[Samba-it] samba pdc e ldap.

Fri Jul 20 03:47:11 MDT 2007

> From: samba-it-bounces at xsec.it [mailto:samba-it-bounces at xsec.it]On
> Behalf Of Mauro Sanna

> Il giorno ven, 20/07/2007 alle 09.42 +0200, Michele Dalla Silvestra ha
> scritto:
> > Mauro Sanna ha scritto:
> > > Salve.
> > > Ho una debian etch con samba 3 installato e vorrei configurare samba
> > > come controller domain primario.
> > > Assieme a samba voglio utilizzare ldap.
> > > Ho seguito i vari tutorial e ho configurato il tutto sembra
> > > correttamente.
> > > A questo punto pero' mi sono fermato.
> > > Per ogni utente che deve loggarsi al dominio e per ogni macchina devo
> > > creare un account fisico sul server?
> > > A questo proposito nella documentazione in rete non ho
> trovato granche'.
> >
> > Ci vuole un utente fisico.
> >
> > Questo utente poi puo' avere o non avere la home directory, ma deve
> > avere un UID Unix.
>
> Quindi l'utente va creato sia su ldap che sul server,

Mi sa che c'è un po' di confusione. Ai tuoi fini, gli utenti ldap devono
essere anche utenti del sistema. Per ottenere questo, il modo + ragionevole
è fare in modo che gli utenti definiti in ldap diventino parte integrante
degli utenti di sistema. Se fai questo, non ci sarà più distinzione tra
utenti creati in ldap e utenti creati sul server (a parte quegli utenti di
sistema che lasci in /etc/passwd perchè devono esistere quando il servizio
ldap non è ancora attivo o irraggingibile, tipo root, bin, ldap stesso
ecc... Come regola generale, ti consiglio di mettere in ldap solo gli utenti
(e i gruppi) che definisci tu per il tuo business). Tutto questo lo
configuri agendo in /etc/nsswitch.conf e /etc/ldap.conf . Saprai che avrai
fatto bene quando il comando "getent passwd" ti restituirà tutti gli utenti
definiti in /etc/passwd (che suppongo siano quelli che chiami "utenti del
server") che quelli in ldap. Stesso discorso per i gruppi che devono uscire
tutti nell'output del comando "getent group".
Fatto questo, quando ti serve un utente lo aggiungi in ldap, e diventa
automaticamente anche un "utente del server".
Perchè questi utenti definiti in ldap siano utilizzabili da samba, oltre
alle configurazioni corrette, devono avere gli attributi specifici di samba,
me se hai seguito la documentazione questo non lo puoi sbagliare direi.

> per le macchine
> che devono collegarsi al dominio invece e' necessario crearle un account
> oppure basta che risiedano solo su ldap?

Il discorso è concettualmente molto simile a quello degli utenti, quindi
ogni macchina del dominio deve avere il suo uid unix visibile con getent
passwd (ebbene sì, è così; anche se ricordo che all'inizio l'idea di avere i
miei account unix "mescolati" a account macchina mi faceva storcere
qualcosa.. comunque li riconosci perchè gli account macchina vengono creati
con un $ finale nel nome). La differenza "procedurale" è che non devi
necessariamente definirli tu a mano perchè se configuri correttamente un add
machine script in smb.conf, questo viene automaticamente invocato quando
aggiungi la macchina al dominio. Chiaramente, l'add machine script avrà
proprio il compito di creare l'account ldap per la macchina.
Di solito io uso i tools smbldap di idealx, mi hanno sempre fatto il loro
sporco lavoro. Questo anche per quanto riguarda la creazione degli account
utente e dei gruppi. Vedi la documentazione di idealx. Nulla vieta che ti
faccia tu i tuoi script cmq, non è difficile (ma attenzione ai casi limite).

Ultimamente ho anche sentito parlare della procedura che trovi qui
http://wiki.samba.org/index.php/Ldapsam_Editposix . Questa ti eviterebbe di
ricorrere a scripts per la creazione di account, in quanto ci penserebbe
samba stesso a farlo per te. Nel mio personalissimo gusto soggettivo, ho
imparato (ehm, diciamo che ho provato a imparare) l'arte e l'ho messa da
parte, continuando con i soliti script che mi sembrano la soluzione più
flessibile.

HTH

Luigi