Differences between revisions 1 and 2
Revision 1 as of 2008-01-24 13:08:45
Size: 3898
Editor: Kurgan
Comment:
Revision 2 as of 2008-01-24 13:26:06
Size: 4304
Editor: Kurgan
Comment:
Deletions are marked like this. Additions are marked like this.
Line 40: Line 40:


Dopo aver configurato Samba, occorre rendere il server membro del dominio, con il comando:
{{{
net rpc join -UAdministrator%password
}}}

Oppure, se occorre specificare il server che fa da primary domain controller:
{{{
net rpc join -S DOMPDC -UAdministrator%password
}}}

Oppure, per un dominio su windows 2000 / 2003 con Active Directory:
{{{
net ads join -UAdministrator%password
}}}

Samba come membro di un domino

Rendere Samba membro di un dominio non ho ancora capito se e` un'arte arcana oppure e` assai facile. Qui di seguito ci sono i miei appunti, che sono assai poco collaudati, e scritti in un momento in cui mi serviva una cosa che funziona subito senza capire perche` funzioni. Questo e` un approccio pessimo, da utente di windows, non certo da sistemista serio. Perdonatemi, cerchero` di fare meglio.

Configurazione senza winbindd

Questa e` la configurazione quick&dirty. Il server Samba autentica i propri utenti sul dominio, e se serve crea i relativi username su Linux. Questo sistema consente di:

  • Accedere agli share sul server samba membro del dominio usando username e password che sono contenuti nel domain controller per il dominio.
  • Avere le password sincronizzate (in realta` la password e` una sola, e` sempre sul domain controller) quindi quando l'utente cambia la password, il server samba che e` membro del domino e` accessibile con la nuova password.
  • Non dover aggiungere gli utenti in /etc/passwd a mano per gli utenti del dominio, samba li crea da solo la prima volta che questi accedono ad uno share sul server membro del dominio.

I limiti di questo sistema sono:

  • Gli utenti del dominio possono accedere a Samba sul server membro, ma non alla shell o ad altri servizi che si autenticano su passwd o su PAM, perche` Samba crea si` gli utenti locali, ma li crea con la password disabilitata e non li gestisce in alcun modo. E in ogni caso samba crea gli utenti locali che sono copia di quelli del dominio solo quando un utente accede per la prima volta agli share smb, e non dal momento in cui un utente esiste nel dominio.
  • Se esiste un utente locale con lo stesso username di uno del dominio (tipo che esiste su passwd un utente "pippo" e in seguito un altro utente "pippo" viene aggiunto al dominio) succede un casino: l'utente pippo del dominio viene confuso con l'utente pippo locale, quindi i due potranno vedere l'uno i files dell'altro, essendo in effetti per il file system di linux lo stesso utente. Ora, se i due sono davvero lo stesso utente, e` un vantaggio, ma se non lo sono, e` un casino.
  • Se si cancella un utente dal domain controller, questo non potra` piu` accedere nemmeno al server samba membro del dominio, tuttavia i suoi files, la sua home, e la sua entry in passwd del server membro resteranno li` per sempre, a meno che non vengano cancellati a mano. Si noti il punto precedente: se cancello un utente pippo dal dominio e un anno dopo ne aggiungo un altro che ha lo stesso username, esso si trovera` i files del vecchio pippo sul server e potra` leggerli, se non sono stati cancellati.
  • La gestione dei gruppi non e` allineata con il dominio, quindi eventuali gruppi con i relativi permessi di accesso sul file system vanno creati e gestiti interamente sulla macchina locale a livello di /etc/group. Il member server non ha idea di quali siano i gruppi sul domain controller e di quale utente appartenga a quale gruppo.

Per configurare Samba come member server occorre avere queste direttive in smb.conf (Se fate riferimento alla pagina ../ConfigDiBase, la sezione "Comandi relativi al dominio e al browsing" va tolta in toto e sostituita con la seguente) 

#Comandi relativi al dominio e al browsing
  workgroup = KURGAN
  server string = %h server (Samba %v)
  encrypt passwords = true
  passdb backend = tdbsam
  time server = Yes
  enable privileges = yes
  security = domain
  password server = *

Vale la pena di notare che la direttiva "add user script" andra` eventualmente adattata alle proprie esigenze per quanto riguarda i parametri di creazione degli utenti locali, quali umask, permessi della home directory, appartenenza ad un gruppo, eccetera, che influenzano poi i limiti di accesso degli utenti ai dati sul file system.

Dopo aver configurato Samba, occorre rendere il server membro del dominio, con il comando: 

net rpc join  -UAdministrator%password

Oppure, se occorre specificare il server che fa da primary domain controller: 

net rpc join -S DOMPDC -UAdministrator%password

Oppure, per un dominio su windows 2000 / 2003 con Active Directory: 

net ads join -UAdministrator%password

Samba/MemberServer (last edited 2015-08-11 12:54:57 by Kurgan)