Benché non possa funzionare come un controller di dominio primario (PDC) Active Directory, un server Samba può essere configurato per apparire come un controller di dominio in stile Windows NT4. Uno dei vantaggi di questa configurazione consiste nell'abilità di centralizzare le credenziali di utenti e computer, inoltre, Samba può utilizzare diversi backend per archiviare le informazioni.
Questa sezione spiega come configurare Samba come controller di dominio primario (PDC) usando il backend predefinito «smbpasswd».
Per prima cosa, installare Samba e libpam-smbpass per sincronizzare gli account utente digitando quanto segue in un terminale:
sudo apt-get install samba libpam-smbpass
Configurare Samba modificando il file /etc/samba/smb.conf
. La variabile security dovrebbe essere impostata a user e il workgroup dovrebbe essere relativo alla propria organizzazione.
workgroup = ESEMPIO ... security = user
Nelle sezione «Domains» aggiungere o togliere il commento a quanto segue:
domain logons = yes logon path = \\%N\%U\profile logon drive = H: logon home = \\%N\%U logon script = logon.cmd add machine script = sudo /usr/sbin/useradd -N -g machines -c Machine -d /var/lib/samba -s /bin/false %u
![]() |
|
Per non usare i profili roaming, non togliere il commento alle opzioni logon home e logon path. |
domain logons: fornisce il servizio netlogon facendo in modo che Samba si comporti come un controller di dominio.
logon path: posiziona il profilo degli utenti Windows all'interno della loro directory home. È possibile anche configurare una condivisione [profiles] posizionando tutti i profili all'interno di una sola directory.
logon drive: specifica il percorso locale della directory home.
logon home: specifica la posizione della directory home.
logon script: determina quale script eseguire localmente una volta che un utente ha eseguito l'accesso. Lo script deve essere all'interno della condivisione [netlogon].
add machine script: uno script che crea automaticamente lo Machine Trust Account necessario per accedere al dominio.
In questo esempio il gruppo machines deve essere creato usando l'utilità addgroup. Per maggiori informazioni, consultare la sezione chiamata «Aggiungere e rimuovere utenti».
Togliere il commento alla condivisione [homes] per consentire la mappatura di logon home:
[homes] comment = Home Directories browseable = no read only = no create mask = 0700 directory mask = 0700 valid users = %S
Quando configurato come controller di dominio, è necessario configurare una condivisione [netlogon]. Per abilitarla, togliere il commento a:
[netlogon] comment = Network Logon Service path = /srv/samba/netlogon guest ok = yes read only = yes share modes = no
![]() |
|
Il percorso della condivisione predefinita di netlogon è |
Creare la directory netlogon
e un file logon.cmd
per ora vuoto:
sudo mkdir -p /srv/samba/netlogon sudo touch /srv/samba/netlogon/logon.cmd
È possibile inserire qualsiasi comando di logon Windows in logon.cmd
per personalizzare l'ambiente del client.
Restart Samba to enable the new domain controller:
sudo restart smbd sudo restart nmbd
Lastly, there are a few additional commands needed to setup the appropriate rights.
Con l'utente root disabilitato in modo predefinito, per poter inserire una workstation nel dominio, un gruppo di sistema deve essere mappato al gruppo Windows Domain Admins. Usando l'utilità net, da un terminale digitare:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
![]() |
|
Modificare sysadmin con un qualsiasi altro gruppo si voglia usare. Inoltre, l'utente usato per unirsi al dominio deve essere membro del gruppo sysadmin oltre al gruppo admin. Il gruppo admin consente l'utilizzo di sudo. If the user does not have Samba credentials yet, you can add them with the smbpasswd utility, change the sysadmin username appropriately:
sudo smbpasswd -a sysadmin
|
Inoltre, è necessario fornire i diritti al gruppo Domain Admins per consentire ad add machine script (e altre funzioni di amministrazione) di funzionare. Per fare ciò:
net rpc rights grant -U sysadmin "EXAMPLE\Domain Admins" SeMachineAccountPrivilege \
SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege SeRemoteShutdownPrivilege
Dovrebbe ora essere possibile unire i client Windows al dominio come in un dominio NT4 in esecuzione su un server Windows.
Con la presenza di un controller di dominio primario (PDC) all'interno delle rete è utile avere anche un controller di dominio di backup (BDC). In questo modo i client potranno autenticarsi anche nel caso in cui il PDC non sia più disponibile.
Quando si configura Samba come BDC, è necessario avere un metodo di sincronizzazione delle informazioni sugli account con il PDC. A questo scopo è possibile usare scp, rsync oppure LDAP come backend passdb.
Il metodo migliore per sincronizzare le informazioni sugli account consiste nell'usare LDAP, poiché entrambi i controller di dominio possono usare le stesse informazioni in tempo reale. Configurare un server LDAP potrebbe essere troppo complicato per un esiguo numero di utenti e computer. Per maggiori informazioni, consultare la sezione chiamata «Samba e LDAP».
Installare samba e libpam-smbpass. Da un terminale digitare:
sudo apt-get install samba libpam-smbpass
Modificare il file /etc/samba/smb.conf
e togliere il commento a quanto segue nella sezione [global]:
workgroup = ESEMPIO ... security = user
Nella sezione Domains togliere il commento o aggiungere quanto segue:
domain logons = yes domain master = no
Assicurarsi che un utente abbia i permessi di lettura sui file in /var/lib/samba
. Per esempio, per consentire agli utenti del gruppo admin di eseguire scp sui file, digitare:
sudo chgrp -R admin /var/lib/samba
Sincronizzare gli account utente usando scp per copiare la directory /var/lib/samba
dal PDC:
sudo scp -r NOME_UTENTE@PDC:/var/lib/samba /var/lib
![]() |
|
Sostituire NOME_UTENTE con un nome utente valido e PDC con il nome host o l'indirizzo IP del controller di dominio primario. |
Riavviare samba:
sudo restart smbd sudo restart nmbd
È possibile verificare se il controller di dominio di backup è funzionante fermando il demone Samba sul PDC e quindi cercando di eseguire l'accesso su un client Windows all'interno del dominio.
È utile ricordare anche che se è stata configurata l'opzione logon home come directory sul PDC e quest'ultimo non è più disponibile, anche l'accesso al drive home degli utenti non lo sarà. Per questo motivo è utile configurare logon home affinché sia posizionato in un server di file separato da PDC e BDC.
Per delle configurazioni più dettagliate riguardo Samba, consultare Samba HOWTO Collection
La guida è disponibile anche in formato cartaceo.
Il libro Using Samba di O'Reilly è un'altra buona lettura.
Il capitolo 4 della «Samba HOWTO Collection» spiega come configurare un controller di dominio primario.
Il capitolo 5 della «Samba HOWTO Collection» spiega come configurare un controller di dominio di backup.
La pagina su Samba della documentazione.