La configurazione di Openldap è completa ed è tempo di dedicare l’attenzione alla creazione della struttura logica del Primary Domain Controller attraverso le smbldap-tools.
Configurazione di smbldap-tools
Le utility presenti nel pacchetto smbldap-tools fanno riferimento ai parametri impostati in due file che andranno copiati nella directory /etc/smbldap-tools :
$ cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/ $ zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf |
Il primo file andrà compilato con le informazioni di accesso al direttorio LDAP :
slaveDN="cn=admin,dc=testlan,dc=local" slavePw="passwordsegreta" masterDN="cn=admin,dc=testlan,dc=local" masterPw="passwordsegreta" |
Essendo le password digitate in chiaro, il file andrà protetto, proibendo l’accesso in lettura e scrittura da chiunque non sia root :
$ chmod 600 /etc/smbldap-tools/smbldap_bind.conf |
All’interno del secondo file andranno indicate le informazioni relative al dominio che le utility andranno ad amministrare.
Essenziale nella compilazione del file è il reperimento del SID, acronimo che significa Security ID (Identificativo di sicurezza), ossia una chiave che identifica univocamente i
l dominio amministrato da SAMBA :
$ net getlocalsid SID for domain PDC is: S-1-5-21-3200784789-215075224-1452583727 |
Questo dato andrà inserito nel file di configurazione alla voce relativa insieme al nome del dominio che sceglieremo, nel nostro caso come per il suffisso sarà TESTLAN.LOCAL :
SID="S-1-5-21-3200784789-215075224-1452583727" sambaDomain="TESTLAN.LOCAL" |
lasciando il default per quanto indicato negli IP in ascolto e nelle relative porte, andrà modificato il parametro relativo ai certificati di sicurezza, che non utilizzeremo :
ldapTLS="0" |
andranno poi indicati il suffisso del dominio LDAP ed il nome del dominio SAMBA nei parametri suffix e sambaUnixIdPooldn :
suffix="dc=testlan,dc=local"
sambaUnixIdPooldn="sambaDomainName=TESTLAN.LOCAL,${suffix}" |
Ed infine i dati relativi ai Roaming Profiles. Il Roaming Profile (letteralmente Profilo Vagante) è utilizzato per preservare la configurazione dell’utente (le impostazioni del desktop, lo sfondo, etc) e permette a quest’ultimo di avere il medesimo ambiente in qualsiasi computer effettuerà un login.
Ad occuparsi della memorizzazione lato server di questi dati ci sarà SAMBA, attraverso la configurazione che vedremo più avanti. I dati che interessano i roaming profile nel file di configurazione sono i seguenti :
userSmbHome="\PDC%U" userProfile="\PDCprofiles%U" userHomeDrive="H:" userScript="logon.bat" |
come si può notare vengono indicati la cartella home utente, la cartella relativa al nome del profilo, il nome dell’unità con cui la cartella verrà mappata in locale sui client Microsoft Windows ed il nome dello script che verrà eseguito ad ogni login (che salvo esigenze particolari, può essere vuoto).
Terminata la modifica del file si può procedere con il popolamento dell’alberatura LDAP secondo lo schema proprio dei PDC Microsoft attraverso lo script smbldap-populate, al quale verrà passato il parametro -k che indicherà l’ID da associare all’amministratore del direttorio, cioè 0, l’id di root nei sistemi Linux ed il parametro -a che specificherà il nome dell’utenza amministratrice che verrà settata seguendo lo standard dei PDC Microsoft Windows ad Administrator :
smbldap-populate -a Administrator -k 0 Populating LDAP directory for domain TESTLAN.LOCAL (S-1-5-21-3200784789-215075224-1452583727) (using builtin directory structure) entry dc=testlan,dc=local already exist. adding new entry: ou=Users,dc=testlan,dc=local adding new entry: ou=Groups,dc=testlan,dc=local adding new entry: ou=Computers,dc=testlan,dc=local adding new entry: ou=Idmap,dc=testlan,dc=local adding new entry: uid=Administrator,ou=Users,dc=testlan,dc=local adding new entry: uid=nobody,ou=Users,dc=testlan,dc=local adding new entry: cn=Domain Admins,ou=Groups,dc=testlan,dc=local adding new entry: cn=Domain Users,ou=Groups,dc=testlan,dc=local adding new entry: cn=Domain Guests,ou=Groups,dc=testlan,dc=local adding new entry: cn=Domain Computers,ou=Groups,dc=testlan,dc=local adding new entry: cn=Administrators,ou=Groups,dc=testlan,dc=local adding new entry: cn=Account Operators,ou=Groups,dc=testlan,dc=local adding new entry: cn=Print Operators,ou=Groups,dc=testlan,dc=local adding new entry: cn=Backup Operators,ou=Groups,dc=testlan,dc=local adding new entry: cn=Replicators,ou=Groups,dc=testlan,dc=local adding new entry: sambaDomainName=TESTLAN.LOCAL,dc=testlan,dc=local Please provide a password for the domain Administrator: Changing UNIX and samba passwords for Administrator New password: Retype new password: |
Una volta digitata la password richiesta per l’utente Administrator, che come vedremo in seguito risulterà essenziale per aggiungere client Microsoft Windows al dominio, la creazione dell’alberatura sarà completa.
Nel prossimo articolo verrà descritta l’installazione del pacchetto libnss-ldap che interfaccerà il sistema con il direttorio Openldap appena creato.
La serie comprende questi articoli :
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (1 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (2 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (3 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (4 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (5 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (6 di 6)
Nota :
Questo articolo è originariamente apparso su Tux Journal nel Febbraio 2008.
