Samba 3 + ldap + PDC HOWTO - Debian Sarge 3.1 (2005), Science, Technology, IT, Linux, LDAP
[ Pobierz całość w formacie PDF ]
:: SLAG :: Samba 3 + ldap + PDC HOWTO
...
Chi siamo Iniziative Progetti Documenti Links
HomeNewsLogin
Samba 3 + ldap + PDC HOWTO
Configurazione Samba 3 con supporto
LDAP
su Debian Sarge
Link utili
SAMBA
- opening
windows to a wider
world
Autore: Edy Incoletti (
)
OpenLDAP
-
community
developed LDAP
software
Versione: 1.0.0, del 18/10/2005
E' dato permesso di distribuire questo documento in rispetto ai termini della GNU
Free Documentation License (
).
Sambaldap tools
-
Dal sito IDEALX
L'autore incoraggia le modifiche a tale documento al fine di correggere/migliorare la
configurazione del software indicato. E' ben accetta la comunicazione di tali
migliorie in modo che possano essere integrate nelle future versioni.
HOWTO
Samba 3 + LDAP +
PDC HOWTO
Scopo dell'HOWTO
CD Wav mp3
HOWTO
Configurare Samba 3.0 con un backend LDAP.
Utilizzare lo stesso server LDAP per la gestione degli utenti UNIX in modo da avere
una gestione integrata degli utenti di dominio.
SNORT Tutorial
Midi HOWTO (parte
1)
Riferimenti
Altre versioni
Edd Dumbill
[1] Turn your world LDAP-tastic
(
Ignacio Coupeau
[2] Samba (v. 3) PDC LDAP HOWTO
(
)
Olivier Lemaire
[3] The SAMBA-2.2.4/LDAP PDC HOWTO
(
Jelmer R. Vernooij, John H. Terpstra, Gerald (Jerry) Carter
[4] The Official Samba-3 HOWTO and Reference Guide
(
)
1.0.3
1.0.2
1.0.1
1.0.0
0.1.0
Modifiche rispetto alla versione precedente
Il presente howto è stato aggiornato utilizzando la nuova versione stabile di Debian,
Debian 3.1 Sarge.
Questa versione introduce una serie di migliorie ai pacchetti utilizzati che rendono
decisamente più agevole la configurazione dell'ambiente, soprattutto per ciò che
riguarda la configurazione dei smbldap-tools.
In questa versione sono, inoltre, state introdotte informazioni tratte dal documento
"Turn your world LDAP-tastic" ([1]) che copre in linea di massima la stessa
PDF created with pdfFactory Pro trial version
22/03/2006 9.35
1 di 18
:: SLAG :: Samba 3 + ldap + PDC HOWTO
...
configurazione, facendo però riferimento a documenti esterni che in questo howto
sono invece integrati. Rispetto al documento indicato, inoltre, sono state apportate
alcune correzioni per semplificare o correggere le varie impostazioni.
Sistema installato
Il presente HOWTO è stato realizzato utilizzando un sistema Debian 3.1 Sarge con
tutti gli aggiornamenti di sicurezza ufficiali.
La configurazione iniziale del sistema prevede un'installazione base senza alcun
componente aggiuntivo.
Durante tutto il processo si presuppone di agire come utente root
Si consiglia di installare immediatamente Samba, in quanto alcuni strumenti che
mette a disposizione saranno necessari anche per le configurazioni degli altri
servizi.
# apt-get install samba smbclient
Per il momento come configurazione base rispondente nel seguente modo alle
domande che vi verranno poste:
- impostate il nome corretto del dominio (nel nostro esempio LOGIC)
- abilitare l'utilizzo di password cifrate
- non utilizzare DHCP per i nomi NETBIOIS
- avviare Samba con demoni
- non creare il database delle password
non preoccupatevi per eventuali errori, in quanto tutta la configurazione verrà
ripresa in un secondo momento.
Installazione e configurazione del server LDAP
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la
memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si
desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete
aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi
alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si
consiglia di approfondire l'argomento su [1].
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce
un'implementazione di server LDAP, un insieme di strumenti che ne permettono la
gestione e il pacchetto samba-doc contentente alcuni file necessari per configurare
LDAP per l'utilizzo con SAMBA.
# apt-get install slapd ldap-utils samba-doc
Durante l'installazione verranno richieste alcune informazioni necessarie a
configurare il server LDAP. In particolare verrà richiesto il nome del dominio che
può essere un dominio interno completamente inventato (es. miadominio.tld) o un
dominio internet valido. La scelta è legata a politiche organizzative aziendali e
tecniche che richiederebbero una trattazione approfondita e che esula da questo
HOWTO.
Nei file riportati si considera che il dominio specificato è "logic", un dominio interno
non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una
password particolarmente sicura, in quanto tramite essa si potrà avere accesso
completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a
qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà
utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene
PDF created with pdfFactory Pro trial version
22/03/2006 9.35
2 di 18
:: SLAG :: Samba 3 + ldap + PDC HOWTO
...
ricordarsela.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA.
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Modifica il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo nella
sezione "Schema and objectClass definitions" lo schema per samba:
include /etc/ldap/schema/samba.schema
Nella sezione "Indexing options" aggiungere una serie di indicizzazioni che
ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
index objectClass eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
Consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le
password di SAMBA e contemporaneamente proteggere tali informazioni da un
accesso pubblico sostituendo la riga:
access to attribute=userPassword
con:
access to attrs=userPassword,sambaNTPassword,sambaLMPassword
Far ripartire slapd affinché tutte le modifiche apportate siano prese in
considerazione.
# /etc/init.d/slapd restart
Controllare che il server sia correttamente partito eseguendo una query con il
comando:
# ldapsearch -x
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione
ricontrollare tutte le impostazioni e i file di log.
Per controllare il funzionamento di slapd può sempre tornare utile fermare il
servizio e farlo partire, anziché con gli script standard debian con il comando:
# slapd -d 256
In tal modo viene avviato visualizzando varie informazioni di debug a video.
Configurazione dei client per LDAP
Ogni volta che un client accede ad un server LDAP deve impostare la base di
ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste
informazioni possono essere impostate come default nel file /etc/ldap/ldap.conf
aggiungendo le righe:
BASE dc=logic
URI ldap://localhost
Una volta fatto questo è possibile verificare il corretto funzionamento di LDAP
nuovamente con il comando:
# ldapsearch -x
PDF created with pdfFactory Pro trial version
22/03/2006 9.35
3 di 18
:: SLAG :: Samba 3 + ldap + PDC HOWTO
...
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in
numero maggiore rispetto a quanto elencato la volta precedente.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi,
utenti e password in modo da dialogare direttamente con il server LDAP e gestire in
contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in
grado di gestire tali account, utilizzando quello strumento occorre prima creare
l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
# apt-get install smbldap-tools
Configurazione
Copiare i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools.
#zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > \
/etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf \
/etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN
dell'amministratore del server LDAP e la sua password.
Il DN dell'amministratore è stato impostato automaticamente durante l'installazione
del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=<dominio>", in cui il
dominio dipende dalle configurazioni sopra riportate per il server LDAP.
La password è quella richiesta in fase di installazione del server LDAP.
Se non si è sicuri del DN da inserire lanciare il comando:
# slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire
come DN.
Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo
da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni
coincideranno.
Eseguire il comando:
# net getlocalsid
e copiare il codice che viene restituito.
Modificare il file /etc/smbldap.conf inserento il SID appena ottenuto e controllare gli
indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
Verificare che il TLS sia disabilitato.
ldapTLS="0"
Configurare il corretto suffisso per il dominio (quello specificato nella
PDF created with pdfFactory Pro trial version
22/03/2006 9.35
4 di 18
:: SLAG :: Samba 3 + ldap + PDC HOWTO
...
configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare
(LOGIC).
suffix="dc=logic"
sambaUnixIdPooldn="sambaDomainName=LOGIC,${suffix}"
Potrebbe tornare utile anche impostare una differente scadenza per le password, in
modo che non ne venga richiesta la sostituzione troppo di frequente:
defaultMaxPasswordAge="180"
Questo parametro è poi utilizzato al momento della creazione di un utente e ogni
volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che
conterranno i profiles nel caso di roaming profiles.
userSmbHome="\\PDC-SERVER\%U"
userProfile="\\PDC-SERVER\profiles\%U"
PDC-SERVER deve essere sostituito con il nome SAMBA del server che funziona
come PDC (il server che stiamo configurando).
In questo esempio, inoltre, si è ritenuto di fornire uno script di logon comune a tutti
gli utenti, anziché di uno script personale per ogni utente, pertanto si è impostato il
seguente parametro:
userScript="startup.cmd"
Tale impostazione può essere poi cambiata per determinati utenti con esigenze
particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non
vengono configurati.
mailDomain="logicsnc.com"
Terminate le modifiche cambiare i permessi per i file appena modificati al fine di
aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle
password di amministratore di LDAP.
# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Configurazione di SAMBA
A questo punto il backend per la memorizzazione degli utenti e la loro gestione è
pronto, è quindi il momento di passare a SAMBA per farlo accedere a quanto fatto
finora.
Creazione dei dati base
Per il funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2
utenti: Administrator e nobody.
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico
(da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per
questa operazione.
Tale utente può essere un utente root (da aggiungere a mano) o lo stesso
Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa
configurazione, in modo da avere un utente Administrator che è Administrator per
Samba e root per il "dominio" UNIX.
Per creare tali gruppi utilizzare il comando:
PDF created with pdfFactory Pro trial version
22/03/2006 9.35
5 di 18
[ Pobierz całość w formacie PDF ]