Autenticazione con LDAP per Samba: differenze tra le versioni

Versione attuale delle 10:10, 3 ott 2008

[modifica] Introduzione

Come installare e configurare samba come controllore di dominio di primo livello (PDC).

Questa guida descrive come installare e configurare Samba come PDC autenticando gli utenti con LDAP. Il sistema imposta un potente e sicuro file/print server oltre ad un robusto Directory Server.

Inoltre il server samba fa anche da logon server per i client Windows® che con l'aiuto dei “logons script” accedono automaticamente ai propri dischi condivisi in base al gruppo di appartenenza.

[modifica] Prima di cominciare

Questa guida descrive il setup di un PDC con OpenLdap e Samba:

• come installare e configurare ldap (installando e configurando OpenLDAP, gli script IDEALX per samba, i file slapd.conf e /etc/ldap.conf, Pluggable Authentication Modules (PAM) e infine avvio di OpenLDAP);
• come installare e configurare samba (installazione e avvio di samba, creazione delle cartelle e dei dischi condivisi, configurazione del file smb.conf e impostazione del database delle password LDAP, inizializzazione del database e integrazione di PAM, aggiunta di utenti e workstation windows® nella Directory;
• come abilitare e testare la sicurezza del sistema (TLS per OpenLDAP, PAM e Samba).

[modifica] Prerequisiti

Sono necessari una buona conoscenza dei sistemi UNIX®/LINUX® dal punto di vista della shell (riga di comando) e nozioni anche di base di networking e di programmazione in python o perl (per la creazione degli logon script, qui è stato usato python).

La distribuzione di riferimento è una Fedora Core 5, però la procedura qui descritta funziona su tutte le altre distribuzioni (es. Slackware®) e le varianti UNIX® come AIX e HP-UX.

È raccomandato procurarsi una versione precompilata dei pacchetti per la propria distribuzione (es .rpm per Red Hat® e derivati oppure .tgz per Slackware® e derivati).

I seguenti pacchetti sono necessari:

• OpenSSL;
• OpenLDAP;
• Samba;
• Modulo Perl Crypt::SmbHash;
• Module Perl Digest::SHA1;
• Modulo Perl IO::Socket::SSL;
• Modulo Perl Net::SSLeay.

[modifica] Schema della rete

La semplicità della rete in esame la rende facilmente adattabile ad una piccola rete domestica. E' stato usato un router a banda larga con firewall integrato.

     +------------+
     |  PC LINUX  |
     | con Server |
     |    Samba   |
     +------+-----+        +----------+               __________
            |              |  ROUTER  |              |          |
-----+------+------+-------+    +     +---- >> --- >>| INTERNET |
     |             |       | FIREWALL |              |__________|
+----+----+   +----+----+  +----------+
| WINDOWS |   | WINDOWS |
| CLIENT  |   | CLIENT  |
+---------+   +---------+

Questa picola rete ha tre gruppi: finanze, ricerca e amministrazione.

Gli utenti dei gruppi finanze e ricerca hanno dei dischi condivisi in cui salvare i propri file; i membri dei due gruppi hanno solo accesso alle condivisioni del proprio gruppo.

Gli utenti del gruppo amministrazione hanno dei dischi accessibili solo dgli amministratori, hanno però dei privileggi che consentono loro di accedere alle condivisioni sia di finanze sia di ricerca.

[modifica] Introduzione a LDAP

LDAP : Lightweight Directory Access Protocol, è un protollo per far comunicare più computer con un Directory Server (rfc 1777 e 2251); è stato progettato per permettere un accesso leggero ad alberi derivati da Directory X.500 OSI Directory Access Protocol (DAP).

I dati sono organizzati in una struttura gerarchica (con supporto nativo della replicazione) e non di tabelle come nei DBMS relazionali, quali oracle oppure postgresql.

Una Directory è una collezione gerarchica di oggetti e di attributi associati agli ogetti stessi.

Esempio di Directory:

              _
             (_) dc=vicenza, dc=linux, dc=it

              |
              |
    +---------+---------+
    |         |         |
    |         |         |
    _         _         _
   (_)       (_)       (_) ou=soci, dc=vicenza, dc=linux, dc=it

                        |
                        |
              +---------+---------+
              |         |         |
              |         |         |
              _         _         _
             (_)       (_)       (_) cn=ottavio, ou=soci, dc=vicenza, dc=linux, dc=it

[modifica] Integrazione LDAP - SAMBA

Esistono tre principali punti d'integrazione di Samba in un server LDAP:

• il primo è l'inclusione dello schema samba nel server LDAP;
• il secondo è la configurazione di samba per autenticare via il server LDAP, grazie all'utility PAM che crea uno strato di astrazione nel processo di autenticazione, nascondendone la complessità (decidendo ad esempio se usare un file, LDAP, oppure un altro meccanismo di autenticazione);
• il terzo consiste nel usare un insieme di strumenti: i così detti “ IDEALX LDAP toolkit per Samba”, noti anche come gli "smbldap-tools", prodotti da terzi, ma rilasciati sotto licenza GPL.

[modifica] Configurazione di LDAP

[modifica] Installazione di OpenLDAP

Per installare OpenLDAP verificare che nella propria distribuzione non sia già installato, con i seguenti comandi (per fedora):

rpm -qa | grep ldap

se non si ottiene un risultato simile a openladp-2.3.24 o superiore sarà necessario scaricarlo su uno dei mirror e installarlo con il comando:

rpm -ivh openladp-2.3.24-2.i386.rpm 

oppure usando YUM (il sistema di aggiornamento online di fedora, qui non ne parleremo).

Questo è un esempio di output che ottengo sulla mia Slackware:

root@chrix:~# ls /var/log/packages/ | grep -i ldap
nss_ldap-244-i486-1wsa
openldap-2.3.24-i486-2kjz

in caso contrario è possibile scaricare il pacchetto precompilato su uno dei repository di Slackware oppure installarlo direttamente con swaret o altri strumenti di aggiornamento online.

[modifica] Installazione degli smbldap-tools

Essi sono richiesti per automatizzare la maggior parte delle interazioni tra samba e il server LDAP, contengono ad esempio script che samba richiama automaticamente per aggiungere/rimuovere utenti e/o gruppi, agiungere computer... Sono scritti in perl e quindi eseguibili da shell. Di solito sono già inclusi in vari distribuzioni col pacchetto samba, questo è l'output che ottengo sulla mia Slackware:

root@chrix:~# cd /usr/share/doc/samba-3.0.21c/examples/LDAP/smbldap-tools-0.9.1
root@chrix:~# ls
CONTRIBUTORS  INSTALL       doc/              smbldap-groupshow   smbldap-userdel   smbldap_bind.conf
COPYING       Makefile      smb.conf          smbldap-passwd      smbldap-userinfo  smbldap_tools.pm
ChangeLog     README        smbldap-groupadd  smbldap-populate    smbldap-usermod
FILES         TODO          smbldap-groupdel  smbldap-tools.spec  smbldap-usershow
INFRA         configure.pl  smbldap-groupmod  smbldap-useradd     smbldap.conf

per installare gli IDEALX scripts:

• andare sul sito e scaricare la versione 0.9.1 o superiore (smbldaptool-0.9.1.tar.gz);
• scompattare l'archivio in una cartella temporanea col comando:

tar -xvzf smbldap-tool-0.9.1.tar.gz

• creare una cartella per gli script quindi impostare i permessi giusti:

mkdir -p /var/lib/samba/sbin
chmod -R 755 /var/lib/samba/

• entrare nella cartella scompattata e copiare gli script nella cartella precedentemente creata, all'invito di comandi scrivere:

cd smbldap-tool-0.9.1
cp smbldap* configure.pl /var/lib/samba/sbin

• impostare i permessi corretti nella cartella /var/lib/samba/sbin, impartendo i seguenti comandi:

chmod 755 *
chmod 640 smbldap_bind.conf smbldap.conf smbldap_tools.pm

• infine rimuovere la cartella temporanea in cui è stato scompattato l'archivio.

Il toolkit IDEALX richiede moduli perl aggiuntivi che di default non sono sempre installati nel sistema.

• Andare sul sito e scaricare i seguenti moduli perl (è disponibile un motore di ricerca interno):

• • Crypt::SmbHash;
  • Digest::SHA1;
  • IO::Socket::SSL;
  • Net::SSLeay.

• Scompattare tutti gli archivi appena scaricati usando questo comando:

for archivio in *; do tar -xvzf $archivio; done

• Compilare ed installare ( da root) ognuno dei quattro moduli, entrando ogni volta nella rispettiva cartella con i comandi:

perl Makefile.PL
make test
make install

[modifica] Configurazione degli schema, delle chiavi ssl e delle cartelle usate da OpenLDAP

Chi usa un pacchetto precompilato ( rpm o tgz ) avrà la cartella /etc/openldap contenente il file di configurazione slapd.conf, prima di editare quel file è necessario copiare il file samba.schema nella cartella /etc/openldap/schema se non già presente! E impostare i permessi corretti:

chmod 644 /etc/openldap/schema/samba.schema

Potete usare locate oppure find per trovarlo, sulla mia Slackaware usando locate:

root@chrix:~# cd /etc/openldap
root@chrix:~# locate samba.schema
/etc/samba/samba.schema.oc.IBM-ds
/etc/samba/samba.schema.at.IBM-ds
/etc/samba/samba.schema
/etc/openldap/schema/samba.schema
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema.oc.IBM-ds
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema.at.IBM-ds
/usr/doc/samba-3.0.21c/examples/LDAP/samba.schema

Ora creare una cartella per il database di LDAP

mkdir -p /var/lib/ldap/miodominio.com
chmod 700 /var/lib/ldap/miodominio.com
chown ldap:ldap /var/lib/ldap/miodominio.com

In Fedora l'utente ldap viene creato all'installazione di OpenLDAP, in altre distribuzioni bisogna spesso crearlo a mano!

Infine creare le chiavi che OpenLDAP usa per la criptazione dei dati, per fare ciò è necessario il pacchetto OpenSSL già incluso nella maggior parte delle distribuzioni; altrimenti potete scaricarlo dal sito.

Questo howto descrive come autofirmare i propri cerficati (cioè essere una Certificate Authority: CA).

• Con il comando locate openssl.cnf individuare il file openssl.cnf ed editarlo a secondo la vostra configurazione, ad esempio cambiare il paese in IT, il nome dell'orgarnizazione in miodominio.com ( di default si trova in /etc/ssl/openssl.cnf );
• Nella stessa cartella di openssl.cnf digittare i seguenti comandi:

mkdir -p CA/certs CA/crl CA/newcerts CA/private
chmod 700 CA/private
touch CA/index.txt
echo 01 > CA/serial

• Creare il certificato della CA e la chiave con il comando:

openssl req -nodes -config openssl.cnf -new -x509 -keyout CA/private/cakey.pem -out CA/cacert.pem -days 3650

• Creare la chiave per OpenLDAP con questi comandi:

openssl req -config openssl.cnf -nodes -new -keyout /etc/openldap/slapd-key.pem -out slapd.csr
openssl ca -config openssl.cnf -out /etc/openldap/slapd-cert.pem -in slapd.csr

• Impostare i permessi corretti:

chown root:ldap /etc/openldap/slapd-key.pem
chmod 640 /etc/openldap/slapd-key.pem
chmod 644 /etc/openldap/slapd-cert.pem

• Copiare il certificato CA nella cartella di configurazione in modo vari apllicazioni possano accedervi:

cp CA/cacert.pem /etc/openldap
chmod 644 /etc/openldap/cacert.pem

• Configurare il file slapd.conf. Il demone di OpenLDAP si chiama slapd, e legge le configurazioni dal file slapd.conf, prima di editare quel file bisogna generare l'impronta della password per l'admin rootdn (root distinguished name), per fare ciò usare l'utility slappasswd come segue:

slappasswd -h {SSHA} -s password_desiderata

Salvare l'output di quel comando in un file ad esempio utilizzando le redirezioni “>”, perché verrà usato in seguito.

Con la mia Slackware ottengo:

root@chrix:/etc/openldap# slappasswd -h {SSHA} -s slacky123
{SSHA}edkSLDngACZohmpeSlzsz7/P8u3Hr4jD
root@chrix:/etc/openldap#

esempio di file /etc/openldap/slapd.conf da modificare in funzione della propria configurazione:

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#include /etc/openldap/schema/core.schema
include /etc/openldap/schema/samba.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
# Load dynamic backend modules:
# modulepath /usr/libexec/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# BDB database definitions
#######################################################################
database bdb
suffix "dc=chrix,dc=lan"
rootdn "cn=Manager,dc=chrix,dc=lan"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
# qui la password con slappasswd
rootpw {SSHA}edkSLDngACZohmpeSlzsz7/P8u3Hr4jD
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/openldap-data
# Indices to maintain
index objectClass eq

[modifica] Configurare /etc/ldap.conf

il file /etc/ldap.conf è usato dai client LDAP sul computer locale quali PAM che è l'interfaccia usata da samba per l'autenticazione via il server LDAP, il file ldap.conf da usare è quello impostato per funzionare con PAM, per sapere quale configurazione usare impartire i seguenti comandi:

strings /lib/libnss_ldap.so.2 | grep conf

il valore ritornato dovrebbe essere:

/etc/ldap.conf

Esempio di file /etc/ldap.conf da modificare in funzione della propria configurazione:

#$Id: ldap.conf,v 2.43 2005/05/25 00:05:08 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#
# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host 127.0.0.1
# The distinguished name of the search base.
base dc=chrix,dc=lan
# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap://127.0.0.1/
uri ldaps://127.0.0.1/
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator
# The LDAP version to use (defaults to 3
# if supported by client library)
#ldap_version 3
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn cn=Manager,dc=chrix,dc=lan
# The credentials to bind with.
# Optional: default is no credential.
bindpw {SSHA}gk/Q2Imacloss8Kobm6MvQF3MrHVZNnJ
# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbinddn cn=manager,dc=chrix,dc=lan
# The port.
# Optional: default is 389.
port 389
# The search scope.
#scope sub
#scope one
#scope base
# Search timelimit
#timelimit 30
# Bind/connect timelimit
#bind_timelimit 30
# Reconnect policy:
# hard_open: reconnect to DSA with exponential backoff if
# opening connection failed
# hard_init: reconnect to DSA with exponential backoff if
# initializing connection failed
# hard: alias for hard_open
# soft: return immediately on server failure
#bind_policy hard
# Idle timelimit; client will close connections
# (nss_ldap only) if the server has not been contacted
# for the number of seconds specified below.
#idle_timelimit 3600
# Pagesize: when configured with --enable-paged-results allow
# to set the pagesize to a custom value
#pagesize 1000
# Filter to AND with uid=%s
pam_filter objectclass=account
# The user ID attribute (defaults to uid)
pam_login_attribute uid
# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes
# Check the 'host' attribute for access control
# Default is no; if set to yes, and user has no
# value for the host attribute, and pam_ldap is
# configured for account management (authorization)
# then the user will not be allowed to login.
#pam_check_host_attr yes
# Check the 'authorizedService' attribute for access
# control
# Default is no; if set to yes, and the user has no
# value for the authorizedService attribute, and
# pam_ldap is configured for account management
# (authorization) then the user will not be allowed
# to login.
#pam_check_service_attr yes
# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com
# Group member attribute
#pam_member_attribute uniquemember
# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0
# Template login attribute, default template user
# (can be overriden by value of former attribute
# in user's entry)
#pam_login_attribute userPrincipalName
#pam_template_login_attribute uid
#pam_template_login nobody
# HEADS UP: the pam_crypt, pam_nds_passwd,
# and pam_ad_passwd options are no
# longer supported.
#
# If you are using XAD, you can set pam_password
# to racf, ad, or exop. Make sure that you have
# SSL enabled.
# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password clear
# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
pam_password crypt
# Remove old password first, then update in
# cleartext. Necessary for use with Novell
# Directory Services (NDS)
#pam_password nds
# RACF is an alias for the above. For use with
# IBM RACF
#pam_password racf
# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
pam_password ad
# Use the OpenLDAP password change
# extended operation to update the password.
#pam_password exop
# Redirect users to a URL or somesuch on password
# changes.
#pam_password_prohibit_message Please visit http://internal to change your password.
# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=Users,dc=chrix,dc=lan?one
nss_base_passwd ou=Computers,dc=chrix,dc=lan?one
nss_base_shadow ou=Users,dc=chrix,dc=lan?one
nss_base_group ou=Groups,dc=chrix,dc=lan?one
#nss_base_hosts ou=Hosts,dc=padl,dc=com?one
#nss_base_services ou=Services,dc=padl,dc=com?one
#nss_base_networks ou=Networks,dc=padl,dc=com?one
#nss_base_protocols ou=Protocols,dc=padl,dc=com?one
#nss_base_rpc ou=Rpc,dc=padl,dc=com?one
#nss_base_ethers ou=Ethers,dc=padl,dc=com?one
#nss_base_netmasks ou=Networks,dc=padl,dc=com?ne
#nss_base_bootparams ou=Ethers,dc=padl,dc=com?one
#nss_base_aliases ou=Aliases,dc=padl,dc=com?one
#nss_base_netgroup ou=Netgroup,dc=padl,dc=com?one
# attribute/objectclass mapping
# Syntax:
#nss_map_attribute rfc2307attribute mapped_attribute
#nss_map_objectclass rfc2307objectclassmapped_objectclass
# configure --enable-nds is no longer supported.
# NDS mappings
#nss_map_attribute uniqueMember member
# Services for UNIX 3.5 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount User
#nss_map_attribute uid msSFU30Name
#nss_map_attribute uniqueMember msSFU30PosixMember
#nss_map_attribute userPassword msSFU30Password
#nss_map_attribute homeDirectory msSFU30HomeDirectory
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFU30Name
#pam_filter objectclass=User
#pam_password ad
# configure --enable-mssfu-schema is no longer supported.
# Services for UNIX 2.0 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid msSFUName
#nss_map_attribute uniqueMember posixMember
#nss_map_attribute userPassword msSFUPassword
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup Group
#nss_map_attribute cn msSFUName
#pam_login_attribute msSFUName
#pam_filter objectclass=User
#pam_password ad
# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad
# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword
# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
pam_password md5
# For pre-RFC2307bis automount schema
#nss_map_objectclass automountMap nisMap
#nss_map_attribute automountMapName nisMapName
#nss_map_objectclass automount nisObject
#nss_map_attribute automountKey cn
#nss_map_attribute automountInformation nisMapEntry
# Netscape SDK LDAPS
#ssl on
# Netscape SDK SSL options
#sslpath /etc/ssl/certs/cert7.db
# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
ssl off
# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is to use libldap's default behavior, which can be configured in
# /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for
# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
#tls_checkpeer yes
# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
#tls_cacertfile /etc/ssl/ca.cert
#tls_cacertdir /etc/ssl/certs
# Seed the PRNG if /dev/urandom is not provided
#tls_randfile /var/run/egd-pool
# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1
# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key
# Disable SASL security layers. This is needed for AD.
#sasl_secprops maxssf=0
# Override the default Kerberos ticket cache location.
#krb5_ccname FILE:/etc/.ldapcache

[modifica] Configurare PAM

La Fedora core include un tool a riga di comando per la configurazione di PAM chiamato authconfig, gli utenti di altre distribuzioni possono usare il tool webmin, esiste un modulo perl per la configurazione di PAM. oppure quelli più esperti possono editare a mano il file di configurazione. Da shell digitare (per fedora core):

authconfig

e selezionare Use LDAP, Use MD5 Passwords, Use shadow Passwords e Use LDAP Authentication nelle impostazioni di LDAP, abilitare TLS, alla voce Server mettere l'indirizzo 127.0.0.1, e infine nella voce Base DN mettere i valori relativi alla vostra configurazione ad esempio: dc=miodominio,dc=com (sostituite “miodominio” e “com” con i valori che desiderate!)

Per Slackware:

spostarsi nella cartella /etc/pam.d

creare il file common-auth se già non esiste, e aggiungerci le seguenti righe:

#Autencicazione pam per ldap
auth    required    pam_env.so
auth    sufficient  pam_unix.so likeauth nullok shadow
auth    sufficient  pam_ldap.so use_first_pass
auth    required    pam_deny.so
#Account
account requisite  pam_unix.so
account sufficient pam_localuser.so
account required   pam_ldap.so
#Password
password    required pam_cracklib.so retry=3
password    sufficient pam_unix.so nullok use_authtok shadow md5
password    sufficient pam_ldap.so use_authtok use_first_pass
password    required pam_deny.so
#Session
session required    pam_limits.so
session required    pam_unix.so
session required    pam_mkhomedir.so skel=/etc/skel/ umask=0066
session optional    pam_ldap.so

ora configuare /etc/nsswitch.conf, perché possa usare ldap per autenticare gli utenti

passwd:         files ldap
group:          files ldap
shadow:         files ldap

[modifica] Avviare OpenLDAP

su Fedora:

/etc/init.d/ldap start

su Slackware:

/etc/rc.d/rc.ldap start

[modifica] Configurazione di Samba

Se non è già presente nel sistema, è possibile scaricarlo dal sito oppure prelevare la versione precompilata per la propria distribuzione nei repository.

Esempio di file /etc/samba/smb.conf completo da modificare a seconda della vostra configurazione (ad esempio cambiare il percorso da /opt/IDEALX a /var/lib/samba/... )

# Global parameters
[global]
workgroup = TUX-NET
netbios name = PDC-SRV
security = user
enable privileges = yes
server string = Samba Server %v
encrypt passwords = Yes
min passwd length = 3
unix password sync = Yes
passwd program = /var/lib/samba/sbin/smbldap-passwd -u %u
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
log level = 0
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = 850
Unix charset = ISO8859-1
logon drive = H:
logon home =
logon path =
domain logons = Yes
domain master = Yes
os level = 65
preferred master = Yes
wins support = yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=Manager,dc=chrix,dc=lan
ldap suffix = dc=chrix,dc=lan
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
add user script = /var/lib/samba/sbin/smbldap-useradd -m "%u"
delete user script = /var/lib/samba/sbin/smbldap-userdel "%u"
add machine script = /var/lib/samba/sbin/smbldap-useradd -t 0 -w "%u"
add group script = /var/lib/samba/sbin/smbldap-groupadd -p "%g"
delete group script = /var/lib/samba/sbin/smbldap-groupdel "%g"
add user to group script = /var/lib/samba/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /var/lib/samba/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /var/lib/samba/sbin/smbldap-usermod -g '%g' '%u'
# printers configuration
printer admin = @"Print Operators"
load printers = Yes
create mask = 0640
directory mask = 0750
nt acl support = No
printing = cups
printcap name = cups
deadtime = 10
guest account = nobody
map to guest = Bad User
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes
; to maintain capital letters in shortcuts in any of the profile folders:
preserve case = yes
short preserve case = yes
case sensitive = no
[netlogon]
path = /home/netlogon/
browseable = No
read only = yes
#lo script logon.py permette di montare automaticamente i dischi all'accesso verrà discusso più avanti
root preexec = /home/netlogon/logon.py %U %I
[finanze]
path = /home/finanze
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[ricerca]
path = /home/ricerca
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[amministrazione]
path = /home/amministrazione
force group = amministrazione
read only = no
create mask = 0770
directory mask = 0770
browsable = no
[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = yes
csc policy = disable
# next line is a great way to secure the profiles
#force user = %U
# next line allows administrator to access all profiles
#valid users = %U "Domain Admins"
[printers]
comment = Network Printers
printer admin = @"Print Operators"
guest ok = yes
printable = yes
path = /home/spool/
browseable = No
read only = Yes
printable = Yes
print command = /usr/bin/lpr -P%p -r %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
[print$]
path = /home/printers
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775

[modifica] Impostare la password per l'accesso al database LDAP

smbpasswd -w la_vostra_password

Dovreste avere una risposta simile a questa:

setting stored password for “cn=Manager,dc=chrix,dc=lan” in secrets.tdb

Esempio di script scritto in python per montare automaticamente le home degli utenti/gruppi dopo all'accesso al dominio, da modificare a seconda della vostra configurazione!

#!/usr/bin/env python
"""
ntlogon.py written by Timothy (rhacer) Grant
Copyright 1999 - 2002 by Timothy Grant
is distributed under the terms of the GNU Public License.
The format for the configuration file is as follows:
While there is some room for confusion, we attempt to process things in
order of specificity: Global first, Group second, User third, OS Type
forth. This order can be debated forever, but it seems to make the most
sense.
# Everything in the Global section applies to all users logging on to the
# network
[Global]
@ECHO "Welcome to our network!!!"
NET TIME \\\\servername /SET /YES
NET USE F: \\\\servername\\globalshare /YES
# Map the private user area in the global section so we don't have to
# create individual user entries for each user!
NET USE U: \\\\servername\\%U /YES
# Group entries, User entries and OS entries each start with the
# keyword followed by a dash followed by--appropriately enough the Group
# name, the User name, or the OS name.
[Group-admin]
@ECHO "Welcome administrators!"
NET USE G: \\\\servername\\adminshare1 /YES
NET USE I: \\\\servername\\adminshare2 /YES
[Group-peons]
@ECHO "Be grateful we let you use computers!"
NET USE G: \\\\servername\\peonshare1 /YES
[Group-hackers]
@ECHO "What can I do for you today great one?"
NET USE G: \\\\servername\\hackershare1 /YES
NET USE I: \\\\servername\\adminshare2 /YES
[User-fred]
@ECHO "Hello there Fred!"
NET USE F: \\\\servername\\fredsspecialshare /YES
[OS-WfWg]
@ECHO "Time to upgrade it?"
# End configuration file
usage: ntlogon [-g | --group=groupname]
[-u | --user=username]
[-o | --os=osname]
[-m | --machine=netbiosname]
[-f | --templatefile=filename]
[-d | --dir=netlogon directory]
[-v | --version]
[-h | --help]
[--pause]
[--debug]
"""
#
#" This quote mark is an artifact of the inability of my editor to
# correctly colour code anything after the triple-quoted docstring.
# if your editor does not have this flaw, feel free to remove it.
import sys
import getopt
import re
import string
import os
version = "ntlogon.py v0.8"
def buildScript(buf, sections, group, user, ostype, machine, debug, pause):
"""
buildScript() Takes the contents of the template file and builds
a DOS batch file to be executed as an NT logon script. It does this
by determining which sections of the configuration file should be included
and creating a list object that contains each line contained in each
included section. The list object is then returned to the calling
routine.
All comments (#) are removed. A REM is inserted to show
which section of the configuration file each line comes from.
We leave blanklines as they are sometimes useful for debugging
We also replace all of the Samba macros (e.g., %U, %G, %a, %m) with their
expanded versions which have been passed to us by smbd
"""
hdrstring = 
script = []
#
# These are the Samba macros that we currently know about.
# any user defined macros will also be added to this dictionary.
# We do not store the % sign as part of the macro name.
# The replace routine will prepend the % sign to all possible
# replacements.
#
macros = {
'U': user,
'G': group,
'a': ostype,
'm': machine
}
#
# Process each section defined in the list sections
#
for s in sections:
# print 'searching for: ' + s
idx = 0
while idx < len(buf):
    ln = buf[idx]
#
# We need to set up a regex for each possible section we
# know about. This is slightly complicated due to the fact
# that section headers contain user defined text.
#
if s == 'Global':
    hdrstring = '\[ *' + s + ' *\]'
elif s == 'Group':
    hdrstring = '\[ *' + s + ' *- *' + group + ' *\]'
elif s == 'User':
    hdrstring = '\[ *' + s + ' *- *' + user + ' *\]'
elif s == 'OS':
    hdrstring = '\[ *' + s + ' *- *' + ostype + ' *\]'
elif s == 'Machine':
    hdrstring = '\[ *' + s + ' *- *' + machine + ' *\]'
#
# See if we have found a section header
#
if re.search(r'(?i)' + hdrstring, ln):
    idx = idx + 1 # increment the counter to move to the next line.
    x = re.match(r'([^#\r\n]*)', ln) # Determine the section
# name and strip out CR/LF
# and comment information
if debug:
    print 'rem ' + x.group(1) + ' commands'
else:
# create the rem at the beginning of each section of the
# logon script.
    script.append('rem ' + x.group(1) + ' commands')
#
# process each line until we have found another section
# header
#
while not re.search(r'.*\[.*\].*', buf[idx]):
#
# strip comments and line endings
#
    x = re.match(r'([^#\r\n]*)', buf[idx])
if string.strip(x.group(1)) !=  :
# if there is still content after stripping comments and
# line endings then this is a line to process
    line = x.group(1)
#
# Check to see if this is a macro definition line
#
vardef = re.match(r'(.*)=(.*)', line)
if vardef:
    varname = string.strip(vardef.group(1)) # Strip leading and
    varsub = string.strip(vardef.group(2)) # and trailing spaces
if varname == :
    print "Error: No substition name specified line: %d" % idx
    sys.exit(1)
if varsub == :
    print "Error: No substitution text provided line: %d" % idx
    sys.exit(1)
if macros.has_key(varname):
    print "Warning: macro %s redefined line: %d" % (varname, idx)
    macros[varname] = varsub
    idx = idx + 1
    continue
#
# Replace all the macros that we currently
# know about.
#
# Iterate over the dictionary that contains all known
# macro substitutions.
#
# We test for a macro name by prepending % to each dictionary
# key.
#
for varname in macros.keys():
    line = re.sub(r'%' + varname + r'(\W)',
    macros[varname] + r'\1', line)
if debug:
    print line
if pause:
    print 'pause'
else:
    script.append(line)
    idx = idx + 1
if idx == len(buf):
    break # if we have reached the end of the file
# stop processing.
    idx = idx + 1 # increment the line counter
if debug:
    print 
else:
    script.append()
    return script

# End buildScript()
def run():
"""
run() everything starts here. The main routine reads the command line
arguments, opens and reads the configuration file.
"""
configfile = '/etc/ntlogon.conf' # Default configuration file
group =  # Default group
user =  # Default user
ostype =  # Default os
machine =  # Default machine type
outfile = 'logon.bat' # Default batch file name
# this file name WILL take on the form
# username.bat if a username is specified
debug = 0 # Default debugging mode
pause = 0 # Default pause mode
outdir = '/usr/local/samba/netlogon/' # Default netlogon directory
sections = ['Global', 'Machine', 'OS', 'Group', 'User'] # Currently supported
# configuration file
# sections
options, args = getopt.getopt(sys.argv[1:], 'd:f:g:ho:u:m:v',
['templatefile=',
'group=',
'help',
'os=',
'user=',
'machine=',
'dir=',
'version',
'pause',
'debug'])
#
# Process the command line arguments
#
for i in options:
# template file to process
    if (i[0] == '-f') or (i[0] == '--templatefile'):
        configfile = i[1]
# print 'configfile = ' + configfile
# define the group to be used
elif (i[0] == '-g') or (i[0] == '--group'):
    group = i[1]
# print 'group = ' + group
# define the os type
elif (i[0] == '-o') or (i[0] == '--os'):
    ostype = i[1]
# print 'os = ' + os
# define the user
elif (i[0] == '-u') or (i[0] == '--user'):
    user = i[1]
outfile = user + '.bat' # Setup the output file name
# print 'user = ' + user
# define the machine
elif (i[0] == '-m') or (i[0] == '--machine'):
    machine = i[1]
# define the netlogon directory
elif (i[0] == '-d') or (i[0] == '--dir'):
    outdir = i[1]
# print 'outdir = ' + outdir
# if we are asked to turn on debug info, do so.
elif (i[0] == '--debug'):
    debug = 1
# print 'debug = ' + debug
# if we are asked to turn on the automatic pause functionality, do so
elif (i[0] == '--pause'):
    pause = 1
# print 'pause = ' + pause
# if we are asked for the version number, print it.
elif (i[0] == '-v') or (i[0] == '--version'):
    print version
    sys.exit(0)
# if we are asked for help print the docstring.
elif (i[0] == '-h') or (i[0] == '--help'):
    print __doc__
    sys.exit(0)
#
# open the configuration file
#
try:
    iFile = open(configfile, 'r')
except IOError:
    print 'Unable to open configuration file: ' + configfile
    sys.exit(1)
#
# open the output file
#
if not debug:
    try:
        oFile = open(outdir + outfile, 'w')
    except IOError:
        print 'Unable to open logon script file: ' + outdir + outfile
        sys.exit(1)
    buf = iFile.readlines() # read in the entire configuration file
#
# call the script building routine
#
script = buildScript(buf, sections, group, user, ostype, machine, debug, pause)
#
# write out the script file
#
if not debug:
    for ln in script:
        oFile.write(ln + '\r\n')
    if pause:
        if string.strip(ln) != : # Because whitespace
            oFile.write('pause' + '\r\n') # is a useful tool, we
# don't put pauses after
# an empty line.
# End run()
#
# immediate-mode commands, for drag-and-drop or execfile() execution

if __name__ == '__main__':
    run()
else:
    print "Module ntlogon.py imported."
    print "To run, type: ntlogon.run()"
    print "To reload after changes to the source, type: reload(ntlogon)"
#
# End NTLogon.py
#

[modifica] Avviare Samba

su Fedora:

/etc/init.d/samba start

su Slackware:

/etc/rc.d/rc.samba start

[modifica] Inizializzazione del database di LDAP

Eseguire lo script configure.PL in /var/lib/samba/sbin ( o comunque dove avete scelto di salvarlo) poi popolare il database di ldap eseguendo lo script smbldap-populate per creare l'amminstratore del dominio, alcuni gruppi e vari altri elementi.

Creare i dischi condivisi e gli utenti per l'amministrazione di quelle condivisioni:

cd /var/lib/samba/sbin
./smbldap-groupadd ricerca
./smbldap-groupadd finanze
./smbldap-groupadd amministrazione
./smbldap-useradd -s /sbin/nologin -m -g ricerca ricerca
./smbldap-useradd -s /sbin/nologin -m -g finanze finanze
./smbldap-useradd -s /sbin/nologin -m -g amministrazione amministrazione

Aggiungere l'utente samba alla Directory con:

smbldap-useradd -s /bin/false -d /dev/null -P samba.

Impostare la password quando richiesta, nel file ldap.conf modificare il campo binddn con

uid=samba,ou=Users,dc=miodominio,dc=com e bindpw con la password di prima,

(cambaiate i parametri a seconda della vostra configurazione! io ho dc=chrix,dc=lan)

Dopo aver aggiunto alcuni utenti al sistema, potete aggiungere una workstation windows xp professional o windows 2000 al dominio.

Per semplicità potete usare un tool grafico come phpLdapAdmin per amministrare la Directory, Da shell, per aggiungere l'utente pippo al gruppo ricerca, la sintassi è la seguente:

smbldap-useradd -a -G “Domain Users”, ricerca pippo
smbldap-passwd pippo

Ora godetevi il vostro nuovo Directory Server! Soluzione meno costosa di RHEL... (Red Hat Enterprise Linux)

[modifica] Autore

è garantito il permesso di copiare e/o modifiacre questo documento secondo i termini della licenza per documentazione libera GNU v.1.1 o successiva pubblicata dalla Free Software Foundation.

autore: Chrix