Configurare client Windows

La filosofia principale di samba è:

E’ meglio insegnare ad un server come comunicare con i client che lasciare che siano i client a imparare.

Per una corretta configurazione di una rete LAN è bene tenere in considerazione che è possibile assegnare solo alcuni range di indirizzi:

10.0.0.1 ↔ 10.255.255.254

172.16.0.1 ↔ 172.31.255.254

192.168.0.1 ↔ 192.168.255.254

Tutti gli altri sono globali e non utilizzabili nelle reti interne.

E’ necessario il supporto NETBios sul protocollo TCP/IP quando:

• Si vuole accedere a pc con versioni di windows precedenti a windows 2000

• Si vuole utilizzare Samba come controllore di dominio

• Si vuole il supporto per la navigazione della rete

Sincronizzazione account locale windows con l’account unix del server Samba è possibile e consigliato in modo tale da dove affrontare solo una fase di autenticazione

Windwos xp Home non può entrare a far parte di un dominio, Windows Xp Professional sì. Windows Vista Home, in tutte le sue versioni, non può far parte di un dominio, mentre lo possono fare Windows Vista Business e Ultimate.

Installare Samba

In questo articolo, descriverò la procedura di installazione di samba.

Ormai quasi tutte le distribuzioni linux hanno dei pacchetti precompilati già pronti per l’installazione:

• Ubuntu: apt-get install samba
• Fedora: yum installl samba

Ovviamente su molti sistemi si può avere samba già installato di default. Per verificare se il demone è installato è sufficiente provare a cercare il demone smbd, se esiste ed è avviabile abbiamo un’installazione funzionante di samba, in caso contrario vale la pena reinstallare.

Informo i lettori che questo articolo non è completo, o meglio non è una guida esaustiva sull’installazione di samba, ma riguarda solo alcuni aspetti dell’installazione e della configurazione che mi sono sembrati degni di nota.

Comando utile per verificare dove è il file di configurazione smb.conf è:

smbd -b | grep CONFIGFILE

Samba può essere installato con il supporto per le ACL (Access Control List)

SWAT, è un tool web-based che aiuta l’utente nella fase di configurazione di samba. Tale servizio risponde sulla porta 901.

Creazione dell’utente e della password samba (le password sono cifrate):

smbpasswd -a username

Un comando utile per testare il file di configurazione è testparm:

tesparm -s path/to/smb.conf | more

Per testare se i demoni samba sono in esecuzione è utile il comando:

smbclient -L localhost -N

Samba parte introduttiva

Perchè lo faccio

In questo periodo per ragioni lavorative mi sto concentrando su Samba. Per chi non lo sapesse samba è uno strumento pensato per sistemi unix-like in grado far interagire pc linux windows e mac all’interno di una rete.

Dato che sto approfondendo lo strumento, leggendo il libro Using Samba, della O’Reilly 3a edizione, ho deciso di pubblicare i riassunti dei capitoli che sto consultando, sia per un uso strettamente personale sia per cercar di far nascere delle discussioni in merito e arricchire così la mia conoscenza e quella coloro che consulteranno i miei articoli.

Introduzione

Samba è una suite che permette a sistemi unix-based di apparire e funzionare come server Windows, quando vengono visualizzati da client Windows.
CIFS Common Internet File System, è il protocollo utilizzato dai sistemi microsoft per l’amministrazione remota e la condivisione di risorse in rete (come file e stampanti)
Samba implementa il protocollo CIFS, il quale non è altro che l’ultima variante della lunga stirpe dei dialetti SMB.
CIFS è un protocollo connection-oriented, basato su tre servizi:

1. name service
2. la capacità di inviare pacchetti (datagarm) a un singolo pc o a un gruppo
3. gestire una connessione di lungo periodo fra client e server

Samba è composto da tre demoni:

1. smbd gestisce le condivisioni e l’autenticazione
2. nmbd implementa un WINS server, e partecipa all’elezione dello stesso
3. winbind comunica con il controllore di dominio per fornire informazioni circa il gruppo di appartenenza, cui l’utente appartiene

WINS server tiene traccia delle associazioni nomi/indirizzi
Autenticazione, peer-to-peer versus dominio. Nel primo caso , gli utenti condividono le risorse del proprio pc con gli altri utenti della rete, nel secondo caso, si tratta di un gruppo di computer che comunicano tramite il protocollo CIFS, con l’aggiunta di un server in grado di mantenere le informazioni relative agli utenti ed ai gruppi che compongono il dominio . In poche parole un server di dominio deve essere in grado di verificare le credenziali degli utenti e di garantire i permessi appropriati. Dato che un controllore di dominio gestisce l’autenticazione per accedere alle risorse di rete, una volta che il server di dominio dovesse cadere le risorse di rete non sarebbero più disponibili. Ecco che nasce la necessita di create dei PDC (Primary Domain Controller) e dei BDC (Backup Domain Controller).
Cosa samba può fare e cosa no:

• File server → Si
• Printer server → Si
• Controllore di dominio → Si
• Autenticare sistemi Windows 95/98/Me → Si
• Autenticare sistemi Windwos 2000/XP → Si
• Server Wins primario → Si
• Server Wins secondario → No
• Active directory Domain controller → No
• Interagire con un controllore di dominio Windows nello stesso dominio → No

Corso wordpress

Tale articolo è stato realizzato dopo aver seguito un corso di 4 ore su wordpress. Mi è sembrato carino cominciare la serie di articoli che popoleranno il mio Blog, con una descrizione dello strumento che sto utilizzando.

Cosa è wordpress? semplicemente un CMS per la costruzione di blog, aggiungerei per la costruzione in modo molto semplice e veloce di un blog.

Continua a leggere »

patch libpam-mysql

Lo so, il titolo non è poi così comprensibile.

Partiamo da lontano:

in questi giorni sto configurando ed ottimizzando le funzionalità di un server di posta. Il server di posta è già in produzione e funziona degnamente.

Non sto a dilungarmi sulle modalità di installazione e configurazione, comunque il sistema operativo è ubuntu 8.04 server, con installato:

• postfix
• dovecot
• mysql come back-end di autenticazione degli utenti e dei domini
• clamav
• amavis
• postgrey
• spamassassin
• squirrelmail
• postfixadmin

Gli utenti ed i domini risiedono sul database mysql ed in particolare le password degli utenti vengono memorizzate con l’algoritmo MD5.

Per quanto riguarda servizi pop3, imap e la webmail stessa, l’autenticazione non da problemi, i dolori arrivano con l’autenticazione smtp.

Gli strumenti che utilizzo per l’autenticazione smtp sono:

• cyrus-sal
• pam

In particolare postfix delega al demone sasl la procedura di autenticazione e questa si appoggia alle librerie pam per la procedura vera e propria. Sostanzialemnte pam effettua una query sql per estrapolare nome utente e password e controllare le credenziali così ottenute con quelle inviate dal client di posta elettronica.

Pam, per interrogare il database mysql, sfrutta le librebrie libpam-mysql. Con questa metolodogia è possibile cifrare la password inviata in 4 modi, impostando il valore crypt:

• crypt(0) -> valore di default, password in chiaro
• crypt(1) -> valore cifrato con la funzione mysql crypt
• crypt(2) -> valore cifrato con la funzione mysql password
• crypt(3) -> valore cifrato con la funzione mysql md5 (la scelta adottata)

Tutto chiaro, ecco che la query da inserire nel file di configurazione di pam per l’autenticazione smtp:

auth required pam_mysql.so verbose=1 user=postfix passwd=password host=127.0.0.1 db=postfix table=mailbox usercolumn=username passwdcolumn=password crypt=3

La configurazione sembra a posto, ma la procedura di autenticazione fallisce inesorabilmente, ecco l’errore specifico da file di log pam (ottenuto aumentando la verbosità del log , con il paramentro Verbose=1) :

Jun 12 12:53:47 ubuntu saslauthd[6028]: pam_mysql – non-crypt()ish MD5
hash is not supported in this build.
Jun 12 12:53:47 ubuntu saslauthd[6028]: DEBUG: auth_pam:
pam_authenticate failed: Permission denied
Jun 12 12:53:47 ubuntu saslauthd[6028]: do_auth : auth failure:
[user=postmaster] [service=imap] [realm=] [mech=pam] [reason=PAM auth error]

Dopo varie ricerche in internet sono riuscito a scoprire che questo è un bug riconosciuto del pacchetto pam_mysql.

Per risolvere, l’unica soluzione ora attuabile è scaricarsi il sorgente di libpam_mysql e ricompilarlo a mano, effattuando delle opportune modifiche.

Ecco i passi da fare:

1. scaricare il sorgente da http://ftp.de.debian.org/debian/pool/main/p/pam-mysql/pam-mysql_0.6.2.orig.tar.gz
2. decomprimerlo e modificare le linea 109 del file Makefile.ini in questo modo:

   DEFS = @DEFS@ -I. -I$(srcdir) -I. -DHAVE_OPENSSL

3. installare i seguenti pacchetti di supporto, anche già compilati (

   libpam0g-dev, libmysqlclient15-dev, libssl-dev

   )

4. classica procedura di compilazione ->

   ./configure –prefix=/usr –with-openssl — make — make install

Finalmente viene generato il file lib_mysql.so corretto in /lib/security/pam, in modo tale che l’autenticazione con password md5 funziona senza ostacoli.

Fonti:

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=373834

http://packages.debian.org/sid/libpam-mysql

http://pam-mysql.sourceforge.net/Documentation/package-readme.php?seemore=y

WordPress, spunti dal corso

Oggi ho seguito un corso sull’utilizzo di wordpress e devo confessare che sono rimasto impressionato in modo molto positivo dalla potenza e semplicità dello strumento.

A breve pubblicherò una lista di concetti e facilitazioni sulla comprensione ed utilizzo di wordpress

Eccomi qua

Bene, stamani ho seguito un corso su wordpress ed eccomi quà.

Innanzitutto questo blog nasce come uno spazio in cui inserire degli appunti personali e delle esperienze lavorative.

Ho deciso di utilizzare wordpress per lasciare ciò che scrivo ed imparo a disposizione di tutti.

Speriamo bene!!