[Samba-it] samba configurato come domain member
Marco Gaiarin
gaio at sv.lnf.it
Wed Jan 9 10:36:39 UTC 2019
Mandi! marco pirola
In chel di` si favelave...
> configurarla come domain member di domino. Mi potreste aiutare a scrivere un
> smb.conf e il relativo krb5.conf per poterla fare joinare con la macchina
'krb5.conf' è parecchio standard, contiene:
[libdefaults]
default_realm = AD.FVG.LNF.IT
dns_lookup_kdc = true
dns_lookup_realm = false
forwardable = true
proxiable = true
; A note: This is not used for nfs4 but cifs uses it.
; for Windows 2003
; default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
;
; for Windows 2008 with AES
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
Mentre il file smb.conf è qui sotto, uso come backend 'ad':
#
# smb.conf per Domain Member LNF
# (c) Marco Gaiarin (gaio at sv.lnf.it) under GNU GPL Licence 2.0 or newer
# Il file vuole essere una raccolta dei parametri standard, cercando di
# essere un buon punto di partenza per la realizzazione di un file per
# la particolare installazione.
# Leggere con attenzione i commenti e la manpage di smb.conf.
# CHANGELOG
# (Fri Nov 24 15:43:53 CET 2017)
# + prima versione, a partire dall'equivalente file per dominii NT
# (Thu Apr 19 09:12:47 CEST 2018)
# + cambiata l'architettura di default per i driver di stampa a 64bit (come per samba 4.7+)
# (Fri Apr 27 12:43:58 CEST 2018)
# + 'users', come le vecchie 'homes' deve avere 'store dos attributes = yes'
# + %m -> %M, visto che '%m' (NetBIOS Name) non c'è più...
# (Fri May 25 17:23:50 CEST 2018)
# + abilito l'auditing sugli share pubblici multiutenza.
# (Mon May 28 10:04:23 CEST 2018)
# + disabilitati gli usershare, forse risolto https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=772154
# (Wed Sep 5 16:23:25 CEST 2018)
# + sistemati i parametri idmap per la 5.8+
# (Thu Oct 25 10:55:18 CEST 2018)
# + aggiunta la gestione dei ticket kerberos.
# (Tue Nov 20 11:07:27 CET 2018)
# + aggiunta l'acl per IP su WPKG, in AD tutto è raggiungibile e non ha senso l'aggiornamento in rete remota.
# Parametri globali
#
[global]
# Definizioni del dominio.
#
security = ADS
workgroup = LNFFVG
realm = AD.FVG.LNF.IT
# Alias. In modo AD posso definire degli Alias per i DM, ma l'alias in questione NON deve avere un account macchina creato
# (ergo, se devo fare aliasing di un precedente server, devo rimovere il domain account)
# Gli alias in AD si ''registrano'' come CNAME nel DNS (http://dps.sv.lnf.it/wiki/SambaAD#Alias_dell.27host)
#
# Resta da verificare se è (anche? In che condizioni?) necessario ''registrare'' questi alias come ServicePrincipalName di modo che Kerberos funzioni, ad esempio con:
# samba-tool spn add HOST/filesv.ad.fvg.lnf.it vdmsv1$
# samba-tool spn add HOST/FILESV vdmsv1$
# Oltre ovviamente a decommentare le relative righe qui sotto.
#
#netbios aliases = CUPSSV FILESV HOMESV
#wins support = yes
# Configurazione di Winbind/IDMap.
#
# Default idmap config for local BUILTIN accounts and groups
# Sembra che ora questo sia obbligatorio, si veda:
# https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=909465
idmap config * : backend = tdb
idmap config * : range = 5000-9999
# The domain
idmap config LNFFVG : backend = ad
idmap config LNFFVG : range = 10000-49999
# Uso dei dati POSIX/rfc2307 (Samba 4.6+)
idmap config LNFFVG : schema_mode = rfc2307
idmap config LNFFVG : unix_nss_info = yes
#idmap config LNFFVG : unix_primary_group = yes
# Uso dei dati POSIX/rfc2307 (Samba 4.5-)
#winbind nss info = rfc2307
# Se si usa 'winbind use default domain = yes' è necessario sincerarsi che i nomi utente non siano ''overlapping''
# (ovvero utenti definiti nel dominio *e* in /etc/passwd) pena ''confusione'' nella definizione dei gruppi/responsabilità.
winbind use default domain = yes
# Opzionalmente posso voler abilitare le ''cached credentials''; oltre ad abilitare questa opzione, occorre anche abilitarne l'uso
# in winbind. Si veda: https://wiki.samba.org/index.php/PAM_Offline_Authentication
winbind offline logon = yes
# Se necessario, è possibile abilitare l'autenticazione Kerberos con
# ticket.
#
#kerberos method = secrets and keytab
#winbind refresh tickets = yes
# Se devo connettere un client MSCHAPv2 devo riabilitare NTLMv1, ho due opzioni:
# Samba 4.7+ (in ntlm_auth devo usare anche l'opzione --allow-mschapv2)
#ntlm auth = mschapv2-and-ntlmv2-only
# Samba 4.6+
#ntlm auth = yes
# Utenti speciali e permessi
# Disabilitazione di qualche account, e definizione dell'account guest (il default è già 'nobody').
# Tutti gli utenti non conosciuti vengono mappati su guest.
#
#invalid users =
#guest account = nobody
map to guest = Bad User
#
# Per un DM manteniamo una mappa esplicita locale per alcuni utenti, per default solo Administrator (su root)
#
username map = /etc/samba/user.map
## Se necessario, ascolto solo sulle interfacce necessarie.
##
#bind interfaces only = yes
#interfaces = lo eth0 tun99
# Stampanti...
#
load printers = yes
printing = cups
printcap name = cups
# Per gestire più efficentemente la stampa (si veda https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Print_Server#Enabling_the_spoolssd_Service)
rpc_server:spoolss = external
rpc_daemon:spoolssd = fork
# Per avere come architettura di default i 64bit, si veda https://wiki.samba.org/index.php/Setting_up_Automatic_Printer_Driver_Downloads_for_Windows_Clients#Uploading_Only_64-bit_Drivers_to_a_Samba_Print_Server
spoolss: architecture = Windows x64
# Se invece si vuole DISABILITARE la stampa occorre essere un pelo cattivi, vista l'integrazione Samba/CUPS:
#load printers = no
#printing = bsd
#printcap name = /dev/null
#disable spoolss = yes
# Disabilito le estensioni CIFS UNIX, per permettere i link simbolici;
# Sinceramente non credo che siano mai state utilizzate, ad ogni modo si veda:
# http://wiki.samba.org/index.php/UNIX_Extensions
# ATTENZIONE che se serve pam_mount per montare le HOME, le unix extensions sono NECESSARIE
# e quindi tocca fare a meno dei link simbolici (esterni). ;-)
#
unix extensions = no
# Disabilito gli 'usershare', il default sembra essere 100 per debian. Vedi:
# https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=900396
#
usershare max shares = 0
# LOG
#
log level = 0
syslog = 0
log file = /var/log/samba/log.%M
max log size = 5000
panic action = /usr/share/samba/panic-action %d
# Creando degli appositi file posso forzare diversi default
# per certi host...
#
include = /etc/samba/smb.conf.%M
##
## Share di 'sistema': Stampa, Point'n'Print, Netlogon, Home utente
## (sono share con permessi organizzati in maniera particolare)
##
# Share stampanti, si veda https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Print_Server
#
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
writable = no
create mask = 0700
guest ok = yes
# Point'n'Print, si veda https://wiki.samba.org/index.php/Setting_up_Automatic_Printer_Driver_Downloads_for_Windows_Clients
#
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = no
read only = no
force create mode = 0664
force directory mode = 2775
guest ok = yes
# Home, si veda https://wiki.samba.org/index.php/User_Home_Folders
# Usiamo l'opzione con i permessi POSIX, anche perchè mi serve lo script per aggiungere la quota.
#
[users]
comment = Home Directories
path = /home
browseable = no
read only = no
store dos attributes = yes
force create mode = 0600
force directory mode = 0700
veto files = /.mail/.inbox/
root preexec = /etc/samba/createhome "%U"
# Profili utente, si veda https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles
# Qui usiamo le ACL.
#
[profiles]
comment = Network Profiles Share
path = /srv/samba/profiles
browseable = no
read only = no
map acl inherit = yes
store dos attributes = yes
csc policy = disable
vfs objects = acl_xattr
# Con i permessi giusti dovrebbe crearli in automatico...
#root preexec = /etc/samba/createprofile "%U"
##
## Share pubblici 'classici'...
## (con abilitato full ACL, cestino, ...).
## Qui ha senso abilitare anche l'auditing.
##
# Spazio Utente
#
[Work]
comment = Spazio di Lavoro Utente
volume = Work
path = /srv/work
browseable = yes
writeable = yes
map acl inherit = yes
store dos attributes = yes
vfs objects = acl_xattr recycle full_audit
recycle:repository = .cestino/%U
recycle:keeptree = yes
recycle:versions = yes
recycle:exclude=*.TMP,*.tmp,*.temp,*.o,*.obj,~$*
full_audit:prefix = %S|%d|%I|%M|%u
full_audit:success = mkdir rmdir read pread write pwrite rename unlink
full_audit:failure = none
# LOG_AUTH Non è utilizzabile per il baco https://bugzilla.samba.org/show_bug.cgi?id=13436; uso il default.
#full_audit:facility = LOG_AUTH
full_audit:priority = info
--
dott. Marco Gaiarin GNUPG Key ID: 240A3D66
Associazione ``La Nostra Famiglia'' http://www.lanostrafamiglia.it/
Polo FVG - Via della Bontà, 7 - 33078 - San Vito al Tagliamento (PN)
marco.gaiarin(at)lanostrafamiglia.it t +39-0434-842711 f +39-0434-842797
Dona il 5 PER MILLE a LA NOSTRA FAMIGLIA!
http://www.lanostrafamiglia.it/index.php/it/sostienici/5x1000
(cf 00307430132, categoria ONLUS oppure RICERCA SANITARIA)
More information about the samba-it
mailing list