Samba-tool

Il comando samba-tool e` utile in cosi` tanti modi che ancora non ne ho scoperto l' uno percento. In ogni caso, qui sotto vedo di elencare i comandi che mi e` capitato di usare.

• Per impostare una password: samba-tool user setpassword username
• Per creare un utente al volo con un poco di parametri sensati: samba-tool user create <username> <password> --use-username-as-cn --script-path=logon.bat --given-name="<nome>" --surname="<cognome>"
• Altri comandi sono qui: https://wiki.samba.org/index.php/User_and_Group_management

Per verificare se le ACL di base (sia sui files che nel database AD) sono corrette, si possono usare questi comandi.

• Verifica dei files in "sysvol" (Se in seguito per esempio a un backup e restore le ACL estese sono corrotte, un passaggio di "sysvolreset" le sistema.)

  samba-tool ntacl sysvolcheck
  samba-tool ntacl sysvolreset

• Verifica delle ACL nel database AD (senza --fix verifica solo, con --fix aggiusta)

  samba-tool dbcheck --cross-ncs --reset-well-known-acls      --fix
  samba-tool dbcheck --cross-ncs                              --fix

Per gestire le ACL native di Windows sul file system di un file server Linux (posto che lo share abbia attivo il supporto per le ACL di Windows) possiamo usare samba-tool, il quale riporta davvero un sacco di informazioni. Possiamo anche modificarle ma non ne avrei il coraggio. Ecco un esempio:

samba-tool ntacl get /srv/documenti/share1

Questo comando mostra l'attuale policy per le password:

samba-tool domain passwordsettings show

Questi comandi disabilitano quasi tutte le policy di default rompicoglioni per le password, lasciando solo la lunghezza minima a 7 caratteri e la storia delle password pregresse:

samba-tool domain passwordsettings set --complexity=off
samba-tool domain passwordsettings set --history-length=0
samba-tool domain passwordsettings set --min-pwd-age=0
samba-tool domain passwordsettings set --max-pwd-age=0
samba-tool domain passwordsettings set --min-pwd-length=0

Si può fare un backup (e un restore) dello stato del DC (attenzione, se si fa un restore occorre avere un solo DC attivo altrimenti ne restoriamo uno e gli altri risulteranno totalmente fuori sincro). Sarebbe opportuno a mio avviso fare un backup ogni tanto, sai mai. Il backup offline può essere eseguito anche a DC acceso, non deve per forza essere fermo. La funzionalità di backup offline è stata introdotta di recente, le vecchie versioni di Samba supportano solo il modo online. Il vantaggio del modo offline è che non richiede di autenticarsi, lo svantaggio è che potrebbe backuppare senza errori un database danneggiato perché non fa alcuna analisi del contenuto.

I files di backup sono dei tar con un nome univoco che contiene anche la data del backup, quindi possiamo salvarne quanti ne vogliamo nella stessa directory e non si vanno a sovrascrivere. Piuttosto dovremo preoccuparci di cancellare i vecchi ogni tanto.

• Questo comando fa un backup "online" ovvero interroga il domain controller (in questo esempio "DC1"), enumera tutte le informazioni che sono oggetto di replica fra i DC, e le salva nella directory "targetdir" (richiede la password di administrator). In pratica non differisce molto da quello che fanno i DC quando si sincronizzano fra loro.

  samba-tool domain backup online --targetdir=/root/samba-backup --server=DC1 -UAdministrator

• Questo comando fa un backup "offline" ovvero copia fisicamente i vari database di Samba, anche se il DC è spento. Ovviamente deve essere eseguito sul DC dove ci sono i files stessi.

  samba-tool domain backup offline --targetdir=/root/samba-backup

Riferimento: https://wiki.samba.org/index.php/Transferring_and_Seizing_FSMO_Roles

Riferimento: https://wiki.samba.org/index.php/Flexible_Single-Master_Operations_(FSMO)_Roles#The_seven_FSMO_roles

• Per vedere quale DC detiene i ruoli, possiamo usare il comando:

  samba-tool fsmo show

• Per trasferire un ruolo ad un altro DC, suggerisco di leggere le pagine del wiki di Samba prima di fare cose avventate.