Questa guida è finalizzata alla realizzazione di un PDC (Primary Domain Controller) utilizzando il Sistema Operativo GNU/Linux nel rispetto lato sever di quelli che sono i dettami del D.lgs. 196 del 2003 (Legge sulla Privacy) in particolare l'Allegato B. È bene chiarire fin dall'inizio che non andremo a sostituire un windows 2000/2003/2008 server, perché ciò sarà possibile farlo con Samba 4, che al momento della redazione di questa guida è ancora in stadio alpha, quindi è sconsigliato l'impiego in un server in produzione.
Per seguire questa guida è necessario possedere un minimo di conoscenza di Linux e dei suoi comandi principali, chi ad esempio ha utilizzato solo client e/o server Windows non si troverà a proprio agio, ma è comunque il benvenuto. Chiariamo anche che la caratteristica necessaria che chi segue questa guida deve avere è la pazienza, i passaggi sono lunghi complessi e noiosi, e il minimo errore potrebbe compromettere l'intero procedimento o parte di esso, che costringerebbe ad estenuanti controlli dei passi precedenti, ma se siete già utilizzatori di Linux queste parole sono superflue.
In questa guida vedremo come configurare il nostro server Debian Lenny affinché funga anche da Key Distribution Center (KDC) Kerberos. Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (fonte [Wikipedia]. Il motivo della scelta di implementare il protocollo Kerberos nella nostra LAN è dato dal fatto che i client Windows usano una variante di Kerberos come sistema predefinito di autenticazione; questa scelta quindi favorisce il corretto funzionamento delle macchine Windows che aggiungeremo al nostro dominio Samba e aggiunge sicurezza all'intera LAN.
Ho scelto la distribuzione Denian Lenny 5.0 perché la preferisco rispetto alle altre per la realizzazione del server, certo lo stesso risultato si può ottenere con tutte le altre distribuzioni, ma spetta a voi adattare i comandi e quant'altro a quella che scegliete.
Il punto di forza di Debian è la sua stabilità, che è anche fonte del su problema più grande. Il team di sviluppo di Debian infatti ha dei tempi di rilascio molto lunghi ciò comporta una rapida obsolescenza dei suoi pacchetti. Infatti vedremo in seguito che se al dominio vogliamo annettere dei client con windows 7 dovremo aggiornare Samba, n quanto la vesrione 3.2.5 fornita non è compatibile e occorrerà aggiornarla.
Una volta scaricata la iso e avviata l'installazione, al server dovrà essere assognato un indirizzo IP statico, durante il processo partirà in automatico la configurazione della scheda di rete, se sulla vostra lan è presente un server DHCP e non siete riusciti a configurare la scheda manualmente non preoccupatevi lo faremo comunque dopo l'installazione.
Il partizionamento del disco è relativo ai servizi che il server dovrà ospitare, per le nostre necessità ho scelto di partizionare il in questo modo:
| 6 GB | / | partizione di root, conterrà il Sistema Operativo |
| 1 GB | swap | partizione di swap, necessaria in particolare per sistemi con poca RAM |
| 1 GB | /var | partizione che conterrà il database LDAP in /var/lib/ldap/ |
| restante spazio | /home | partizione home che conterrà le cartelle relative agli utenti in particolare quelle dei profili |
Si può scegliere in installare o meno l'interfaccia grafica, fortemente sconsigliata su macchine con poca RAM. Io installo di solito il server ssh.
Durante tutto il processo si presuppone di agire come utente root.
In tutta la guida saranno utilizzati i seguenti parametri per la configurazione della rete:
Questi parametri vanno ovviamente adattati alle vostre esigenze.
La cosa fondamentale della nostra implementazione è Kerberos. Attualmente ci sono due implementazioni libere di Kerberos: MIT Kerberos e Heimdal. Perché scegliere Heimdal invece di MIT Kerberos?
Fondamentalmente perché Heimdal supporta la memorizzazione dei dati in un albero LDAP; in questo modo siamo in grado di centralizzare tutti i dati in un unico luogo e saremo in grado di creare un nuovo principal Kerberos solo creando la voce appropriata in LDAP.
Kerberos fornisce un protocollo di autenticazione, ma per quanto riguarda l'autorizzazione abbiamo bisogno di centralizzare, anche in questo caso, tutte le informazioni. LDAP, nella sua implementazione libera OpenLDAP, ci consentirà di memorizzare al suo interno tutte le informazioni sugli utenti della nostra rete.
Verrà utilizzato SSL (Secure Socket Layer) per garantire la sicurezza nelle connessioni al server OpenLDAP
SASL è Simple Authentication and Security Layer, un metodo per aggiungere il supporto all'autenticazione a diversi protocolli di rete. Nella nostra "infrastruttura" verrà utilizzato a sostegno delle connessioni al server OpenLDAP. Inoltre, assieme a Kerberos, sarà in grado di fornire soluzioni si "Single Sign-On" ai servizi presenti nella nostra rete.
La libreria nss-ldap ci consentirà di recuperare le informazioni dei nostri utenti dal server OpenLDAP
La libreria pam-krb5 ci consentirà di autenticare i nostri utenti su Kerberos
Un servizio fondamentale per il corretto funzionamento di Kerberos è il DNS. Per questo utilizzeremo Bind.
Samba è un server e una serie di strumenti che consentono la corretta comunicazione tra macchine Windows e Unix e la condivisione dei servizi (file, directory, stampa) tramite i protocolli SMB e CIFS. Con Samba è possibile condividere file e stampanti, controllare il livello di accesso dei vari utenti, creare server WINS o di Dominio. Nella maggior parte dei casi il controllo degli accessi in Samba è più dettagliato e personalizzabile rispetto a Windows stesso.
Innanzitutto è necessario verificare che il nome dell'host (hostname) sia corretto e che sia impostato un dominio per l'host stesso. Verifichiamo quindi le impostazioni nei file /etc/hosts, /etc/hostname e /etc/network/interfaces:
/etc/hosts
192.168.0.12 pdc.esempio.lan pdc 127.0.0.1 localhost.landomain localhost
/etc/hostname
pdc
/etc/network/interfaces
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.12 netmask 255.255.255.0 gateway 192.168.0.1
Per il corretto funzionamento di Kerberos è necessario che data e ora di server e client siano perfettamente sincronizzate. Per questo utilizzeremo il servizio NTP, come mostrato di seguito:
Il metodo è quello di installare ntpdate:
apt-get install ntpdate
Per avviarlo bisogna dare il comando:
ntpdate it.pool.ntp.org
Per macchine server può essere conveniente utilizzare un server NTP:
apt-get install ntp
che girerà come demone e si occuperà di sincronizzare l'orologio del server con un server NTP mondiale. Il file di configurazione del demone è /etc/ntp.conf. In questo file vanno specificati i server NTP da contattare per la sincronizzazione. Se si ha necessità di impostare anche la time-zone basta usare tzconfig.
Prima di iniziare è bene installare tutte le librerie kerberos che saranno utilizzate dagli strumenti che configureremo strada facendo:
apt-get install libsasl2-2 libsasl2-modules sasl2-bin libsasl2-modules-gssapi-heimdal \ libnss-ldap libpam-krb5 heimdal-kdc heimdal-clients-x heimdal-clients libkrb5-dev heimdal-docs \ heimdal-servers-x heimdal-servers libkadm5clnt7-heimdal libkadm5srv8-heimdal libhdb9-heimdal libgssapi2-heimdal \ libkrb5-25-heimdal libasn1-8-heimdal krb5-config heimdal-kcm keyutils gzip ipcalc
Il servizio DNS è fondamentale per il funzionamento di Kerberos. Si installi un server DNS:
apt-get install bind9 dnsutils
/etc/bind/named.conf.local
//
// Do any local configuration here
//
// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";
zone "esempio.lan" {
type master;
file "/etc/bind/db.esempio.lan";
};
zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.192.168.0";
};
/etc/bind/named.conf.options
options {
directory "/var/cache/bind";
// If there is a firewall between you and nameservers you want
// to talk to, you may need to fix the firewall to allow multiple
// ports to talk. See http://www.kb.cert.org/vuls/id/800113
// If your ISP provided one or more IP addresses for stable
// nameservers, you probably want to use them as forwarders.
// Uncomment the following block, and insert the addresses replacing
// the all-0's placeholder.
// forwarders {
// 0.0.0.0;
// };
allow-query { 127.0.0.1; 192.168.0/24; } ;
allow-transfer { none; } ;
allow-recursion { 127.0.0.1; 192.168.0/24; } ;
forwarders {
192.168.0.1;
};
auth-nxdomain no; # conform to RFC1035
listen-on-v6 { any; };
version "Version X";
};
/etc/bind/db.esempio.lan
$TTL 86400 ; 1 day
esempio.lan. IN SOA pdc.esempio.lan. hostmaster.esempio.lan. (
2007081501 ; serial
86400 ; refresh (1 giorno)
28800 ; retry (8 ore)
604800 ; expire (1 settimana)
86400 ; minimum (1 giorno)
);
IN NS pdc.esempio.lan.
;NOTA: server è il nome del server che funge da DNS server
pdc IN A 192.168.0.12
s-server IN CNAME pdc.esempio.lan.
ns1 IN CNAME pdc.esempio.lan.
kerberos IN CNAME pdc.esempio.lan.
ldap IN CNAME pdc.esempio.lan.
; The Kerberos realm
_kerberos IN TXT "esempio.lan"
_kerberos.it IN TXT "esempio.lan"
_kerberos.srv IN TXT "esempio.lan"
_kerberos._tcp IN SRV 10 1 88 pdc.esempio.lan.
_kerberos._udp IN SRV 10 1 88 pdc.esempio.lan.
_kerberos-adm._tcp IN SRV 10 1 749 pdc.esempio.lan.
_kerberos-master._udp IN SRV 0 0 88 pdc.esempio.lan.
_kpasswd._udp IN SRV 10 1 464 pdc.esempio.lan.
_ldap._tcp IN SRV 10 1 389 pdc.esempio.lan.
; Information Search
_ldap_dc IN TXT "dc=esempio,dc=lan"
_samba_pdc_domain IN TXT "ESEMPIO"
_samba_pdc_ip_address IN TXT "192.168.0.12"
; Qui potete inserire gli IP dei client-server che hanno un IP statico
client IN A 192.168.0.3
/etc/bind/db.192.168.0
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
@ IN SOA esempio.lan. hostmaster.esempio.lan. (
2007081501 ; serial
604800 ; refresh
86400 ; retry
2419200 ; expire
604800 ; negative cache ttl
);
@ IN NS pdc.esempio.lan.
12 IN PTR pdc.esempio.lan.
3 IN PTR client.esempio.lan.
Infine riavviamo bind
# /etc/init.d/bind9 restart
e testiamo la configurazione
# nslookup > server 192.168.0.12 Default server: 192.168.0.12 Address: 192.168.0.12#53 > set q=ns > esempio.lan Server: 192.168.0.12 Address: 192.168.0.12#53 esempio.lan nameserver = pdc.esempio.lan. > exit
Il server LDAP è essenzialmente un database gerarchico che viene utilizzato per la memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si desideri gestire tramite una base dati condivisibile via rete tra più sistemi.
Il server verrà installato con la sua estensione OpenSSL (ldaps) in modo da garantire sicurezza nel processo di autenticazione.
Verrà utilizzata una struttura dell'albero LDAP come la seguente:
DC=esempio,DC=lan
+-- OU=Groups (gruppi posix/samba)
+-- OU=Computers (computer samba = utenti posix)
+-- OU=Users (utenti posix/samba)
+--OU=KerberosPrincipals (principal Kerberos)
Iniziamo generando i certificati SSL per OpenLDAP. Per prima cosa creiamo la nostra certification authority:
mkdir -p /etc/ldap/ssl cd /etc/ldap/ssl mkdir certs mkdir private chmod 700 private echo '01' > serial touch index.txt
Poi modifichiamo il file /etc/ldap/ssl/CA.conf:
[ ca ] default_ca = local_ca [ local_ca ] dir = /etc/ldap/ssl certificate = /etc/ldap/ssl/cacert.pem database = /etc/ldap/ssl/index.txt new_certs_dir = /etc/ldap/ssl/certs private_key = /etc/ldap/ssl/private/cakey.pem serial = /etc/ldap/ssl/serial default_crl_days = 3650 default_days = 3650 default_md = md5 default_bits = 1024 encrypt_key = yes policy = local_ca_policy x509_extensions = local_ca_extensions unique_subject = no [ local_ca_policy ] commonName = supplied stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName = supplied organizationalUnitName = supplied [ local_ca_extensions ] subjectAltName = DNS:pdc.esempio.lan basicConstraints = CA:false nsCertType = server [ req ] default_bits = 2048 default_keyfile = /etc/ldap/ssl/private/cakey.pem default_md = md5 prompt = no distinguished_name = esempio x509_extensions = x509_cert [ esempio ] countryName = IT stateOrProvinceName = Reggioemilia localityName = Reggioemilia emailAddress = admin@esempio.lan organizationName = Esempio organizationalUnitName = Lab commonName = pdc.esempio.lan [ x509_cert ] nsCertType = server basicConstraints = CA:true
e il file /etc/ldap/ssl/LocalServer.conf
[ req ] prompt = no distinguished_name = esempio [ esempio ] countryName = IT stateOrProvinceName = Reggioemilia localityName = Reggioemilia emailAddress = admin@esempio.lan organizationName = Esempio organizationalUnitName = Lab commonName = pdc.esempio.lan
Possiamo ora generare i nostri certificati:
cd /etc/ldap/ssl/ export OPENSSL_CONF=/etc/ldap/ssl/CA.conf openssl req -x509 -newkey rsa:1024 -out cacert.pem -outform PEM -days 3650 -passout pass:PASSWORD_ROBUSTA export OPENSSL_CONF=/etc/ldap/ssl/LocalServer.conf openssl req -newkey rsa:1024 -keyout tempkey.pem -keyform PEM -out tempreq.pem -outform PEM -passout pass:PASSWORD_ROBUSTA openssl rsa < tempkey.pem > serverkey.pem -passin pass:PASSWORD_ROBUSTA chmod 400 serverkey.pem export OPENSSL_CONF=/etc/ldap/ssl/CA.conf openssl ca -in tempreq.pem -out servercrt.pem -passin pass:PASSWORD_ROBUSTA
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce un'implementazione di server LDAP per Linux e il pacchetto ldap-utils, un insieme di strumenti che ne permettono la gestione.
apt-get install slapd ldap-utils
Durante l'installazione verranno richieste alcune informazioni necessarie a configurare il server LDAP.
Nei file riportati si considera che il dominio specificato è esempio.lan, un dominio interno non valido per Internet.
In seguito verrà richiesta la password per l'utente amministratore. Scegliete una password particolarmente sicura, in quanto tramite essa si potrà avere accesso completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrà utilizzata anche in seguito in alcuni file di configurazione, pertanto è bene ricordarsela.
Come nome dell'organizzazione mettete una descrizione della vostra organizzazione: Rete LAN di Dominio.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Per andare più in profondità nella configurazione del server LDAP è consigliabile, subito dopo l'installazione, lanciare il comando:
dpkg-reconfigure slapd
Verrà eseguita la riconfigurazione di OpenLDAP, ma saranno poste più domande. Rispondete così:
Per verificare il corretto funzionamento del servizio, dare il comando:
ldapsearch -x -b "dc=esempio,dc=lan"
Se ottenete le informazioni sul dominio significa che tutto è andato per il verso giusto; se ottenete un messaggio del genere:
"ldap_bind: Can't contact LDAP server (-1)" vi conviene eseguire nuovamente la configurazione di OpenLDAP.
Sebbene si possa amministrare OpenLDAP in maniera completamente testuale (nel corso della guida vedremo come) è consigliabile installare un'interfaccia grafica, che aiuterà a svolgere i normali compiti di amministrazione una volta terminato di configurare il dominio.
Nei repository Debian sono disponibili diverse interfacce grafiche. In questa guida la scelta è caduta su phpldapadmin, che sembra essere la più diffusa.
Phpldapadmin, come il nome fa intuire, è un'interfaccia scritta in PHP e per funzionare ha perciò bisogno di un server web e del linguaggio di scripting PHP.
Installiamo per prima cosa alcuni moduli di PHP necessari:
apt-get install libapache2-mod-php5 php5 php5-curl php5-gd php5-imap php5-ldap \ php5-mcrypt php5-mhash php5-sqlite php5-tidy php5-xmlrpc php-pear mcrypt libgd-tools
Ora possiamo installare phpldapadmin:
apt-get install phpldapadmin
Per verificare la corretta installazione del pacchetto, aprite il browser su:
http://192.168.0.12/phpldapadmin
Dovreste essere accolti dalla schermata iniziale di Phpldapadmin, ma noterete che una volata cliccato sulla sinistra su autenticazione, nella parte destra nel campo DN d'accesso: troverete probabilmete preinserito cn=admin,dc=esempio,dc=lan, questo è errato, per funzionare è invece necessario inserire krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan decisamente troppo lungo da ricordare, quindi andremo a modificare il file di configurazione /etc/phpldapadmin/config.php.
Nel file/etc/phpldapadmin/config.php cercheremo la riga:
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=esempio,dc=lan');
e la sosituiremo con la riga:
$ldapservers->SetValue($i,'login','dn','krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan');
Phpldapadmin richiede per funzionare la presenza di un tool chiamato mkntpwd, sviluppato dal team di Samba e utilizzato per creare gli hash delle password in Samba. Inspiegabilmente questo tool non è presente negli archivi di Debian. Va pertanto scaricato dal seguente indirizzo:
wget https://www.lansil.it/informatica/opensource/files/mkntpwd.tar.gz
Una volta scaricato il file, bisogna scompattarlo, compilarlo e configurarlo:
apt-get install build-essential tar -zxf mkntpwd.tar.gz cd mkntpwd make cp mkntpwd /usr/local/bin mkntpwd
L'ultimo comando dovrebbe restituirvi l'elenco delle opzioni disponibili in mkntpwd.
L'installazione di Samba va effettuata in questo momento perchè insieme ai pacchetti stessi di Samba saranno installate anche alcune utility che adopereremo nel paragrafo successivo.
apt-get install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
Per il momento come configurazione base rispondente nel seguente modo alle domande che vi verranno poste:
Non preoccupatevi per eventuali errori, perché tutta la configurazione verrà ripresa in un secondo momento.
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi, utenti e password in modo da dialogare direttamente con il server LDAP e fornire un metodo per gestire in contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in grado di gestire tali account, utilizzando quello strumento occorre prima creare l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installare il pacchetto smbldap-tools
apt-get install smbldap-tools
Copiare i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools.
zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN dell'amministratore del server LDAP e la sua password.
Se non si è sicuri del DN da inserire lanciare il comando:
slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato è quello da inserire come DN. Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni coincideranno:
Il contenuto del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap_bind.conf:
############################ # Credential Configuration # ############################ slaveDN="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" slavePw="Tommaso" masterDN="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" masterPw="Tommaso"
Eseguire ora il comando:
# net getlocalsid
e copiare o prendere nota del codice che viene restituito.
Modificare il file /etc/smbldap-tools/smbldap.conf inserendo il SID appena ottenuto. Il contenuto completo del file dovrebbe essere il seguente:
/etc/smbldap-tools/smbldap.conf:
##############################################################################
#
# General Configuration
#
##############################################################################
# Put your own SID. To obtain this number do: "net getlocalsid".
SID="S-1-5-21-125945932-740595490-3132273231"
# Domain name the Samba server is in charged.
sambaDomain="ESEMPIO"
realm="ESEMPIO.LAN"
##############################################################################
#
# LDAP Configuration
#
##############################################################################
# Slave LDAP server
slaveLDAP="127.0.0.1"
# Slave LDAP port
slavePort="389"
# Master LDAP server: needed for write operations
masterLDAP="127.0.0.1"
# Master LDAP port
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
ldapTLS="1"
# How to verify the server's certificate (none, optional or require)
verify="require"
# CA certificate
cafile="/etc/ldap/ssl/cacert.pem"
# certificate to use to connect to the ldap server
clientcert="/etc/ldap/ssl/servercrt.pem"
# key certificate to use to connect to the ldap server
clientkey="/etc/ldap/ssl/serverkey.pem"
# LDAP Suffix
suffix="dc=esempio,dc=lan"
# Where are stored Users
usersdn="ou=Users,${suffix}"
# Where are stored Computers
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
userLoginShell="/bin/false"
# Home directory
userHome="/home/esempio/homes/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System Computer"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="180" # 90 se si trattano documenti giudiziari
##############################################################################
#
# SAMBA Configuration
#
##############################################################################
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
userSmbHome="\\SERVER\%U"
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\SERVER\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
userHomeDrive="Z:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
userScript="%U.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="esempio.lan"
##############################################################################
#
# SMBLDAP-TOOLS Configuration
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
Può essere interessante notare che nella sezione Unix del file di configurazione precedente è presente la voce:
userLoginShell="/bin/false"
È stata fatta questa scelta per evitare che gli utenti di dominio possano loggarsi sul server. Se avete utenti che utilizzano client Linux, come vi auguro, dovrete agire sui dati LDAP del singolo utente e modificare la sua shell. Se tutti i vostri utenti utilizzano client Linux, modificate la linea precedente come segue:
userLoginShell="/bin/bash"
Recuperiamo ora le versioni modificate di alcuni script smbldap:
wget https://www.lansil.it/informatica/opensource/files/smbldap-useradd -P /usr/sbin/ wget https://www.lansil.it/informatica/opensource/files/smbldap-passwd -P /usr/sbin/
e sistemiamo directory e permessi:
chmod 600 /etc/smbldap-tools/ -R chmod 700 /usr/sbin/smbldap-*
Passiamo ora alla configurazione del server LDAP.
Innanzitutto effettuiamo un backup di LDAP:
slapcat > ~/slapd.ldif
Adesso dobbiamo recuperare gli schemi mancanti, che aggiungeremo poi alla configurazione di LDAP, e copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA.
wget https://www.lansil.it/informatica/opensource/files/hdb.schema -P /etc/ldap/schema/ wget https://www.lansil.it/informatica/opensource/files/qmailuser.schema -P /etc/ldap/schema/ zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Quindi generate l'hash MD5 della password di root di LDAP:
slappasswd -h {MD5} -s Tommaso
e prendete nota del risultato.
Ora occorre modificare pesantemente il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo diverse sezioni. Il contenuto del file dovrebbe essere il seguente:
/etc/ldap/slapd.conf:
#######################################################################
# Global Directives:
#######################################################################
sizelimit 20
timelimit -1
threads 8
# Features to permit
allow bind_v2
# Schema and objectClass definitions
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/qmailuser.schema
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/hdb.schema
#########################################################
# Configurazione di TLS e SSL
#########################################################
TLSCertificateFile /etc/ldap/ssl/servercrt.pem
TLSCertificateKeyFile /etc/ldap/ssl/serverkey.pem
TLSCACertificateFile /etc/ldap/ssl/cacert.pem
sasl-host pdc.esempio.lan
sasl-realm ESEMPIO.LAN
# Mapping of SASL authentication identities to LDAP entries
authz-regexp
uid=(.+),cn=(.+),cn=.+,cn=auth
ldap:///dc=esempio,dc=lan??sub?(|(uid=$1)(cn=$1@$2))
authz-regexp
uidnumber=0\\\+gidnumber=0,cn=peercred,cn=external,cn=auth
krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
authz-regexp
gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth
krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
authz-regexp
uid=(.+),cn=.+,cn=auth
ldap:///dc=esempio,dc=lan??sub?(|(uid=$1)(krb5PrincipalName=$1@ESEMPIO.LAN))
sasl-secprops noanonymous
security ssf=0
#####################################################
# Fine blocco TLS e SSL
#####################################################
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
argsfile /var/run/slapd/slapd.args
# Read slapd.conf(5) for possible values
loglevel none
# Where the dynamically loaded modules are stored
modulepath /usr/lib/ldap
moduleload back_bdb
moduleload unique
moduleload auditlog
# The maximum number of entries that is returned for a search operation
#sizelimit 500
# The tool-threads parameter sets the actual amount of cpu's that is used
# for indexing.
tool-threads 1
#######################################################################
# Specific Backend Directives for bdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#######################################################################
backend bdb
#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend <other>
#######################################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database bdb
# The base of your directory in database #1
suffix "dc=esempio,dc=lan"
# rootdn directive for specifying a superuser on the database. This is needed
# for syncrepl.
# rootdn "cn=admin,dc=esempio,dc=lan"
rootdn "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan"
rootpw {MD5}X03MO1qnZdYdgyfeuILPmQ== # da sostituire con quello ricavato in precedenza
# Where the database file are physically stored for database #1
directory "/var/lib/ldap"
# The dbconfig settings are used to generate a DB_CONFIG file the first
# time slapd starts.
dbconfig set_cachesize 0 2097152 0
# Number of objects that can be locked at the same time.
dbconfig set_lk_max_objects 1500
# Number of locks (both requested and granted)
dbconfig set_lk_max_locks 1500
# Number of lockers
dbconfig set_lk_max_lockers 1500
# Indexing options for database #1
index mail,mailAlternateAddress,objectClass,deliveryMode,accountStatus,ou pres,eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index uidNumber eq
index gidNumber eq
index memberUID eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index mailHost eq
index givenName pres,sub,eq
index default sub
index krb5PrincipalName,krb5PrincipalRealm eq,pres
# Password Hash Definition
password-hash {MD5}
# Overlay Unique
overlay unique
unique_uri ldap:///dc=esempio,dc=lan?uidNumber,uid,krb5PrincipalName?sub
unique_uri ldap:///ou=Groups,dc=esempio,dc=lan?gidNumber,cn?sub
# Overlay Auditlog
overlay auditlog
auditlog /var/log/ldapchanges.log
# Save the time that the entry gets modified, for database #1
lastmod on
# Checkpoint the BerkeleyDB database periodically in case of system
# failure and to speed slapd shutdown.
checkpoint 512 30
# Where to store the replica logs for database #1
# replogfile /var/lib/ldap/replog
####################################################
# Configurazione permessi per i vari utenti
# dell'albero LDAP
####################################################
# Heimdal User mapping
authz-regexp "gidNumber=0\\\+uidNumber=0,cn=peercred,cn=external,cn=auth"
dn="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan"
authz-regexp ^uid=([^,]+),cn=[^,]+,cn=auth$ uid=$1,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" write
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaPasswordHistory,krb5Key,krb5KeyVersionNumber
by dn="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" write
by anonymous auth
by self write
by * none
# Everyone must be able to read password expiry attributes,
# if you are not granting rootdn access to workstations.
# Otherwise, the client system won't be able to know if
# user's password has expired, and will prompt him/her to
# change his/her password everytime he/she logs in.
# The owner must also be able to write it when he/she
# changes his/her own password.
access to attrs=shadowLastChange,sambaPwdLastSet,sambaPwdMustChange
by dn="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" write
by self write
by * read
# Ensure read access to the base for things like
# supportedSASLMechanisms. Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read
# The admin dn has full write access, everyone else
# can read everything.
access to *
by dn="krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" write
by * read
# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
# by dn="cn=admin,dc=esempio,dc=lan" write
# by dnattr=owner write
#######################################################################
# Specific Directives for database #2, of type 'other' (can be bdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database <other>
# The base of your directory for database #2
#suffix "dc=debian,dc=org"
Ogni volta che un client accede ad un server LDAP deve impostare la base di ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste informazioni possono essere impostate come default nel file /etc/ldap/ldap.conf aggiungendo le righe:
HOST pdc.esempio.lan BASE dc=esempio,dc=lan URI ldaps://127.0.0.1/ PORT 636 TLS_CACERT /etc/ldap/ssl/cacert.pem TLS_REQCERT never TIMELIMIT 2
Modifichiamo la configurazione dello script di avvio del server OpenLDAP: /etc/default/slapd
SLAPD_CONF= SLAPD_PIDFILE= SLAPD_SENTINEL_FILE=/etc/ldap/noslapd SLAPD_OPTIONS="" SLAPD_USER="openldap" SLAPD_GROUP="openldap" SLAPD_SERVICES="ldap:/// ldaps:/// ldapi:///" export KRB5_KTNAME="/etc/ldap/ldap.keytab"
Stoppiamo il demone ldap e rimuoviamo il database del precedente albero:
/etc/init.d/slapd stop rm -f /var/lib/ldap/*
Andiamo quindi a creare le impostazioni per il database del nuovo albero: /var/lib/ldap/DB_CONFIG
set_cachesize 0 150000000 1 set_lg_regionmax 262144 set_lg_bsize 2097152 set_lk_max_objects 1500 set_lk_max_locks 1500 set_lk_max_lockers 1500 set_flags DB_LOG_AUTOREMOVE
Sistemiamo i permessi:
chown openldap.openldap /var/lib/ldap -R
chown openldap.openldap /etc/ldap -R
find /var/lib/ldap -type d -exec chmod 700 {} \;
find /var/lib/ldap -type f -exec chmod 600 {} \;
find /etc/ldap -type d -exec chmod 700 {} \;
find /etc/ldap -type f -exec chmod 600 {} \;
touch /var/log/ldapchanges.log
chown openldap.openldap /var/log/ldapchanges.log /etc/sasldb2
chmod 600 /var/log/ldapchanges.log /etc/sasldb2
e configuriamo logrotate: /etc/logrotate.d/ldapchanges
/var/log/ldapchanges.log {
rotate 5
weekly
compress
}
Possiamo ora avviare slapd:
/etc/init.d/slapd start
Possiamo ora creare la struttura di base del nostro albero.
Creiamo il file /root/ldap_base.ldif con questo contenuto:
dn: dc=esempio,dc=lan
dc: esempio
objectClass: top
objectClass: domain
dn: ou=Users,dc=esempio,dc=lan
ou: Users
objectClass: top
objectClass: organizationalUnit
dn: ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
ou: KerberosPrincipals
objectClass: top
objectClass: organizationalUnit
dn: ou=Groups,dc=esempio,dc=lan
ou: Groups
objectClass: top
objectClass: organizationalUnit
dn: ou=Computers,dc=esempio,dc=lan
ou: Computers
objectClass: top
objectClass: organizationalUnit
dn: krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
objectClass: top
objectClass: person
objectClass: krb5Principal
objectClass: krb5KDCEntry
krb5PrincipalName: ldapmaster/admin@ESEMPIO.LAN
krb5KeyVersionNumber: 1
krb5MaxLife: 86400
krb5MaxRenew: 604800
krb5KDCFlags: 126
cn: ldapmaster/admin@esempio.lan
sn: ldapmaster/admin@esempio.lan
userPassword: {MD5}5S2YxFmBmhF3WTbY37t5KQ==
Quindi importiamo il file ldif nel nostro albero:
ldapadd -x -D krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan -w Tommaso -f /root/ldap_base.ldif
che dovrebbe dare come output:
adding new entry "dc=esempio,dc=lan" adding new entry "ou=Users,dc=esempio,dc=lan" adding new entry "ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" adding new entry "ou=Groups,dc=esempio,dc=lan" adding new entry "ou=Computers,dc=esempio,dc=lan" adding new entry "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan"
Si può controllare che il server sia correttamente partito eseguendo una query con i comandi:
slapcat ldapsearch -x
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione ricontrollare tutte le impostazioni e i file di log. Per controllare il funzionamento di slapd può sempre tornare utile fermare il servizio e farlo partire, anziché con gli script standard Debian con il comando:
slapd -d 256
In tal modo viene avviato visualizzando varie informazioni di debug a video.
Iniziamo modificando il file /etc/inetd.conf e rimuoviamo alcuni servizi kerberizzati attivati di default:
.... #krb_prop stream tcp nowait root /usr/sbin/tcpd /usr/sbin/hpropd #kshell stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/rshd -k #ftp stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/ftpd -a plain #telnet stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/telnetd -a none #pop-3 stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/popper #kx stream tcp nowait root /usr/sbin/tcpd /usr/lib/heimdal-servers/kxd
Riavviamo quindi inetd:
/etc/init.d/openbsd-inetd restart
Configuriamo il Kerberos KDC modificando il file /etc/krb5.conf
[libdefaults]
ticket_lifetime = 80000
renew_lifetime = 80000
default_realm = ESEMPIO.LAN
default_keytab_name = FILE:/etc/krb5.keytab
default_etypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
default_etypes_des = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc des-cbc-md5 des-cbc-md4 aes256-cts arcfour-hmac-md5
kdc_timesync = 1
forwardable = true
proxiable = true
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
ESEMPIO.LAN = {
kdc = pdc.esempio.lan
admin_server = pdc.esempio.lan
default_domain = esempio.lan
}
[domain_realm]
.esempio.lan = ESEMPIO.LAN
esempio.lan = ESEMPIO.LAN
[kdc]
enable-kerberos4 = false
kdc_warn_pwexpire = 7
database = {
realm = ESEMPIO.LAN
dbname = ldap:ou=Users,dc=esempio,dc=lan
hdb-ldap-structural-object = inetOrgPerson
mkey_file = /var/lib/heimdal-kdc/m-key
acl_file = /etc/kadmind.acl
log_file = /var/log/kdc-db.log
}
hdb-ldap-create-base = ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
[logging]
kdc = FILE:/var/log/heimdal/kdc.log
admin_server = FILE:/var/log/heimdal/admin.log
default = FILE:/var/log/heimdal/default.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = true
}
Modifichiamo quindi le ACL del KDC: /etc/kadmind.acl
ldapmaster/admin@ESEMPIO.LAN add,delete,get host/*@ESEMPIO.LAN * NO cpw *@ESEMPIO.LAN kadmin/admin@ESEMPIO.LAN all root/admin@ESEMPIO.LAN all addmachine/admin@ESEMPIO.LAN all Administrator/admin@ESEMPIO.LAN all
Rimuoviamo i vecchi dati del kdc e riavviamo i servizi:
mkdir -p /var/log/heimdal rm -rf /etc/krb5.keytab /etc/init.d/heimdal-kcm restart /etc/init.d/heimdal-kdc restart
Inizializziamo ora il reame kerberos:
kstash --random-key kadmin -l init --realm-max-ticket-life=unlimited --realm-max-renewable-life=unlimited ESEMPIO.LAN
e creiamo le chiavi per il server e i suoi servizi (samba e ldap):
kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= host/pdc.esempio.lan kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= host/pdc kadmin -l ext_keytab host/pdc.esempio.lan kadmin -l ext_keytab host/pdc kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= ldap/pdc.esempio.lan kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= ldap/pdc kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/pdc.esempio.lan kadmin -l ext_keytab -k /etc/ldap/ldap.keytab ldap/pdc kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= cifs/pdc.esempio.lan kadmin -l add --random-key --max-ticket-life=unlimited --max-renewable-life=unlimited --expiration-time=never \ --pw-expiration-time=never --attributes= cifs/pdc kadmin -l ext_keytab cifs/pdc.esempio.lan kadmin -l ext_keytab cifs/pdc
Sistemiamo ora i permessi per il keytab ldap:
chown openldap.openldap /etc/ldap/ldap.keytab chmod 400 /etc/ldap/ldap.keytab
e impostiamo la password per due principal kerberos:
kadmin -l cpw --password=Tommaso ldapmaster/admin kadmin -l cpw --password=Tommaso kadmin/admin
Infine riavviamo ancora il kdc:
/etc/init.d/heimdal-kcm restart /etc/init.d/heimdal-kdc restart
Configuriamo SASL (si veda [Wikipedia] per una descrizione di questo Framework) per utilizzare il reame kerberos e le informazioni salvate su LDAP. Modifichiamo innanzitutto il file /etc/default/saslauthd:
DESC="SASL Authentication Daemon" NAME="saslauthd" MECH_OPTIONS="" THREADS=5 START=yes MECHANISMS="ldap" OPTIONS="-m /var/run/saslauthd"
Poi il file /usr/lib/sasl2/slapd.conf:
pwcheck_method: saslauthd
e il file /etc/saslauthd.conf:
ldap_servers: ldap://127.0.0.1 ldap_port: 389 ldap_version: 3 ldap_referrals: no ldap_search_base: dc=esempio,dc=lan
Sistemiamo i permessi e riavviamo il servizio:
chown openldap.openldap /usr/lib/sasl2/slapd.conf chmod 400 /usr/lib/sasl2/slapd.conf /etc/init.d/saslauthd restart
Prima di iniziare a configurare Samba è necessario creare le directory nelle quali risiederanno le homes degli utenti, gli script di netlogon e i profili centralizzati (o profili roaming). Alcune di queste directory sono già state indicate nel file /etc/smbldap-tools/smbldap.conf, quindi è bene stare attenti a non commettere errori.
mkdir /home/esempio mkdir /home/esempio/homes mkdir /home/esempio/profiles mkdir /home/esempio/netlogon mkdir /home/esempio/pubblica chmod 1777 /home/esempio/profiles
Per fare in modo che gli utenti quando effettueranno il cambio password siano abbligati a rispettare i criteri di complessità utilizzeremo uno script fornito con samba, qundi diamo i seguenti comandi:
cd /usr/share/doc/samba-doc/examples/auth/crackcheck/ make mv crackcheck /usr/local/sbin/
La configurazione di Samba si riduce a modificare il file /etc/samba/smb.conf. State attenti: il file è molto lungo ed è facile tralasciare qualcosa o inserire opzioni in conflitto tra loro. Per iniziare ci si basi sul file di esempio, funzionante e testato, riportato di seguito con gli opportuni commenti:
mv /etc/samba/smb.conf /etc/samba/smb.conf.original touch /etc/samba/smb.conf
/etc/samba/smb.conf:
[global]
workgroup = ESEMPIO
realm = ESEMPIO.LAN
netbios name = pdc
server string = PDC/KDC Server - Samba %v
use kerberos keytab = yes
use spnego = yes
client NTLMv2 auth = yes
username map = /etc/samba/usermap
debug level = 1
log file = /var/log/samba/%m.log
max log size = 5000
syslog = 0
log level = 1
utmp = Yes
guest account = nobody
map to guest = Never
admin users = Administrator root addmachine @"Domain Admins"
enable privileges = yes
security = user
encrypt passwords = true
os level = 255
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
smb ports = 139
keepalive = 20
time server = yes
preserve case = yes
short preserve case = yes
case sensitive = no
null passwords = no
check password script = /usr/local/sbin/crackcheck -s -d /var/cache/cracklib/cracklib_dict
logon script = %U.bat
logon path =
logon drive = H:
logon home =
bind interfaces only = yes
interfaces = eth0, lo
hosts allow = 192.168.0.0/24 127.
wins support = yes
dns proxy = yes
passdb backend = ldapsam:ldaps://pdc.esempio.lan/
ldap admin dn = krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
ldap suffix = dc=esempio,dc=lan
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap ssl = On
ldap delete dn = Yes
ldapsam:trusted = yes
idmap backend = ldap:ldaps://pdc.esempio.lan/
idmap uid = 10000-15000
idmap gid = 10000-15000
#
# Meccanismi interni a samba per tenere sincronizzate le password samba e ldap/kerberos
#
pam password change = yes
ldap passwd sync = yes
unix password sync = yes
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m -a "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
dos charset = cp850
unix charset = iso8859-1
display charset = LOCALE
restrict anonymous = 0
# Comando per loggare login e logoff
root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" ON
root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" OFF
[homes]
path = /home/esempio/homes/%U
comment = Home directory
browseable = no
writeable = yes
valid users = %S
read only = no
guest ok = no
inherit permissions = yes
admin users = %u
write list = %u
read list = %u
create mask = 0700
directory mask = 0700
[netlogon]
comment = Network Logon Service
path = /home/esempio/netlogon
guest ok = no
writable = yes
browseable = no
share modes = no
admin users = @"Domain Admins"
[profiles]
comment = Profili degli utenti
path = /home/esempio/profiles
writeable = yes
browseable = no
guest ok = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
create mask = 0600
directory mask = 0700
csc policy = disable
profile acls = Yes
### Condivisione stampanti
[printers]
comment = Stampanti
browseable = no
path = /var/spool/samba
printable = yes
public = no
writable = no
create mode = 0700
### I client Windows si aspettano questa cartella come fonte per i drivers
[print$]
comment = Drivers delle stampanti
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
### Directory condivisa
[pubblica]
path = /home/esempio/pubblica
read only = No
create mask = 0660
directory mask = 2770
hide special files = yes
hide files = /lost+found/
acl group control = yes
inherit acls = yes
map acl inherit = yes
inherit permissions = yes
map archive = no
### Directory condivisa dell'area ragioneria
[ragioneria]
comment = Area Ragioneria
path = /home/esempio/aree/ragioneria
admin users = "@NomeGruppo"
writeable = yes
browseable = no
guest ok = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
create mask = 0660
directory mask = 2770
hide special files = yes
hide files = /lost+found/
acl group control = yes
inherit acls = yes
map acl inherit = yes
inherit permissions = yes
map archive = no
Una volta che abbiamo il file di configurazione pronto, possiamo verificare che non contenga errori con il comando:
testparm
Modifichiamo anche il file /etc/samba/usermap:
addmachine = ESEMPIO.LAN\addmachine/admin root = ESEMPIO.LAN\root/admin Administrator = ESEMPIO.LAN\Administrator/admin
e scarichiamo lo script log_access_login.bash che ci servirà per loggare gli accessi al dominio:
wget https://www.lansil.it/informatica/opensource/files/log_access_login.bash -P /etc/samba chmod 700 /etc/samba/log_access_login.bash
Modifichiamo inoltre il file /etc/request-key.conf aggiungendo:
create cifs.spnego * * /usr/sbin/cifs.upcall %k %d
sistemiamo ora le ultime directory necessarie:
mkdir -p /var/log/samba/login-logoff rm -rf /etc/samba/*tdb rm -rf /var/lib/samba/*tdb rm -rf /var/lib/samba/*dat rm -f /var/log/samba/*
facciamo memorizzare a samba la password dell'utente ldap da usare per la connessione:
smbpasswd -w Tommaso
che restituirà questo output:
Setting stored password for "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" in secrets.tdb
Ora possiamo riavviare il servizio:
/etc/init.d/samba restart
Adesso che abbiamo un PDC funzionante, dobbiamo prendere nota del nuovo SID:
net getlocalsid ESEMPIO
Quindi andiamo a modificare il file /etc/smbldap-tools/smbldap.conf inserendo il SID appena ottenuto, controllando nel frattempo gli indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316" sambaDomain="ESEMPIO" realm="esempio.lan" slaveLDAP="127.0.0.1" slavePort="389" masterLDAP="127.0.0.1" masterPort="389"
Il resto del file va lasciato invariato.
La versione di Samba nei repository di Debian Lenny è la 3.2.5, versione datata ma adeguata nel caso in cui come Sistema Operativo dei client al massimo vi sono dei Windows Vista. Ma se si posseggono o si prevede gi aggiungere dei Windows 7 occorre aggiornare la versione di Samba.
Il repository backports sopperisce alla necessità di software più aggiornato, mettendo a disposizione pacchetti ricompilati dal ramo testing, senza che questi richiedano nuove librerie per funzionare.
Quindi andiamo a modificare il file /etc/apt/sources.list aggiungendo la seguente riga:
deb http://backports.debian.org/debian-backports lenny-backports main
Ora aggiornate la vostra lista di pacchetti:
apt-get update
e installare da lì una versione di Samba più aggiornata:
apt-get -t lenny-backports install samba smbclient smbfs samba-doc swat cupsys cupsys-bsd resolvconf
oppure se usate synaptic in Impostazioni-Preferenze-Distribuzione spuntare l'opzione preferire versione da: e verificare che il relativo campo contenga lenny-backports.
Una volta fatto clic su OK, ricaricate gli archivi e ricercate e selezionate l'opzione Marca per l'aggiornamento dei seguenti pacchetti accettando le dipendenze richieste:
samba samba-doc samba-common-bin samba-tools libsmbclient
Alla richiesta di cosa fare del file smb.conf scegliere la predefinita Mantenere la propria versione attualmente installata tanto andremo a modificare a mano il file.
Per evitare anche per sbaglio di installare pacchetti dai backports modifichiamo il file /etc/apt/sources.list commentando con # all'inizio della riga che abbiamo aggiunto in precedenza
# deb http://backports.debian.org/debian-backports lenny-backports main
Facciomo quindi una copia del file /etc/samba/smb.conf e inseriamo la versione corretta:
mv /etc/samba/smb.conf /etc/samba/smb.conf.3.2.5 touch /etc/samba/smb.conf
/etc/samba/smb.conf:
[global]
workgroup = ESEMPIO
realm = ESEMPIO.LAN
netbios name = pdc
server string = PDC/KDC Server - Samba %v
# use kerberos keytab = yes
kerberos method = secrets and keytab
use spnego = yes
client NTLMv2 auth = yes
username map = /etc/samba/usermap
debug level = 1
log file = /var/log/samba/%m.log
max log size = 5000
syslog = 0
log level = 2
utmp = Yes
guest account = nobody
map to guest = Never
admin users = Administrator root addmachine @"Domain Admins"
enable privileges = yes
security = user
encrypt passwords = true
os level = 255
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
keepalive = 20
time server = yes
preserve case = yes
short preserve case = yes
case sensitive = no
null passwords = no
check password script = /usr/local/sbin/crackcheck -s -d /var/cache/cracklib/cracklib_dict
logon script = %U.bat #
logon path = \\%L\profiles\%U #
logon drive = Z: # direttive ignorate perché contenute in LDAP
logon home = \\%L\%U\ #
bind interfaces only = yes
interfaces = eth0, lo
hosts allow = 192.168.0.0/24 127.
wins support = yes
dns proxy = yes
smb ports = 139
passdb backend = ldapsam:ldaps://pdc.esempio.lan/
ldap admin dn = krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan
ldap suffix = dc=esempio,dc=lan
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
# ldap ssl = ON
ldap ssl = no
ldap delete dn = Yes
ldapsam:trusted = yes
idmap backend = ldap:ldaps://pdc.esempio.lan/
idmap uid = 10000-15000
idmap gid = 10000-15000
#
# Meccanismi interni a samba per tenere sincronizzate le password samba e ldap/kerberos
#
pam password change = yes
ldap passwd sync = yes
unix password sync = yes
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add user script = /usr/sbin/smbldap-useradd -m -a "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
dos charset = cp850
unix charset = iso8859-1
display charset = LOCALE
restrict anonymous = 0
# Comando per loggare login e logoff
root preexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" ON
root postexec = /etc/samba/log_access_login.bash "%L" "%U" "%G" "%H" "%u" "%S" "%I" "%m" OFF
[homes]
path = /home/esempio/homes/%U
comment = Home Directories
valid users = %S
browseable = no
writable = yes
admin users = %u
write list = %u
read list = %u
create mask = 0700
directory mask = 0700
[netlogon]
path = /home/esempio/netlogon
writable = yes
browseable = no
#share modes = no
admin users = @"Domain Admins"
[profiles]
comment = Profili degli utenti
path = /home/esempio/profiles
writeable = yes
browseable = no
guest ok = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
create mask = 0600
directory mask = 0700
csc policy = disable
profile acls = Yes
### Condivisione stampanti
[printers]
comment = Stampanti
browseable = no
path = /var/spool/samba
printable = yes
public = no
writable = no
create mode = 0700
### I client Windows si aspettano questa cartella come fonte per i drivers
[print$]
comment = Drivers delle stampanti
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
### Directory condivisa
[pubblica]
path = /home/esempio/pubblica
read only = No
create mask = 0660
directory mask = 2770
hide special files = yes
hide files = /lost+found/
acl group control = yes
inherit acls = yes
map acl inherit = yes
inherit permissions = yes
map archive = no
### Directory condivisa dell'area ragioneria
[ragioneria]
comment = Area Ragioneria
path = /home/esempio/aree/ragioneria
admin users = "@NomeGruppo"
writeable = yes
browseable = no
guest ok = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
create mask = 0660
directory mask = 2770
hide special files = yes
hide files = /lost+found/
acl group control = yes
inherit acls = yes
map acl inherit = yes
inherit permissions = yes
map archive = no
a questo punto se diamo il comando:
testparm
se compare il warning:
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
googlando la soluzione migliore è dare il comando:
ulimit -n 16384
Lanciate testparm per verificare che il warning non sia visualizzato.
Per fare in modo che il comando venga eseguito in automatico al riavvio modificare il file /etc/profile aggiungendolo alla fine
Per un funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2 utenti: Administrator e nobody.
La tabella seguente riepiloga i gruppi e gli utenti di default di un dominio Windows:
|
Nome - UID - Tipo
|
Inoltre, affinché si riesca ad aggiungere computer al dominio in modo automantico (da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per questa operazione. Tale utente può essere un utente root (da aggiungere a mano) o lo stesso Administrator cambiandogli l'uid. Quest'ultima è la scelta presa in questa configurazione, in modo da avere un utente Administrator che è Administrator per Samba e root per il "dominio" UNIX. Per creare i gruppi predefiniti e gli utenti utilizzati da Samba è possibile procedere in due modi.
La prima via consiste nel fare uso di alcuni script forniti con il pacchetto smbldap-tools che abbiamo già installato:
smbldap-populate -a root -k 0 -m 0 smbldap-useradd -a -m -c "Admin" Administrator smbldap-usermod -G "Domain Admins" Administrator
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere con l'utente root. Gli altri comandi fanno sì che Administrator sia aggiunto al gruppo dei Domain Admins. Durante l'esecuzione del comando vengono riepilogati i record aggiunti e vi verrà chiesto di cambiare (se volete) la password di Administrator; potete tranquillamente riscrivere la stessa password già impostata precedentemente.
Per verificare lo stato del database LDAP e i record aggiunti potete usare i comandi:
ldapsearch -x | less
e:
ldapsearch -x uid=Administrator
Su alcuni howto ho trovato suggerito, a questo punto, di cambiare ancora la password di Administrator con il comando:
smbldap-passwd Administrator
Sebbene non mi sia chiaro il motivo, l'ho fatto, reinserendo nuovamente la stessa password utilizzata fino a questo punto della guida. Questo sarà anche il comando che dovrà essere normalmente utilizzato per la gestione delle password.
Il secondo metodo prevede l'utilizzo della GUI di phpLDAPadmin. Per operazioni così lunghe e ripetitive come il popolamento iniziale di un database LDAP è un metodo che sconsiglio, ma può essere utile a questo punto osservare il funzionamento di questa GUI.
Innanzitutto bisogna collegarci con un browser al nostro server:
http://192.168.0.12/phpldapadmin
Cliccate sul link di login e inserite le seguenti informazioni:
Login DN: cn=admin,dc=esempio,dc=lan Password: password
Quindi, nella sezione di sinistra, espandete la radice LDAP relativa al vostro dominio. Cliccate sull'unità organizzativa che vi interessa (ou=Users oppure ou=Groups) e selezionate la voce Create ner entry here".
Selezionate il template corretto (Samba3 Account se volete creare un nuovo utente e Samba3 Group Mapping se volete creare un nuovo gruppo) e immettete le voci nei campi di definizione del template stesso.
A differenza della procedura di creazione utenti con i smbldap-tools, che essendo interfacciati con gli strumenti Linux di gestione utenti coprivano automaticamente ogni aspetto della creazione di nuove entry, utilizzando phpldapadmin dovrete creare a mano la home directory del nuovo utente, dato che l'interfaccia non lo farà per voi.
Per questo motivo solitamente consiglio di utilizzare i smbldap-tools per la creazione di nuovi gruppi e nuovi utenti e di utilizzare phpldapadmin per modifiche a utenti e gruppi già esistenti, quando navigare da console tra le proprietà di ogni entry può diventare difficoltoso.
Ricordatevi, al termine del processo di creazione di gruppi e utenti, di cambiare la password di Administrator come indicato nel paragrafo precedente:
smbldap-passwd Administrator
È necessario ora effettuare alcune modifiche nella struttura creata. Iniziamo modificando il primo User ID libero: creiamo il file /root/ldap_nextuid.ldif:
dn: sambaDomainName=ESEMPIO,dc=esempio,dc=lan replace: uidNumber uidNumber: 2000 - replace: gidNumber gidNumber: 2000
Lanciamo poi:
ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" -w Tommaso -f /root/ldap_nextuid.ldif
Poi introduciamo alcune modifiche per l'utente root inserito in LDAP: /root/ldap_rootuser.ldif:
dn: uid=root,ou=Users,dc=esempio,dc=lan changetype: modify add: objectClass objectClass: krb5Principal objectClass: krb5KDCEntry - add: krb5KeyVersionNumber krb5KeyVersionNumber: 1 - add: krb5PrincipalName krb5PrincipalName: root/admin@ESEMPIO.LAN - add: krb5KDCFlags krb5KDCFlags: 126 - add: krb5MaxRenew krb5MaxRenew: 604800 - add: krb5MaxLife krb5MaxLife: 86400 - replace: homeDirectory homeDirectory: /root - replace: gidNumber gidNumber: 512
Lanciamo quindi:
ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" -w Tommaso -f /root/ldap_rootuser.ldif
Infine introduciamo alcune modifiche per l'utente nobody inserito in LDAP: /root/ldap_nobodyuser.ldif:
dn: uid=nobody,ou=Users,dc=esempio,dc=lan changetype: modify replace: gidNumber gidNumber: 514
E lanciamo poi:
ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" -w password -f /root/ldap_nobodyuser.ldif
Creiamo ora un utente per l'aggiunta di macchine al dominio samba/kerberos e diamogli una password:
smbldap-useradd -a -m addmachine smbldap-passwd addmachine
Modifichiamo anche per questo utente alcuni dati. Creiamo quindi il file /root/ldap_addmachineuser.ldif:
dn: uid=addmachine,ou=Users,dc=esempio,dc=lan replace: krb5PrincipalName krb5PrincipalName: addmachine/admin@ESEMPIO.LAN
e lanciamo poi:
ldapmodify -x -D "krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan" -w Tommaso -f /root/ldap_addmachineuser.ldif
A questo punto occorre configurare il nostro server affinchè veda gli utenti LDAP come normali utenti Unix di sistema.
Poiché il nostro server LDAP sarà consultato in maniera continuativa, potrebbe essere una buona idea installare un servizio di cache per alcuni dati degli utenti. In questo modo i dati contenuti in cache saranno forniti senza eseguire un accesso al database LDAP, velocizzando di conseguenza i tempi di risposta del server. Il demone nscd (name service caching daemon) esegue esattamente questa cosa:
apt-get install nscd
La configurazione di default è più che sufficiente per i nostri scopi.
Questo potrebbe inoltre essere un buon momento per riavviare il demone di Samba:
/etc/init.d/samba restart
Per prima cosa installeremo il pacchetto libnss-ldap, con il classico comando:
apt-get install libnss-ldap
Non preoccupatevi delle domande che vi vengono poste durante l'installazione. Non appena terminata, infatti, andremo a riconfigurare il pacchetto con il comando:
dpkg-reconfigure libnss-ldap
Rispondete in questo modo alle domande che vi vengono poste dall'installer:
A questo punto bisogna modificare il file /etc/nsswitch.conf cambiando le tre linee
# /etc/nsswitch.conf passwd: files ldap [notfound=continue] shadow: files ldap [notfound=continue] group: files ldap [notfound=continue] hosts: files dns wins networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Modificate inotre il file /etc/libnss-ldap.conf, decommentando e modificando le righe seguenti e lasciando decommentate quelle di default:
host 127.0.0.1 base dc=esempio,dc=lan ldap_version 3 scope one pam_filter objectclass=posixaccount pam_login_attribute uid pam_member_attribute gid pam_password crypt bind_policy soft pam_password md5 nss_base_passwd ou=Users,dc=esempio,dc=lan?sub nss_base_passwd ou=Computers,dc=esempio,dc=lan?sub nss_base_shadow ou=Users,dc=esempio,dc=lan?sub nss_base_group ou=Groups,dc=esempio,dc=lan?one
e il file /etc/ldap.conf:
base dc=esempio,dc=lan uri ldaps://127.0.0.1 rootbinddn krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=KerberosPrincipals,ou=Users,dc=esempio,dc=lan port 636 ldap_version 3 bind_policy soft bind_timelimit 2 timelimit 2 scope sub nss_reconnect_maxsleeptime 8 nss_reconnect_sleeptime 1 nss_initgroups_ignoreusers root nss_srv_domain esempio.lan pam_password exop pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberUid nss_base_passwd ou=Users,dc=esempio,dc=lan?one nss_base_shadow ou=Users,dc=esempio,dc=lan?one nss_base_passwd ou=Computers,dc=esempio,dc=lan?one nss_base_shadow ou=Computers,dc=esempio,dc=lan?one nss_base_group ou=Groups,dc=esempio,dc=lan?one ssl on
e memorizziamo poi la password dell'amministratore ldap in /etc/ldap.secret e rendiamolo leggibile solo a root:
echo Tommaso > /etc/ldap.secret chown root.root /etc/ldap.secret chmod 600 /etc/ldap.secret
A causa di un bug documentato (http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=375077) e a cui il team di sviluppo di Debian ha fornito una soluzione parziale (è stato eliminato il problema, ma non i messaggi d'errore generati al boot) è possibile che al reboot compaiano messaggi di errore simili ai seguenti:
... udevd[1350]: nss_ldap: could not connect to any LDAP server as cn=admin,dc=home,dc=tld - Can't contact LDAP server udevd[1350]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Can't contact LDAP server udevd[1350]: nss_ldap: could not search LDAP server - Server is unavailable udevd[1350]: lookup_user: error resolving user 'tss': Illegal seek ...
Una possibile via per eludere il problema è quella di aggiungere a mano gli utenti di sistema mancanti:
addgroup --system tss addgroup --system kvm addgroup --system rdma addgroup --system fuse addgroup --system scanner addgroup --system nvram adduser --system tss
L'installazione del pacchetto libpam-ldap viene eseguita allo stesso modo di quella precedente:
apt-get install libpam-ldap dpkg-reconfigure libpam-ldap
rispondendo in questo modo alle domande poste dall'installer:
Modificate come segue il file /etc/pam_ldap.conf:
bind_policy soft nss_base_passwd dc=esempio,dc=lan?sub nss_base_shadow dc=esempio,dc=lan?sub nss_base_group ou=Groups,dc=esempio,dc=lan?one
Ora è necessario andare a modificare i quattro files che gestiscono la configurazione di pam per LDAP in modo che il loro contenuto sia:
/etc/pam.d/common-account
account sufficient pam_unix.so account sufficient pam_ldap.so account sufficient pam_krb5.so account required pam_deny.so
/etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure auth sufficient pam_ldap.so auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so
/etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure md5 password required pam_winbind.so password sufficient pam_ldap.so
/etc/pam.d/common-session
session optional pam_unix.so session optional pam_krb5.so session optional pam_mkhomedir.so skel=/etc/skel/ umask=077 session sufficient pam_ldap.so
Riavviate il vostro server e controllate eventuali messaggi di errore al boot. Una volta ripartito, con i comandi:
getent passwd getent group
dovremmo vedere elencati anche gli utenti e i gruppi di dominio OpenLDAP. Il comando:
smbclient -L localhost -U Administrator
dovrebbe, dopo aver richiesto la password di Administrator, mostrarci le condivisioni samba del nostro server.
Affinchè le directory dei profili e altre cosette funzionino senza intoppi è necessario assegnare i giusti permessi agli utenti di dominio:
net -S PDC -U Administrator rpc rights grant "ESEMPIO\Domain Admins" SeMachineAccountPrivilege \ SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
net -S PDC -U Administrator rpc rights grant "ESEMPIO\Print Operators" SePrintOperatorPrivilege
dove PDC è il nome Samba assegnato al server.
Il pacchetto smbldap-tools presente in Lenny, a differenza di quelli di Etch e Sarge, effettua un controllo di uid e gid ogni qualvolta si tenta di aggiungere un utente OpenLDAP al dominio, al fine di evitare sovrapposizioni nei valori; pertanto non è più necessario specificare a mano i corretti valori di uid e gid. Adesso siamo pronti per la creazione del primo utente con il comando:
smbldap-useradd -a -m -c "Tommaso Silvestro" tommaso.silvestro
Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica il nome completo.
Infine impostare la password dell'utente con:
smbldap-passwd tommaso.silvestro
Per verificare il tutto usare il comando:
smbldap-usershow tommaso.silvestro
Creiamo ora i gruppi per organizzare gli utenti all'interno del nostro dominio:
smbldap-groupadd "ragioneria"
Aggiungiamo gli utenti ai gruppi desiderati:
smbldap-usermod -G "ragioneria" tommaso.silvestro
Se vogliamo che un utente possa loggarsi correttamente anche in un desktop GNU/Linux dobbiamo "clonare" in LDAP anche le informazioni sui vari gruppi a cui l'utente dovrà appartenere per poter operare correttamente nel suo ambiente di lavoro (gruppi video, plugdev, disk, fuse, ...) e inserire l'utente in tali gruppi, sempre usando i tools smbldap.
Se decidessimo di utilizzare la GUI fornita da phpldapadmin non dimentichiamoci di creare a mano le homes directory:
mkdir /home/esempio/homes/tommaso.silvestro cp /etc/skel/.* /home/esempio/homes/tommaso.silvestro chown -R tommaso.silvestro /home/esempio/homes/tommaso.silvestro
È possibile creare uno script tommaso.silvestro.bat (come specificato nel file /etc/smbldap-tools/smbldap.conf) da mettere nella cartella indicata per la condivisione netlogon. Questo script conterrà alcuni comandi che saranno eseguiti all'avvio dei client Windows.
Tale script dovrà esser scritto in modalità dos, per far questo sfrutteremo il tool unix2dos contenuto nel pacchetto tofrodos.
apt-get install tofrodos
creiamo lo script con l'editor che preferiamo
vim /home/esempio/netlogon/tommaso.silvestro.bat
syncronizziamo gli orologi del client Windows con il nostro server e mappiamo una condivisione di rete scrivendo nel file
net time %LOGONSERVER% /set /yes net use X: \\PDC\ragioneria
infine
unix2dos /home/esempio/netlogon/tommaso.silvestro.bat
Allo script si possono aggiungere operazioni come il montaggio di unità di rete o altre condivisioni. Tenete conto che con queste impostazioni viene già creata un'unità di rete collegata alla home dell'utente Linux.
Riavviamo quindi come ultima cosa tutti i servizi:
/etc/init.d/bind9 restart /etc/init.d/slapd restart /etc/init.d/samba restart /etc/init.d/heimdal-kdc restart /etc/init.d/heimdal-kcm restart /etc/init.d/ntp restart /etc/init.d/saslauthd restart /etc/init.d/openbsd-inetd restart
Autentichiamoci in kerberos:
# kinit ldapmaster/admin ldapmaster/admin@ESEMPIO.LAN's Password:
e verifichiamo di aver ottenuto le credenziali:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ldapmaster/admin@ESEMPIO.LAN
Issued Expires Principal
Apr 16 14:15:03 Apr 17 12:28:23 krbtgt/ESEMPIO.LAN@ESEMPIO.LAN
Proviamo quindi a fare un accesso al server LDAP:
# ldapwhoami -Y GSSAPI SASL/GSSAPI authentication started SASL username: ldapmaster/admin@ESEMPIO.LAN SASL SSF: 56 SASL installing layers dn:krb5PrincipalName=ldapmaster/admin@ESEMPIO.LAN,ou=kerberosprincipals,ou=users,dc=esempio,dc=lan Result: Success (0)
e ri-verifichiamo le credenziali:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: ldapmaster/admin@ESEMPIO.LAN
Issued Expires Principal
Apr 16 14:21:17 Apr 17 12:34:37 krbtgt/ESEMPIO.LAN@ESEMPIO.LAN
Apr 16 14:21:25 Apr 17 12:34:37 ldap/pdc.esempio.lan@ESEMPIO.LAN
Proviamo quindi con Samba:
# kdestroy
# kinit addmachine/admin
# smbclient //pdc/netlogon -k
OS=[Unix] Server=[Samba 3.0.24]
smb: \>
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: addmachine/admin@ESEMPIO.LAN
Issued Expires Principal
Apr 16 14:18:19 Apr 17 12:31:39 krbtgt/ESEMPIO.LAN@ESEMPIO.LAN
Apr 16 14:18:24 Apr 17 12:31:39 cifs/pdc.esempio.lan@ESEMPIO.LAN
Il nostro server è ora pronto per essere utilizzato. Per testarne le funzionalità è possibile procedere per gradi, in modo da isolare quelli che sono i problemi di configurazione da quelli che sono i problemi di rete o dei client Windows.
A tal fine il primo accesso può essere fatto dal server stesso con il comando:
smbclient -L localhost -U Administrator
Dovrebbe essere richiesta la password impostata precedentemente per l'utente Administrator e, di seguito, dovrebbero venire elencate le condivisioni samba impostate sul server.
La procedura di connessione dei client al dominio varia a seconda del sistema operativo utilizzato sulle macchine client:
Versione testata: Windows 2000 Professional con Service Pack 4
Versione testata: Windows XP Professional con Service Pack 3 XP Professional Edition può essere usato per far parte di un dominio, Windows XP Home Edition non può far parte di un dominio (Samba o Windows based).
Versione testata Windows Vista Ultimate senza Service Pack
Versione testata Windows 7 Enterprise senza Service Pack
HKLM\System\CCS\Services\LanmanWorkstation\Parameters DWORD DomainCompatibilityMode = 1 DWORD DNSNameResolutionRequired = 0
fonte Samba da dove è possibile scaricare la pach da applicare al registro di sistema evitando quindi di farlo a mano. A questo punto la procedura di unione al dominio procede sulla falsariga di quella valida per Windows XP.