La configurazione di Openldap è completa ed è tempo di dedicare l’attenzione alla creazione della struttura logica del Primary Domain Controller attraverso le smbldap-tools.

Configurazione di smbldap-tools

Le utility presenti nel pacchetto smbldap-tools fanno riferimento ai parametri impostati in due file che andranno copiati nella directory /etc/smbldap-tools :

$ cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/
$ zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

Il primo file andrà compilato con le informazioni di accesso al direttorio LDAP :

slaveDN="cn=admin,dc=testlan,dc=local"
slavePw="passwordsegreta"
masterDN="cn=admin,dc=testlan,dc=local"
masterPw="passwordsegreta"

Essendo le password digitate in chiaro, il file andrà protetto, proibendo l’accesso in lettura e scrittura da chiunque non sia root :

$ chmod 600 /etc/smbldap-tools/smbldap_bind.conf

All’interno del secondo file andranno indicate le informazioni relative al dominio che le utility andranno ad amministrare.
Essenziale nella compilazione del file è il reperimento del SID, acronimo che significa Security ID (Identificativo di sicurezza), ossia una chiave che identifica univocamente i
l dominio amministrato da SAMBA :

$ net getlocalsid
SID for domain PDC is: S-1-5-21-3200784789-215075224-1452583727

Questo dato andrà inserito nel file di configurazione alla voce relativa insieme al nome del dominio che sceglieremo, nel nostro caso come per il suffisso sarà TESTLAN.LOCAL :

SID="S-1-5-21-3200784789-215075224-1452583727"
sambaDomain="TESTLAN.LOCAL"

lasciando il default per quanto indicato negli IP in ascolto e nelle relative porte, andrà modificato il parametro relativo ai certificati di sicurezza, che non utilizzeremo :

ldapTLS="0"

andranno poi indicati il suffisso del dominio LDAP ed il nome del dominio SAMBA nei parametri suffix e sambaUnixIdPooldn :

suffix="dc=testlan,dc=local"
sambaUnixIdPooldn="sambaDomainName=TESTLAN.LOCAL,${suffix}"

Ed infine i dati relativi ai Roaming Profiles. Il Roaming Profile (letteralmente Profilo Vagante) è utilizzato per preservare la configurazione dell’utente (le impostazioni del desktop, lo sfondo, etc) e permette a quest’ultimo di avere il medesimo ambiente in qualsiasi computer effettuerà un login.
Ad occuparsi della memorizzazione lato server di questi dati ci sarà SAMBA, attraverso la configurazione che vedremo più avanti. I dati che interessano i roaming profile nel file di configurazione sono i seguenti :

userSmbHome="\PDC%U"
userProfile="\PDCprofiles%U"
userHomeDrive="H:"
userScript="logon.bat"

come si può notare vengono indicati la cartella home utente, la cartella relativa al nome del profilo, il nome dell’unità con cui la cartella verrà mappata in locale sui client Microsoft Windows ed il nome dello script che verrà eseguito ad ogni login (che salvo esigenze particolari, può essere vuoto).

Terminata la modifica del file si può procedere con il popolamento dell’alberatura LDAP secondo lo schema proprio dei PDC Microsoft attraverso lo script smbldap-populate, al quale verrà passato il parametro -k che indicherà l’ID da associare all’amministratore del direttorio, cioè 0, l’id di root nei sistemi Linux ed il parametro -a che specificherà il nome dell’utenza amministratrice che verrà settata seguendo lo standard dei PDC Microsoft Windows ad Administrator :

smbldap-populate -a Administrator -k 0
Populating LDAP directory for domain TESTLAN.LOCAL (S-1-5-21-3200784789-215075224-1452583727)
(using builtin directory structure)

entry dc=testlan,dc=local already exist.
adding new entry: ou=Users,dc=testlan,dc=local
adding new entry: ou=Groups,dc=testlan,dc=local
adding new entry: ou=Computers,dc=testlan,dc=local
adding new entry: ou=Idmap,dc=testlan,dc=local
adding new entry: uid=Administrator,ou=Users,dc=testlan,dc=local
adding new entry: uid=nobody,ou=Users,dc=testlan,dc=local
adding new entry: cn=Domain Admins,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Domain Users,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Domain Guests,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Domain Computers,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Administrators,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Account Operators,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Print Operators,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Backup Operators,ou=Groups,dc=testlan,dc=local
adding new entry: cn=Replicators,ou=Groups,dc=testlan,dc=local
adding new entry: sambaDomainName=TESTLAN.LOCAL,dc=testlan,dc=local

Please provide a password for the domain Administrator:
Changing UNIX and samba passwords for Administrator
New password:
Retype new password:

Una volta digitata la password richiesta per l’utente Administrator, che come vedremo in seguito risulterà essenziale per aggiungere client Microsoft Windows al dominio, la creazione dell’alberatura sarà completa.

Nel prossimo articolo verrà descritta l’installazione del pacchetto libnss-ldap che interfaccerà il sistema con il direttorio Openldap appena creato.

La serie comprende questi articoli :

Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (1 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (2 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (3 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (4 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (5 di 6)
Realizzare un Primary Domain Controller con SAMBA, Openldap e smbldap-tools : (6 di 6)

Nota :

Questo articolo è originariamente apparso su Tux Journal nel Febbraio 2008.