Benché non possa funzionare come un controller di dominio primario (PDC) Active Directory, un server Samba può essere configurato per apparire come un controller di dominio in stile Windows NT4. Uno dei vantaggi di questa configurazione consiste nell'abilità di centralizzare le credenziali di utenti e computer, inoltre, Samba può utilizzare diversi backend per archiviare le informazioni.
Questa sezione spiega come configurare Samba come controller di dominio primario (PDC) usando il backend predefinito «smbpasswd».
-
Per prima cosa, installare Samba e libpam-smbpass per sincronizzare gli account utente digitando quanto segue in un terminale:
sudo apt-get install samba libpam-smbpass
-
Configurare Samba modificando il file
/etc/samba/smb.conf
. La variabile security dovrebbe essere impostata a user e il workgroup dovrebbe essere relativo alla propria organizzazione.workgroup = EXAMPLE ... security = domain
-
Nelle sezione «Domains» aggiungere o togliere il commento a quanto segue:
domain logons = yes logon path = \\%N\%U\profile logon drive = H: logon home = \\%N\%U logon script = logon.cmd add machine script = sudo /usr/sbin/useradd -n -g machines -c Machine -d /var/lib/samba -s /bin/false %u
-
domain logons: fornisce il servizio netlogon facendo in modo che Samba si comporti come un controller di dominio.
-
logon path: posiziona il profilo degli utenti Windows all'interno della loro directory home. È possibile anche configurare una condivisione [profiles] posizionando tutti i profili all'interno di una sola directory.
-
logon drive: specifica il percorso locale della directory home.
-
logon home: specifica la posizione della directory home.
-
logon script: determina quale script eseguire localmente una volta che un utente ha eseguito l'accesso. Lo script deve essere all'interno della condivisione [netlogon].
-
add machine script: uno script che crea automaticamente lo Machine Trust Account necessario per accedere al dominio.
In questo esempio il gruppo machines deve essere creato usando l'utilità addgroup. Per maggiori informazioni, consultare la sezione chiamata «Aggiungere e rimuovere utenti».
Per non usare i profili roaming, non togliere il commento alle opzioni logon home e logon path.
-
-
Togliere il commento alla condivisione [homes] per consentire la mappatura di logon home:
[homes] comment = Home Directories browseable = no read only = no create mask = 0700 directory mask = 0700 valid users = %S
-
Quando configurato come controller di dominio, è necessario configurare una condivisione [netlogon]. Per abilitarla, togliere il commento a:
[netlogon] comment = Network Logon Service path = /srv/samba/netlogon guest ok = yes read only = yes share modes = no
Il percorso della condivisione predefinita di netlogon è
/home/samba/netlogon
, ma in base allo «Filesystem Hierarchy Standard» (FHS), /srv è la corretta posizione i cui dovrebbero essere tenuti i file specifici dei siti forniti dal sistema. -
Creare la directory
netlogon
e un filelogon.cmd
per ora vuoto:sudo mkdir -p /srv/samba/netlogon sudo touch /srv/samba/netlogon/logon.cmd
È possibile inserire qualsiasi comando di logon Windows in
logon.cmd
per personalizzare l'ambiente del client. -
Con l'utente root disabilitato in modo predefinito, per poter inserire una workstation nel dominio, un gruppo di sistema deve essere mappato al gruppo Windows Domain Admins. Usando l'utilità net, da un terminale digitare:
sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
Modificare sysadmin con un qualsiasi altro gruppo si voglia usare. Inoltre, l'utente usato per unirsi al dominio deve essere membro del gruppo sysadmin oltre al gruppo admin. Il gruppo admin consente l'utilizzo di sudo.
-
Riavviare Samba per abilitare il nuovo controller di dominio:
sudo /etc/init.d/samba restart
-
Dovrebbe ora essere possibile unire i client Windows al dominio come in un dominio NT4 in esecuzione su un server Windows.
Con la presenza di un controller di dominio primario (PDC) all'interno delle rete è utile avere anche un controller di dominio di backup (BDC). In questo modo i client potranno autenticarsi anche nel caso in cui il PDC non sia più disponibile.
Quando si configura Samba come BDC, è necessario avere un metodo di sincronizzazione delle informazioni sugli account con il PDC. A questo scopo è possibile usare scp, rsync oppure LDAP come backend passdb.
Il metodo migliore per sincronizzare le informazioni sugli account consiste nell'usare LDAP, poiché entrambi i controller di dominio possono usare le stesse informazioni in tempo reale. Configurare un server LDAP potrebbe essere troppo complicato per un esiguo numero di utenti e computer. Per maggiori informazioni, consultare la sezione chiamata «Samba e LDAP».
-
Installare samba e libpam-smbpass. Da un terminale digitare:
sudo apt-get install samba libpam-smbpass
-
Modificare il file
/etc/samba/smb.conf
e togliere il commento a quanto segue nella sezione [global]:workgroup = ESEMPIO ... security = user
-
Nella sezione Domains togliere il commento o aggiungere quanto segue:
domain logons = yes domain master = no
-
Assicurarsi che un utente abbia i permessi di lettura sui file in
/var/lib/samba
. Per esempio, per consentire agli utenti del gruppo admin di eseguire scp sui file, digitare:sudo chgrp -R admin /var/lib/samba
-
Sincronizzare gli account utente usando scp per copiare la directory
/var/lib/samba
dal PDC:sudo scp -r NOME_UTENTE@PDC:/var/lib/samba /var/lib
Sostituire NOME_UTENTE con un nome utente valido e PDC con il nome host o l'indirizzo IP del controller di dominio primario.
-
Riavviare samba:
sudo /etc/init.d/samba restart
È possibile verificare se il controller di dominio di backup è funzionante fermando il demone Samba sul PDC e quindi cercando di eseguire l'accesso su un client Windows all'interno del dominio.
È utile ricordare anche che se è stata configurata l'opzione logon home come directory sul PDC e quest'ultimo non è più disponibile, anche l'accesso al drive home degli utenti non lo sarà. Per questo motivo è utile configurare logon home affinché sia posizionato in un server di file separato da PDC e BDC.
-
Per delle configurazioni più dettagliate riguardo Samba, consultare Samba HOWTO Collection
-
La guida è disponibile anche in formato cartaceo.
-
Il libro Using Samba di O'Reilly è un'altra buona lettura.
-
Il capitolo 4 della «Samba HOWTO Collection» spiega come configurare un controller di dominio primario.
-
Il capitolo 5 della «Samba HOWTO Collection» spiega come configurare un controller di dominio di backup.