=lan??sub?(uid=$1)
olcAuthzRegexp: uid=(.*),cn=.*,cn=auth ldap:///dc=dominio,dc=local??sub?(uid=$1)
</pre>
</pre>
Eliminiamo il contenuto della cartella /var/lib/ldap:
Riavviamo infine il demone <code>slapd</code>:
<pre>
## rm -rf /var/lib/ldap/*
</pre>
Riavviamo il demone <tt>slapd</tt>:
<pre>
<pre>
# /etc/init.d/slapd restart
# /etc/init.d/slapd restart
</pre>
</pre>


=== Installazione dell'autenticazione LDAP ===
Verifichiamo un'ultima volta che tutto funzioni correttamente:
 
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
<pre>
<pre>
# apt-get install libnss-ldap libpam-ldap
# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn
</pre>
</pre>


Rispondere alle domande di autoconfigurazione:
=== Configurazione di LDAP con il vecchio metodo ''slapd.conf'' (Deprecato) ===
Innanzitutto indichiamo a LDAP che vogliamo utilizzare il vecchio metodo di configurazione. Apriamo il file:
<pre>
<pre>
* Server LDAP: 127.0.0.1
# nano /etc/default/slapd
* Distinguished name (DN): dc=dominio,dc=local
* LDAP version: 3
* Make local root Database admin: sí
* Si richiede utente per database LDAP: no
* LDAP account for root cn=admin,dc=dominio,dc=local
* LDAP root password: secret
* Local crypt to use when changing passwords: md5
</pre>
</pre>
Se sbagliate a configurare rilanciate la schermata con:
e modifichiamo la riga seguente:
<pre>
<pre>
# dpkg-reconfigure ldap-auth-config
# SLAPD_CONF=""
SLAPD_CONF="/etc/ldap/slapd.conf"
</pre>
</pre>
Assicuratevi che il file ldap.secret, dal quale traspare la password in chiaro, sia leggibile e scrivibile solo da root.
Quindi effettuiamo un backup di LDAP:
Non impostatela criptata perchè altrimenti non vi autentica. Vi assicuro che se vi accertate dei permessi la password non trasparirà fuori. 
Editate il file ''ldap.conf'' (le prime tre voci dovrebbero essere già editate correttamente mentre le altre voci devono essere decommentate ed editate:
<pre>
<pre>
host 127.0.0.1
# slapcat > ~/slapd.ldif
base dc=dominio,dc=local
ldap_version 3
scope sub
bind_policy soft
pam_login_attribute uid
pam_member_attribute gid
pam_password md5
nss_base_passwd dc=dominio,dc=local?sub
nss_base_shadow dc=dominio,dc=local?sub
nss_base_group ou=groups,dc=dominio,dc=local?one
</pre>
</pre>
Lanciate i seguenti comandi di autoconfigurazione:
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in <code>/etc/ldap/schema</code> lo schema LDAP necessario per SAMBA.
<pre>
<pre>
# pam-auth-update (Dal menù pam-auth-update, scegliere LDAP e unix, inoltre qualsiasi altro metodo di autenticazione necessario.)
# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
 
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
# auth-client-config -t nss -p lac_ldap (configura nsswitch.conf all'uso di ldap)
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
 
    * -t: modifica solamente /etc/nsswitch.conf.
   
    * -p: nome del profilo da abilitare, disabilitare, ecc...
 
    * lac_ldap: il profilo auth-client-config parte del pacchetto ldap-auth-config.
</pre>
</pre>
Verificare il contenuto di /etc/nsswitch.conf e controllare le seguenti voci se corrispondono:
Quindi generate l'hash MD5 della password di root di LDAP:
<pre>
<pre>
''passwd: files ldap
# slappasswd -h {MD5}
group: files ldap
shadow: files ldap''
</pre>
</pre>
A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
e prendete nota del risultato.<br/>
Ora occorre modificare il file di configurazione di slapd (<code>/etc/ldap/slapd.conf</code>) aggiungendo nella sezione <code>Schema and objectClass definitions</code> lo schema per samba:
<pre>
<pre>
...
include /etc/ldap/schema/samba.schema
udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server
udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable
udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek
...
</pre>
</pre>
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
Nella sezione <code>Indexing options</code> aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
<pre>
<pre>
# addgroup --system tss
index objectClass eq,pres
# addgroup --system kvm
index uid,uidNumber,gidNumber,memberUid eq,pres
# addgroup --system rdma
index ou,cn,mail,surname,givenname eq,pres,sub
# addgroup --system fuse
index loginShell                        eq,pres
# addgroup --system scanner
index displayName                      pres,sub,eq
# addgroup --system nvram
index nisMapName,nisMapEntry            eq,pres,sub
# adduser --system tss
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index sambaGroupType eq
index sambaSIDList eq
index uniqueMember eq
index default                          sub
</pre>
</pre>
 
Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
== Installazione e Configurazione di Samba ==
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
<pre>
<pre>
# apt-get install samba smbclient smbfs cupsys cupsys-bsd
access to attribute=userPassword
</pre>
</pre>
 
con:
E' necessario creare le cartelle netlogon, profiles e creare lo script logon.bat.<br/>
<pre>
<pre>
# mkdir -p /home/samba/netlogon
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
# chown -R root:root /home/samba/netlogon
# chmod -R 775 /home/samba/netlogon
# mkdir -p /home/samba/profiles
# chown root:root /home/samba/profiles
# chmod 775 /home/samba/profiles
</pre>
</pre>
Creiamo il file logon.bat da mettere in netlogon:
Infine aggiungere le informazioni per l'autenticazione:
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
<pre>
<pre>
# apt-get install tofrodos
rootdn          "cn=admin,dc=dominio,dc=local"
rootpw          {MD5}Qhz9FD5FDD9YFKBJVAngcw==
</pre>
</pre>
creiamo lo script con l'editor che preferiamo
Il contenuto del file dovrebbe essere il seguente:<br/>
<pre>
'''/etc/ldap/sdapd.conf''':
# vim /dominio/netlogon/logon.bat
</pre>
syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
<pre>
<pre>
net time \\SERVER /set /yes
#######################################################################
net use H: /home
# Global Directives:
</pre>
#sizelimit 20
infine
timelimit -1
<pre>
threads 8
# unix2dos /dominio/netlogon/logon.bat
</pre>
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.


Per ogni utente deve essere creata una cartella profile:
# Features to permit
<pre>
allow bind_v2
# mkdir -p /home/samba/profiles/utente
# chown -R utente:"Domain Users" /home/samba/profiles/utente
# chmod 700 /home/samba/profiles/utente
</pre>


<pre>
# Schema and objectClass definitions
'''
include        /etc/ldap/schema/core.schema
Nota per il roaming profile:'''
include        /etc/ldap/schema/cosine.schema
''Per poter ottenere un valido roaming profile con client windows è necessario copiare la cartella "Default User", che si trova in C:\Documents and Settings, nella cartella /home/samba/netlogon. Prima di copiarla bisogna editare il file NTUSER.dat dal registro regedit. Seguire questo procedimento:
include        /etc/ldap/schema/nis.schema
1 . Start>Esegui>regedit>(posizionarsi su)HKEY_LOCAL_MACHINE
include        /etc/ldap/schema/inetorgperson.schema
2. (andare su)file>carica hive>C:\Documents and Settings\Default User\NTUSER.dat>apri>(digitare nome)Default
include        /etc/ldap/schema/qmailuser.schema
3. (entrare in)HKEY_LOCAL_MACHINE>Default>Software>Microsoft>Windows>CurrentVersion>Explorer>User Shell Folder
include        /etc/ldap/schema/samba.schema
4. cambiarei Dati dei Nomi: Desktop;Favorites;History;Local AppData; Local Settings;My Pictures;Personal;PrintHood;Recent (a scelta anche Cookies e Cache)
#include        /etc/ldap/schema/hdb.schema
da %USERPROFILE%\Desktop a %LOGONSERVER%\profiles\%USERNAME%\Desktop (così per tutti i nomi)
5. (posizionarsi su) Default
6. (andare su) file>scarica hive
7. copiare su /home/samba/netlogon la cartella "Default User" così modificata.''
</pre>
Copiare il file smb.conf per avere un backup:
<pre>
# cp /etc/samba/smb.conf /etc/samba/smb.conf.original


Editare il file smb.conf
# Where the pid file is put. The init.d script
# vim /etc/samba/smb.conf
# will not stop the server if you change this.
</pre>
pidfile        /var/run/slapd/slapd.pid


Configurarlo così:
# List of arguments that were passed to the server
<pre>
argsfile        /var/run/slapd/slapd.args
#======================= Global Settings =======================


[global]
# Read slapd.conf(5) for possible values
loglevel        none


## Browsing/Identification ###
# Where the dynamically loaded modules are stored
modulepath      /usr/lib/ldap
moduleload      back_bdb


# Change this to the workgroup/NT-domain name your Samba server will part of
# The maximum number of entries that is returned for a search operation
  workgroup = DOMINIO
sizelimit 500


# server string is the equivalent of the NT Description field
# The tool-threads parameter sets the actual amount of cpu's that is used
netbios name = SERVER 
# for indexing.
server string = Server dominio
tool-threads 1
# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
  wins support = yes


# WINS Server - Tells the NMBD components of Samba to be a WINS Client
#######################################################################
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
# Specific Backend Directives for bdb:
;  wins server = w.x.y.z
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend        bdb


# This will prevent nmbd to search for NetBIOS names through DNS.
#######################################################################
  dns proxy = no
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend                <other>


# What naming service and in what order should we use to resolve host names
#######################################################################
# to IP addresses
# Specific Directives for database #1, of type bdb:
  name resolve order = wins lmhosts host bcast
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database        bdb


#### Networking ####
# The base of your directory in database #1
suffix          "dc=dominio,dc=local"


# The specific set of interfaces / networks to bind to
# rootdn directive for specifying a superuser on the database. This is needed
# This can be either the interface name or an IP address/netmask;
# for syncrepl.
# interface names are normally preferred
rootdn          "cn=admin,dc=dominio,dc=local"
interfaces = eth1, lo
rootpw          {MD5}8Fy5aWO9Ks1d5nFGx3aQ3D==
;  interfaces = 127.0.0.0/8 eth0


# Only bind to the named interfaces and/or networks; you must use the
# Where the database file are physically stored for database #1
# 'interfaces' option above to use this.
directory      "/var/lib/ldap"
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself.  However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
  bind interfaces only = yes


# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.
dbconfig set_cachesize 0 2097152 0
# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500


# Indexing options for database #1
#index          objectClass eq
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index cn                    pres,sub,eq
index sn                    pres,sub,eq
index uid                  pres,sub,eq
index displayName          pres,sub,eq
index uidNumber            eq
index gidNumber            eq
index memberUID            eq
index sambaSID              eq
index sambaPrimaryGroupSID  eq
index sambaDomainName      eq
index mailHost              eq
index givenName            pres,sub,eq
index default              sub


#### Debugging/Accounting ####
# Password Hash Definition
password-hash {MD5}


# This tells Samba to use a separate log file for each machine
# Overlay Unique
# that connects
#overlay unique
  log file = /var/log/samba/%U.%m.log
#unique_uri ldap:///ou=Users,dc=dominio,dc=local?uidNumber,cn?sub
  log level = 0 passdb:6 auth:10 vfs:5 acls:3 msdfs:3
#unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub
# Cap the size of the individual log files (in KiB).
  max log size = 5000


# If you want Samba to only log through syslog then set the following
# Save the time that the entry gets modified, for database #1
# parameter to 'yes'.
lastmod        on
#  syslog only = no


# We want Samba to log a minimum amount of information to syslog. Everything
# Checkpoint the BerkeleyDB database periodically in case of system
# should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
# failure and to speed slapd shutdown.
# through syslog you should set the following parameter to something higher.
checkpoint      512 30
  syslog = 0
# Where to store the replica logs for database #1
# replogfile    /var/lib/ldap/replog


# Do something sensible when Samba crashes: mail the admin a backtrace
  panic action = /usr/share/samba/panic-action %d


##########################################################
# Configurazione dei permessi per i vari utenti
# del'albero LDAP
############################################################


####### Authentication #######
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
#access to attrs=userPassword,shadowLastChange
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory
        by dn="cn=admin,dc=dominio,dc=local" write
        by anonymous auth
        by self write
        by * none


# "security = user" is always a good idea. This will require a Unix account
# Everyone must be able to read password expiry attributes,
# in this server for every user accessing the server. See
# if you are not granting rootdn access to workstations.
# /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/ServerType.html
# Otherwise, the client system won't be able to know if
# in the samba-doc package for details.
# user's password has expired, and will prompt him/her to
  security = user
# change his/her password everytime he/she logs in.
  username map = /etc/samba/usermap
# The owner must also be able to write it when he/she
  case sensitive = no
# changes his/her own password.
# You may wish to use password encryption.  See the section on
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
# 'encrypt passwords' in the smb.conf(5) manpage before enabling.
        by dn="cn=admin,dc=dominio,dc=local" write
  encrypt passwords = true
        by self write
  enable privileges = yes
        by * read
# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
  passdb backend = ldapsam:ldap://127.0.0.1/
  ldap admin dn = cn=admin,dc=dominio,dc=local
  ldap suffix = dc=dominio,dc=local
  ldap user suffix = ou=users
  ldap group suffix = ou=groups
  ldap machine suffix = ou=computers
  ldap idmap suffix = ou=idmap
  ldap ssl = off
  ldap delete dn = no
  idmap backend = ldap:ldap://127.0.0.1
  obey pam restrictions = yes


# This boolean parameter controls whether Samba attempts to sync the Unix
# Ensure read access to the base for things like
# password with the SMB password when the encrypted SMB password in the
# supportedSASLMechanisms.  Without this you may
# passdb is changed.
# have problems with SASL not knowing what
ldap passwd sync = yes 
# mechanisms are available and the like.
unix password sync = no
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read


# For Unix password sync to work on a Debian GNU/Linux system, the following
# The admin dn has full write access, everyone else
# parameters must be set (thanks to Ian Kahan <<kahan@informatik.tu-muenchen.de> for
# can read everything.
# sending the correct chat script for the passwd program in Debian Sarge).
access to *
  passwd program = /usr/sbin/smbldap-passwd %u
        by dn="cn=admin,dc=dominio,dc=local" write
  passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        by * read


# This boolean controls whether PAM will be used for password changes
# For Netscape Roaming support, each user gets a roaming
# when requested by an SMB client instead of the program listed in
# profile for which they have write access to
# 'passwd program'. The default is 'no'.
#access to dn=".*,ou=Roaming,o=morsnet"
  pam password change = yes
#       by dn="cn=admin,dc=dominio,dc=local" write
#       by dnattr=owner write


# This option controls how unsuccessful authentication attempts are mapped
#######################################################################
# to anonymous connections
# Specific Directives for database #2, of type 'other' (can be bdb too):
  map to guest = bad user
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database        <other>


########## Domains ###########
# The base of your directory for database #2
#suffix        "dc=debian,dc=org"
</pre>
Possiamo far ripartire <code>slapd</code> affinché tutte le modifiche apportate siano prese in considerazione.
<pre>
# /etc/init.d/slapd stop
# rm -rf /var/lib/ldap/*
# slapadd -l ~/slapd.ldif
# slapindex
# chown -Rf openldap:openldap /var/lib/ldap
# /etc/init.d/slapd start
</pre>
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
<pre>
# slapcat
# ldapsearch -x
</pre>
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di <code>slapd</code> può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando:
<pre>
# slapd -d 256
</pre>
In tal modo viene avviato visualizzando varie informazioni di debug a video.


# Is this machine able to authenticate users. Both PDC and BDC
== Configurazione di Samba ==
# must have this setting enabled. If you are the BDC you must
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file <code>/etc/smbldap-tools/smbldap.conf</code>, quindi è bene stare attenti a non commettere errori.<br/>
# change the 'domain master' setting to no
<pre>
#
# mkdir /dominio
  domain logons = yes
# mkdir /dominio/homes
  domain master = yes
# mkdir /dominio/profiles
  local master = yes
# mkdir /dominio/netlogon
  preferred master = yes
# mkdir /dominio/pubblica
  os level = 255
</pre>
#
La configurazione di Samba si riduce a modificare il file <code>/etc/samba/smb.conf</code>. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
# The following setting only takes effect if 'domain logons' is set
<pre>
# It specifies the location of the user's profile directory
# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
# from the client point of view)
# touch /etc/samba/smb.conf
# The following required a [profiles] share to be setup on the
# nano /etc/samba/smb.conf
# samba server (see below)
</pre>
  logon path = \\%N\profiles\%U
'''/etc/samba/smb.conf''':
# Another common choice is storing the profile in the user's home directory
<pre>
# (this is Samba's default)
[global]
#  logon path = \\%N\%U\profile
  ### Configurazione di base del server ###
      workgroup = DOMINIO
      netbios name = SERVER
      realm = dominio.local
      server string = server - dominio PDC server - Samba %v
      case sensitive = No
      username map = /etc/samba/usermap


# The following setting only takes effect if 'domain logons' is set
  ### Imposto il server come controller di dominio ###
# It specifies the location of a user's home directory (from the client
      os level = 255
# point of view)
      preferred master = yes
  logon drive = H:
      local master = yes
  logon home = \\%N\%U
      domain master = yes
      domain logons = yes
      admin users = Administrator root @"Domain Admins"
      time server = yes


# The following setting only takes effect if 'domain logons' is set
  ### Networking ###
# It specifies the script to run during logon. The script must be stored
      interfaces = eth0, eth1, lo
# in the [netlogon] share
      bind interfaces only = yes
# NOTE: Must be store in 'DOS' file format convention
  logon script = logon.bat


# This allows Unix users to be created on the domain controller via the SAMR
  ### Opzioni di connessione e sicurezza. Configurazione Wins ###
# RPC pipe. The example command creates a user account with a disabled Unix
      security = user
# password; please adapt to your needs
      guest ok = no
add user script = /usr/sbin/smbldap-useradd -a -m %u
      map to guest = Bad User
delete user script = /usr/sbin/smbldap-userdel %u
      encrypt passwords = yes
add user to group script = /usr/sbin/smbldap-groupmod -m %u %g
      null passwords = no
delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g
      hosts allow = 127.0.0.1 10.0.0.0/255.255.255.0
set primary group script = /usr/sbin/smbldap-usermod -g %g %u
      wins support = yes
      idmap uid = 10000-90000
      idmap gid = 10000-90000
      idmap backend = ldap:ldap://127.0.0.1
      name resolve order = wins lmhosts host bcast
      dns proxy = no
      time server = yes
      socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
      keepalive = 20
      preserve case = yes
      short preserve case = yes


# This allows machine accounts to be created on the domain controller via the
  ### Configuro Winbind
# SAMR RPC pipe. 
      winbind uid = 10000-90000
# The following assumes a "machines" group exists on the system
      winbind gid = 10000-90000
add machine script  = /usr/sbin/smbldap-useradd -t 0 -w %u
      winbind enum users = yes
      winbind enum groups = yes
      winbind separator = +
      password server = 10.0.0.11
      winbind use default domain = Yes
      encrypt passwords = yes


# This allows Unix groups to be created on the domain controller via the SAMR
  ### Impedisco gli errori getpeername dei client XP
# RPC pipe. 
      smb ports = 139
add group script = /usr/sbin/smbldap-groupadd -p %g
delete group script = /usr/sbin/smbldap-groupdel %g
########## Printing ##########


# If you want to automatically load your printer list rather
  ### Configurazione dei log ###
# than setting them up individually then you'll need this
      log file = /var/log/samba/log.%m
#  load printers = yes
      log level = 2 passdb:6 auth:10 vfs:5 acls:3 msdfs:3
      max log size = 5000
      syslog = 0


# lpr(ng) printing. You may wish to override the location of the
  ### Impostazione charset corretto ###
# printcap file
      hide unreadable = yes
;  printing = bsd
      hide dot files = yes
;  printcap name = /etc/printcap
      unix charset = ISO8859-1
      dos charset = UTF-8
      display charset = UTF-8


# CUPS printing.  See also the cupsaddsmb(8) manpage in the
      panic action = /usr/share/samba/panic-action %d
# cupsys-client package.
  printing = cups
#  printcap name = cups


############ Misc ############
  ### Configurazione del supporto a LDAP ###
      passdb backend = ldapsam:ldap://127.0.0.1
      ldap suffix = dc=dominio,dc=local
      ldap machine suffix = ou=Computers
      ldap user suffix = ou=Users
      ldap group suffix = ou=Groups
      ldap idmap suffix = ou=Idmap
      ldap admin dn = cn=admin,dc=dominio,dc=local
      enable privileges = yes
      ldap delete dn = Yes
      ldap ssl = no


# Using the following line enables you to customise your configuration
  ### Permetto il cambio password da Windows
# on a per machine basis. The %m gets replaced with the netbios name
  ### Nota: con questa configurazione gli utenti non potranno
# of the machine that is connecting
  ### effettuare il login sulla shell del server, ma solo
;  include = /home/samba/etc/smb.conf.%m
  ### dai client XP
      ldap password sync = yes
      pam password change = Yes
      unix password sync = No
      obey pam restrictions = yes


# Most people will find that this option gives better performance.
  ### Profili mobili, directory home, script di logon ###
# See smb.conf(5) and /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/speed.html
      logon home = \\%L\homes\%U\
# for details
      logon drive = H:
# You may want to add the following on a Linux system:
      logon path = \\%L\profiles\%U
#        SO_RCVBUF=8192 SO_SNDBUF=8192
      logon script = logon.bat
socket options = TCP_NODELAY


# The following parameter is useful only if you have the linpopup package
  ### Script LDAP per gestione utenti e gruppi ###
# installed. The samba maintainer and the linpopup maintainer are
      passwd program = /usr/sbin/smbldap-passwd %u
# working to ease installation and configuration of linpopup and samba.
      passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authen$
;  message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
      add user script = /usr/sbin/smbldap-useradd -m "%u"
      ldap delete dn = Yes
      delete user script = /usr/sbin/smbldap-userdel "%u"
      add machine script = /usr/sbin/smbldap-useradd -w "%u"
      add group script = /usr/sbin/smbldap-groupadd -p "%g"
      delete group script = /usr/sbin/smbldap-groupdel "%g"
      add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
      delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
      set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"


# Domain Master specifies Samba to be the Domain Master Browser. If this
  ### Comando per loggare login e logoff (Legge amministratore di sistema)
# machine will be configured as a BDC (a secondary logon server), you
      root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u"$
# must set this to 'no'; otherwise, the default behavior is recommended.
      root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u$
#  domain master = auto


# Some defaults for winbind (make sure you're not using the ranges
   ### Sistema di stampa ###
# for something else.)
      load printers = yes
   idmap uid = 10000-20000
      printcap name = /etc/printcap
  idmap gid = 10000-20000
      printing = cups
#   template shell = /bin/false
      printcap name = cups
 
      ; Se desidero che solo il gruppo indicato possa amministrare le stampanti
# The following was the default behaviour in sarge,
      ; NOTA: il gruppo deve essere creato nella struttura LDAP
# but samba upstream reverted the default because it might induce
      ;printer admin = @sambaadmins
# performance issues in large organizations.
# See Debian bug #368251 for some of the consequences of *not*
# having this setting and smb.conf(5) for details.
#   winbind separator = +
#  winbind enum groups = yes
#  winbind enum users = yes
#  winbind use default domain = yes
  time server = yes
  null passwords = no
# Setup usershare options to enable non-root users to share folders
# with the net usershare command.


# Maximum number of usershare. 0 (default) means that usershare is disabled.
;  usershare max shares = 100


# Allow users who've been granted usershare privileges to create
  ### Condivisioni ###
# public shares, not just authenticated ones
  usershare allow guests = yes


#======================= Share Definitions =======================
### Percorso degli script di logon
 
# Un-comment the following (and tweak the other settings below to suit)
# to enable the default home directory shares.  This will share each
# user's home directory as \\server\username
[homes]
  comment = Home Directories
  browseable = no
 
# By default, the home directories are exported read-only. Change the
# next parameter to 'no' if you want to be able to write to them.
  read only = no
 
# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
#  create mask = 0775
 
# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
;  directory mask = 0700
 
# By default, \\server\username shares can be connected to by anyone
# with access to the samba server.  Un-comment the following parameter
# to make sure that only "username" can connect to \\server\username
# This might need tweaking when using external authentication schemes
  valid users = %S
  vfs object = recycle
                recycle:repository = /home/%u/.cestino
                recycle:keeptree = Yes
                recycle:touch = Yes
                recycle:versions = Yes
                recycle:maxsize = 1048576
                recycle:exclude = ?~$*,~$*,*.tmp,index*.pl,index*.htm*,*.temp,*.TMP
                recycle:exclude_dir = /tmp,/temp,/cache
                recycle:noversions = *.docx,*.doc,*.xlsx,*.xls,*.ppt
 
# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
[netlogon]
[netlogon]
  comment = Network Logon Service
      comment = Network Logon Service
  path = /home/samba/netlogon
      path = /dominio/netlogon
  guest ok = yes
      guest ok = no
  read only = yes
      writable = yes
  share modes = no
      browseable = no
      share modes = no
      admin users = @"Domain Admins"


# Un-comment the following and create the profiles directory to store
### Percorso per i roaming profiles
# users profiles (see the "logon path" option above)
# (you need to configure Samba to act as a domain controller too.)
# The path below should be writable by all users so that their
# profile directory may be created the first time they log on
[profiles]
[profiles]
  comment = Users profiles
      comment = Profili degli utenti
  path = /home/samba/profiles
      path = /dominio/profiles
  read only = no
      writeable = yes
  browseable = no
      browseable = no
  profile acls = yes
      guest ok = no
      hide files = /desktop.ini/ntuser.ini/NTUSER.*/
      create mask = 0600
      directory mask = 0700
      csc policy = disable
      profile acls = Yes


### Condivisione stampanti
[printers]
[printers]
  comment = All Printers
      comment = Stampanti
  browseable = no
      browseable = no
  path = /var/spool/samba
      path = /var/spool/samba
  printable = yes
      printable = yes
  guest ok = no
      public = no
  read only = yes
      writable = no
  create mask = 0700
      create mode = 0700


# Windows clients look for this share name as a source of downloadable
### I client Windows si aspettano questa cartella come fonte per i drivers
# printer drivers
[print$]
[print$]
  comment = Printer Drivers
      comment = Drivers delle stampanti
  path = /var/lib/samba/printers
      path = /var/lib/samba/printers
  browseable = yes
      browseable = yes
  read only = yes
      read only = yes
  guest ok = no
      guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# You may need to replace 'lpadmin' with the name of the group your
# admin users are members of.
# Please note that you also need to set appropriate Unix permissions
# to the drivers directory for these users to have write rights in it
;  write list = root, @lpadmin


# A sample share for sharing your CD-ROM with others.
### Home folders degli utenti
[homes]
      path = /dominio/homes/%U
      comment = Home directory
      browseable = no
      writeable = yes
      valid users = %S
      read only = no
      guest ok = no
      inherit permissions = yes
      admin users = %u
      write list = %u
      read list = %u
      create mask = 0700
      directory mask = 0700
 
### Directory Pubblica
[pubblica]
      path = /dominio/pubblica
      comment = Directory Pubblica
      read only = No
      create mask = 0660
      directory mask = 2770
      hide special files = yes
      hide files = /lost+found/
      acl group control = yes
      inherit acls = yes
      map acl inherit = yes
      inherit permissions = yes
      map archive = no
 
# Per condividere l'unità CD del server
;[cdrom]
;[cdrom]
;   comment = Samba server's CD-ROM
      ; comment = Samba server CD
;   read only = yes
      ; writable = no
;   locking = no
      ; locking = no
;   path = /cdrom
      ; path = /media/cdrom0
;   guest ok = yes
      ; public = yes


# The next two parameters show how to auto-mount a CD-ROM when the
    ; Per il mount - umount automatico del CD
# cdrom share is accesed. For this to work /etc/fstab must contain
    ; Perchè funzioni il file /etc/fstab deve contenere una
# an entry like this:
    ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0  
#
    ;preexec = /bin/mount /cdrom
#      /dev/scd0  /cdrom iso9660 defaults,noauto,ro,user   0 0
    ; postexec = /bin/umount /cdrom
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don't want to use auto-mounting/unmounting make sure the CD
# is mounted on /cdrom
#
;   preexec = /bin/mount /cdrom
;   postexec = /bin/umount /cdrom
</pre>
</pre>
Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
<pre>
<pre>
# testparm
# testparm
</pre>
</pre>
Creiamo e modifichiamo il file <code>/etc/samba/usermap</code>:
Modifichiamo anche il file <code>/etc/samba/usermap</code>:
<pre>
<pre>
# touch /etc/samba/usermap
root = DOMINIO.LOCAL\root/admin
 
Administrator = DOMINIO.LOCAL\Administrator/admin
editarecosì:
</pre>
''root = root Administrator''
e scarichiamo lo script <code>log_access_login.bash</code> che ci servirà per loggare gli accessi al dominio:
<pre>
# wget http://debian.easyteam.org/files/samba/log_access_login.bash -P /etc/samba
# chmod 700 /etc/samba/log_access_login.bash
</pre>
</pre>
Sistemiamo ora le ultime directory necessarie:
Sistemiamo ora le ultime directory necessarie:
<pre>
<pre>
# mkdir -p /var/log/samba/login-logoff
# rm -rf /etc/samba/*tdb
# rm -rf /etc/samba/*tdb
# rm -rf /var/lib/samba/*tdb
# rm -rf /var/lib/samba/*tdb
Riga 984: Riga 1 063:
e riavviamo il servizio:
e riavviamo il servizio:
<pre>
<pre>
# service smbd stop
# /etc/init.d/samba restart
# service nmbd stop
# service smbd start
# service nmbd start
</pre>
== Configurare i SMBLDAP TOOLS ==
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.<br/>
 
=== Installazione ===
Installare il pacchetto smbldap-tools
<pre>
# apt-get install smbldap-tools
</pre>
</pre>
=== Configurazione ===
Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID:
 
Modificare il file <tt>/etc/smbldap-tools/smbldap_bind.conf</tt> inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a <nowiki>"cn=admin,dc=dominio,dc=local"</nowiki>, in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.<br/>
 
Editate ''/etc/smbldap-tools/smbldap_bind.conf'':
<pre>
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="secret"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="secret"
</pre>
Recuperate il SID di DOMINIO:
<pre>
<pre>
# net getlocalsid DOMINIO
# net getlocalsid DOMINIO
DOMINIO
SID=":::::::::::::::::::::::::::::::::::"
</pre>
</pre>
Il SID va poi trascritto in smbldap.conf
Quindi andiamo a modificare il file <code>/etc/smbldap-tools/smbldap.conf</code> inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
 
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/smbldap-tools/smbldap.conf''':
<pre>
<pre>
 
SID="S-1-5-21-2318037123-1631426476-2439636316"
##############################################################################
#
# General Configuration
#
##############################################################################
 
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID=":::::::::::::::::::::::::::::::::::"
 
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="DOMINIO"
sambaDomain="DOMINIO"
 
realm="dominio.local"
 
##############################################################################
#
# LDAP Configuration
#
##############################################################################
 
# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
#  (typically a replication directory)
 
# Slave LDAP server
# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
slavePort="389"
# Master LDAP server: needed for write operations
# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify=""
# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile=""
# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert=""
# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey=""
# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=dominio,dc=local"
# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=users,${suffix}"
# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=computers,${suffix}"
# Where are stored Groups
# Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
idmapdn="ou=idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/false"
# Home directory
# Ex: userHome="/home/%U"
userHome="/home/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System User"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
#defaultMaxPasswordAge="180"
##############################################################################
#
# SAMBA Configuration
#
##############################################################################
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome=""
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile=""
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive="H:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain="milanoaccademia.lan"
##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# comment out the following line to get rid of the default banner
# no_banner="1"
</pre>
<pre>
'''Da notare:'''
* userLoginShell="/bin/false" ( In questo modo gli utenti non possono loggarsi in unix equindi neanche in ssh)
* #defaultMaxPasswordAge="180" (se volete che la password scada decommentatela ed indicata la scadenza)
* userSmbHome="" e userProfile="" (sono vuote perchè se le avete impostate già in samba non serve farlo due volte)
</pre>
'''Nota:'''
<pre>
Se volete che l'utente si logghi su unix e ssh è necessario modificare la shell con il comando:
# smbldap-usermod -s /bin/bash utente
(sempre che sia già stato fatto il popolamento,come di seguito descritto, e sempre che l'utente sia già stato creato) 
</pre>
Assegnare i permessi
<pre>
# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
</pre>
</pre>
Il resto del file va lasciato invariato.
<br/><br/>
Per poter ottenere un valido roaming profile con client windows è necessario copiare la cartella "''Default User''", che si trova in ''C:\Documents and Settings'', nella cartella ''/home/samba/netlogon''. Prima di copiarla bisogna editare il file ''NTUSER.dat'' dal registro regedit. Seguire questo procedimento:
# Start>Esegui>regedit>(posizionarsi su)HKEY_LOCAL_MACHINE
# (andare su)file>carica hive>C:\Documents and Settings\Default User\NTUSER.dat>apri>(digitare nome)Default
# (entrare in)HKEY_LOCAL_MACHINE>Default>Software>Microsoft>Windows>CurrentVersion>Explorer>User Shell Folder
# cambiare i Dati, da %USERPROFILE% a %LOGONSERVER%\profiles\%USERNAME% dei Nomi: Desktop;Favorites;History; Local AppData; Local Settings;My Pictures;Personal; PrintHood;Recent (a scelta anche Cookies e Cache). Ad esempio da %USERPROFILE%\Desktop a %LOGONSERVER%\profiles\%USERNAME%\Desktop (così per tutti i nomi)
# (posizionarsi su) Default
# (andare su) file>scarica hive
# copiare su /home/samba/netlogon la cartella "Default User" così modificata.


== Popolamento del database LDAP ==
== Popolamento del database LDAP ==
Riga 1 251: Riga 1 094:
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
{{Box | Nome - UID - Tipo |
{{Box | Nome - UID - Tipo |
Domain Admins:*:512:<br/>
Domain Administrator - 500 - Utente<br/>
Domain Users:*:513:<br/>
Domain Guest - 501 - Utente<br/>
Domain Guests:*:514:<br/>
Domain KRBTGT - 502 - Utente<br/>
Domain Computers:*:515:<br/>
Domain Admins - 512 - Gruppo<br/>
Administrators:*:544:<br/>
Domain Users - 513 - Gruppo<br/>
Account Operators:*:548:<br/>
Domain Guests - 514 - Gruppo<br/>
Print Operators:*:550:<br/>
Domain Computers - 515 - Gruppo<br/>
Backup Operators:*:551:<br/>
Domain Controllers - 516 - Gruppo<br/>
Replicators:*:552:<br/>
Domain Certificate Admins - 517 - Gruppo<br/>
Domain Schema Admins - 518 - Gruppo<br/>
Domain Enterprise Admins - 519 - Gruppo<br/>
Domain Policy Admins - 520 - Gruppo<br/>
Builtin Admins - 544 - Alias<br/>
Builtin users - 545 - Alias<br/>
Builtin Guests - 546 - Alias<br/>
Builtin Power Users - 547 - Alias<br/>
Builtin Account Operators - 548 - Alias<br/>
Builtin System Operators - 549 - Alias<br/>
Builtin Print Operators - 550 - Alias<br/>
Builtin Backup Operators - 551 - Alias<br/>
Builtin Replicator - 552 - Alias<br/>
Builtin RAS Servers - 553 - Alias<br/>
}}
}}
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
=== 1 - Utilizzo degli script forniti con smbldap-tools ===
=== 1 - Utilizzo degli script forniti con smbldap-tools ===
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <tt>smbldap-tools</tt> che abbiamo già installato:
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto <code>smbldap-tools</code> che abbiamo già installato:
<pre>
<pre>
# smbldap-populate -a root -k 0
# smbldap-populate -a root -k 0
Riga 1 286: Riga 1 142:
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.


=== 2 - Utilizzo della GUI phpLDAPadmin ===
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.<br/>
Innanzitutto bisogna collegarci con un browser al nostro server:
<pre>
https://10.0.0.11/phpldapadmin
</pre>
Cliccate sul link di login e inserite le seguenti informazioni:
<pre>
Login DN: cn=admin,dc=dominio,dc=local
Password: password
</pre>
[[Immagine:Sambapdc01.jpg|center]]<br/>[[Immagine:Sambapdc02.jpg|center]]<br/>
Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce '''Create ner entry here".
[[Immagine:Sambapdc04.jpg|center]]
Selezionate il template corretto ('''Samba3 Account''' se volete creare un nuovo utente e '''Samba3 Group Mapping''' se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
{{ Warningbox | A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete '''creare a mano''' la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi }}
Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.<br/>
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
<pre>
smbldap-passwd Administrator
</pre>
== Configurazione delle autenticazioni Unix ==
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.
=== Installazione del demone name service caching daemon (nscd) ===
=== Installazione del demone name service caching daemon (nscd) ===
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
Riga 1 295: Riga 1 175:
<pre>
<pre>
# /etc/init.d/samba restart
# /etc/init.d/samba restart
</pre>
=== Installazione di libnss-ldap ===
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
<pre>
# apt-get install libnss-ldap ldap-utils
</pre>
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
<pre>
# dpkg-reconfigure libnss-ldap
</pre>
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
* URI del Server LDAP: ''ldap:///127.0.0.1''
* Distinguished Name (DN): ''dc=dominio,dc=local''
* LDAP Version: ''3''
* Configurazione leggibile e scrivibile solo dal propietario: ''sí''
* Account LDAP per root: ''cn=admin,dc=dominio,dc=local''
* Password LDAP di root: ''mia_password''
* nsswitch non è gestito automaticamente: ''OK''
* Permettere all'account amministrativo LDAP di agire come root?: ''Sì''
* Il database LDAP richiede il login?: ''No''
* Account LDAP per root: ''cn=admin,dc=dominio,dc=local''
* Password LDAP di root: ''mia_password''
Verifichiamo che il file <code>/etc/pam_ldap.conf</code> contenga almeno:
<pre>
host 127.0.0.1
base dc=dominio,dc=local
uri ldap://127.0.0.1/
</pre>
<br/>
Assicuriamoci che l'uri sia settato correttamente in ''/etc/default/slapd'' alla voce ''SLAPD_SERVICES = ldap://10.0.0.10:389''.
<br/><br/>
A questo punto bisogna modificare il file <code>/etc/nsswitch.conf</code> come indicato dall'installer. Prima però ne facciamo una copia di backup.
<pre>
# cp -pf /etc/nsswitch.conf /etc/nsswitch.conf.orig
# nano /etc/nsswitch.conf
</pre>
Cambiamo le righe:
<pre>
passwd: compat
group: compat
shadow: compat
</pre>
con
<pre>
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns ldap
netgroup: ldap
</pre>
Il contenuto del file dovrebbe essere il seguente:<br/>
'''/etc/nsswitch.conf'''
<pre>
# /etc/nsswitch.conf
#Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns ldap
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: ldap
</pre>
{{ Warningbox | Modificando in maniera sbagliata il file precedente rischiate di bloccare ogni forma di autenticazione sul server, compreso l'utente '''root'''. E' fondamentale avere una copia di backup del file, da poter ripristinare attraverso una distribuzione Live o attraverso il Rescue Mode del Debian Installer }}
<br/>
Modificate inotre il file '''/etc/libnss-ldap.conf''', decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
<pre>
# cp -pf /etc/libnss-ldap.conf /etc/libnss-ldap.conf.orig
# nano /etc/libnss-ldap.conf
</pre>
<pre>
host 127.0.0.1
base dc=dominio,dc=local
ldap_version 3
scope one
pam_filter objectclass=posixaccount
pam_login_attribute uid
pam_member_attribute gid
bind_policy soft
pam_password exop
nss_base_passwd ou=Users,dc=dominio,dc=local?sub
nss_base_passwd ou=Computers,dc=dominio,dc=local?sub
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one
</pre>
<br/>
A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
<pre>
...
udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server
udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable
udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek
...
</pre>
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
<pre>
# addgroup --system tss
# addgroup --system kvm
# addgroup --system rdma
# addgroup --system fuse
# addgroup --system scanner
# addgroup --system nvram
# adduser --system tss
</pre>
=== Installazione di libpam-ldap ===
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
<pre>
# apt-get install libpam-ldap
# dpkg-reconfigure libpam-ldap
</pre>
rispondendo in questo modo alle domande poste dall'installer:
* URI Server LDAP: ''ldap:///127.0.0.1''
* Distinguished name (DN): ''dc=dominio,dc=local''
* LDAP version: ''3''
* Permettere all'account amministrativo LDAP di agire come root?: ''sí''
* Il database LDAP richiede login?: ''no''
* LDAP account for root: ''cn=admin,dc=dominio,dc=local''
* LDAP root password: ''mia_password''
* Local crypt to use when changing passwords: ''cifrato''
* PAM profiles to enable: ''selezionare tutto''
Modificate come segue il file '''/etc/pam_ldap.conf''':
<pre>
# cp -pf /etc/pam_ldap.conf /etc/pam_ldap.conf.orig
# nano /etc/pam_ldap.conf
</pre>
<pre>
bind_policy soft
nss_base_passwd dc=dominio,dc=local?sub
nss_base_shadow dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one
</pre>
=== Sicurezza del server: configurazione di Pam ===
Il metodo migliore per evitare che gli utenti indiscriminatamente si logghino sul server è configurare correttamente ''PAM''. Dopo aver effettuato delle copie di backup:
<pre>
# cd /etc/pam.d
# cp -pf common-account common-account.orig
# cp -pf common-auth common-auth.orig
# cp -pf common-password common-password.orig
# cp -pf common-session common-session.orig
</pre>
andiamo quindi a modificare i quattro files che gestiscono la configurazione di ''pam'' per LDAP in modo che il loro contenuto sia:<br/><br/>
'''/etc/pam.d/common-account'''<br/>
<pre>
#/etc/pam.d/common-account - authorization settings common to all services
account sufficient pam_ldap.so
account required pam_unix.so
</pre>
<br/>
'''/etc/pam.d/common-auth'''<br/>
<pre>
# /etc/pam.d/common-auth - authentication settings common to all services
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
</pre>
<br/>
'''/etc/pam.d/common-password'''<br/>
<pre>
# /etc/pam.d/common-password - password-related modules common to all services
password sufficient pam_ldap.so md5
password required pam_unix.so nullok obscure md5
</pre>
<br/>
'''/etc/pam.d/common-session'''<br/>
<pre>
session    sufficient      pam_ldap.so
session    required        pam_unix.so
</pre>
Infine verifichiamo la password di root di OpenLDAP con i comandi:
<pre>
# less /etc/libnss-ldap.secret
# less /etc/pam_ldap.secret
</pre>
</pre>


Riga 1 312: Riga 1 372:


== Assegnazione dei permessi agli utenti di dominio ==
== Assegnazione dei permessi agli utenti di dominio ==
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi a gruppi di dominio o a utenti se è specifico per quell'utente:
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
<pre>
<pre>
net -S server -U root rpc rights grant "DOMINIO\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins"  
SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege  
SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
</pre>
</pre>
<pre>
<pre>
net -S server -U root rpc rights grant "DOMINIO\rossi" SePrintOperatorPrivilege
net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege
</pre>
</pre>
dove server in questo caso è il netbios name di Samba.
dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga.
 
== Aggiungere i primi utenti di dominio ==
== Aggiungere i primi utenti di dominio ==
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Il pacchetto smbldap-tools presente in Squeeze, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid.
Adesso siamo pronti per la creazione del primo utente con il comando:
Adesso siamo pronti per la creazione del primo utente con il comando:
<pre>
<pre>
Riga 1 345: Riga 1 408:
<br/>
<br/>
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di '''creare a mano''' le homes directory:
Ogni utente deve essere aggiunto ad un gruppo per prendere le credenziali, perciò non dimentichiamo di dare sempre il comando:
<pre>
<pre>
# smbldap-usermod -G "NomeGruppo" nome.utente
# mkdir /home/users/nome.utente
</pre>
# cp /etc/skel/.* /home/users/nome.utente/
Ricordate di creare la cartella del roaming profile altrimenti al log in vi darà errore e il profilo non partirà:
# chown -R nome.utente /home/users/nome.utente
<pre>
# mkdir -p /home/samba/profiles/%u (%u=nome utente)
# chown -R "%u":"Domain Users" /home/samba/profiles/%u
# chmod 700 /home/samba/profiles/%u
</pre>
</pre>


== Script per la creazione utenti ==  
== Creazione di un semplice script da eseguire al login di windows ==
per facilitare la vita a tutti ho creato uno script che con un solo comando vi assegna i permessi, crea gli utenti, crea la cartella profiles e aggiunge l'utente al gruppo Domain Users:
E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
<pre>
<pre>
# touch /home/samba/adduser.sh
# apt-get install tofrodos
</pre>
</pre>
editiamolo così:
creiamo lo script con l'editor che preferiamo
 
<pre>
<pre>
#!/bin/bash
# vim /dominio/netlogon/logon.bat
/usr/sbin/smbldap-useradd -a -m -c "${2}" "${1}"
/usr/sbin/smbldap-usermod -G "Domain Users" "${1}"
USER_PROFILE="/srv/samba/profiles/"${1}""
/bin/mkdir -p "${USER_PROFILE}"
/bin/chown -R "${1}":"Domain Users" "${USER_PROFILE}"
/bin/chmod 700 "${USER_PROFILE}"
USER_HOME="/home/"${1}""
/bin/chown -R "${1}":"Domain Users" "${USER_HOME}"
/bin/chmod 700 "${USER_HOME}"
/usr/sbin/smbldap-passwd "${1}"
</pre>
</pre>
Verificate i percorsi dei comandi in quanto possono cambiare da versione a versione.
syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
Dare l'esecuzione:
<pre>
<pre>
# chmod +x /home/samba/adduser.sh
net time %LOGONSERVER% /set /yes
net use X: \\SERVER\Nome_Condivisione
</pre>
</pre>
 
infine
Ora non vi resta altro che eseguire:
<pre>
<pre>
# /home/samba/adduser.sh utente "Nome Cognome utente" (vanno scritte anche le "")
# todos /dominio/netlogon/logon.bat
# PASSWORD: .......
</pre>
</pre>
L'utente è così creato.
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni.
Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.
 
== Test e connessione al dominio ==
== Test e connessione al dominio ==
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.<br/>
Riga 1 419: Riga 1 466:
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
# Scaricare da Samba.org la patch per il registro WinXP_SignOrSeal. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
# A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
*'''Windows Vista'''
*'''Windows Vista'''
# Non ancora testato.
# Non ancora testato.
*'''Windows 7'''
*'''Windows 7'''
Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida.
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
# Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
<pre>
<pre>
Riga 1 430: Riga 1 478:
DWORD  DNSNameResolutionRequired = 0
DWORD  DNSNameResolutionRequired = 0
</pre>
</pre>
Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7
<br/>
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.
== Backup e restore del database LDAP ==
Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare '''sempre''' un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.
=== Offline Physical Backup ===
Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.
# Stopare il server LDAP: <code>/usr/sbin/rcldap stop</code>
# Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
# Riavviare il server LDAP: <code>/usr/sbin/rcldap start</code>
=== Offline Logical Backup ===
Questo tipo di backup, noto anche come '''database dump''' richiede sempre l'arresto del servizio LDAP:
# <code>/usr/sbin/rcldap stop</code>
# <code>slapcat >ldap.\$(date +'\%Y\%m\%d-\%T')</code> Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
# <code>/usr/sbin/rcldap start</code>
=== Online Backup ===
Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.
# <code>ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')</code><br/>
dove <code>LDAPServer</code> è il nome del server e <code>baseDN</code> è il distinguished name (DN) della struttura LDAP, nel nostro caso <code>dc=dominio,dc=local</code>
=== Database Restore ===
# Per ripristinare un offline backup:
## <code>/usr/sbin/rcldap stop</code>
## copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
## <code>slapadd -l nome_del_backupfile</code> (Se Offline Logical Backup)
## <code>/usr/sbin/rcldap start</code>
# Per ripristinare un online backup:
## <code>ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile</code><br/>
dove <code>adminDN</code> è nel nostro caso dn=admin,dc=dominio,dc=local


== Replica del database LDAP su un altro server ==
== Replica del database LDAP su un altro server ==
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.<br/>
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.
In tal caso suggerisco di seguire [[Implementare un'architettura ridondante master/slave OpenLDAP | questa guida]], nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.


== db4 ==
== db4 ==
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare:
<pre>
<pre>
# apt-get install db4.2-util
# apt-get install db4.8-util
</pre>
</pre>
Questo pacchetto contiene l'utility db4.2_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
Questo pacchetto contiene l'utility db4.8_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.
<br/>
<br/>
 
== Interfacce web alternative per OpenLDAP ==
== Installazione di una interfaccia grafica per amministrare OpenLDAP ==
Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.<br/>
* '''LDAP-Account-Manager'''
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su '''phpldapadmin''', che sembra essere la più diffusa.<br/>
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
=== Installazione dei prerequisiti ===
Installiamo per prima cosa alcuni moduli di PHP necessari:
<pre>
<pre>
apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite
apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash
php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
</pre>
</pre>
{{ Warningbox | Il comando precedente va scritto in un'unica riga }}
Una volta installato, collegatevi col vostro browser all'indirizzo:
=== Installazione di PHPLdapAdmin ===
Ora possiamo installare phpldapadmin:
<pre>
<pre>
# apt-get install phpldapadmin
http://ip_vostro_server/lam
</pre>
 
Configurare il file '''/etc/phpldapadmin/config.php''':<br/>
[[Immagine:Confphp.jpg]]<br/>
Controllate che siano decommentate e  configurate le stringhe $Server.<br/>
Scaricare il tool mkntpwd, poi bisogna scompattarlo, compilarlo e configurarlo:
<pre>
# wget
# apt-get install build-essential
# tar -zxf mkntpwd.tar.gz
# cd mkntpwd
# make
# cp mkntpwd /usr/local/bin
# mkntpwd
</pre>
</pre>
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
Prima di effettuare il login, cliccate sulla voce '''LAM configuration''', scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:
 
* la voce '''Tree Suffix''' con il DN del vostro dominio: dc=dominio,dc=local
Dopo aver riavviato apache2, eseguire il seguente comando nel browser:
* la voce '''List of valid users''' con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local
* la voce Password con la password di Administrator del dominio
Quindi cliccate su '''Edit Account Types''' e modificate le voci come segue:
* al posto di People sostituite Users
* al posto di group sostituite Groups
* al posto di machines sostituite Computers
* eliminate l'indicazione ou=domains nella voce Samba Domains
Date infine OK a questa schermata e OK alla successiva.<br/>
Come ultima cosa cliccate sulla voce '''LAM configuration''', scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.<br/>
Ora siete pronti per effettuare il login in LDAP Account Manager.<br/>
* '''GOsa'''
''To do''
* '''Luma'''
Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando:
<pre>
<pre>
# http://localhost/phpldapadmin/
apt-get install luma
</pre>
</pre>


== Comandi utili e consigli finali ==
== Comandi utili e consigli finali ==
Riga 1 553: Riga 1 624:
</pre>
</pre>
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.
== Per approfondimenti ==
== Per approfondimenti ==
=== Debianizzati ===
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
[[Samba e OpenLDAP: creare un controller di dominio con Debian Etch]]<br/>
Riga 1 559: Riga 1 632:
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Implementare un'architettura ridondante master/slave OpenLDAP]]<br/>
[[Scansione antivirus con ClamAV su condivisioni Samba]]<br/>
[[Samba: guida estesa]]<br/>
[[Accedere alle condivisioni Samba dal browser]]<br/>
[[Samba: creare un cestino di rete per le condivisioni]]<br/>
[[Creare un Cestino di rete per le condivisioni Samba]]<br/>
[[ClamAV: scansione antivirus delle condivisioni Samba]]<br />
<br/>
<br/>
<br/>
 
: [[Utente:Gigipin|Gigipin]]
{{Autori
----
|Autore = [[Utente:Ferdybassi|Ferdybassi]]
[[Categoria:Server]]
}}
[[Categoria:Networking]]
 
[[Categoria:Reti con Windows]][[Categoria:Samba]]

Versione attuale delle 09:06, 23 apr 2016

Samba
Arrow left.png

Condivisione risorse

Controller di dominio

Altro

Arrow right.png
Debian-swirl.png Versioni Compatibili

soltanto:
Debian 6 "squeeze"

Introduzione

Guide simili per precedenti versioni di Debian o altre distribuzioni linux:

Vedremo questa volta come installare un server basato su Debian Squeeze e Samba 3 con backend di un database LDAP, affinché funga da Primary Domain Controller di una rete Windows. Lo stesso server LDAP verrà utilizzato anche per la gestione in contemporanea degli utenti Unix, in modo da avere un controllo unico e centralizzato sia sugli utenti Windows sia sugli utenti Linux.
Verranno illustrati due metodi di gestione del database LDAP, uno basato sui tools smbldap-tools e uno basato su interfaccia grafica in PHP.
Consiglio vivamente di prepararsi una buona tazza di caffé e di armarsi di pazienza e di molta attenzione, dato che un errore di battitura in qualche file di configurazione può mandare in rovina l'intero lavoro: poichè che i files da modificare saranno molti, di certo risulterebbe molto difficile e molto lungo andare a caccia di eventuali errori.

Sistema installato e prerequisiti

Il presente HOWTO è stato realizzato utilizzando un sistema Debian 6.0 Squeeze con tutti gli aggiornamenti di sicurezza ufficiali. La configurazione iniziale del sistema prevede un'installazione base Debian net install con in più:

Si suppone per comodità che tutti i servizi (LDAP, LAMP, DNS) risiedano sullo stesso server.
Durante tutto il processo si presuppone di agire come utente root.

Parametri di rete utilizzati

In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:

  • Nome del server: server
  • Nome del dominio: dominio.local
  • Nome NETBIOS del dominio: DOMINIO
  • Classe IP: 10.0.0.0 / 255.255.255.0
  • IP Server: 10.0.0.10
  • Password di root: mia_password
  • Password Administrator del dominio: mia_password
  • Password admin di LDAP: mia_password

Questi parametri vanno ovviamente adattati alle vostre esigenze.

Installazione del server LDAP

Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento. Se si è interessati ad un'implementazione sicura del protocollo LDAP si veda ad esempio la guida Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny, che è basata sulla guida che state leggendo, ma che introduce e analizza una serie di aspetti legati alla trasmissione e all'archiviazione sicura delle informazioni.
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione. 

# apt-get install slapd ldap-utils samba-doc

Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verrà richiesto il nome del dominio che può essere un dominio interno completamente inventato (es. miodominio.tld) o un dominio internet valido. La scelta è legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato è dominio.local, un dominio interno non valido per Internet. In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando: 

# dpkg-reconfigure slapd

Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:

  • Omettere la configurazione di OpenLDAP: no
  • Nome del dominio: dominio.local
  • Nome dell'organizzazione: DOMINIO
  • Password di admin: mia_password
  • Conferma password: mia_password
  • Motore database da utilizzare: BDB
  • Cancellare il database quando si effettua il purge di slapd: no
  • Spostare il vecchio database: sì
  • Permettere LDAPv2: sì (potete anche mettere no)

Per verificare il corretto funzionamento del servizio, dare il comando: 

# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere "ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.

Installazione di una interfaccia grafica per amministrare OpenLDAP

Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su phpldapadmin, che sembra essere la più diffusa.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.

Installazione dei prerequisiti

Installiamo per prima cosa alcuni moduli di PHP necessari: 

# apt-get install libapache2-mod-php5 php5 php5-cli php5-curl php5-gd php5-imap php5-ldap php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools

Installazione di PHPLdapAdmin

Ora possiamo installare phpldapadmin: 

# apt-get install phpldapadmin

Configurare il file /etc/phpldapadmin/config.php: 

*********************************************
* Define your LDAP servers in this section  *
*********************************************

$servers = new Datastore();

$servers->newServer('ldap_pla');

$servers->setValue('server','name','DOMINIO Server');

$servers->setValue('server','host','127.0.0.1');

$servers->setValue('server','base',array('dc=dominio,dc=local'));

$servers->setValue('login','auth_type','session');

Controllate che siano decommentate e configurate le stringhe $Server.
Per verificare la corretta installazione del pacchetto, aprite il browser su: 

https://10.0.0.11/phpldapadmin

Dovreste essere accolti dalla schermata iniziale di Phpldapadmin.
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo: 

# wget http://debian.easyteam.org/files/samba/mkntpwd.tar.gz

Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo: 

# apt-get install build-essential
# tar -zxf mkntpwd.tar.gz
# cd mkntpwd
# make
# cp mkntpwd /usr/local/bin
# mkntpwd

L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.

Installazione di Samba

L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo. 

# apt-get install samba smbclient smbfs samba-doc swat resolvconf

La versione di Samba nei repository di Squeeze supporta solo parzialmente il login di client Windows 7 e Windows Server 2008, introdotto in Debian con il ramo 3.4. Se vi fosse la necessità di inserire client Windows 7 o Windows Server 2008 nel dominio Samba che stiamo creando, la soluzione è configurare il repository Backports per Squeeze (si veda: Il_repository_Backports) e installare da lì una versione di Samba più aggiornata: 

# apt-get -t squeeze-backports install samba smbclient smbfs samba-doc swat resolvconf

Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:

  • Nome del Dominio/Workgroup: DOMINIO
  • Utilizzare password cifrate: SI
  • Utilizzare DHCP per i nomi Netbios: NO

Non preoccupatevi per eventuali errori, perchè tutta la configurazione verrà ripresa in un secondo momento.

Configurare i SMBLDAP TOOLS

I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.

Installazione

Installare il pacchetto smbldap-tools 

# apt-get install smbldap-tools

Configurazione

Nei doc di smbldap-tools possiamo trovare uno script che ci consente di creare i files di configurazione in modo veloce ed automatico: 

gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
perl /usr/share/doc/smbldap-tools/configure.pl

Verranno replicate tutte le configurazioni presenti in samba, se c'è qualòcosa di sbagliato non confermate con invio, ma scrivete la modifica da apportare direttamente e poi date invio.
Tuttavia, dato che non mi fido molto degli script, nel seguito della guida verranno date le indicazioni per procedere ad una configurazione manuale.

Copiare inannzitutto i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools. 

# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN dell'amministratore del server LDAP e la sua password. Il DN dell'amministratore è stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=dominio,dc=local", in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP. La password è quella richiesta in fase di installazione del server LDAP.
Se non si è sicuri del DN da inserire lanciare il comando: 

# slapcat

e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno: 

slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="password"

Il contenuto del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap_bind.conf: 

############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=dominio,dc=local"
slavePw="mia_password"
masterDN="cn=admin,dc=dominio,dc=local"
masterPw="mia_password"

Eseguire ora il comando: 

# net getlocalsid

e copiare o prendere nota del codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf inserendo il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). 

SID="S-1-5-21-2318037123-1631426476-2439636316"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"

Verificare che il TLS sia disabilitato. 

ldapTLS="0"

Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (DOMINIO). 

suffix="dc=dominio,dc=local"
sambaUnixIdPooldn="sambaDomainName=DOMINIO,${suffix}"

Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente: 

defaultMaxPasswordAge="180"

Questo parametro è poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles. 

userSmbHome="\\SERVER\homes\%U"
userProfile="\\SERVER\profiles\%U"

SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando; lo stesso nome che verrà impostato più avanti nel file di configurazione di Samba). In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il seguente parametro: 

userScript="logon.bat"

Tale impostazione può essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati. 

mailDomain="dominio.local"

Il contenuto completo del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap.conf: 

#
# Purpose :
# . be the configuration file for all smbldap-tools scripts
##############################################################################
##
General Configuration
# ##############################################################################
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-125945932-740595490-3132273231"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
sambaDomain="DOMINIO"
realm="DOMINIO.LOCAL"

##############################################################################
#
# LDAP Configuration
#
##############################################################################
# Slave LDAP server
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
# Master LDAP server: needed for write operations
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
verify=""
# CA certificate
cafile=""
# certificate to use to connect to the ldap server
clientcert=""
# key certificate to use to connect to the ldap server
clientkey=""
# LDAP Suffix
suffix="dc=dominio,dc=local"
# Where are stored Users
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
#idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
userLoginShell="/bin/false"
# Home directory
userHome="/dominio/homes/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System Computer"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="180"
##############################################################################
##
SAMBA Configuration
# ##############################################################################
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
userSmbHome="\\SERVER\homes\%U"
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\SERVER\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
userHomeDrive="Z:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="dominio.local"
##############################################################################
#
# SMBLDAP-TOOLS Configuration
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce: 

userLoginShell="/bin/false"

E' stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue: 

userLoginShell="/bin/bash"

Terminate le modifiche al file, bisogna cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP, scritta in chiaro nel file di configurazione precedentemente modificato. 

# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf


Configurazione del server LDAP

Passiamo ora alla configurazione del server LDAP.
La versione utilizzata di OpenLdap ha come sistema di configurazione la cartella slapd.d ubicata in /etc/ldap/slapd.d ed è stato quindi soppresso il precedente file di configurazione slapd.conf. La differenza non è di poco conto: il vecchio file di configurazione era statico e perciò richiedeva sempre lo stop del demone slapd. Il nuovo è dinamico e permette perciò la modifica on the fly della configurazione del demone.
Il vecchio metodo di configurazione sarà in futuro abbandonato; raccomando quindi di utilizzare il nuovo sistema, a meno che non sussistano pesanti vincoli di compatibilità con vecchie strutture dati.
In questa guida verrà quindi utilizzato slapd.d come metodo di default, ma ricordo che in /etc/default/slapd si può impostare il vecchio sistema slapd.conf, oppure si può convertire un vecchio database slapd.conf in slapd.d con il comando: 

# slaptest -f /etc/ldap/slapd.conf -F /etc/ldap/slapd.d

Un esempio di configurazione con il vecchio slapd.conf sarà riportato nel capitolo seguente della guida.

Configurazione del server LDAP con slapd.d

Innanzitutto effettuiamo un backup di LDAP: 

# slapcat > ~/slapd.ldif

o più semplicemente 

# cp -R /etc/ldap/slapd.d /etc/slapd.d.backup

Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA. 

# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

Creiamo il file schema_convert.conf: 

# touch /tmp/schema_convert.conf
# nano /tmp/schema_convert.conf

e editiamolo in questa maniera: 

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/samba.schema

Salviamo il file e creiamo una directory temporanea per gli output di slapcat: 

# mkdir /tmp/ldif_output
# slapcat -f /tmp/schema_convert.conf -F /tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > /tmp/samba.ldif
# nano /tmp/samba.ldif

e modifichiamo il file come segue: 

dn: cn=samba,cn=schema,cn=config
...
cn: samba

Rimuoviamo le stringhe a fondo pagina: 

structuralObjectClass: olcSchemaConfig
entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95
creatorsName: cn=config
createTimestamp: 20080827045234Z
entryCSN: 20080827045234.341425Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20080827045234Z

Salviamo tutto e copiamolo in /etc/ldap/schema: 

# cp /tmp/samba.ldif /etc/ldap/schema

Quindi generate l'hash SSHA della password di root di LDAP: 

# slappasswd

e prendete nota del risultato.
Impostiamo la password di amministratore per configurare l'albero di directory LDAP: 

# ldapmodify -Y EXTERNAL -H ldapi:///

La risposta sarà: 

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0

Inseriamo le seguenti righe: 

dn: olcDatabase={0}config,cn=config
add: olcRootPW
olcRootPW: {SSHA}XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

terminando con Ctrl+D.
Ora occorre aggiungere gli schemi che ci serviranno per la configurazione: 

ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba.ldif

Creiamo il file module.ldif per aggiungere il modulo del backend: 

# touch /tmp/module.ldif
# nano /tmp/module.ldif

editandolo così: 

dn: olcDatabase={1}bdb,cn=config
changetype: modify
replace: olcSuffix
olcSuffix: dc=dominio,dc=local
-
replace: olcRootDN
olcRootDN: cn=admin,dc=dominio,dc=local
-
replace: olcAccess
olcAccess: to attrs=userPassword,SambaLMPassword,SambaNTPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory by dn="cn=admin,dc=dominio,dc=local" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read by self write
olcAccess: to * by dn="cn=admin,dc=dominio,dc=local" write by * read by self write
-

Aggiungiamo alla configurazione il backend in questo modo: 

#ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/module.ldif

e controlliamo che tutto sia andato a buon fine: 

# ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W olcDatabase={1}bdb

Ora aggiungiamo le informazioni per una corretta indicizzazione: 

# touch /tmp/index.ldif
# nano /tmp/index.ldif

editando il file così: 

dn: olcDatabase={1}bdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uidNumber eq
olcDbIndex: gidNumber eq
olcDbIndex: loginShell eq
olcDbIndex: uid eq,pres,sub
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: uniqueMember eq,pres
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaDomainName eq
olcDbIndex: default sub

e aggiungendolo alla configurazione di LDAP: 

# ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/index.ldif

Infine editiamo il file /etc/ldap/slapd.d/cn=config.ldif così: 

olcLogLevel: 1 2 8 64 128 256 512
olcAuthzPolicy: none
olcAuthzRegexp: uid=(.*),cn=.*,cn=auth ldap:///dc=dominio,dc=local??sub?(uid=$1)

Riavviamo infine il demone slapd: 

# /etc/init.d/slapd restart

Verifichiamo un'ultima volta che tutto funzioni correttamente: 

# ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

Configurazione di LDAP con il vecchio metodo slapd.conf (Deprecato)

Innanzitutto indichiamo a LDAP che vogliamo utilizzare il vecchio metodo di configurazione. Apriamo il file: 

# nano /etc/default/slapd

e modifichiamo la riga seguente: 

# SLAPD_CONF=""
SLAPD_CONF="/etc/ldap/slapd.conf"

Quindi effettuiamo un backup di LDAP: 

# slapcat > ~/slapd.ldif

Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA. 

# wget http://debian.easyteam.org/files/samba/hdb.schema -P /etc/ldap/schema/
# wget http://debian.easyteam.org/files/samba/qmailuser.schema -P /etc/ldap/schema/
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

Quindi generate l'hash MD5 della password di root di LDAP: 

# slappasswd -h {MD5}

e prendete nota del risultato.
Ora occorre modificare il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo nella sezione Schema and objectClass definitions lo schema per samba: 

include /etc/ldap/schema/samba.schema

Nella sezione Indexing options aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA: 

index objectClass eq,pres
index uid,uidNumber,gidNumber,memberUid 	eq,pres
index ou,cn,mail,surname,givenname	eq,pres,sub
index loginShell                        eq,pres
index displayName                       pres,sub,eq
index nisMapName,nisMapEntry            eq,pres,sub
index sambaSID	eq
index sambaPrimaryGroupSID	eq
index sambaDomainName	eq
index sambaGroupType eq
index sambaSIDList eq
index uniqueMember eq
index default                           sub

Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga: 

access to attribute=userPassword

con: 

access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet

Infine aggiungere le informazioni per l'autenticazione: 

rootdn          "cn=admin,dc=dominio,dc=local"
rootpw          {MD5}Qhz9FD5FDD9YFKBJVAngcw==

Il contenuto del file dovrebbe essere il seguente:
/etc/ldap/sdapd.conf: 

#######################################################################
# Global Directives:
#sizelimit 20
timelimit -1
threads 8

# Features to permit
allow bind_v2

# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/qmailuser.schema
include         /etc/ldap/schema/samba.schema
#include         /etc/ldap/schema/hdb.schema

# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid

# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args

# Read slapd.conf(5) for possible values
loglevel        none

# Where the dynamically loaded modules are stored
modulepath      /usr/lib/ldap
moduleload      back_bdb

# The maximum number of entries that is returned for a search operation
sizelimit 500

# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1

#######################################################################
# Specific Backend Directives for bdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend         bdb

#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend                <other>

#######################################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database        bdb

# The base of your directory in database #1
suffix          "dc=dominio,dc=local"

# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
rootdn          "cn=admin,dc=dominio,dc=local"
rootpw          {MD5}8Fy5aWO9Ks1d5nFGx3aQ3D==

# Where the database file are physically stored for database #1
directory       "/var/lib/ldap"

# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.
dbconfig set_cachesize 0 2097152 0
# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500

# Indexing options for database #1
#index           objectClass eq
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index cn                    pres,sub,eq
index sn                    pres,sub,eq
index uid                   pres,sub,eq
index displayName           pres,sub,eq
index uidNumber             eq
index gidNumber             eq
index memberUID             eq
index sambaSID              eq
index sambaPrimaryGroupSID  eq
index sambaDomainName       eq
index mailHost              eq
index givenName             pres,sub,eq
index default               sub

# Password Hash Definition
password-hash {MD5}

# Overlay Unique
#overlay unique
#unique_uri ldap:///ou=Users,dc=dominio,dc=local?uidNumber,cn?sub
#unique_uri ldap:///ou=Groups,dc=dominio,dc=local?gidNumber,cn?sub

# Save the time that the entry gets modified, for database #1
lastmod         on

# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint      512 30
# Where to store the replica logs for database #1
# replogfile    /var/lib/ldap/replog


##########################################################
# Configurazione dei permessi per i vari utenti
# del'albero LDAP
############################################################

# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
#access to attrs=userPassword,shadowLastChange
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory
        by dn="cn=admin,dc=dominio,dc=local" write
        by anonymous auth
        by self write
        by * none

# Everyone must be able to read password expiry attributes,
# if you are not granting rootdn access to workstations.
# Otherwise, the client system won't be able to know if
# user's password has expired, and will prompt him/her to
# change his/her password everytime he/she logs in.
# The owner must also be able to write it when he/she
# changes his/her own password.
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
        by dn="cn=admin,dc=dominio,dc=local" write
        by self write
        by * read

# Ensure read access to the base for things like
# supportedSASLMechanisms.  Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read

# The admin dn has full write access, everyone else
# can read everything.
access to *
        by dn="cn=admin,dc=dominio,dc=local" write
        by * read

# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
#        by dn="cn=admin,dc=dominio,dc=local" write
#        by dnattr=owner write

#######################################################################
# Specific Directives for database #2, of type 'other' (can be bdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database        <other>

# The base of your directory for database #2
#suffix         "dc=debian,dc=org"

Possiamo far ripartire slapd affinché tutte le modifiche apportate siano prese in considerazione. 

# /etc/init.d/slapd stop
# rm -rf /var/lib/ldap/*
# slapadd -l ~/slapd.ldif
# slapindex
# chown -Rf openldap:openldap /var/lib/ldap
# /etc/init.d/slapd start

Si può controllare che il server sia correttamente partito eseguendo una query con i comandi: 

# slapcat
# ldapsearch -x

La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di slapd può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard debian con il comando: 

# slapd -d 256

In tal modo viene avviato visualizzando varie informazioni di debug a video.

Configurazione di Samba

Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file /etc/smbldap-tools/smbldap.conf, quindi è bene stare attenti a non commettere errori.

# mkdir /dominio
# mkdir /dominio/homes
# mkdir /dominio/profiles
# mkdir /dominio/netlogon
# mkdir /dominio/pubblica

La configurazione di Samba si riduce a modificare il file /etc/samba/smb.conf. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti: 

# mv /etc/samba/smb.conf /etc/samba/smb.conf.original
# touch /etc/samba/smb.conf
# nano /etc/samba/smb.conf

/etc/samba/smb.conf: 

[global]
   ### Configurazione di base del server ###
       workgroup = DOMINIO
       netbios name = SERVER
       realm = dominio.local
       server string = server - dominio PDC server - Samba %v
       case sensitive = No
       username map = /etc/samba/usermap

   ### Imposto il server come controller di dominio ###
       os level = 255
       preferred master = yes
       local master = yes
       domain master = yes
       domain logons = yes
       admin users = Administrator root @"Domain Admins"
       time server = yes

   ### Networking ###
       interfaces = eth0, eth1, lo
       bind interfaces only = yes

   ### Opzioni di connessione e sicurezza. Configurazione Wins ###
       security = user
       guest ok = no
       map to guest = Bad User
       encrypt passwords = yes
       null passwords = no
       hosts allow = 127.0.0.1 10.0.0.0/255.255.255.0
       wins support = yes
       idmap uid = 10000-90000
       idmap gid = 10000-90000
       idmap backend = ldap:ldap://127.0.0.1
       name resolve order = wins lmhosts host bcast
       dns proxy = no
       time server = yes
       socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
       keepalive = 20
       preserve case = yes
       short preserve case = yes

   ### Configuro Winbind
       winbind uid = 10000-90000
       winbind gid = 10000-90000
       winbind enum users = yes
       winbind enum groups = yes
       winbind separator = +
       password server = 10.0.0.11
       winbind use default domain = Yes
       encrypt passwords = yes

   ### Impedisco gli errori getpeername dei client XP
       smb ports = 139

   ### Configurazione dei log ###
       log file = /var/log/samba/log.%m
       log level = 2 passdb:6 auth:10 vfs:5 acls:3 msdfs:3
       max log size = 5000
       syslog = 0

   ### Impostazione charset corretto ###
       hide unreadable = yes
       hide dot files = yes
       unix charset = ISO8859-1
       dos charset = UTF-8
       display charset = UTF-8

       panic action = /usr/share/samba/panic-action %d

   ### Configurazione del supporto a LDAP ###
       passdb backend = ldapsam:ldap://127.0.0.1
       ldap suffix = dc=dominio,dc=local
       ldap machine suffix = ou=Computers
       ldap user suffix = ou=Users
       ldap group suffix = ou=Groups
       ldap idmap suffix = ou=Idmap
       ldap admin dn = cn=admin,dc=dominio,dc=local
       enable privileges = yes
       ldap delete dn = Yes
       ldap ssl = no

   ### Permetto il cambio password da Windows
   ### Nota: con questa configurazione gli utenti non potranno
   ### effettuare il login sulla shell del server, ma solo
   ### dai client XP
       ldap password sync = yes
       pam password change = Yes
       unix password sync = No
       obey pam restrictions = yes

   ### Profili mobili, directory home, script di logon ###
       logon home = \\%L\homes\%U\
       logon drive = H:
       logon path = \\%L\profiles\%U
       logon script = logon.bat

   ### Script LDAP per gestione utenti e gruppi ###
       passwd program = /usr/sbin/smbldap-passwd %u
       passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authen$
       add user script = /usr/sbin/smbldap-useradd -m "%u"
       ldap delete dn = Yes
       delete user script = /usr/sbin/smbldap-userdel "%u"
       add machine script = /usr/sbin/smbldap-useradd -w "%u"
       add group script = /usr/sbin/smbldap-groupadd -p "%g"
       delete group script = /usr/sbin/smbldap-groupdel "%g"
       add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
       delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
       set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

   ### Comando per loggare login e logoff (Legge amministratore di sistema)
       root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u"$
       root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u$

   ### Sistema di stampa ###
       load printers = yes
       printcap name = /etc/printcap
       printing = cups
       printcap name = cups
      ; Se desidero che solo il gruppo indicato possa amministrare le stampanti
      ; NOTA: il gruppo deve essere creato nella struttura LDAP
      ;printer admin = @sambaadmins


   ### Condivisioni ###

### Percorso degli script di logon
[netlogon]
       comment = Network Logon Service
       path = /dominio/netlogon
       guest ok = no
       writable = yes
       browseable = no
       share modes = no
       admin users = @"Domain Admins"

### Percorso per i roaming profiles
[profiles]
       comment = Profili degli utenti
       path = /dominio/profiles
       writeable = yes
       browseable = no
       guest ok = no
       hide files = /desktop.ini/ntuser.ini/NTUSER.*/
       create mask = 0600
       directory mask = 0700
       csc policy = disable
       profile acls = Yes

### Condivisione stampanti
[printers]
       comment = Stampanti
       browseable = no
       path = /var/spool/samba
       printable = yes
       public = no
       writable = no
       create mode = 0700

### I client Windows si aspettano questa cartella come fonte per i drivers
[print$]
       comment = Drivers delle stampanti
       path = /var/lib/samba/printers
       browseable = yes
       read only = yes
       guest ok = no

### Home folders degli utenti
[homes]
      path = /dominio/homes/%U
      comment = Home directory
      browseable = no
      writeable = yes
      valid users = %S
      read only = no
      guest ok = no
      inherit permissions = yes
      admin users = %u
      write list = %u
      read list = %u
      create mask = 0700
      directory mask = 0700

### Directory Pubblica
[pubblica]
      path = /dominio/pubblica
      comment = Directory Pubblica
      read only = No
      create mask = 0660
      directory mask = 2770
      hide special files = yes
      hide files = /lost+found/
      acl group control = yes
      inherit acls = yes
      map acl inherit = yes
      inherit permissions = yes
      map archive = no

# Per condividere l'unità CD del server
;[cdrom]
      ; comment = Samba server CD
      ; writable = no
      ; locking = no
      ; path = /media/cdrom0
      ; public = yes

     ; Per il mount - umount automatico del CD
     ; Perchè funzioni il file /etc/fstab deve contenere una
     ; voce: /dev/hdc0 /media/cdrom iso9660 defaults,noauto,ro,user 0 0 
     ;preexec = /bin/mount /cdrom
     ; postexec = /bin/umount /cdrom

Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando: 

# testparm

Modifichiamo anche il file /etc/samba/usermap: 

root = DOMINIO.LOCAL\root/admin
Administrator = DOMINIO.LOCAL\Administrator/admin

e scarichiamo lo script log_access_login.bash che ci servirà per loggare gli accessi al dominio: 

# wget http://debian.easyteam.org/files/samba/log_access_login.bash -P /etc/samba
# chmod 700 /etc/samba/log_access_login.bash

Sistemiamo ora le ultime directory necessarie: 

# mkdir -p /var/log/samba/login-logoff
# rm -rf /etc/samba/*tdb
# rm -rf /var/lib/samba/*tdb
# rm -rf /var/lib/samba/*dat
# rm -f /var/log/samba/*

facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione: 

# smbpasswd -w password

e riavviamo il servizio: 

# /etc/init.d/samba restart

Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID: 

# net getlocalsid DOMINIO

Quindi andiamo a modificare il file /etc/smbldap-tools/smbldap.conf inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1). 

SID="S-1-5-21-2318037123-1631426476-2439636316"
sambaDomain="DOMINIO"
realm="dominio.local"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"

Il resto del file va lasciato invariato.

Per poter ottenere un valido roaming profile con client windows è necessario copiare la cartella "Default User", che si trova in C:\Documents and Settings, nella cartella /home/samba/netlogon. Prima di copiarla bisogna editare il file NTUSER.dat dal registro regedit. Seguire questo procedimento:

  1. Start>Esegui>regedit>(posizionarsi su)HKEY_LOCAL_MACHINE
  2. (andare su)file>carica hive>C:\Documents and Settings\Default User\NTUSER.dat>apri>(digitare nome)Default
  3. (entrare in)HKEY_LOCAL_MACHINE>Default>Software>Microsoft>Windows>CurrentVersion>Explorer>User Shell Folder
  4. cambiare i Dati, da %USERPROFILE% a %LOGONSERVER%\profiles\%USERNAME% dei Nomi: Desktop;Favorites;History; Local AppData; Local Settings;My Pictures;Personal; PrintHood;Recent (a scelta anche Cookies e Cache). Ad esempio da %USERPROFILE%\Desktop a %LOGONSERVER%\profiles\%USERNAME%\Desktop (così per tutti i nomi)
  5. (posizionarsi su) Default
  6. (andare su) file>scarica hive
  7. copiare su /home/samba/netlogon la cartella "Default User" così modificata.

Popolamento del database LDAP

Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:

Info.png Nome - UID - Tipo

Domain Administrator - 500 - Utente
Domain Guest - 501 - Utente
Domain KRBTGT - 502 - Utente
Domain Admins - 512 - Gruppo
Domain Users - 513 - Gruppo
Domain Guests - 514 - Gruppo
Domain Computers - 515 - Gruppo
Domain Controllers - 516 - Gruppo
Domain Certificate Admins - 517 - Gruppo
Domain Schema Admins - 518 - Gruppo
Domain Enterprise Admins - 519 - Gruppo
Domain Policy Admins - 520 - Gruppo
Builtin Admins - 544 - Alias
Builtin users - 545 - Alias
Builtin Guests - 546 - Alias
Builtin Power Users - 547 - Alias
Builtin Account Operators - 548 - Alias
Builtin System Operators - 549 - Alias
Builtin Print Operators - 550 - Alias
Builtin Backup Operators - 551 - Alias
Builtin Replicator - 552 - Alias
Builtin RAS Servers - 553 - Alias

Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.

1 - Utilizzo degli script forniti con smbldap-tools

La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools che abbiamo già installato: 

# smbldap-populate -a root -k 0
# smbldap-useradd -a -m -c "Admin" Administrator
# smbldap-usermod -G "Domain Admins" Administrator

Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi: 

# ldapsearch -x | less

e: 

# ldapsearch -x uid=Administrator

Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando: 

# smbldap-passwd Administrator

Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.

2 - Utilizzo della GUI phpLDAPadmin

Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.
Innanzitutto bisogna collegarci con un browser al nostro server: 

https://10.0.0.11/phpldapadmin

Cliccate sul link di login e inserite le seguenti informazioni: 

Login DN: cn=admin,dc=dominio,dc=local
Password: password
Sambapdc01.jpg


Sambapdc02.jpg


Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce Create ner entry here".

Sambapdc04.jpg

Selezionate il template corretto (Samba3 Account se volete creare un nuovo utente e Samba3 Group Mapping se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.

Warning.png ATTENZIONE
A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete creare a mano la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi


Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente: 

smbldap-passwd Administrator

Configurazione delle autenticazioni Unix

A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti unix di sistema.

Installazione del demone name service caching daemon (nscd)

Poichè il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa: 

# apt-get install nscd

La configurazione di default è più che sufficiente per i nostri scopi.
Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba: 

# /etc/init.d/samba restart

Installazione di libnss-ldap

Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando: 

# apt-get install libnss-ldap ldap-utils

Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando: 

# dpkg-reconfigure libnss-ldap

Rispondete in questo modo alle domande che vi vengono poste dall'installer:

  • URI del Server LDAP: ldap:///127.0.0.1
  • Distinguished Name (DN): dc=dominio,dc=local
  • LDAP Version: 3
  • Configurazione leggibile e scrivibile solo dal propietario:
  • Account LDAP per root: cn=admin,dc=dominio,dc=local
  • Password LDAP di root: mia_password
  • nsswitch non è gestito automaticamente: OK
  • Permettere all'account amministrativo LDAP di agire come root?:
  • Il database LDAP richiede il login?: No
  • Account LDAP per root: cn=admin,dc=dominio,dc=local
  • Password LDAP di root: mia_password

Verifichiamo che il file /etc/pam_ldap.conf contenga almeno: 

host 127.0.0.1
base dc=dominio,dc=local
uri ldap://127.0.0.1/


Assicuriamoci che l'uri sia settato correttamente in /etc/default/slapd alla voce SLAPD_SERVICES = ldap://10.0.0.10:389.

A questo punto bisogna modificare il file /etc/nsswitch.conf come indicato dall'installer. Prima però ne facciamo una copia di backup. 

# cp -pf /etc/nsswitch.conf /etc/nsswitch.conf.orig
# nano /etc/nsswitch.conf

Cambiamo le righe: 

passwd: compat
group: compat
shadow: compat

con 

passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns ldap
netgroup: ldap

Il contenuto del file dovrebbe essere il seguente:
/etc/nsswitch.conf 

# /etc/nsswitch.conf
#Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns ldap
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: ldap
Warning.png ATTENZIONE
Modificando in maniera sbagliata il file precedente rischiate di bloccare ogni forma di autenticazione sul server, compreso l'utente root. E' fondamentale avere una copia di backup del file, da poter ripristinare attraverso una distribuzione Live o attraverso il Rescue Mode del Debian Installer



Modificate inotre il file /etc/libnss-ldap.conf, decommentando e modificando le righe seguenti e lasciando decommentate quelle di default: 

# cp -pf /etc/libnss-ldap.conf /etc/libnss-ldap.conf.orig
# nano /etc/libnss-ldap.conf

host 127.0.0.1
base dc=dominio,dc=local
ldap_version 3
scope one
pam_filter objectclass=posixaccount
pam_login_attribute uid
pam_member_attribute gid
bind_policy soft
pam_password exop
nss_base_passwd ou=Users,dc=dominio,dc=local?sub
nss_base_passwd ou=Computers,dc=dominio,dc=local?sub
nss_base_shadow ou=Users,dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one


A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti: 

...
udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server
udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server
udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable
udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek 
...

Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti: 

# addgroup --system tss
# addgroup --system kvm
# addgroup --system rdma
# addgroup --system fuse
# addgroup --system scanner
# addgroup --system nvram
# adduser --system tss

Installazione di libpam-ldap

L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente: 

# apt-get install libpam-ldap
# dpkg-reconfigure libpam-ldap

rispondendo in questo modo alle domande poste dall'installer:

  • URI Server LDAP: ldap:///127.0.0.1
  • Distinguished name (DN): dc=dominio,dc=local
  • LDAP version: 3
  • Permettere all'account amministrativo LDAP di agire come root?:
  • Il database LDAP richiede login?: no
  • LDAP account for root: cn=admin,dc=dominio,dc=local
  • LDAP root password: mia_password
  • Local crypt to use when changing passwords: cifrato
  • PAM profiles to enable: selezionare tutto

Modificate come segue il file /etc/pam_ldap.conf: 

# cp -pf /etc/pam_ldap.conf /etc/pam_ldap.conf.orig
# nano /etc/pam_ldap.conf

bind_policy soft
nss_base_passwd dc=dominio,dc=local?sub
nss_base_shadow dc=dominio,dc=local?sub
nss_base_group ou=Groups,dc=dominio,dc=local?one

Sicurezza del server: configurazione di Pam

Il metodo migliore per evitare che gli utenti indiscriminatamente si logghino sul server è configurare correttamente PAM. Dopo aver effettuato delle copie di backup: 

# cd /etc/pam.d
# cp -pf common-account common-account.orig
# cp -pf common-auth common-auth.orig
# cp -pf common-password common-password.orig
# cp -pf common-session common-session.orig

andiamo quindi a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:

/etc/pam.d/common-account

#/etc/pam.d/common-account - authorization settings common to all services
account sufficient pam_ldap.so
account required pam_unix.so


/etc/pam.d/common-auth

# /etc/pam.d/common-auth - authentication settings common to all services
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass


/etc/pam.d/common-password

# /etc/pam.d/common-password - password-related modules common to all services
password sufficient pam_ldap.so md5
password required pam_unix.so nullok obscure md5


/etc/pam.d/common-session

session    sufficient      pam_ldap.so
session    required        pam_unix.so

Infine verifichiamo la password di root di OpenLDAP con i comandi: 

# less /etc/libnss-ldap.secret
# less /etc/pam_ldap.secret

Test di funzionamento

Riavviate il vostro server e controllate eventuali messaggi di errore al boot. Una volta ripartito, con i comandi: 

getent passwd
getent group

dovremmo vedere elencati anche gli utenti e i gruppi di dominio OpenLDAP. Il comando: 

smbclient -L localhost -U Administrator

dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.

Assegnazione dei permessi agli utenti di dominio

Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio: 

net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Domain Admins" 
SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege 
SeDiskOperatorPrivilege SeRemoteShutdownPrivilege

net -S DEBIAN -U Administrator rpc rights grant "DOMINIO\Print Operators" SePrintOperatorPrivilege

dove DEBIAN è il nome Samba assegnato al server. i due comandi precedenti vanno scritti su un'unica riga.

Aggiungere i primi utenti di dominio

Il pacchetto smbldap-tools presente in Squeeze, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. Adesso siamo pronti per la creazione del primo utente con il comando: 

# smbldap-useradd -a -m -c "Nome Utente" username

Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.
Infine impostare la password dell'utente con: 

# smbldap-passwd username

Per verificare il tutto usare il comando: 

# smbldap-usershow username

Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio: 

# smbldap-groupadd "NomeGruppo"

Aggiungiamo gli utenti ai gruppi desiderati: 

# smbldap-usermod -G "NomeGruppo" nome.utente


Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di creare a mano le homes directory: 

# mkdir /home/users/nome.utente
# cp /etc/skel/.* /home/users/nome.utente/
# chown -R nome.utente /home/users/nome.utente

Creazione di un semplice script da eseguire al login di windows

E' possibile creare uno script "logon.bat" (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows. Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos. 

# apt-get install tofrodos

creiamo lo script con l'editor che preferiamo 

# vim /dominio/netlogon/logon.bat

syncronizziamo gli orologi del client windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file 

net time %LOGONSERVER% /set /yes
net use X: \\SERVER\Nome_Condivisione

infine 

# todos /dominio/netlogon/logon.bat

Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente linux.

Test e connessione al dominio

Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.
A tal fine il primo accesso può essere fatto dal server stesso con il comando: 

# smbclient -L localhost -U Administrator

Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server.

La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client:

  • Windows 95/98/ME
  1. Verificare che sia installato il "Client per Reti Microsoft" fra le proprietà di rete
  2. Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
  3. Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
  4. Se si è configurata su smb.conf l'opzione "add user script", selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
  5. Inserire il nome del proprio dominio e cliccare OK.
  • Windows NT
  1. Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà
  2. Selezionare Dominio e inserire il nome del prorio dominio
  3. Selezionare Crea un Computer Account
  4. Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l'utente root deve essere aggiunto a smbpasswd.
  5. Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio.
  • Windows 2000
  1. Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull'icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà).
  • Windows XP

La procedura con Windows XP è più complessa (lamentele a Microsoft che usa cambiare le specifiche e le implementazioni dei suoi protocolli anche per rendere più complicata l'interoperabilità con soluzioni alternative). Notare che solo XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).

  1. Aprire l'editor delle policy di Sicurezza Locale (Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione)
  2. Disabilitare la voce "Domain member: Digitally encrypt or sign secure channel (always)" (Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre) )
  3. Disabilitare la voce "Domain member: Disable machine account password changes" (Controller di dominio: rifiuta cambio password account computer)
  4. Disabilitare la voce "Domain member: Require strong (Windows 2000 or later) session key" (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) )
  5. Scaricare la patch per il registro http://www.pepinet.com/download/samba/sambapatch.reg. Per applicarla cliccare due volte sul file .reg e rispondere Si alle domande
  6. A questo punto ci si può unire al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di Administrator.
  • Windows Vista
  1. Non ancora testato.
  • Windows 7

Il supporto a Windows 7 è stato aggiunto a partire dalla versione 3.3 di Samba; bisogna quindi provvedere all'installazione di Samba dal repository backports, come descritto nel relativo capitolo di questa guida.

  1. Su Windows 7 Professional o Ultimate (gli unici che possono effettuare un join a un dominio) occorre modificare due chiavi di registro:
HKLM\System\CCS\Services\LanmanWorkstation\Parameters
DWORD  DomainCompatibilityMode = 1
DWORD  DNSNameResolutionRequired = 0

Occorre inoltre scaricare dal sito di Microsoft un hotfix che corregge un problema di "Server DNS non trovato". Il link all'hotfix è riportato nel wiki ufficiale di Samba: http://wiki.samba.org/index.php/Windows7
A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.


Backup e restore del database LDAP

Vengono suggeriti di seguito alcuni metodi per effettuare dei backup del database LDAP. Consiglio di prendere seriamente in considerazione l'idea di impostare dei backup regolari magari tramite cron e suggerisco altresì di effettuare sempre un backup dei dati LDAP prima di ogni modifica o riconfigurazione del server.

Offline Physical Backup

Un offline physical backup deve essere effettuato sul server stesso. Lo svantaggio di questo tipo di backup è che il server LDAP non sarà disponibile per l'intera durata del processo.

  1. Stopare il server LDAP: /usr/sbin/rcldap stop
  2. Copiare tutti i files in /var/lib/ldap/ dentro una directory di backup
  3. Riavviare il server LDAP: /usr/sbin/rcldap start

Offline Logical Backup

Questo tipo di backup, noto anche come database dump richiede sempre l'arresto del servizio LDAP:

  1. /usr/sbin/rcldap stop
  2. slapcat >ldap.\$(date +'\%Y\%m\%d-\%T') Questo comando genera nella directory corrente un file LDIF che può successivamente essere archiviato
  3. /usr/sbin/rcldap start

Online Backup

Questo tipo di backup, a differenza dei precedenti, utilizza LDAP stesso per effettuare il dump dei dati del database e quindi, pur appensantendo il server, non richiede l'arresto del servizio.

  1. ldapsearch -h LDAPServer -x -b baseDN > ldap.\$(date +'\%Y\%m\%d-\%T')

dove LDAPServer è il nome del server e baseDN è il distinguished name (DN) della struttura LDAP, nel nostro caso dc=dominio,dc=local

Database Restore

  1. Per ripristinare un offline backup:
    1. /usr/sbin/rcldap stop
    2. copiare i files salvati in /var/lib/ldap (Se Offline Physical Backup)
    3. slapadd -l nome_del_backupfile (Se Offline Logical Backup)
    4. /usr/sbin/rcldap start
  2. Per ripristinare un online backup:
    1. ldapadd -D adminDN -x -w adminPassword -h LDAPServer -x -f nome_del_backupfile

dove adminDN è nel nostro caso dn=admin,dc=dominio,dc=local


Replica del database LDAP su un altro server

Se siete interessati a fornire ridondanza alla vostra rete, potete prendere in considerazione l'idea di inserire un secondo server OpenLDAP sincronizzato con il server principale che abbiamo appena configurato.
In tal caso suggerisco di seguire questa guida, nella quale viene utilizzato lo stesso database LDAP che abbiamo appena configurato per costruire un server di replica.


db4

OpenLDAP ha la brutta abitudine di non risistemarsi per bene quando la donna delle pulizie inciampa nell'interruttore generale della corrente. Perciò conviene installare: 

# apt-get install db4.8-util

Questo pacchetto contiene l'utility db4.8_recover che viene lanciata automaticamente ad ogni restart di ldap, risolvendo eventuali problemi di incongruenza del Barkley DB.

Interfacce web alternative per OpenLDAP

Altre due interfacce grafiche comode, da utilizzare congiuntamente o in alternativa a phpldapadmin, sono gosa e ldap-account-manager.

  • LDAP-Account-Manager
apt-get install ldap-account-manager libkadm55 php5-snmp php5-mhash

Una volta installato, collegatevi col vostro browser all'indirizzo: 

http://ip_vostro_server/lam

Prima di effettuare il login, cliccate sulla voce LAM configuration, scegliete Edit Server Profiles e inserite la password di default (lam). Una volta entrati sostituite:

  • la voce Tree Suffix con il DN del vostro dominio: dc=dominio,dc=local
  • la voce List of valid users con l DN dell'amministratore del dominio: cn=admin,dc=dominio,dc=local
  • la voce Password con la password di Administrator del dominio

Quindi cliccate su Edit Account Types e modificate le voci come segue:

  • al posto di People sostituite Users
  • al posto di group sostituite Groups
  • al posto di machines sostituite Computers
  • eliminate l'indicazione ou=domains nella voce Samba Domains

Date infine OK a questa schermata e OK alla successiva.
Come ultima cosa cliccate sulla voce LAM configuration, scegliete Edit General Settings e inserite la password di default (lam). Una volta entrati sostituite la password di default con quella di Administrator del dominio.
Ora siete pronti per effettuare il login in LDAP Account Manager.

  • GOsa

To do

  • Luma

Non è un'interfaccia web, ma un'applicazione scritta in python. E' molto utile se il server che state installando è provvisto di interfaccia grafica (Gnome, Xfce o KDE). Per installarlo basta semplicemente il comando: 

apt-get install luma

Comandi utili e consigli finali

Creazione di utenti

# smbldap-useradd -a -m -c "Descrizione Utente" nome.utente
# smbldap-passwd nome.utente

Per verificare il tutto usare il comando 

# smbldap-usershow nome.utente

Creazione di un gruppo

# smbldap-groupadd "NomeGruppo"

Aggiunta di un utente a un gruppo

Per impostare il gruppo primario dell'utente: 

# smbldap-usermod -g "NomeGruppo" nome.utente

Per aggiungere l'utente a ulteriori gruppi: 

# smbldap-usermod -G gruppo1,gruppo2,gruppo3 nome.utente

Elencare i gruppi memorizzati in LDAP

# ldapsearch -x objectClass=posixGroup

Elencare gli utenti di un gruppo

# smbldap-groupshow "gruppo"

Backuppare una directory condivisa dal server usando le credenziali di un utente specifico

smbclient //nomeserver/nomecartella -U nome.utente%password.utente -N -Tc backup.tar /percorso/locale/del/backup

Elencare le risorse condivise di una macchina

smbclient -L nomeserver

Per fare delle modifiche nel DB in maniera semplice

  slapcat -l /tmp/backup.ldif    

  # stoppare il servizio

  /etc/init.d/slapd stop

  # una copia del vecchio db

  cp -r /var/lib/ldap  /var/lib/ldap.old
  mkdir /var/lib/ldap

  Modificare il file backup.ldif e quindi reimportarlo

  slapadd -c -l /tmp/backup.ldif

Comandi utili LDAP

ldapsearch -b "dc=miodominio,dc=local" -x

ldapsearch -b "dc=miodominio,dc=local" -LLL "cn=nomedellutente*" -x

ldapadd -x -W -D "cn=admin,dc=miodominio,dc=local" -f entry.ldif  # per importare un ldif

ldapdelete  -x  -D "cn=admin,dc=miodominio,dc=local" -W "cn= nomeutente,dc=logic"

Nel caso si reinstalli slapd controllare non ci sia un backup in /var/backups con lo stesso numero di versione, altrimenti un dpkg.reconfigure non ricrea il file di configurazione corretto.

Per approfondimenti

Debianizzati

Samba e OpenLDAP: creare un controller di dominio
Samba e OpenLDAP: creare un controller di dominio con Debian Etch
Samba e OpenLDAP: creare un controller di dominio con Debian Lenny
Samba, OpenLDAP, Kerberos: creare un controller di dominio sicuro con Debian Lenny
Implementare un'architettura ridondante master/slave OpenLDAP
Samba: guida estesa
Samba: creare un cestino di rete per le condivisioni
ClamAV: scansione antivirus delle condivisioni Samba



Guida scritta da: Ferdybassi Swirl-auth20.png Debianized 20%
Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized

Estratto da "https://guide.debianizzati.org/index.php?title=Samba_e_OpenLDAP:_creare_un_controller_di_dominio_con_Debian_Squeeze&oldid=41004"