Finalmente un po di tempo libero! E allora via con la seconda parte di questo documento:

eravamo rimasti ad assegnare all’utente Administrator lo stesso UID di root al’interno dello schema, adesso dobbiamo anche modifidare la password per lo stesso Administrator:

#smbldap-passwd Administrator

si pu controllare il contenuto del db con:

#slapcat

? necessario quindi configurare anche l’autenticazione sulla macchina con ldap installare quindi:

#apt-get install libpam-ldap libnss-ldap

Impostiamo i dati richiesti e andiamo a editare /etc/nsswitch.conf:

———————START CONF————————————————————

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference’ and `info’ packages installed, #try:
# `info libc “Name Service Switch”‘ for information about this file.

passwd: compat ldap
group: compat ldap
shadow: compat ldap

hosts: files dns
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis
—————END CONF——————————————————————–

Verifichiamo le impostazioni dando un bel

#getent passwd

se tutto ? corretto la lista dovrebbe riportare anche gli utenti di ldap

? possibile copiare un prototipo per il file di configurazione di samba (facendo una copia dell’originale!):

#zcat /usr/share/doc/smbldap-tools/examples/smb.conf.gz > /etc/samba/smb.conf

Adesso entriamo nella parte pi? delicata della configurazione!

**ATTENZIONE** le voci da modificare sono parecchie, conviene un’attenta analisi del file d’esempio, soprattutto per quanto riguarda il binding verso ldap, in modo che rispecchino queste opzioni:

—————START CONF—————————————————————-

[global]
workgroup = CED
netbios name = JUPITER
server string = Samba Server
passdb backend = ldapsam:ldap://127.0.0.1
passwd program = /usr/sbin/sbmldap-passwd %u
passwd chat = *Nuova*Password* %n\n *Riscrivi*Nuova*Password* %n\n *all*authentication*tokens*
log file = /var/samba/log.%m
max log size = 50
add user script = /usr/sbin/smbldap-useradd -m “%u”
delete user script = /usr/sbin/smbldap-userdel “%u”
add group script = /usr/sbin/smbldap-groupadd -p “%g”
delete group script = /usr/sbin/smbldap-groupdel “%g”
add user to group script = /usr/sbin/smbldap-groupmod -m “%u” “%g”
delete user from group script = /usr/sbin/smbldap-groupmod -x “%u” “%g”
set primary group script = /usr/sbin/smbldap-usermod -g “%g” “%u”
add machine script = /usr/sbin/smbldap-useradd -w “%u”
domain logons = Yes
os level = 255
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
security = user
ldap admin dn = cn=admin,dc=ced,dc=local
ldap delete dn = Yes
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap passwd sync = Yes
ldap suffix = dc=ced,dc=local
ldap user suffix = ou=Users
#hosts allow = 127.0.0.1 192.168.1.

[homes]
comment = Home Directories
read only = No
create mask = 0700
directory mask = 0700
browseable = Yes

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = Yes
share modes = No

[Profiles]
path = /home/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
guest ok = Yes

[segreteria]
path = /home/segreteria
read only = No
create mask = 0777
directory mask = 0777
guest ok = Yes

[didattica]
path = /home/didattica
read only = No
create mask = 0777
directory mask = 0777
guest ok = Yes

[printers]
comment = All Printers
path = /usr/spool/samba
printable = Yes
browseable = No

—————————–END CONF—————————————————

Controllare se i parametri sono corretti e se il server agir? come PDC tramite il comando:

#testparm

Che dovrebbe restituirci una riga del tipo: Server role: ROLE_DOMAIN_PDC. Dopodich? andiamo a cambiare la password dell’amministratore di samba-ldap:

#smbpasswd -w PASSWORDDESIDERATA

e restartiamo il servizio:

#/etc/init.d/samba restart

ora modificare l’utente administrator per renderlo come uid 0 altrimenti non sar? possibile fare il join del dominio dai client (probabilmente c’e’ qualche via pi? pulita):

#smbldap-usermod -u 0 administrator

A questo punto basta aggiungere gli utenti sul PDC:

#useradd tizio
#useradd caio
#useradd sempronio

ed alcuni utenti speciali (i nomi dei PC Windows)

#useradd pc01$ <– Aggiungere il $ ? fondamentale
#useradd pc02$
#useradd pc03$

A questo punto sincroniziamo gli account con Samba:

#smbpasswd -a tizio
#smbpasswd -a caio
#smbpasswd -a sempronio

e autoriziamo i clients

#smbpasswd -a -m pc01 <– Qui il $ non ci va
#smbpasswd -a -m pc02
#smbpasswd -a -m pc03

Adesso il PDC ? pronto all’ uso.

Una nota importante:
Per usare clients Window XP Professional ? necessario modificare alcune voci in

Pannello di controllo\Prestazioni e manutenzione\Strumenti di amministrazione\Criteri di protezione locali\Criteri locali\Opzioni di protezione

E’ necessario disabilitare le seguenti voci:

• Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto (sempre)
• Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto (quando possibile)
• Membro di dominio: aggiunta firma digitale ai dati del canale protetto (quando possibile)

Adesso anche Windows XP pu? accedere al dominio.

Good Luck!

?

Si certo, avete ragione, di guide su come implementare un PDC Open Source ce ne sono pure troppe ma siccome tutte quelle che ho consultato per creare in Azienda il PDC ‘ced.local’ contenevano dei BUGZ ho deciso di scriverne una io, spero definitiva, per l’implementazione di questo tipo di servizio su una Debian Etch.

Allora Cominciamo subito!!

Aggiornate la vostra Etch e cominciamo a procurarci il software necessario:

#apt-get install samba samba-doc

Rispondiamo alle domande, comunque il file verr? modificato pi? tardi

All’inserimento del DNS digitate ced.local (o quello che volete) tenendo presente che questo creer? una base DN dc=ced,dc=local. Rispondete alle altre domande come volete eccetto per la Pass di admin che dovrete tenervela bene a mente

Ora ? necessario aggiungere lo schema per i dati di samba all’indice LDAP:

#zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz>

/etc/ldap/schema/samba.schema

Editiamo /etc/ldap/slapd.conf e modifichiamolo nel seguente modo:

#————————-START CONF —————————

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/samba.schema

pidfile /var/run/slapd/slapd.pid

argsfile /var/run/slapd/slapd.args

loglevel 0

modulepath /usr/lib/ldap

moduleload back_bdb

sizelimit 500

tool-threads 1

backend bdb

database bdb

suffix “dc=ced,dc=local”

rootdn “cn=admin,dc=ced,dc=local”

directory “/var/lib/ldap”

dbconfig set_cachesize 0 2097152 0

dbconfig set_lk_max_objects 1500

dbconfig set_lk_max_locks 1500

dbconfig set_lk_max_lockers 1500

lastmod on

access to attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword <— ATTENZIONE TUTTO SU UNA RIGA!!

by dn=”cn=admin,dc=ced,dc=local” write

by dn=”cn=auth,dc=ced,dc=local” read

by anonymous auth

by self write

by * none

access to dn.base=”" by * read

access to *

by dn=”cn=ced,dc=local” write

by * read

index objectClass,uid,uidNumber,gidNumber,memberUid eq

index cn,mail,surname,givenname eq,subinitial

index sambaSID eq

index sambaPrimaryGroupSID eq

index sambaDomainName eq

rootpw {SSHA}XOG5/g2ihGgvrPECx9Yv2s63jWTsAhFk

#—————————–END CONF—————————

Fate molta attenzione a al parametro rootpw per ottenere questo cambiate

la pass di ldap con il seguente comando:

#slappasswd

Adesso modifichiamo il /etc/ldap/ldap.conf nel seguente modo

#—————————START CONF———————————

BASE dc=ced, dc=local

URI ldap://127.0.0.1

#————————-END CONF———————————

Restartiamo il servizio:

#/etc/init.d/slapd restart

Installazione degli smbldap-tools:

#apt-get install smbldap-tools

Prepariamo i conf che andremo a modificare subito dopo:

#zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

#cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf

Editare il file /etc/smbldap-tools/smbldap.conf, modificando il SID, per ottenerlo eseguire il programma:

#net getlocalsid

/etc/smbldap-tools/smbldap.conf dovrebbe avere questo aspetto:

#—————-START CONF —————————————-

SID=”S-1-5-21-3918145941-2390075594-533896221″

sambaDomain=”ced”

slaveLDAP=”127.0.0.1″

slavePort=”389″

masterLDAP=”127.0.0.1″

masterPort=”389″

ldapTLS=”0″

verify=”require”

clientcert=”/etc/opt/IDEALX/smbldap-tools/smbldap-tools.pem”

clientkey=”/etc/opt/IDEALX/smbldap-tools/smbldap-tools.key”

suffix=”dc=ced,dc=local”

usersdn=”ou=Users,${suffix}”

computersdn=”ou=Computers,${suffix}”

groupsdn=”ou=Groups,${suffix}”

idmapdn=”ou=Idmap,${suffix}”

sambaUnixIdPooldn=”sambaDomainName=ced,${suffix}”

scope=”sub”

hash_encrypt=”SSHA”

crypt_salt_format=”%s”

userLoginShell=”/bin/bash”

userHome=”/home/%U”

userHomeDirectoryMode=”700″

userGecos=”System User”

defaultUserGid=”513″

defaultComputerGid=”515″

skeletonDir=”/etc/skel”

defaultMaxPasswordAge=”45″

userSmbHome=”\\dh06\%U”

userProfile=”\\dh06\profiles\%U”

userHomeDrive=”H:”

userScript=”logon.bat”

mailDomain=”ced.local”

with_smbpasswd=”0″

smbpasswd=”/usr/bin/smbpasswd”

with_slappasswd=”0″

slappasswd=”/usr/sbin/slappasswd”

#—————-END CONF ———————————————————————-

ora nel file /etc/smbldap-tools/smbldap_bind.conf:

#—————————-START CONF—————————————————-

slaveDN=”cn=auth,dc=ced,dc=local”

slavePw=”mb2006″

masterDN=”cn=admin,dc=ced,dc=local”

masterPw=”mb2006″

#—————————-END CONF—————————————————-

Ovviamente la pass ? quella digitata prima nel comando: slappasswd

Adesso popoliamo il db di LDAP

#smbldap-populate -k 0

Dove il parametro -k 0 serve a impostare l’UID dell’utente Administrator a 0, facendolo
di fatto coincidere con l’utente root.

Se tutto va come deve andare abbiamo terminato la prima parte

di lavoro!!!!! Presto la Puntata n. 2 =)