pictux
Joined: 11 Nov 2005
Posts: 4
|
 Posted: Thu Apr 20, 2006 8:36 am Post subject: Samba 3 + ldap + PDC - HOWTO |
 |
|
Riporto qui di seguito una guida che ho trovato davvero eccezzionale sulla configurazione di un PDC. A fine pagina trovate il link alla pagina originale - dove peraltro ci sono anche i file di configurazione disponibili - e svariati altri link che ho trovato piuttosto utili.
Buon divertimento!
Configurazione Samba 3 con supporto LDAP
su Debian Sarge
Autore: Edy Incoletti (edy.incoletti@logicsnc.com)
Versione: 1.0.3, del 03/11/2005
E' dato permesso di distribuire questo documento in rispetto ai termini della GNU . Documentation License (http://www.gnu.org).
L'autore incoraggia le modifiche a tale documento al fine di correggere/migliorare la configurazione del software indicato. E' ben accetta la comunicazione di tali migliorie in modo che possano essere integrate nelle future versioni.
Scopo dell'HOWTO
Configurare Samba 3.0 con un backend LDAP.
Utilizzare lo stesso server LDAP per la gestione degli utenti UNIX in modo da avere una gestione integrata degli utenti di dominio.
Riferimenti
* Edd Dumbill
[1] Turn your world LDAP-tastic
(http://usefulinc.com/edd/blog/contents/2005/09/25-ldap/read)
* Ignacio Coupeau
[2] Samba (v. 3) PDC LDAP HOWTO
([url]http://www.unav.es/cti/ldap-smb/smb-ldap-3-howto.html[url])
* Olivier Lemaire
[3] The SAMBA-2.2.4/LDAP PDC HOWTO
(http://samba.idealx.org/samba-ldap-howto.pdf)
* Jelmer R. Vernooij, John H. Terpstra, Gerald (Jerry) Carter
[4] The Official Samba-3 HOWTO and Reference Guide
(http://us4.samba.org/samba/docs/man/Samba-HOWTO-Collection/)
Modifiche rispetto alla 'major version' precedente
1.0.3 - Correzioni minori
1.0.3 - Sistemate le informazioni relative ai roaming profiles
1.0.2 - Aggiunte le informazioni per aggiungere un server SAMBA al dominio
1.0.2 - Completate le informazioni per eliminare i roaming profiles
1.0.1 - Corretti alcuni errori di battitura e introdotto il paragrafo relativo ai .
1.0.0. - In questa versione sono, inoltre, state introdotte informazioni tratte dal documento "Turn your world LDAP-tastic" ([1]) che copre in linea di massima la stessa configurazione, facendo pero' riferimento a documenti esterni che in questo howto sono invece integrati. Rispetto al documento indicato, inoltre, sono state apportate alcune correzioni per semplificare o correggere le varie impostazioni.
1.0.0. - Questa versione introduce una serie di migliorie ai pacchetti utilizzati che rendono decisamente piu' agevole la configurazione dell'ambiente, soprattutto per cio' che riguarda la configurazione dei smbldap-tools.
1.0.0 - Il presente howto e' stato aggiornato utilizzando la nuova versione stabile di Debian, Debian 3.1 Sarge.
Sistema installato
Il presente HOWTO e' stato realizzato utilizzando un sistema Debian 3.1 Sarge con tutti gli aggiornamenti di sicurezza ufficiali.
La configurazione iniziale del sistema prevede un'installazione base senza alcun componente aggiuntivo.
Durante tutto il processo si presuppone di agire come utente root
Si consiglia di installare immediatamente Samba, in quanto alcuni strumenti che mette a disposizione saranno necessari anche per le configurazioni degli altri servizi.
| Code: | | # apt-get install samba smbclient |
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:
- impostate il nome corretto del dominio (nel nostro esempio LOGIC)
- abilitare l'utilizzo di password cifrate
- non utilizzare DHCP per i nomi NETBIOIS
- avviare Samba con demoni
- non creare il database delle password
non preoccupatevi per eventuali errori, in quanto tutta la configurazione verra' ripresa in un secondo momento.
Installazione e configurazione del server LDAP
Il server LDAP e' essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra piu' sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si consiglia di approfondire l'argomento su [1].
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP, un insieme di strumenti che ne permettono la gestione e il pacchetto samba-doc contentente alcuni file necessari per configurare LDAP per l'utilizzo con SAMBA.
| Code: | | # apt-get install slapd ldap-utils samba-doc |
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP. In particolare verra' richiesto il nome del dominio che puo' essere un dominio interno completamente inventato (es. miadominio.tld) o un dominio internet valido. La scelta e' legata a politiche organizzative aziendali e tecniche che richiederebbero una trattazione approfondita e che esula da questo HOWTO.
Nei file riportati si considera che il dominio specificato e' "logic", un dominio interno non valido per Internet.
In seguito verra' richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potra' avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verra' utilizzata anche in seguito in alcuni file di configurazione, pertanto e' bene ricordarsela.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA.
| Code: | | # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema |
Modifica il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo nella sezione "Schema and objectClass definitions" lo schema per samba:
| Code: | | include /etc/ldap/schema/samba.schema |
Nella sezione "Indexing options" aggiungere una serie di indicizzazioni che ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
| Code: |
index objectClass eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
|
Consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di SAMBA e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:
| Code: |
access to attribute=userPassword
|
con:
| Code: |
access to attrs=userPassword,sambaNTPassword,sambaLMPassword
|
Far ripartire slapd affinche' tutte le modifiche apportate siano prese in considerazione.
| Code: |
# /etc/init.d/slapd restart
|
Controllare che il server sia correttamente partito eseguendo una query con il comando:
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log.
Per controllare il funzionamento di slapd puo' sempre tornare utile fermare il servizio e farlo partire, anziche' con gli script standard debian con il comando:
In tal modo viene avviato visualizzando varie informazioni di debug a ..
Configurazione dei client per LDAP
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file /etc/ldap/ldap.conf aggiungendo le righe:
| Code: |
BASE dc=logic
URI ldap://localhost
|
Una volta fatto questo e' possibile verificare il corretto funzionamento di LDAP nuovamente con il comando:
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in numero maggiore rispetto a quanto elencato la volta precedente.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
| Code: | | # apt-get install smbldap-tools |
Configurazione
Copiare i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools.
| Code: |
#zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > \
/etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf \
/etc/smbldap-tools/smbldap_bind.conf
|
Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN dell'amministratore del server LDAP e la sua password.
Il DN dell'amministratore e' stato impostato automaticamente durante l'installazione del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=<dominio>", in cui il dominio dipende dalle configurazioni sopra riportate per il server LDAP.
La password e' quella richiesta in fase di installazione del server LDAP.
Se non si e' sicuri del DN da inserire lanciare il comando:
e cercare una riga che inizia con "dn: cn=". Il valore riportato e' quello da inserire come DN.
Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno.
Eseguire il comando:
e copiare il codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf inserento il SID appena ottenuto e controllare gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
| Code: |
SID="S-1-5-21-2318037123-1631426476-2439636316"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
|
Verificare che il TLS sia disabilitato.
Configurare il corretto suffisso per il dominio (quello specificato nella configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare (LOGIC).
| Code: |
suffix="dc=logic"
sambaUnixIdPooldn="sambaDomainName=LOGIC,${suffix}"
|
Potrebbe tornare utile anche impostare una differente scadenza per le password, in modo che non ne venga richiesta la sostituzione troppo di frequente:
| Code: |
defaultMaxPasswordAge="180"
|
Questo parametro e' poi utilizzato al momento della creazione di un utente e ogni volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che conterranno i profiles nel caso di roaming profiles.
| Code: |
userSmbHome="\\PDC-SERVER\%U"
userProfile="\\PDC-SERVER\profiles\%U"
|
PDC-SERVER deve essere sostituito con il nome SAMBA del server che funziona come PDC (il server che stiamo configurando).
In questo esempio, inoltre, si e' ritenuto di fornire uno script di logon comune a tutti gli utenti, anziche' di uno script personale per ogni utente, pertanto si e' impostato il seguente parametro:
| Code: |
userScript="startup.cmd"
|
Tale impostazione puo' essere poi cambiata per determinati utenti con esigenze particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non vengono configurati.
Terminate le modifiche cambiare i permessi per i file appena modificati al fine di aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle password di amministratore di LDAP.
| Code: |
# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
|
Configurazione di SAMBA
A questo punto il backend per la memorizzazione degli utenti e la loro gestione e' pronto, e' quindi il momento di passare a SAMBA per farlo accedere a quanto fatto finora.
Creazione dei dati base
Per il funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
Inoltre, affinche' si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione.
Tale utente puo' essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima e' la scelta presa in questa configurazione, in modo da avere un utente Administrator che e' Administrator per Samba e root per il "dominio" UNIX.
Per creare tali gruppi utilizzare il comando:
| Code: |
smbldap-populate -k 0
|
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root.
Durante l'esecuzione del comando vengono riepilogati i record aggiunti. In ogni caso e' possibile controllare i dati inseriti con il comando:
| Code: |
# ldapsearch -x less
|
e anche:
| Code: |
# ldapsearch -x uid=Administrator
|
Infine cambiare la password di Administrator con il comando:
| Code: |
# smbldap-passwd Administrator
|
Questo sara' anche il comando che dovra' essere normalmente utilizzato per la gestione delle password.
Configurazione del server
Modificare il file /etc/samba/smb.conf e apportare le seguenti modifiche.
Abilitare l'autenticazione tramite username.
Sostituire il bakend predefinito:
| Code: |
passdb backend = tdbsam guest
|
con il backend LDAP:
| Code: |
passdb backend = ldapsam:ldap://127.0.0.1
|
inserendo l'indirizzo corretto (nel nostro esempio 127.0.0.1 e' corretto).
Aggiungere le direttive per la configurazione del backend LDAP:
| Code: |
ldap admin dn = cn=admin,dc=logic
ldap suffix = dc=logic
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
|
Aggiungere le direttive che consentono ai client Windows di cambiare password, di gestire utenti e gruppi e di aggiungere macchine al dominio.
Alcuni come quelli per password e gestione macchine sono indispensabili, mentre quelli per utenti e gruppi possono anche essere tralasciati se non si pensa di gestire gli utenti tramite un client Windows.
| Code: |
ldap passwd sync = Yes
passwd program = /usr/sbin/smbldap-passwd %u
passwd . = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
|
Configurare SAMBA perche' si comporti come un PDC:
| Code: |
os level = 255
domain master = yes
domain logons = yes
preferred master = yes
|
Rendere scrivibili le home directory (di default sono in sola lettura e personalmente non ne capisco il motivo).
| Code: |
[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0700
directory mask = 0700
|
Infine decommentare la share [netlogon] e creare la share [profiles].
Affinche' i roaming profiles funzionino correttamente e' necessario che la cartella puntata dalla share [profiles] esista e abbia permessi 1757.
| Code: |
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
share modes = no
[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
|
Il file e' pronto. Salvarlo e testarlo con il comando:
Infine impostare la password per l'accesso a LDAP come admin
| Code: |
# smbpasswd -w <password>
|
e far ripartire SAMBA.
| Code: |
# /etc/init.d/samba restart
|
Creare infine le cartelle necessarie per netlogon e profiles.
| Code: |
# mkdir /var/lib/samba/netlogon
# mkdir /var/lib/samba/profiles
# chmod 1757 /var/lib/samba/profiles
|
Note generali
Attenzione: e' impossibile collegarsi ad un dominio con un client XP Home Edition.
--------------------------------------------------------------------------------------------
Per la gestione della posta tramite samba occorre modificare lo schema LDAP per l'utilizzo di campi aggiuntivi. Questi campi, tuttavia, sono contenuti in uno schema apertamente dichiarato non pronto per l'utilizzo in produzione. Procedete a vostro rischio e seguite le istruzioni contenute in [1].
Creare il primo utente
Adesso siamo pronti per la creazione del primo utente con il comando:
| Code: |
# smbldap-useradd -a -m -c "Nome Utente" username
|
Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.
Infine impostare la password dell'utente con:
| Code: |
# smbldap-passwd username
|
Per verificare il tutto usare il comando:
| Code: |
# smbldap-usershow username
|
Configurare NSS per lavorare con LDAP
Il primo utente e' stato creato, tuttavia se si provasse ad utilizzare il PDC in questo momento l'accesso verrebbe negato, in quanto SAMBA si aspetta di trovare un utente di sistema con username coincidente con quello di SAMBA.
Affinche' cio' si realizzi occorre che il sistema UNIX vada a leggere le informazioni sugli utenti da LDAP, anziche' dai file canonici.
A tal fine occorre riconfigurare NSS e prima occorre installare il seguente pacchetto:
| Code: |
# apt-get install libnss-ldap
|
Come al solito viene chiesto l'IP del server LDAP (127.0.0.1) e il dominio da usare (dc=logic). Per tutte le altre opzioni possono essere accettate quelle di default.
Dopo l'installazione modificare il file /etc/nsswitch.conf nel seguente modo:
| Code: |
passwd: compat ldap
group: compat ldap
shadow: compat ldap
|
Verificare infine le impostazioni con il comando:
che deve riportare anche gli utenti di SAMBA (Administrator, nobody e quello appena creato).
Connettersi al dominio
Il nostro server e' ora pronto per essere utilizzato. Per testarne le funzionalita' e' possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.
A tal fine il primo accesso puo' essere fatto dal server stesso con il comando:
| Code: |
# smbclient -L localhost -U Administrator
|
Configurare i client XP
Per aggiungere un client XP ad un dominio SAMBA occorre prima di tutto effettuare la seguente modifica al registry usando regedit:
| Code: |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000
|
In alternativa a modificare il registry si puo' andare in Pannello di controllo - Strumenti di amministrazione - Impostazioni di protezione - Criteri locali e disabilitare il seguente parametro:
Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto (sempre)
Fatto questo e' possibile provare ad aggiungere il computer al dominio e se non si sono fatti errori si dovrebbe, dopo un riavvio, poter fare login con l'utente Administrator o l'utente precedentemente creato.
Unire un server Samba al dominio
Nel caso si disponga di un secondo server e si voglia utilizzare un unico database degli utenti e' possibile seguire 2 strade differenti:
* Configurare il secondo server per accedere a LDAP seguendo le indicazioni esposte per il server di dominio, ovviamente senza farlo diventare server di dominio, ma con autenticazione degli utenti
* Usare il server di dominio per l'autenticazione
Il primo caso non verra' trattato, mentre per il secondo occorre eseguire le seguenti operazioni sul server da aggiungere.
Modificare il file /etc/samba/smb.conf con la seguenti direttiva:
Far ripartire Samba e dare il seguente comando per unire il server al dominio e creare l'utente relativo al pc:
| Code: |
net rpc join -U Administrator%password
|
Infine, affinche' un utente sia riconosciuto correttamente da Samba deve essere anche un utente di sistema, pertanto occorre configurare il sistema affinche' peschi la lista degli utenti dal server di dominio via LDAP, esattamente come era avvenuto per il server di dominio.
Installare il pacchetto libnss-ldap e configurarlo in modo da puntare al server LDAP installato sul PDC e fornendo la base LDAP corretta (dc=logic).
Modificare il file /etc/nsswitch.conf come fatto in precedenza.
| Code: |
passwd: compat ldap
group: compat ldap
shadow: compat ldap
|
A questo punto e' possibile creare share e assegnare permessi in base a utenti e gruppi definiti nel dominio.
Gestione degli utenti e dei gruppi
TODO: aggiungere tutte le casistiche.
Aggiungere un utente ad un gruppo:
| Code: |
# smbldap-usermod -G "gruppo" username
|
Elencare i gruppi memorizzati in LDAP:
| Code: |
# ldapsearch -x objectClass=posixGroup
|
Elencare gli utenti di un gruppo:
| Code: |
# smbldap-groupshow "gruppo"
|
Configurazioni addizionali attivabili in SAMBA
Disabilitare i roaming profiles
Cosi' come e' stato configurator Samba permette l'utilizzo dei roaming profiles, meccanismo per cui tutte le impostazioni di un utente sono caricate dal server al login e salvate sul server al logout in modo da poter utilizzare computer differenti ritrovando le proprie impostazioni.
Seppur questa funzionalita' sia utile, nel caso di cartelle di profilo di elevate dimensioni (in questa cartella c'e' la cache del browser, le e-mail, la cartella documenti, ...) i tempi di login e logout sono eterni.
Il meccanismo dei roaming profiles puo' essere disabilitato per singolo computer o agendo sul server SAMBA a . di impostazioni del singolo utente (e ovviamente di impostazioni di default da utilizzare durante la creazione degli utenti).
Per disabilitare i roaming profiles agendo sul server occorre, innanzitutto, modificare il file /etc/samba/smb.conf aggiungendo le seguenti righe:
| Code: |
logon home =
logon path =
|
Questi parametri, anche se vuoti, DEVONO esserci, altrimenti il client continua a cercare il profile generando un errore.
Per tutti gli utenti presenti occorre eliminare l'attributo sambaProfilePath. Per far cio' e' possibile usare il comando smbldap-usermod, utilizzare un client di LDAP testuale o grafico o ancora usare gli strumenti di gestione utenti di Windows scaricando i srvtools.exe dal sito della Microsoft.
Infine, per far si' che i nuovi utenti non abbiano, come default, impostato il parametro in questione occorre commentare, nel file /etc/smbldap-tools/smbldap.conf la riga:
| Code: |
userProfile="\\PDC-SAMBA\profiles\%U"
|
Nel caso, invece, si volessero mantenere i roaming profiles, ma disabilitarli solo su determinati computer, e' possibile modificare un impostazione sui singoli computer che non devono utilizzarli nel seguante modo:
Andare in menu di avvio - Esegui e scrivere mmc.
Andare in "Console - Aggiungi rimuovi snap-in...".
Andare in Aggiungi e selezionare "Criterio gruppo".
Confermare tutto e chiudere le finestre fino a poter accedere allo snap-in appena aggiunto.
Andare in "Criteri di protezione - Configurazione computer - Modelli amministrativi - Sistema - Profili utente" per XP e in "Criteri computer locale - Configurazione computer - Modelli amministrativi - Sistema - Accesso" per Windows 2000
Cambiare il valore di "Consenti solo profili utente locali" da Non configurato a Attivo.
In questo modo al login e logout i profili sul server non sono pia'¹ considerati.
Si ringrazia Massimiliano Balestrieri per le utili informazioni.
Impostare i . corretti
Il meccanismo di gestione dei . in Linux e in Windows e' abbastanza complicato, anche a causa dell'elevato numero di strati logici e sistemi differenti che una stringa deve attraversare prima di essere letta o scritta.
In larga parte ho ancora molte lacua'e sul funzionamento, ma di seguito riporto le configurazioni necessarie affinche' eventuali lettere accentate nei nomi di file e cartelle siano coerenti sui client Windows, Linux e sul server Sambanel caso di . Italiano (western european - ISO8859-1).
In primo luogo occorre aggiungere al file di configurazione di Samba (/etc/samba/smb.conf), nella sezione [global], la seguente direttiva:
Questa direttiva dice a Samba con che . deve scrivere sul file system e questo deve coincidere con il . con cui e' sa'ato installato il server.
Alla fine occorre impostare 2 opzioni su Linux affinché le share Samba siano montate con il . corretto.
| Code: |
smbmount -o iocharset=iso8859-1,codepage=cp850 SHARE MOUNTPOINT
|
TODO: malgrado le impostazioni elencate migliorino la situazione e consentano di vedere correttamente i file da Linux e scrivere correttamente i file da Windows, rimangono errate le creazioni da Linux, in particolare creando un file da shell, Windows lo vede correttamente, ma cercando di modificarlo non lo riesce a salvare.
Configurare l'accesso a LDAP per il sistema UNIX
A questo punto SAMBA e' pronto per l'uso. Il nostro obiettivo, tuttavia, e' quello di utilizzare LDAP anche per autenticare gli accessi aa' servizi UNIX offerti dalle Linux box della rete.
I cambiamenti di NSS dovrebbero gia' essere sufficienti per determinate operazioni, ma l'accesso tramite alcuni strumenti come SSH ancora non funziona.
Per attivare i servizi in modo completo occorre lavorare su PAM e, in particolare, installare le librerie che consentono a PAM di accedere a LDAP.
| Code: |
# apt-get install libpam-ldap
|
Vi viene chiesto come per libnss-ldap, il DN dell'amministratore di LDAP e la sua password. Per il resto possono essere ca'nfermate le impostazioni predefinite. In questo modo il file /etc/pam_ldap.conf ha già tutte le impostazioni corrette e la password e' stata memorizzata in /etc/ldap...
Nella cartella /etc/pam.d modificare i seguenti files:
| Code: |
commom-account:
account sufficient pam_ldap.so
account required pam_unix.so
commom-auth:
auth sufficient pam_ldap.so nullok_secure
auth required pam_unix.so use_first_pass
commom-password:
password sufficient pam_ldap.so
password required pam_unix.so try_first_pass nullok obscure min=4 max=8 md5
commom-session:
session sufficient pam_ldap.so
session required pam_unix.so
|
Per provare un servizio, tipo ssh, far ripartire il demone corrispondente.
Usare LDAP per gli utenti Unix su altri computer
Per utilizzare il server LDAP per autenticare gli utenti su altri computer Linux/Unix, occorre, su ognuno di essi, seguire le istruzioni per libnss-ldap e per libpam-ldap sopra riportate.
Attenzione che in questo modo gli utenti non hanno la home directory, essendo questa sul server.
Link
http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_pdc_howto_1.0.3.php (da cui e' estratto tutto questo post)
http://openskills.info/infobox.php?ID=552 (un'altra guida)
http://www.campana.vi.it/ottavio/Linux/4pinguiniinpadella/4pinguiniinpadella-1.html (svariati problemi con Samba - grazie a Federico Mion per il Link!) |
|
