Accesso ai pc con credenziali lato server

[samiel]

Nella mia scuola l'anno scorso il tecnico informatico
ha sostituito il vecchio server che girava con MS Server
con Ubuntu Server. Ora il tecnico non lavora più da noi.
E ho questo problema: in sala prof abbiamo messo 4 pc
i quali devono girare sotto il proxy. In pratica, gli accessi
alla macchina devono essere effettuati con le credenziali
di username e password presenti nel server. Attualmente
io entro nel pc con un account locale e devo accreditarmi
solo per navigare. Invece, dovrei limitare lo stesso accesso
al pc in base ai dati der server. Questi pc montano tutti
Ubuntu. Il mio problema: cosa devo configurare perché
appunto l'accesso alla macchina stessa sia vincolato
alle credenziali presenti nel server? Dubito di essere
stato chiaro ma spero mi capiate lo stesso. Perché
se non risolvo abbiamo 4 pc inutilizzabili...

Grazie
M.

[masalapianta]

non ho capito una mazza

[krisis]

c'era un active directory?
Se il problema è l'autenticazione sul proxy basta che configuri il programma per accettare un altro schema , chessò digest o basic.
Se il problema è l'autenticazione sulla macchina locale o ricrei l'ambiente di prima (che non hai spiegato com'era fatto) o cambi la configurazione della macchine per eseguire il login usando il buon vecchio shadow.

[samiel]

Allora... ritento. C'era una volta un server Linux (Ubuntu server)
e tanti client Windows. Quando si accendeva una macchina,
per entrare si doveva inserire username e password. Altrimenti
la schermata di avvio stava ferma lì con la sua mascherina.
Come fosse impostata la cosa non so, il tecnico che aveva
impostato la cosa non c'è più e stiamo cercando di capire
che cosa e come aveva fatto. Con una certa fretta pure...
Adesso in 4 pc c'è Ubuntu, nel quale si può entrare in base
agli utenti registrati in locale o addirittura (orrore) come ospite.
Noi dovremmo far sì che l'accesso sia consentito solo tramite
autenticazione agli utenti registrati nel server (peraltro filtrato
da un proxy). E qui mi fermo perché nemmeno io ho capito
in concreto le indicazioni di krisis... Dobbiamo installare squid ?

M.

[krisis]

Il server Linux quasi sicuramente monta samba configurato come pdc in un dominio.
Su i 4 ubuntu devi solo configurare samba e kerberos ed inserirli nel dominio.
Se la configurazione è questa allora il proxy è configurato con autenticazione tramite ntlm che ha come unico e risibile vantaggio la possibilità di recuperare l'utenza dalla sessione di windows.Basta che aggiungi la possibilità di eseguire il login al proxy anche con basic o digest per risolvere il problema.Mi pare di ricordare che anche firefox su linux supporti ntlm ma non recupera le credenziali come in Windows.Se vuoi risolvere a monte il problema del login sul proxy ti basta configurarlo in modalità transparent o transparent bridge.

[samiel]

Basta che aggiungi la possibilità di eseguire il login al proxy anche con basic o digest per risolvere il problema

Appunto con squid?

Grazie mille
M

[krisis]

Da quanto leggo un proxy già lo avete. Riconfigura quello, non c`è bisogno di installare altro.

[samiel]

DOmani riferisco al tecnico,
che però ha lavorato finora solo con server Windows.
Vedremo di capirci qualcosa.
Intanto grazie ancora

M

[masalapianta]

Allora... ritento. C'era una volta un server Linux (Ubuntu server)
e tanti client Windows. Quando si accendeva una macchina,
per entrare si doveva inserire username e password. Altrimenti
la schermata di avvio stava ferma lì con la sua mascherina.
Come fosse impostata la cosa non so, il tecnico che aveva
impostato la cosa non c'è più e stiamo cercando di capire
che cosa e come aveva fatto. Con una certa fretta pure...
Adesso in 4 pc c'è Ubuntu, nel quale si può entrare in base
agli utenti registrati in locale o addirittura (orrore) come ospite.
Noi dovremmo far sì che l'accesso sia consentito solo tramite
autenticazione agli utenti registrati nel server (peraltro filtrato
da un proxy). E qui mi fermo perché nemmeno io ho capito
in concreto le indicazioni di krisis... Dobbiamo installare squid ?

M.

che intendi con "utenti registrati nel server"? le utenze nel passwd del server? e se mi sembra di capire che parliamo di far login sulle macchine, perchè parli di proxy? Cosa volete fare? centralizzare sul server le credenziali di autenticazione nei sistemi operativi client? che c'entra il proxy?

[samiel]

Nel server ci sono gli utenti (doc01, doc02 ecc) e le relativa password.
I docenti possono accedere da qualsivoglia pc in aula docenti, ma ovviamente
devono autenticarsi non in locale o dovremmo mettere in ogni pc i dati di tutti.
Poi succede che, quando si apre Firefox, bisogna autenticarsi di nuovo
con gli stessi dati (non ho capito perché...).
comunque ho provato ad approntare un smb.conf per un client, ma:

Codice: Seleziona tutto

docenti04@docenti04:~$ net rpc join -D SCUOLA -U admin
[2011/10/26 16:24:46.416610,  0] param/loadparm.c:5872(lp_bool)
  lp_bool(192.168.3.1): value is not boolean!
lp_bool(192.168.3.1): value is not boolean!
Failed to open /var/lib/samba/secrets.tdb
error storing domain sid for SCUOLA

e google non mi ha illuminato...

M.

[masalapianta]

Nel server ci sono gli utenti (doc01, doc02 ecc) e le relativa password.
I docenti possono accedere da qualsivoglia pc in aula docenti, ma ovviamente
devono autenticarsi non in locale o dovremmo mettere in ogni pc i dati di tutti.

con openldap:
http://www.howtoforge.com/linux_ldap_authentication
(volendo puoi anche utilizzare 389)

Poi succede che, quando si apre Firefox, bisogna autenticarsi di nuovo
con gli stessi dati (non ho capito perché...).

perchè, a meno di usare roba come 802.1x, il proxy non ha modo di sapere se le richieste che gli arrivano, provengano da pc della scuola su cui ci si è autenticati; il proxy conosce solo ip e mac address (se sono nella medesima rete) dei client, ed entrambi sono modificabili a piacimento, quindi non attendibili.

comunque ho provato ad approntare un smb.conf per un client

che c'entra samba?

[krisis]

comunque ho provato ad approntare un smb.conf per un client

che c'entra samba?

Perchè prima c'era un server windows con tanti client windows , ora c'è un server linux con tanti client windows e 4 client linux.
Quindi esiste un active directory fatta con samba alla quale i 4 pc linux devono agganciarsi.

[masalapianta]

premetto che fortunatamente non conosco bene samba, ma che io sappia samba sia lato client che server non supporta l'autenticazione centralizzata degli utenti di sistema (lato client serve pam_ldap e lato server un directory server).
Per lo stesso motivo non credo sia possibile fare un active directory con samba (a meno che nelle ultime release non sia stato integrato in samba un directory server)

[krisis]

Anche io conosco poco samba non avendo mai dovuto implementare nulla con questo software ma avevo letto un documento tempo fa dove asserivano che nelle ultime versioni era possibile utilizzarlo come primary domain controller (pdc) centrallizando quindi i login.
Infatti cercando "samba pdc" su google il primo risultato che trovo http://openskill.info/infobox.php?ID=552 me lo conferma.
Ho ipotizzato la presenza di questa configurazione nella rete di samiel proprio per la presenza di svariati client windows che facevano capo ad un server windows poi diventato linux.

[samiel]

Abbiamo attualmente una rete mista.
Abbiamo portato i 4 pc della sala insegnati a linux,
e adesso porteremo pure i 22 che abbiamo
nel laboratorio di informatica. Ma i pc della segreteria
devono rimanere Windows per via di alcuni applicativi
(gestione scrituni ecc) che non girano sotto Linux.
Il link segnalatomi da krisis sembra ottimo.

a meno di usare roba come 802.1x

Ehm... non ho idea di cosa sia... Adesso vado di google

lp_bool(192.168.3.1): value is not boolean!

Non avete idea di cosa possa significare?

Domani a scuola tento questa va nuova...

M.