TommyBlue.it » samba

Realizzare un dominio con Samba 3 come Primary Domain Controller

TommyBlue — Sun, 13 Feb 2011 23:10:57 +0000

Questa guida può essere vista come un aggiornamento della vecchia guida Realizzare un dominio Windows con Linux: Samba come PDC, ma la procedura è cambiata sostanzialmente, soprattutto per l’aggiornamento del server LDAP. Ho testato il tutto su Ubuntu 8.04 e 8.10.

Si può “ciecamente” seguire i vari passaggi per ottenere un dominio funzionante in pochi minuti, volendo invece approfondire si può leggere i due link principali che ho seguito: OpenLDAP è stato installato seguendo questa guida e configurato per l’autenticazione seguendo quest’altra guida. Al termine dell’articolo ho comunque riportato tutta una serie di link che ho visitato.

Prima di iniziare scegliete il nome del dominio. Può essere un semplice TOMMYBLUE oppure un più complesso BASE.TOMMYBLUE.IT. Non cambia molto, basta “tradurre” correttamente il tutto in ldappese, quindi TOMMYBLUE sarà dc=tommyblue mentre BASE.TOMMYBLUE.IT diventa dc=base,dc=tommyblue,dc=it. Io per semplicità ho usato soltanto DOMAIN, fate le opportune sostituzioni. Scegliete anche una password e sostituitela dove io ho messo PASSWORD.

Installazione di SLAPD

Si inizia installando i pacchetti necessari:

sudo apt-get install slapd ldap-utils

E inserendo alcuni schemi base:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif

Creiamo poi un file backend.ldif con:

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=DOMAIN
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=DOMAIN
olcRootPW: PASSWORD
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=admin,dc=DOMAIN" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=DOMAIN" write by * read

E inseriamolo nel db:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif

Creiamo frontend.ldif:

dn: dc=DOMAIN
objectClass: top
objectClass: dcObject
objectclass: organization
o: MyDomain
dc: DOMAIN
description: My Domain's LDAP

dn: cn=admin,dc=DOMAIN
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword: PASSWORD

dn: ou=People,dc=DOMAIN
objectClass: organizationalUnit
ou: People

dn: ou=Groups,dc=DOMAIN
objectClass: organizationalUnit
ou: Groups

dn: uid=john,ou=People,dc=DOMAIN
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
uid: john
sn: Doe
givenName: John
cn: John Doe
displayName: John Doe
uidNumber: 10000
gidNumber: 10000
userPassword: password
gecos: John Doe
loginShell: /bin/bash
homeDirectory: /home/john
shadowExpire: -1
shadowFlag: 0
shadowWarning: 7
shadowMin: 8
shadowMax: 999999
shadowLastChange: 10877
mail: john.doe@mymaildomain.com
postalCode: 31000
l: Toulouse
o: Example
mobile: +33 (0)6 xx xx xx xx
homePhone: +33 (0)5 xx xx xx xx
title: System Administrator
postalAddress:
initials: JD

dn: cn=example,ou=Groups,dc=DOMAIN
objectClass: posixGroup
cn: example
gidNumber: 10000

e inseriamolo nel db:

sudo ldapadd -x -D cn=admin,dc=DOMAIN -W -f frontend.ldif

Aggiungiamo degli indici per velocizzare le query, creiamo il file uid_index.ldif:

dn: olcDatabase={1}hdb,cn=config
add: olcDbIndex
olcDbIndex: uid eq,pres,sub

E inseriamoli:

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f uid_index.ldif

È necessario anche convertire gli schema al nuovo formato, creiamo quindi il file schema_convert.conf:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema

Creiamo una directory temporanea in cui salvare l’output:

mkdir -p ./tmp/ldif_output

E convertiamo il file schema in LDIF:

slapcat -f schema_convert.conf -F ./tmp/ldif_output -n0 -s "cn={5}dyngroup,cn=schema,cn=config" > ./tmp/cn=dyngroup.ldif

Il file ./tmp/cn\=dyngroup.ldif va modificato in questo modo:

dn: cn=dyngroup,cn=schema,cn=config
...
cn: dyngroup

E rimosse le seguenti righe dalla fine del file:

structuralObjectClass: olcSchemaConfig
entryUUID: 10dae0ea-0760-102d-80d3-f9366b7f7757
creatorsName: cn=config
createTimestamp: 20080826021140Z
entryCSN: 20080826021140.791425Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20080826021140Z

Infine inseriamo gli schema nel db:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f ./tmp/cn\=dyngroup.ldif

Con questo comando possiamo verificare il tutto:

sudo ldapsearch -LLL -Y EXTERNAL -H ldapi:/// -b cn=config dn

Autenticazione LDAP

Come sempre installiamo il necessario:

sudo apt-get install libnss-ldap

In fase di configurazione dobbiamo rispondere:

ldap://127.0.0.1:389/
dc=DOMAIN
3
yes
no
cn=admin,dc=DOMAIN
PASSWORD

Configuriamo anche le autenticazioni NSS e PAM:

sudo auth-client-config -t nss -p lac_ldap
sudo pam-auth-update

Con getent possiamo verificare il funzionamento dell’autenticazione. Il sistema infatti adesso ha unito i gruppi e gli utenti su ldap a quelli in /etc/passwd e /etc/group:

~$ getent passwd

...
john:x:10000:10000:John Doe:/home/john:/bin/bash

~$ getent group

...
example:*:10000:

Se non vedete l’utente john o il gruppo example, avete sbagliato qualcosa :)

Samba

Installiamo i pacchetti:

sudo apt-get install samba samba-doc smbldap-tools

Inseriamo lo schema samba:

sudo cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/
sudo gzip -d /etc/ldap/schema/samba.schema.gz

Creiamo il file samba_schema_convert.conf:

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/collective.schema
include /etc/ldap/schema/corba.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/duaconf.schema
include /etc/ldap/schema/dyngroup.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/java.schema
include /etc/ldap/schema/misc.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/openldap.schema
include /etc/ldap/schema/ppolicy.schema
include /etc/ldap/schema/samba.schema

E convertiamo gli schema:

slapcat -f samba_schema_convert.conf -F ./tmp/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > ./tmp/cn=samba.ldif

Modifichiamo il file ./tmp/cn\=samba.ldif sistemando i seguenti attributi:

dn: cn=samba,cn=schema,cn=config
...
cn: samba

e rimuovendo le seguenti righe dalla fine del file:

structuralObjectClass: olcSchemaConfig
entryUUID: b53b75ca-083f-102d-9fff-2f64fd123c95
creatorsName: cn=config
createTimestamp: 20080827045234Z
entryCSN: 20080827045234.341425Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20080827045234Z

Inseriamo il tutto nel db:

sudo ldapadd -Y EXTERNAL -H ldapi:/// -f ./tmp/cn\=samba.ldif

Aggiungiamo gli indici, creiamo samba_indexes.ldif:

dn: olcDatabase={1}hdb,cn=config
add: olcDbIndex
olcDbIndex: uidNumber eq
olcDbIndex: gidNumber eq
olcDbIndex: loginShell eq
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: uniqueMember eq,pres
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaDomainName eq
olcDbIndex: default sub

Inseriamoli:

sudo ldapmodify -Y EXTERNAL -H ldapi:/// -f samba_indexes.ldif

smbldap-tools

Gli smbldap-tools sono degli ottimi script per gestire il tutto, io comunque per la gestione del dominio consiglio l’utilizzo di LAM ma con smbldap-tools si può popolare velocemente LDAP con i dati necessari e Samba li utilizzerà per aggiungere le macchine che si uniscono al dominio.
Iniziamo quindi configurandoli:

sudo gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
sudo perl /usr/share/doc/smbldap-tools/configure.pl

Dopo l’ultimo comando vi verranno fatte varie domande che servono a configurare i file che riporto qui di seguito, quindi dategli uno sguardo per capire cosa dovete rispondere.

/etc/smbldap-tools/smbldap_bind.conf:

slaveDN="cn=admin,dc=DOMAIN"
slavePw="PASSWORD"
masterDN="cn=admin,dc=DOMAIN"
masterPw="PASSWORD"

/etc/smbldap-tools/smbldap.conf:

SID="S-1-5-21-395106984-1667043562-2069293566" (il SID è unico del vostro server, questo è il mio!)
sambaDomain="DOMAIN"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify=""
cafile=""
clientcert=""
clientkey=""
suffix="dc=DOMAIN"
usersdn="ou=People,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=DOMAIN,${suffix}"
scope="sub"
hash_encrypt="SSHA"
crypt_salt_format=""
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="120"
userSmbHome=""
userProfile=""
userHomeDrive="H:"
userScript="logon.cmd"
mailDomain="mymaildomain.com"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

A questo punto configuriamo anche samba con il suo file /etc/samba/smb.conf. Riporto direttamente l’output del comando testparm che verifica il ruolo del server Samba e poi stampa il dump del file smb.conf:

Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section "[netlogon]"
WARNING: The "share modes" option is deprecated
Processing section "[profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

[global]
        dos charset = 850
        unix charset = ISO8859-1
        workgroup = DOMAIN
        server string = %h server (Samba, Ubuntu)
        map to guest = Bad User
        obey pam restrictions = Yes
        passdb backend = ldapsam:ldap://127.0.0.1
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = Yes
        log level = 3 passdb:5 auth:10 winbind:2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        smb ports = 139 445
        name resolve order = wins host dns bcast
        time server = Yes
        deadtime = 10
        socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        load printers = No
        show add printer wizard = No
        add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w "%u"
        logon script = logon.cmd
        logon path =
        logon drive = H:
        logon home =
        domain logons = Yes
        os level = 65
        preferred master = Yes
        domain master = Yes
        dns proxy = No
        wins support = Yes
        ldap admin dn = cn=admin,dc=DOMAIN
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        ldap machine suffix = ou=Computers
        ldap passwd sync = yes
        ldap suffix = dc=DOMAIN
        ldap ssl = no
        ldap user suffix = ou=People
        usershare allow guests = Yes
        panic action = /usr/share/samba/panic-action %d
        idmap backend = ldap:ldap://127.0.0.1
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        nt acl support = No
        case sensitive = No
        dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd

[netlogon]
        comment = Network Logon Service
        path = /srv/samba/netlogon
        guest ok = Yes
        share modes = No

[profiles]
        comment = Users profiles
        path = /srv/samba/profiles
        create mask = 0600
        directory mask = 0700
        profile acls = Yes
        browseable = No
        browsable = No

A questo punto popoliamo LDAP:

sudo smbldap-populate

Se tutto è andato bene il vostro albero LDAP dovrebbe esser più o meno così:

Prima di terminare creiamo la cartella netlogon:

sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd

Il file logon.cmd può contenere le istruzioni che volete che i pc Windows eseguano all’accesso dell’utente, ad esempio per montare delle condivisioni o settare qualche paramentro.

Riavviamo Samba e impostiamo la password di root:

sudo stop smbd
sudo start smbd
sudo smbpasswd -w PASSWORD

Verifichiamo il mappaggio dei gruppi Samba nei gruppi LDAP con il comando net:

~$ sudo net groupmap list

Domain Admins (S-1-5-21-395106984-1667043562-2069293566-512) -> Domain Admins
Domain Users (S-1-5-21-395106984-1667043562-2069293566-513) -> Domain Users
Domain Guests (S-1-5-21-395106984-1667043562-2069293566-514) -> Domain Guests
Domain Computers (S-1-5-21-395106984-1667043562-2069293566-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

Attualmente l’utente Domain Admin è root, è comodo avere l’alias in Administrator:

echo "root = Administrator" > /etc/samba/smbusers

Abbiamo terminato, possiamo adesso aggiungere il primo pc al dominio!

Aggiungere un pc Windows al dominio

In generale si può seguire la guida ufficiale Microsoft

Accedere al pc, cliccare col tasto destro del mouse su Risorse del computer e poi su Proprietà. Selezionare la scheda Nome computer e premere su Cambia.
Spuntare Membro di Dominio e inserire il nome del dominio DOMAIN.
Alla richiesta inserire username root (o Administrator) e la relativa password.

Risoluzione dei problemi

In caso di errore nell’unione al dominio:

Aprire l’editor delle policy di Sicurezza Locale Start->Pannello di controllo->Strumenti di Aministrazione->Criteri di protezione locali->Criteri locali->opzioni di protezione
Disabilitare la voce Domain member: Digitally encrypt or sign secure channel (always) (_Membro di dominio: aggiunta crittografia of irma digitale ai dati del canale protetto (sempre))
Disabilitare la voce Domain member: Disable machine account password changes (Controller di dominio: rifiuta cambio password account computer)
Disabilitare la voce Domain member: Require strong (Windows 2000 or later) session key (Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive))
Scaricare il file WinXP_SignOrSeal.reg (qui di seguito) ed eseguirlo per modificare il registro di sistema:

Windows Registry Editor Version 5.00

;
; This registry key is needed for a Windows XP Client to join
; and logon to a Samba domain. Note: Samba 2.2.3a contained
; this key in a broken format which did nothing to the registry -
; however XP reported "registry key imported". If in doubt
; check the key by hand with regedit.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000

Funzioni di base

Qui di seguito riporto alcuni comandi di base per la gestione del dominio, consiglio comunque l’utilizzo di LAM (ldap-account-manager) che semplifica il tutto.. e parecchio :)

Per aggiungere un nuovo utente a LDAP con attributi Samba, digitare quanto segue, sostituendo “NOME_UTENTE” con un nome utente reale:

sudo smbldap-useradd -a -P NOME_UTENTE

L’opzione -a aggiunge gli attributi Samba, -P chiama l’utilità smbldap-passwd dopo aver creato l’utente consentendo di inserire la password per l’utente.

Per rimuovere un utente dalla directory:

sudo smbldap-userdel NOME_UTENTE

L’utilità smbldap-userdel è dotata anche di un’opzione -r per rimuovere la directory home dell’utente.

Per aggiungere un gruppo, usare smbldap-groupadd, sostituendo “NOME_GRUPPO” con il nome di un gruppo esistente:

sudo smbldap-groupadd -a NOME_GRUPPO

Come per smbldap-useradd, l’opzione -a aggiunge gli attributi Samba.

Per aggiungere un utente a un gruppo, usare smbldap-groupmod:

sudo smbldap-groupmod -m NOME_UTENTE NOME_GRUPPO

Assicurarsi di sostituire NOME_UTENTE con un utente reale. Inoltre, con l’opzione -m è possibile aggiungere più di un utente alla volta, elencandoli come valori separati da virgola.

smbldap-groupmod può essere usato anche per rimuovere un utente da un gruppo:

sudo smbldap-groupmod -x NOME_UTENTE NOME_GRPPO

L’utilità smbldap-useradd può anche aggiungere degli account macchina:

sudo smbldap-useradd -t 0 -w NOME_MACCHINA

Sostituire NOME_MACCHINA con il nome della workstation. L’opzione -t 0 crea un account macchina immediatamente, -w indica di creare l’utente come account macchina. Notare che l’opzione add machine script in /etc/samba/smb.conf è stata modificata per usare smbldap-useradd.

Webografia

Realizzare un dominio Windows con Linux: Samba come PDC

TommyBlue — Wed, 06 Feb 2008 17:31:34 +0000

Questo How-To prende spunto dalle guide presenti nella webografia e dalle conoscenze personali per realizzare un Primary Domain Controller (PDC) utilizzando Samba anziché il costoso e proprietario Windows Server. Ricordo comunque che attualmente con Samba è possibile implementare un Primary Domain Controller di Windows 2000/NT e non un Active Directory Domain di Windows Server 2003. Per le mie necessità è comunque più che sufficiente.

Nella stesura della guida si è usato un server con una installazione base di Debian Etch (al momento versione stabile di Debian). Per installazione base si intende una installazione effettuata con un cdrom minimale Debian Etch Netinstall, una sola partizione / oltre alla swap, l’installazione del solo pacchetto “sistema base” proposto dall’installer Debian. Per completare ho installato anche vim e openssh-server per agire da remoto (dato che devo usare il browser, altrimenti non e strettamente necessario). In ogni caso una qualsiasi installazione non comporta sostanziali cambiamenti a questo howto. Il nome del pc è pdc.

Installazione di Samba

Installiamo subito i pacchetti relativi a Samba nonostante la sua configurazione sarà ad un passo successivo. Alcuni componenti infatti sono necessari prima.

pdc:~# apt-get install samba smbclient samba-doc

Alle domande scegliamo un dominio (io ho scelto TOMMYBLUE) e non usiamo DHCP. Queste configurazioni sono comunque temporanee e dopo verranno ampiamente modificate.

Installazione di LDAP

Proseguiamo con l’installazione di Open-LDAP, una implementazione libera del protocollo di servizio di directory LDAP. Su LDAP infatti verranno mantenuti i dati relativi agli utenti, i computer del dominio e tutti gli altri necessari. Di default Samba utilizza tdbsam per gestire questi dati. La guida di Openskills (vedi la webografia) realizza un PDC utilizzando tdbsam anziché LDAP.

Procediamo con l’installazione:

pdc:~# apt-get install slapd ldap-utils

La password richiesta consentirà di accedere a qualunque dato in LDAP, è quindi necessariamente una password sicura. La mia scelta per questa guida è pippo :-) ma chiaramente in ambiente non di sviluppo sarà molto più complessa.

Configurazione del server LDAP slapd

Spostiamoci subito nella cartella delle configurazioni di LDAP e iniziamo a guardarci intorno:

pdc:~# cd /etc/ldap
pdc:/etc/ldap# ls
ldap.conf  sasl2  schema  slapd.conf

NB. Ho notato che in una diversa installazione di LDAP, sempre su Debian Etch, il file ´ldap.conf´ non e’ presente. Non preoccupiamoci tanto lo creeremo piu’ avanti.

Come prima cosa dobbiamo copiare nella cartella schema lo schema di Samba. Prima facciamo però chiarezza sugli schema che, in pratica, definiscono la struttura in cui certi tipi di dati devono essere salvati e quali, tra questi dati, sono obbligatori o facoltativi. Gli RFC 2252 e RFC 2256, basati sullo standard X.500, definiscono alcuni schema di base che contengono attributi relativi a localizzazione, persone, organizzazioni, gruppi, reti e dispositivi di una rete. Questi schema sono già presenti nella installazione base di una directory LDAP (nel nostro caso sono quelli nella cartella schema) mentre attributi aggiuntivi possono essere definiti in ogni momento. Nel nostro caso lo schema necessario a mantenere i dati di un dominio è stato installato col pacchetto samba-doc, copiamolo nella cartella schema:

pdc:/etc/ldap# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

Adesso inseriamo lo schema nel file slapd.conf nella sezione Schema and objectClass definitions:

include /etc/ldap/schema/samba.schema

Nella sezione Indexing options aggiungiamo una serie di indicizzazioni che ottimizzeranno le interrogazioni per l’utilizzo del server Samba (sono opzionali ma utili, la prima riga potrebbe essere già presente):

index 	objectClass	eq
index 	uid,uidNumber,gidNumber,memberUid 	eq
index 	cn,mail,surname,givenname	eq,subinitial
index 	sambaSID	eq
index 	sambaPrimaryGroupSID	eq
index 	sambaDomainName	eq

Bisogna consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le password di Samba e contemporaneamente proteggere tali informazioni da un accesso pubblico sostituendo la riga:

access to attribute=userPassword,shadowLastChange

con:

access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword

Infine aggiungiamo le informazioni per l’autenticazione (inserendo il dominio e la password scelta in precedenza):

rootdn          "cn=admin,dc=TOMMYBLUE"
rootpw          "pippo"

Controlliamo anche che nelle varie voci di configurazione il dominio preimpostato sia effettivamente dc=TOMMYBLUE Come ultima cosa riavviamo slapd e controlliamo se tutto funziona:

pdc:/etc/ldap# /etc/init.d/slapd restart
Stopping OpenLDAP: slapd.
Starting OpenLDAP: slapd.
pdc:/etc/ldap# ldapsearch -x
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#    

# search result
search: 2
result: 32 No such object

Il risultato dell’ultimo comando deve essere in formato LDIF. Se invece otteniamo un errore di connessione ricontrolliamo tutte le impostazioni e i file di log (di base slapd logga in /var/log/syslog). Per controllare il funzionamento di slapd può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard Debian, con il comando:

# slapd -d 256

In tal modo viene avviato visualizzando varie informazioni di debug a video.

Configurazione del client LDAP

Un client LDAP deve conoscere la base di ricerca e l’indirizzo del server LDAP, possiamo impostarli nel file ldap.conf:

BASE dc=TOMMYBLUE
URI ldap://localhost

A questo punto una nuova ricerca nell’albero LDAP restituisce un risultato molto più piacevole:

pdc:/etc/ldap# ldapsearch -x
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# TOMMYBLUE
dn: dc=TOMMYBLUE
objectClass: top
objectClass: dcObject
objectClass: organization
o: TOMMYBLUE
dc: TOMMYBLUE

# admin, TOMMYBLUE
dn: cn=admin,dc=TOMMYBLUE
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Utility di gestione: smbldap-tools

Dovendo trasferire gruppi e utenti di sistema sulla directory LDAP i “vecchi” strumenti di Unix non sono vanno più bene. I smbldap-tools sono, appunto, i tools che permettono questa gestione. Iniziamo a installarli:

pdc:/etc/ldap# apt-get install smbldap-tools

Il pacchetto ha molte dipendenze (17 per l’esattezza), non spaventatevi. Spostiamoci quindi in /etc/smbldap-tools e iniziamo la configurazione creando i files di default:

pdc:/etc/smbldap-tools# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
pdc:/etc/smbldap-tools# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

Iniziamo configurando smbldap_bind.conf. Il file contiene la configurazione sia per il server master che per quello slave, nel nostro caso coincidono e quindi la configurazione sarà doppia. Ecco il risultato:

slaveDN="cn=admin,dc=TOMMYBLUE"
slavePw="pippo"
masterDN="cn=admin,dc=TOMMYBLUE"
masterPw="pippo"

Prima di configurare il file smbldap.conf copiamo il valore ottenuto col seguente comando:

pdc:/etc/smbldap-tools# net getlocalsid
SID for domain PDC is: S-1-5-21-323165295-1747901579-802220036

Proseguiamo quindi con smbldap.conf, la configurazione è complessa e procederemo a passi. Fino al termine di questo paragrafo farò sempre riferimento al file smbldap.conf. Date innanzitutto un primo sguardo al file (è ben commentato) dopodichè modificate le varie voci che, qui di seguito, non sono riportate nello stesso ordine del file e a cui ho tolto, per sintesi, i commenti.

Innanzitutto impostiamo il SID appena ottenuto e il dominio inserito al momento dell’installazione di Samba (nel mio caso TOMMYBLUE) dove serve:

SID="S-1-5-21-323165295-1747901579-802220036"
sambaDomain="TOMMYBLUE"
sambaUnixIdPooldn="sambaDomainName=TOMMYBLUE,${suffix}"

Dopodichè controlliamo che gli indirizzi e le porte dei server master e slave siano entrambi su 127.0.0.1:

slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"

Disabilitiamo (almeno momentaneamente) TLS:

ldapTLS="0"

Modifichiamo il suffisso LDAP e il dominio per le email:

suffix="dc=TOMMYBLUE"
mailDomain="tommyblue.it"

Infine impostiamo le homes degli utenti e la directory dove salvare i profili. PDC-SERVER è il nome che utilizzeremo per identificare il nostro server PDC (lo imposteremo tra poco).

userSmbHome="\\PDC-SERVER\%U"
userProfile="\\PDC-SERVER\profiles\%U"

Per finire impostiamo i giusti permessi ai files appena modificati:

pdc:/etc/smbldap-tools# chmod 0644 /etc/smbldap-tools/smbldap.conf
pdc:/etc/smbldap-tools# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf

Configurazione di Samba

Adesso che il backend è pronto non ci resta che far si che Samba possa correttamente utilizzare queste informazioni. Innanzitutto a Samba servono dei gruppi predefiniti e due utenti: Administrator e nobody. Inoltre, per permettere alle macchine Windows di essere aggiunte in automatico al dominio, serve un utente con uid = 0. Potremmo usare l’utente root inserendolo a mano, ma in questo caso abbiamo deciso di cambiare l’uid dell’utente Administrator così da farlo diventare amministratore si per Samba che per la nostra macchina Linux. Possiamo creare i gruppi:

pdc:~# smbldap-populate -k 0
pdc:~# smbldap-useradd -a -m -c "Admin" Administrator
pdc:~# smbldap-usermod -G "Domain Admins" Administrator
pdc:~# smbldap-usermod -u 0 Administrator
pdc:~# smbldap-populate -a Administrator -k 0

Le opzioni -k 0 impostano l’uid a 0 rendendo di fatto l’utente Administrator anche l’utente root di sistema, al momento del primo e ultimo comando dobbiamo anche impostare la password di root: impostatene una ma non preoccupatevene troppo, la cambieremo tra poco. Possiamo controllare i dati col seguente comando:

pdc:~# ldapsearch -x | less

Come detto, cambiamo la password dell’utente Administrator:

pdc:~# smbldap-passwd Administrator

Facciamo amicizia con smbldap-passwd perché sarà il futuro comando di gestione delle password.

Configurazione di NSS e PAM

Affinchè Samba funzioni correttamente deve esserci corrispondenza tra gli utenti di sistema e quelli di LDAP. Per far questo configuriamo NSS in modo che possa utilizzare anche LDAP. Installiamo quindi:

pdc:~# apt-get install libnss-ldap

Alle domande rispondiamo con le configurazioni effettuate in precedenza. Configuriamo quindi il file nsswitch.conf dicendogli di reperire le informazioni anche da LDAP:

passwd:	compat ldap
group: 	compat ldap
shadow:	compat ldap

Per concludere possiamo verificare che effettivamente funzioni con:

pdc:~# getent passwd
[...]
openldap:x:104:104:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false
nobody:x:999:514:nobody:/dev/null:/bin/false
Administrator:x:0:513:Admin:/home/Administrator:/bin/bash

Come possiamo vedere anche gli utenti della directory LDAP sono visibili come utenti di sistema. Questo è sufficiente per alcuni operazioni base, molti programmi però utilizzano PAM, installiamo quindi i programmi necessari a farlo dialogare con LDAP:

pdc:~# apt-get install libpam-ldap

Le configurazioni di default sono sufficienti, impostate solamente il corretto account di root (nel mio casocn=admin,dc=TOMMYBLUE). La configurazione viene salvata in /etc/pam_ldap.conf e può comunque essere modificata a mano. Infine, nella cartella /etc/pam.d modifichiamo come segue i seguenti files. Nella cartella /etc/pam.d modificare i seguenti files.

common-account:

account sufficient	pam_ldap.so
account required 	pam_unix.so

commom-auth:

auth    sufficient      pam_ldap.so nullok_secure
auth    required        pam_unix.so use_first_pass

commom-password:

password    sufficient      pam_ldap.so
password    required      pam_unix.so try_first_pass nullok obscure min=4 max=8 md5

commom-session:

session    sufficient      pam_ldap.so
session    required        pam_unix.so

Una volta terminato possiamo riavviare il server ssh e ritentare il collegamento:

pdc:~# /etc/init.d/ssh restart
Restarting OpenBSD Secure Shell server: sshd.
pdc:~# exit
Connection to pdc closed.
MyPC:~$ ssh Administrator@pdc
Administrator@pdc's password:
Last login: Sat Feb  2 18:35:28 2008 from 192.168.0.2
root@pdc:~# whoami
root

Funziona perfettamente e, come possiamo notare dall’ultima riga, siamo loggati come utente root!

NB. Se utilizzate una connessione SSH per verificare la funzionalità (come nell’esempio) fate attenzione che root abbia l’accesso con la riga

PermitRootLogin yes

in /etc/ssh/sshd_config altrimenti, come ho fatto io, smadonnate per un’ora contro LDAP e la colpa e’ di SSH :-)

Configurazione del server Samba

Il file di configurazione di Samba /etc/samba/smb.conf deve essere pesantemente rimaneggiato. Possiamo dare uno sguardo ad un esempio nel file /usr/share/doc/smbldap-tools/examples/smb.conf oppure possiamo direttamente utilizzarlo per sostituire l’originale (backuppando l’originale!) e iniziare da questo. Per completezza riporto l’intero /etc/samba/smb.conf:

[global]
        workgroup = TOMMYBLUE
        netbios name = PDC-SERVER
        server string = LAN Server %v
        enable privileges = yes

##### Per permettere un corretto login dei client XP #####
        wins support = yes
        socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        ; include = /etc/samba/dhcp.conf
        dns proxy = no
        ;name resolve order = lmhosts host wins bcast
        unix charset = ISO8859-1
        dos charset = 850
        ; character set = ISO8859-1
        hosts allow = 127.0.0.1 192.168.2.0/255.255.255.0

        ### Each machina has its own log file ###
        log file = /var/log/samba/log.%m
        max log size = 1000
        log level = 2
        ; syslog only = no
        syslog = 0

        panic action = /usr/share/samba/panic-action %d

        ### Authentication ###
        security = user
        encrypt passwords = true
        ; passdb backend = tdbsam guest
        passdb backend = ldapsam:ldap://127.0.0.1
        obey pam restrictions = yes
        ; guest account = nobody
;       invalid users = root
;       unix password sync = yes

        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sLinux\spassword:* %n\n *Retype\snew\sLinux\spassword:* %n\n .

        ; pam password change = no

        ##### LDAP Configuration #####

        ldap admin dn = cn=admin,dc=TOMMYBLUE
        ldap suffix = dc=TOMMYBLUE
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Computers
        ldap idmap suffix = ou=Idmap
        ldap passwd sync = yes
        ldap delete dn = yes

        add user script = /usr/sbin/smbldap-useradd -m "%u"
        delete user script = /usr/sbin/smbldap-userdel "%u"
        add machine script = /usr/sbin/smbldap-useradd -w "%u"
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        delete group script = /usr/sbin/smbldap-groupdel "%g"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

        ##### Samba PDC #####

        os level = 255
        domain master = yes
        domain logons = yes
        preferred master = yes
        time server = yes
        logon home =
        logon path =
        logon script = logon.bat
        logon drive = H:

        ##### File sharing #####

        ; preserve case = yes
        ; short preserve case = yes

        ##### Misc #####

        ; include = /home/samba/etc/smb.conf.%m
        ; idmap uid = 10000-20000
        ; idmap gid = 10000-20000
        ; template shell = /bin/bash
        time server = yes
        hide dot files = yes

#======================= Share Definitions =======================

        [homes]
        comment = Home Directories
        browseable = no
        writable = yes
        create mask = 0700
        directory mask = 0700

        [netlogon]
        comment = Network Logon Service
        path = /var/lib/samba/netlogon
        guest ok = yes
        writable = no
        share modes = no

        [profiles]
        path = /var/lib/samba/profiles
        read only = no
        create mask = 0600
        directory mask = 0700
        writable = yes
        browseable = yes
        profile acls = yes
        hide files = /desktop.ini/ntuser.ini/NTUSER.*/
        store dos attributes = yes
        csc policy = disable

Il contenuto del file desktop.ini, citato in fondo alla configurazione, sarebbe:

[.ShellClassInfo]
LocalizedResourceName=@shell32.dll,-21786

Una volta salvato il file possiamo verificarne la correttezza con:

pdc:~# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC

Creiamo anche le cartelle e diamo i giusti permessi alla cartella dei profili impostando lo sticky bit e rendendola scrivibile da root e le sue sottodirectory gestibili dai rispettivi utenti, senza possibilità di modificare quelle degli altri (altrimenti i roaming profiles non funzionano):

pdc:~# mkdir /var/lib/samba/netlogon
pdc:~# mkdir /var/lib/samba/profiles
pdc:~# chmod 1777 /var/lib/samba/profiles

NB. In molte guide vengono usati i permessi 1757 per la cartella dei profili, ma con quei permessi non sono riuscito a fargli creare in automatico le cartelle dei profili al primo login (Windows restituisce due errori al login, dicendo, in breve, che non riesce a salvare il profilo e ad ogni nuovo login ci si ritrova con il profilo intonso), quindi ho copiato i permessi da /tmp e usato quindi 1777

Infine bisogna impostare la password per l’accesso a LDAP come admin, in questo modo Samba potrà accedere a LDAP con permessi di scrittura. La password sarà salvata nel file /var/lib/samba/secrets.tdb:

pdc:~# smbpasswd -w

Per finire riavviamo Samba:

pdc:~# /etc/init.d/samba restart
Stopping Samba daemons: nmbd smbd.
Starting Samba daemons: nmbd smbd.

e uniamo lo stesso PDC al dominio:

pdc:~# net rpc join -U Administrator
Password:
Joined domain TOMMYBLUE.

Dopo quest’ultimo comando possiamo verificarne l’effettiva riuscita con getent passwd e cercando (nell’ultima riga) una entry del genere:

pdc-server$:*:1004:515:Computer:/dev/null:/bin/false

Il simbolo $ finale indica che si tratta di un computer e non di un utente.

Creazione del primo utente

Adesso siamo pronti per la creazione del primo utente con il comando:

pdc:~# smbldap-useradd -a -m -c "Tommaso Visconti" tommaso

Dove -a serve per creare anche i dati UNIX, -m crea l’home directory e -c specifica il nome completo. Infine impostiamo la password dell’utente:

pdc:~# smbldap-passwd tommaso

Per verificare il tutto possiamo usare il comando:

pdc:~# smbldap-usershow tommaso
dn: uid=tommaso,ou=Users,dc=TOMMYBLUE
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
cn: tommaso
sn: tommaso
givenName: tommaso
uid: tommaso
uidNumber: 1000
gidNumber: 513
homeDirectory: /home/tommaso
loginShell: /bin/bash
gecos: Tommaso Visconti
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: Tommaso Visconti
sambaSID: S-1-5-21-323165295-1747901579-802220036-3000
sambaPrimaryGroupSID: S-1-5-21-323165295-1747901579-802220036-513
sambaLogonScript: logon.bat
sambaProfilePath: \\PDC-SERVER\profiles\tommaso
sambaHomePath: \\PDC-SERVER\tommaso
sambaHomeDrive: H:
sambaLMPassword: 9DA4560FB165977D3EA23D825A8A8B03
sambaAcctFlags: [U]
sambaNTPassword: C15028F27535EABEFEBB15F0552E5725
sambaPwdLastSet: 1201975835
sambaPwdMustChange: 1217527835
userPassword: {SSHA}QGDIzHLcRa8/hDtCIOCJJ84OFkulbmx3

Creiamo anche un gruppo aggiungendoci l’utente appena creato:

pdc:~# smbldap-groupadd ufficio
pdc:~# smbldap-usermod -G ufficio tommaso
pdc:~# smbldap-groupshow ufficio
dn: cn=ufficio,ou=Groups,dc=TOMMYBLUE
objectClass: top,posixGroup
cn: ufficio
gidNumber: 1000
memberUid: tommaso

Come specificato nel file /etc/smbldap-tools/smbldap.conf il file eseguito al netlogon è logon.bat. Questo script batch deve essere creato nella condivisione di netlogon e deve avere la codifica di uno script batch DOS. Installiamo quindi il software necessario (dato che, fortunatamente, non abbiamo il DOS…):

pdc:~# apt-get install tofrodos

Creiamo quindi il file /var/lib/samba/netlogon/logon.bat scrivendoci, per ora, quanto necessario per sincronizzare gli orologi. Al batch può comunque essere aggiunto tutto ciò di cui abbiamo bisogno (ad esempio per il montaggio di unità di rete o altre condivisioni):

pdc:~# echo "net time %LOGONSERVER% /set /yes" > /var/lib/samba/netlogon/logon.bat

Codifichiamo quindi il file come se fosse stato scritto in DOS:

pdc:~# unix2dos /var/lib/samba/netlogon/logon.bat

Connessione al dominio

Prima di procedere con la configurazione dei vari client Windows e Unix/Linux proviamo con una connessione locale utilizzando l’utente creato poco fa:

pdc:~# smbclient -L localhost -U tommaso
Password:
Domain=[TOMMYBLUE] OS=[Unix] Server=[Samba 3.0.24]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk      Network Logon Service
        profiles        Disk
        IPC$            IPC       IPC Service (LAN Server 3.0.24)
        tommaso         Disk      Home Directories
Domain=[TOMMYBLUE] OS=[Unix] Server=[Samba 3.0.24]

        Server               Comment
        ---------            -------
        PDC-SERVER           LAN Server 3.0.24

        Workgroup            Master
        ---------                -------
        TOMMYBLUE          PDC-SERVER

La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client, ho avuto modo di provare la configurazione per Windows 2000, Windows XP e Windows Vista, per il resto mi sono fidato di altre fonti sul web

Windows 95/98/ME

Verificare che sia installato il “Client per Reti Microsoft” fra le proprietà di rete
Assicurarsi che il Client per Reti Microsoft sia selezionato come protocollo di rete primario (Pannello di Controllo -> Rete -> Logon di rete primario).
Andare su Pannello di Controllo -> Rete -> Client per reti Microsoft -> Proprietà -> Logon su Dominio NT.
Se si è configurata su smb.conf l’opzione “add user script”, selezionare il checkbox Crea un Computer Account, altrimenti creare a mano sul server Samba un utente con il nome della macchina Windows.
Inserire il nome del proprio dominio e cliccare OK.

Windows NT

Andare su Pannello di Controllo -> Rete -> Identificazione Rete -> Proprietà
Selezionare Dominio e inserire il nome del prorio dominio
Selezionare Crea un Computer Account
Alla richiesta della password di un amministratore inserire la login e la password di Administrator, ricordarsi che l’utente root deve essere aggiunto a smbpasswd.
Dovrebbe comparire un messaggio che ci da il benvenuto sul dominio.

Windows 2000

Le procedure sono uguali a quelle per Windows NT tranne che i settaggi di rete sono trovati sotto Pannello di Controllo -> Sistema -> Identificazione Rete (oppure, sul Desktop, cliccare col tasto destro del mouse sull’icona Risorse del Computer, selezionare Proprietà, cliccare sulla tab Identificazione Rete e sul tasto Proprietà).

Windows XP

Innanzitutto chiariamo che solo la versione Professional Edition può entrare a far parte di un dominio (NT o Active Directory). Per la versione Home Edition possiamo comunque utilizzare un escamotage e riuscire ad accedere alle cartelle condivise: il nome del Workgroup deve essere esattamente il nome del dominio e l’utente locale deve essere uguale e avere la stessa password di quello di dominio, meglio di niente…

Tornando a Windows XP Professional Edition, apriamo l’editor delle policy di Sicurezza Locale:

Start->Pannello di controllo->Strumenti di Amministrazione->Criteri di protezione locali->Criteri locali->Opzioni di protezione

Disabilitare la voce Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto (sempre) (Domain member: Digitally encrypt or sign secure channel (always))
Disabilitare la voce Controller di dominio: rifiuta cambio password account computer (Domain member: Disable machine account password changes)
Disabilitare la voce Membro di dominio: richiesta chiave di sessione avanzata (Windows 2000 o versioni successive) (Domain member: Require strong (Windows 2000 or later) session key)

Nelle versioni più recenti di Samba i passaggi dovrebbero essere finiti, nelle versioni precedenti invece serve una piccola patch al registro. Innanzitutto creiamo un file di testo con questo contenuto:

Windows Registry Editor Version 5.00

;
; This registry key is needed for a Windows XP Client to join
; and logon to a Samba domain. Note: Samba 2.2.3a contained
; this key in a broken format which did nothing to the registry -
; however XP reported "registry key imported". If in doubt
; check the key by hand with regedit.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000

e salviamolo come la_mia_patch.reg (il nome chiaramente è inventato, l’importante è l’estensione .reg). A questo punto basta un doppio click per patchare il registro di Windows. Per finire uniamoci al dominio come su Windows NT/2000: Tasto destro su Risorse del Computer, selezionare Proprietà, Nome del Computer e tasto Modifica uppure cliccare su Identificazione di Rete ed eseguire il Wizard fornendo le credenziali di root.

Windows Vista

Innanzitutto un premessa: la prova è stata portata a termine con la versione Business. Dovrebbe essere possibile unire ad un dominio anche le versioni Enterprise e Ultimate mentre le versioni Home basic e Home premium no. Le operazioni da compiere sono uguali a quelle per Windows XP con, in aggiunta, una sola operazione. Innanzitutto date uno sguardo più in basso alla risoluzione del problema Impossibile unirsi al dominio con errore Impossibile trovare il percorso di rete. Bene, probabilmente avrete quel problema. L’operazione in più che citavo è, dal pannello delle proprietà della scheda di rete, dalle proprietà del Protocollo Internet (TCP/IP)->Avanzate…->WINS ho anche dovuto abilitare, in Impostazioni Netbios, la voce Abilita Netbios su TCP/IP.

Una GUI web per il database LDAP: phpldapadmin

Vabbè che siamo amministratori Linux e la shell ci garba, però può essere utile avere una GUI per esplorare l’albero LDAP. Uno strumento agile è phpldapadmin. L’installazione è rapida, la configurazione altrettanto.

pdc:~# apt-get install phpldapadmin

La configurazione è in /etc/phpldapadmin, per una configurazione base ci basta il file config.php, in particolare questi valori:

$ldapservers->SetValue($i,'server','name','LDAP PDC-SERVER');
$ldapservers->SetValue($i,'server','host','localhost');
$ldapservers->SetValue($i,'server','base',array('dc=TOMMYBLUE'));
$ldapservers->SetValue($i,'server','auth_type','session');

Se, per funzionalità di debug, desideriamo un login automatico, possiamo cambiare il tipo di autenticazione e fornire le credenziali:

$ldapservers->SetValue($i,'server','auth_type','config');
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=TOMMYBLUE');
$ldapservers->SetValue($i,'login','pass','pippo');

Per concludere modifichiamo il resto del file cercando dc=example,dc=com e sostituendolo con dc=TOMMYBLUE. Apriamo quindi il browser e iniziamo a sfogliare l’albero LDAP da http://192.168.0.250/phpldapadmin (ovviamente cambiate l’ip mettendoci quello del vostro server).

Soluzioni a vari problemi

Problemi con i permessi

Se, per caso, abbiamo dei problemi di permessi, può darsi che ci siano problemi nell’associazione (bind) dei nomi utente o di gruppo al loro SID, in pratica problemi con WINS. Possiamo allora specificare nelle condivisioni direttamente i SID dei gruppi o degli utenti. Innanzitutto installiamo il pacchetto winbind, dopodiché, se, ad esempio, vogliamo trovare il SID del gruppo Domain Users:

pdc:~# wbinfo -n "Domain Users"
S-1-5-21-323165295-1747901579-802220036-513 Domain Group (2)

Possiamo usare questo SID come fosse un qualsiasi nome di gruppo o nome utente in smb.conf:

    valid users = S-1-5-21-323165295-1747901579-802220036-513

Altre informazioni molto utili possono essere ottenute col comando net. Iniziamo con net –help poi, ad esempio, se vogliamo vedere l’attuale binding tra utenti del dominio e del sistema (nonché tutti i SID), possiamo utilizzare:

pdc:~# net groupmap list
Domain Admins (S-1-5-21-323165295-1747901579-802220036-512) -> Domain Admins
Domain Users (S-1-5-21-323165295-1747901579-802220036-513) -> Domain Users
Domain Guests (S-1-5-21-323165295-1747901579-802220036-514) -> Domain Guests
Domain Computers (S-1-5-21-323165295-1747901579-802220036-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

Facciamo anche due esempi per mappare “Domain Admins” col gruppo root e “Domain Users” col gruppo users:

pdc:~# net groupmap modify netgroup="Domain Admins" unixgroup=root
pdc:~# net groupmap modify netgroup="Domain Users" unixgroup=users

Aggiungere una macchina al dominio

pdc:~# smbpasswd -a -m NOME_COMPUTER

Impossibile unirsi al dominio con errore Impossibile trovare il percorso di rete

Credo di aver capito che il problema sia nella risoluzione dei nomi Netbios e quindi del server WINS. In pratica, nonostante Samba operi come server WINS può capitare che il client Windows (nel mio caso XP) non se ne accorga. Da notare che quest’errore non mi è capitato nella prima prova che ho fatto in una rete composta solo da uno switch, il server Samba e una postazione. Comunque sia, per risolvere il problema è sufficiente impostare l’indirizzo ip del server tra i server WINS del client Windows. Quindi: click destro su Risorse di rete->Proprietà. Click destro sulla scheda di rete (in genere Connessione alla rete locale (LAN))->Proprietà. Selezioniamo Protocollo Internet (TCP/IP)->Proprietà->Avanzate…. Nel pannello WINS clicchiamo su Aggiungi… e inseriamo l’indirizzo ip del server Samba. Adesso riproviamo ad unire il computer al dominio.

Webografia

Software

Cultura :-)

How-To

Letture varie

http://www.zaffa.org/2007/10/02/samba-active-directory-e-permessi/

Installazione e configurazione di Samba 3.0.14a su Slackware 10.1

TommyBlue — Sun, 07 May 2006 09:02:28 +0000

Ottenere Samba

Potete scaricare Samba nel sito ufficiale Samba.org, ad oggi la versione current è la 3.0.14a.

Compilazione e installazione

Scaricate il pacchetto e scompattatelo con:

$ tar xvzf samba-3.0.14a.tar.gz

Per compilare Samba eseguite:

$  ./configure --sysconfdir=/etc --prefix=/usr --with-smbmount

Le opzioni specificano:

--sysconfdir

La directory in cui installare i files di configurazione

--prefix

La directory principale del programma

--with-smbmount

Attivazione della caratteristica smbmount per montare partizioni samba come fossero dischi locali.
Inoltre questa caratteristica è richiesta da SMB Web Client, un client samba in php che permette di navigare in Samba col browser web.

A questo punto si può compilare e installare Samba:

$ make
# make install

Per automatizzare il lancio di Samba all’avvio si può utilizzare il file /etc/rc.d/rc.samba dandogli i permessi di esecuzione:

# chmod +x /etc/rc.d/rc.samba

Ecco il mio rc.samba:

#!/bin/sh
#
# /etc/rc.d/rc.samba
#
# Start/stop/restart the Samba SMB file/print server.
#
# To make Samba start automatically at boot, make this
# file executable:  chmod 755 /etc/rc.d/rc.samba
#

samba_start() {
 if [ -x /usr/sbin/smbd -a -x /usr/sbin/nmbd -a -r /etc/smb.conf ]; then

    echo "Starting Samba: /usr/sbin/smbd -D"
    /usr/sbin/smbd -D
    echo "                /usr/sbin/nmbd -D"
    /usr/sbin/nmbd -D
  fi
}

samba_stop() {
  killall smbd nmbd
}

samba_restart() {
  samba_stop
  sleep 2
  samba_start
}

case "$1" in
'start')
  samba_start
  ;;
'stop')
  samba_stop
  ;;
'restart')
  samba_restart
  ;;
*)
  # Default is "start", for backwards compatibility with previous
  # Slackware versions.  This may change to a 'usage' error someday.
  samba_start
esac

Configurazione: smb.conf

Per una guida completa leggete qui.

Le opzioni di configurazione possono essere di 2 tipi fondamentali:

- global, appaiono solo nella sezione [global] e definiscono i comportamente generali del server Samba
- share, appaiono all’interno di specifiche share e definiscono il comportamento riguardo alla specifica share. Se appaiono in [global] definiscono i comportamenti di default.

Qualsiasi opzione deve essere inclusa una una sezione. Esistono le seguenti sezioni speciali:
[global] Sempre presente, di solito ad inizio file, definisce le opzioni di default valide per tutte le condivisioni (possono essere sovrascritte da opzioni contrarie presenti nelle specifiche sezioni) e i parametri generali di configurazione del server.
[printers] E’ una sezione speciale utilizzata per condividere l’accesso via rete a delle stampanti
[homes] E’ una sezione speciale che coincide con la home directory di un utente autenticato. Di fatto è una condivisione generica con il nome dell’utente che accede a Samba.

Oltre a queste sezioni speciali ne possono esistere un numero arbitrario di altre, il nome di ogni sezione coincide con il nome della relativa condivisione, così come appare al client SMB.

Qui di seguito il mio file smb.conf:

[global]
   workgroup = Tommyblue.it
   netbios name = Tommyblue
   server string = Desktop
   hosts allow = ALL

   log file = /var/log/samba/samba.%m
   max log size = 500
   log level = 3

   guest account = samba-guest
   smb passwd file = /etc/samba/smbpasswd
   encrypt passwords = yes

[netlogon]
   path = /samba/logon
   public = no
   Comment = share to domain logon
   writable = no
   browsable = no

[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = yes
   guest ok = yes
   writable = no
   printable = yes
   public = yes

[public]
   comment = Public Stuff
   path = /home/samba-guest
   public = yes
   writable = yes
   printable = no
   create mask = 0765
   guest ok = yes

[Dati]
    path = /mnt/dati
    public = yes
    writable = yes
    printable = no
    create mask = 0765
    guest ok = yes

NOTA:
Nonostante l’opzione –sysconfdir Samba cerca il file smb.conf in /usr/lib, ho quindi creato un link simbolico in /etc:

# cd /etc
# ln -s /usr/lib/smb.conf

Configurazione: smbpasswd

smbpasswd è l’applicazione che gestisce le password e gli utenti di samba. Per far funzionare l’applicazione dovete creare il percorso di smbpasswd specificato in smb.conf [/etc/samba]
A questo punto per abilitare gli utenti ad accedere alle vostre condivisioni dovete aggiungerli al file smbpasswd.
Per prima cosa gli utenti di Samba devono anche essere utenti del sistema, quindi aggiungeteli se non esistono.
Per avere una panoramica completa su smbpasswd lanciate:

$ man smbpasswd

Di seguito alcuni semplici esempi:

* Creare un utente senza password

# smbpasswd -n -a utente