Post

Controllori di dominio

In samba on gennaio 15, 2009 by poyblog Messo il tag: ,

Una delle caratteristiche peculiari dei controllori di dominio è quella di eliminare la ridondanza delle credenziali di autenticazione, infatti si occupano solo tali controllori della procedura di autenticazione.


Il vantaggio indubbio è che i terminali coinvolti nella autenticazione non devono mantenere un set di credenziali di rete, ma delegano tutto al server controllore di dominio.


Lo svantaggio è che se cade il controllore di dominio, nessuna macchina è in grado di visualizzare le risorse di rete.


In questo articolo evidenzierò alcuni dei passi principali da intraprendere per configurare samba e rendere un server Linux un PDC (Primary Domain Controller).


Samba 3.0 è in grado di replicare le funzionalità di un server Windows NT 4.0 su un server Linux, non è in grado però di implementare il protocollo di replicazione SAM (System Account Manager), ed in sostanza non è in grado di convivere con un altro DC Windows nel medesimo sistema.

Di seguito le cinque opzioni da impostare per rendere il nostro server un PDC. Ovviamente le opzioni sono da impostare nel solito smb.conf:

  • La sicurezza dell’utente deve essere impostata a user (security = user)

  • Deve essere abilitato il supporto per le password cifrate (encrypt password = yes)

  • Deve essere configurata una cartella netlogon, che è in grado di emulare il servizio NETLOGON dei controllori di dominio windows. Tale cartella deve essere leggibile da tutti, ma modificabile solo da un gruppo di livello amministrativo

  • Impostare il servizio di Domain Master Browser (domain master = yes)

  • Impostare il servizio di Logon (domain logon = yes)

In più anche se non è necessario e possibile impostare il nostro server perchè diventi sempre il server per la navigazione in rete, impostando le voci:

  • os level = 33

  • preferred master = yes

  • local master = yes

Ora è sufficiente riavviare i servizi smbd e nmbd. Per testare se il nostro server è correttamente un PDC utilizzare il comodo comando nmblookup:

  • nmblookup ‘nomedominio#1b’ ‘nomedominio#1c’

Come risposta dovremmo ottenere l’ip del server samba .

Tale controllo può anche essere effettuato sui file di log di samba

Dal punto di vista del file di configurazione di samba è tutto a posto, ma devono essere ancora compiuti tre passi fondamentali:

  • Recuperare il SID locale del server

  • Create un gruppo amministrativo che è in grado di gestire i permessi

  • Creare uno o più utenti in grado di eseguire le funzioni di:

  1. aggiungere una nuova macchina al dominio

  2. gestire gli utenti

  • Creare l’infrastruttura per gestire i pc

Fatte queste operazioni si può procedere ad aggiungere le macchine a dominio. Perchè l’aggiunta avvenga in automatico, senza bisogno di creare localmente l’utente che corrisponde al pc da aggiungere al dominio; si deve inserire una voce nella sezione globale del file smb.conf:

  • add machine script = /usr/local/useradd -g hosts -s /bin/false ‘%u’

Lo script è legato al sistema sottostante, in questo caso lo script non genererà problemi con sistemi come:

  • debian e simili (ubuntu)

  • Fedora e Red Hat

Oltre a queste raccomandazioni il gruppo hosts deve esistere. Ovviamente il nome può essere diverso.

E’ possibile inserire all’interno del file di configurazione di samba altri script che permettono di creare gruppi, utenti e di modificarne le proprietà.

Una nota importante, da pannello windows è possibile aggiungere una nuova macchina al dominio, ma non è possibile creare un nuovo utente, questo deve essere fatto direttamente dal sistema locale.

Una volta creato poi l’utente può essere modificato dagli strumenti di rete Windows, grazie ad operazioni prettamente di modifica.

Con alcune operazioni a livello del file di configurazione e del file system del server Samba è possibile sincronizzare anche il profilo dei pc client. Il profilo è tutto ciò che un un sistema windows si trova all’interno della cartella c: \Documents and Settings \nome utente.

Si deve creare innanzitutto la cartella sul server samba che deve ospitare il profilo. Tale cartella deve essere acceduta solo dall’utente proprietario del profilo. Nel file di configurazione va creata nella sezione globale la voce logon path, che punta alla risorsa di rete che contiene il profilo.

In più deve essere creata in samba tale risorsa di rete. Tale risorsa deve prendere il nome di profile$

(il dollaro la rende invisibile). Ecco di seguito le righe da aggiungere:


[global]

logon path = \\nomeServer\profile$\%U\%a

[profile$]

path = precorso dove si vuole inserire i profili

read only = no

inherit permissions = yes


Fatte queste poche modifiche è possibile salvare i profili sul server controllore di dominio.

Fino ad ora ho parlato solo di PDC. Nel caso in cui volessimo rendere il nostro server un BDC i passi da fare sono pochi ma essenziali:

  • nella sezione global creare le due voci:

  1. domain master = no

  2. domain logons = yes

  • Impostare il medesimo SID del server PDC

  • Copiare gruppi e utenti dal PDC

  • I contenti della cartella logon

1 commento

Una Risposta a “Controllori di dominio”

  1. GiBiLog » Blog Archive » Realizzare un domain controller con Samba gennaio 17, 2009 alle 1:12 pm | Replica

    [...] suo ottavo articolo della serie dedicata a Samba, Cesare ci spiega come configurare il nostro sistema in modo che funga [...]

Lascia un Commento

Fill in your details below or click an icon to log in:

Gravatar
Logo WordPress.com

You are commenting using your WordPress.com account. Log Out / Modifica )

Foto Twitter

You are commenting using your Twitter account. Log Out / Modifica )

Foto di Facebook

You are commenting using your Facebook account. Log Out / Modifica )

Annulla

Connecting to %s

« Back to Home
Iscriviti

Get every new post delivered to your Inbox.