= Creazione di uno share di tipo home =

== DOCUMENTO PRELIMINARE INCOMPLETO ==

Riferimento: https://wiki.samba.org/index.php/User_Home_Folders

Lo scopo e` quello di avere degli share privati per i vari utenti, compatibili con il metodo usato di recente in Windows. Il nome dello share, "users", e` quello che usa windows di default e lo voglio mantenere. Gli share degli utenti saranno visibili sotto lo share "users" in una directory con il nome dell'utente, accessibile ovviamente solo all'utente.


 * Prima di tutto, configurare lo share in Samba:
 {{{
[users]
         path = /home/%D/
         read only = No
         map acl inherit = yes
         #store dos attributes = yes # solo su samba di versione precedente alla 4.9.0
}}}
 * Creare il percorso di base delle home, in questo caso e` {{{/home/NOME_DOMINIO}}}, quindi diciamo {{{/home/MBUTI}}}.
 * Ricaricare samba con il comando 
 {{{
smbcontrol all reload-config
}}}
 * Configurare i permessi minimi per permettere agli amminstratori di gestire lo share da windows. Qui uso "domain admins" ma se avete dato il permesso {{{SeDiskOperatorPrivilege}}} a qualcun altro potete usare questo qualcun altro:
 {{{
mkdir /home/NOMEDOMINIO
chown root."domain admins" /home/NOMEDOMINIO
}}}
 * Attenzione: i permessi di tutto l'albero di directory precedente devono contenere rx per tutti, ovvero "other" deve avere "rx" se (come è logico) il path precedente è di "root.root". Se i permessi dell'albero precedente non permettono "rx" a tutti, probabilmente succede che i vari gruppi e account speciali di Samba (di Windows, a dire il vero) non hanno accesso, e nemmeno il gruppo "domain users" ce l'ha. Il risultato è che riceverete errori mentre cercate di impostare i permessi da windows, e che gli utenti non accedereanno alle loro home. L'errore che ho ricevuto io è questo: 
 {{{
Il criterio di controllo corrente per il computer specificato non ha attivato il controllo. Se il criterio di protezione dei computer proviene dal dominio, chiedere a un amministratore di dominio di attivare l' Editor criteri di gruppo. In caso contrario, utilizzare l' Editor criteri del computer locale per configurare i criteri di controllo del computer localmente.
}}} 
 '''Io spero che ci sia una giustizia divina per chi scrive simili messaggi di errore'''
== Configurazione dei permessi da Windows ==

Da un client windows, modificare i permessi dello share home appena creato.

 * Eseguire "Gestione Computer"
 * Connettersi a un altro computer, e selezionare il server samba
 * Espandere "Utilità di sistema" / "Cartelle condivise"
 * Andare alle proprieta` del nuovo share "users" (basta farci doppio click sopra)
 * Cliccare sul tab "Autorizzazioni condivisione" e modificare le autorizzazzioni come segue:
  * Aggiungere "domain users" con autorizzazione modifica e lettura
  * Aggiungere "domain admins" con autorizzazione "controllo completo", "modifica", "lettura"
  * Togliere "everyone"
 * Cliccare sul tab "sicurezza"
  * Cliccare "avanzate" e poi "cambia autorizzazioni"
  * Se siete in windows 7, togliere il check da "Includi autorizzazioni ereditabili ..." 
  * Se siete in windows 10, cliccate il bottone "Disabilita ereditarietà"
 * Rimanendo dentro alle impostazioni avanzate, modificare i permessi in modo da ottenere questa impostazione:
   * Domain Admins: controllo completo / "la cartella selezionata, le sottocartelle e i files"
   * CREATOR OWNER: controllo completo / "solo sottocartelle e files" (questo c'era gia` e lo lasciamo)
   * Domain users: Lettura ed esecuzione / "solo la cartella selezionata"
 * Nota: la colonna "ereditato da" deve contenere "NESSUNA" in tutte le righe.




== Configurazione degli utenti ==

Di default gli utenti non hanno una home definita, ne` un mapping della stessa.

Il mapping puo` essere definito da Linux usando pdbedit, o da Windows usando il gestore utenti. Se lo si fa da Windows, e` possibile farlo anche selezionando utenti multipli, il che rende molto piu` veloce l'operazione. Facendo il mapping da Windows, vengono anche generate automaticamente le directory dei singoli utenti sotto a {{{/home/MBUTI}}}.

 * Aprire "Utenti e computer di Active Directory"
 * Selezionare uno o piu` utenti
 * Cliccare destro, e scegliere "proprieta`"
 * Selezionare il tab "profilo"
 * Selezionare il box "Home directory", poi "Connetti", e selezionare un disco che vogliamo mappare come home
 * Inserire il percorso SMB della home, nella forma {{{\\server\users\%USERNAME%}}}, quindi nel nostro caso per esempio e` {{{\\samba4\users\%USERNAME%}}}. Usando la variabile %USERNAME%  mi risparmio di indicare il nome utente di ogni utente singolarmente.

A questo punto puo` essere che, se vi sono alcune home gia` create, Windows vi segnali un errore perche` non puo` crearla. Questo non e` un problema.


== Test ==

 * Ogni utente dovrebbe mappare automaticamente la sua home al login
 * Andando a mano sullo share "\\server\home" si dovrebbero vedere le home di tutti gli utenti.
  * Come Administrator, posso entrare nella home di chiunque
  * Come utente normale, non posso accedere alle home degli altri
 * (opzionale) entrando in ssh sulla macchina con uno username di Samba, posso accedere alla mia home correttamente.