La Knowledge Base di Kurgan (2.0)

User Tools

Site Tools

Trace: debian_7 policy configad pam-winbind configad-old
samba:migrazionedominio

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		Previous revision
samba:migrazionedominio [2025/09/20 12:51] – created - external edit 127.0.0.1samba:migrazionedominio [2025/09/21 18:49] (current) – [Cose utili da sapere] kurgan
Line 3: Line 3:
 ==== Scopo dell'operazione ==== ==== Scopo dell'operazione ====
  
-Migrare un dominio da NT4 a samba3, tenendo buoni gli utenti e gli account delle workstation. I gruppi vanno modificati e quindi non e` importante tenerli. +Migrare un dominio da NT4 a samba3, tenendo buoni gli utenti e gli account delle workstation. I gruppi vanno modificati e quindi non e` importante tenerli.
  
 ==== Stato della rete prima dell'operazione ==== ==== Stato della rete prima dell'operazione ====
Line 35: Line 35:
   * Le stampanti condivise sono gia` presenti sul server Linux, e vanno mantenute.   * Le stampanti condivise sono gia` presenti sul server Linux, e vanno mantenute.
   * La funzione di server WINS deve passare dall' NT al Samba al momento della migrazione.   * La funzione di server WINS deve passare dall' NT al Samba al momento della migrazione.
- 
  
 ---- ----
  
 ===== Operazioni da eseguire per migrare ===== ===== Operazioni da eseguire per migrare =====
 +
 Di seguito sono indicate le operazioni da eseguire in sequenza nel momento in cui si effettua la migrazione. Di seguito sono indicate le operazioni da eseguire in sequenza nel momento in cui si effettua la migrazione.
  
 ==== Backup configurazioni Linux ==== ==== Backup configurazioni Linux ====
 +
   * Copiare /etc/passwd, /etc/group, /etc/shadow, e tutti i files di /var/lib/samba da qualche parte.   * Copiare /etc/passwd, /etc/group, /etc/shadow, e tutti i files di /var/lib/samba da qualche parte.
   * Copiare i files in /var/spool/samba da qualche parte.   * Copiare i files in /var/spool/samba da qualche parte.
  
 ==== Esecuzione del "vampire" ==== ==== Esecuzione del "vampire" ====
 +
 **ATTENZIONE:** dal momento che si joina il dominio come BDC, i client cominciano a chiedere al BDC di autenticare, quindi siccome stiamo ancora migrando le configurazioni di fatto i client ricevono risposte farlocche che pero` considerano valide! In questa fase la rete deve essere ferma. **ATTENZIONE:** dal momento che si joina il dominio come BDC, i client cominciano a chiedere al BDC di autenticare, quindi siccome stiamo ancora migrando le configurazioni di fatto i client ricevono risposte farlocche che pero` considerano valide! In questa fase la rete deve essere ferma.
  
Line 54: Line 56:
     * creare il gruppo ntadmins     * creare il gruppo ntadmins
     * usare i comandi ''net groupmap modify'' per mappare almeno i tre succitati gruppi.     * usare i comandi ''net groupmap modify'' per mappare almeno i tre succitati gruppi.
 +
 L'esempio di seguito effettua entrambe le operazioni sopra descritte. L'esempio di seguito effettua entrambe le operazioni sopra descritte.
-<code>+ 
 +<code ->
 adduser ntadmins adduser ntadmins
 net groupmap modify ntgroup="Domain Guests" unixgroup=nogroup net groupmap modify ntgroup="Domain Guests" unixgroup=nogroup
Line 70: Line 74:
     * Volendo, usare il comando ''net rpc samdump -S sntgiepr01 -W GIEPR -UAdministrator%password > filename'' per dumpare su un file tutti i dati degli utenti e gruppi del server NT. Non e` necessario, ma aiuta poi a capire cosa c'e` che non va, nel caso.     * Volendo, usare il comando ''net rpc samdump -S sntgiepr01 -W GIEPR -UAdministrator%password > filename'' per dumpare su un file tutti i dati degli utenti e gruppi del server NT. Non e` necessario, ma aiuta poi a capire cosa c'e` che non va, nel caso.
     * Operazioni di pulizia dei gruppi (probabilmente inutili)     * Operazioni di pulizia dei gruppi (probabilmente inutili)
-      * Fermare samba, rinominare il file {{{/var/lib/samba/group_mapping.tdb}}}, eseguire ''net groupmap list'' per verificare se i gruppi sono tutti non mappati+      * Fermare samba, rinominare il file ''/var/lib/samba/group_mapping.tdb'', eseguire ''net groupmap list'' per verificare se i gruppi sono tutti non mappati
       * Rieseguire la mappatura di base dei gruppi. Notare se i SID dei gruppi contengono i valori propri del dominio NT che stiamo migrando.       * Rieseguire la mappatura di base dei gruppi. Notare se i SID dei gruppi contengono i valori propri del dominio NT che stiamo migrando.
     * usare il comando ''net rpc vampire -S oldnt4pdc -U Administrator%password > vam.log 2>errori_vamp.log'' per vampirare loggando stdout e stderr.     * usare il comando ''net rpc vampire -S oldnt4pdc -U Administrator%password > vam.log 2>errori_vamp.log'' per vampirare loggando stdout e stderr.
Line 81: Line 85:
  
 Nota che gli account di macchina vengono messi dentro al GID 513 (domain users) anziche` 514 (domain guests) come fa Linux se joini le macchine al dominio. La cosa non dovrebbe provocare casino, pero`, quindi li lasciamo cosi` a meno che non abbiamo tempo da perdere. Nota che gli account di macchina vengono messi dentro al GID 513 (domain users) anziche` 514 (domain guests) come fa Linux se joini le macchine al dominio. La cosa non dovrebbe provocare casino, pero`, quindi li lasciamo cosi` a meno che non abbiamo tempo da perdere.
- 
  
 ==== Promozione di Linux a PDC dopo il vampire ==== ==== Promozione di Linux a PDC dopo il vampire ====
Line 103: Line 106:
     * Pulire il group mapping di samba a colpi di ''net groupmap delete ntgroup="nome gruppo"'' eliminando tutti i gruppi vecchi che sono stati migrati ma non ci servono.     * Pulire il group mapping di samba a colpi di ''net groupmap delete ntgroup="nome gruppo"'' eliminando tutti i gruppi vecchi che sono stati migrati ma non ci servono.
     * Aggiungere i gruppi nuovi con ''net groupmap add ntgroup="groupname" unixgroup=groupname type=d'' (non credo che serva, dal momento che non c'e` nulla da mappare se i nomi dei gruppi sono uguali fra Linux e Windows)     * Aggiungere i gruppi nuovi con ''net groupmap add ntgroup="groupname" unixgroup=groupname type=d'' (non credo che serva, dal momento che non c'e` nulla da mappare se i nomi dei gruppi sono uguali fra Linux e Windows)
-  * Modificare smb.conf mettendo {{{domain master=yes}}} {{{wins support = yes}}}, e levando ''wins server = 10.0.0.251''+  * Modificare smb.conf mettendo ''domain master=yes'' ''wins support = yes'', e levando ''wins server = 10.0.0.251''
   * Modificare il server DHCP per riflettere la modifica al WINS SERVER.   * Modificare il server DHCP per riflettere la modifica al WINS SERVER.
   * Lanciare samba   * Lanciare samba
Line 109: Line 112:
     * usare pdbedit o smbpasswd per segare "administrator"     * usare pdbedit o smbpasswd per segare "administrator"
     * usare pdbedit per dare all'utente root un user SID che finisca in "500", il che lo identifica come amministratore primario del dominio. (il SID che finisce in 500 e` proprio dell'utente administrator di NT)     * usare pdbedit per dare all'utente root un user SID che finisca in "500", il che lo identifica come amministratore primario del dominio. (il SID che finisce in 500 e` proprio dell'utente administrator di NT)
- 
  
 ==== Test del nuovo PDC ==== ==== Test del nuovo PDC ====
Line 118: Line 120:
   * dal client eseguire qualche ''net user <username> /domain'' per vedere se i dati dell'utente (e la mappatura dei gruppi) vengono letti bene dal nuovo PDC.   * dal client eseguire qualche ''net user <username> /domain'' per vedere se i dati dell'utente (e la mappatura dei gruppi) vengono letti bene dal nuovo PDC.
   * provare a joinare un nuovo client al dominio e vedere se funziona.   * provare a joinare un nuovo client al dominio e vedere se funziona.
- 
  
 ---- ----
Line 127: Line 128:
  
 I comandi sono i seguenti: I comandi sono i seguenti:
-<code>+ 
 +<code ->
 $ pdbedit -e xml:filename (per esportare sul file "filename") $ pdbedit -e xml:filename (per esportare sul file "filename")
 $ pdbedit -i xml:filename (per importare) $ pdbedit -i xml:filename (per importare)
 </code> </code>
  
-NOTA: occorre avere installato (cioe` presente) il plug-in XML per pdbedit, il quale non fa parte di nessuna distro samba per Debian. Il workaround molto sporco e` stato prendere quello della Suse 9 della versione di Samba corrispondente con quella che uso. Detto file va messo in {{{/usr/lib/samba/pdb/xml.so}}}, ed e` disponibile per Samba 3.0.14a qui: [[attachment:xml.so]]. Occorre anche installare il pacchetto ''libxml2''+NOTA: occorre avere installato (cioe` presente) il plug-in XML per pdbedit, il quale non fa parte di nessuna distro samba per Debian. Il workaround molto sporco e` stato prendere quello della Suse 9 della versione di Samba corrispondente con quella che uso. Detto file va messo in ''/usr/lib/samba/pdb/xml.so'', ed e` disponibile per Samba 3.0.14a qui: {{ :samba:migrazionedominio:xml.so |}}. Occorre anche installare il pacchetto ''libxml2''
  
 Per verificare che cosa viene registrato nel wins, nel caso in cui i client dovessero avere difficolta` a trovare il PDC, e` utile leggere (volendo editare anche) il file ''/var/lib/samba/wins.dat'' che e` in testo. il PDC ha come nome netbios una stringa composta dal nome del dominio seguita dal carattere "1B" hex. Per verificare che cosa viene registrato nel wins, nel caso in cui i client dovessero avere difficolta` a trovare il PDC, e` utile leggere (volendo editare anche) il file ''/var/lib/samba/wins.dat'' che e` in testo. il PDC ha come nome netbios una stringa composta dal nome del dominio seguita dal carattere "1B" hex.
 +
  
samba/migrazionedominio.1758372660.txt.gz · Last modified: by 127.0.0.1