Samba può rimpiazzare Windows Server come Primary Domain Controller in una rete di workstation Windows
Samba è un software/protocollo molto potente. Racchiude numerosissime feature che ne fanno probabilmente il prodotto per Linux più conosciuto: grazie ad esso si è infatti abbattuta del tutto la barriera tra reti Linux/Unix e Windows. In questo articolo si spiega come configurare un server Samba su piattaforma Linux come sistema di
autenticazione PDC per una lan di macchine Windows.
Configurare SAMBA come PDC è stata un'esigenza visto che avevo bisogno di un metodo unico per autenticare le mie workstation Windows. Il server della rete è Linux ,e quindi, non potevo togliere a lui il compito di autenticare i logon delle workstation e lasciarlo ad un 'semplice' server Windows ;)
Per prima cosa dovete scaricare e installare i pacchetti di Samba:
samba-common-...
samba-client-...
samba-...
Per la configurazione ed il controllo dei demoni di Samba vi rimando alla seguente risorsa:
http://www.pluto.linux.it/ildp/HOWTO/SMB-HOWTO.html
Qui voglio solo mostrarvi cosa fare per configurare Samba come PDC. Ecco il mio file di configurazione:
# Samba config file created using SWAT
# Global parameters
[global]
workgroup = KONUSGR
netbios name = FILESERVER
server string = Fileserver %v
encrypt passwords = Yes
update encrypted = Yes
log file = /var/log/samba/log.%m
time server = Yes
read prediction = Yes
socket options =
domain admin group = @adm
logon script = default.bat
logon drive = H:
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
remote announce = 192.168/KONUSGR
remote browse sync = 192.168
socket address = 192.168.0.4
hosts allow = 192.168.
[homes]
comment = Home Directories
writeable = Yes
create mask = 0750
browseable = No
[printers]
comment = All Printers
path = /tmp
create mask = 0700
printable = Yes
browseable = No
[c]
comment = Linux principale
path = /
writeable = Yes
guest ok = Yes
dont descend = /proc ./proc /etc
[mp3]
comment = MP3 Files
path = /usr/share/mp3
admin users = root, duck
write list = duck, root
force user = root
writeable = Yes
[netlogon]
path = /usr/local/samba/netlogon
[profiles]
path = /usr/local/samba/ntprofile
writeable = Yes
create mask = 0700
directory mask = 0700
In questo file di configurazione vi sono molti parametri che già di default vengono inseriti da Samba e vi rimando quindi al documento che vi ho citato prima. Vi spiego, invece, l'utilizzo di alcuni di essi utili a raggiungere il nostro scopo:
domain admin group = @adm
Questo parametro indica un gruppo configurato sul server. Tutti gli utenti che faranno parte di questo gruppo verranno considerati Amministratori del Dominio appena faranno un Logon su workstations nel nostro domino.
Il gruppo degli amministratori non è necessario che si chiami adm, l'importante è che sia presente una voce nel file /etc/group del server Linux.
encrypt passwords = Yes
update encrypted = Yes
Questi due parametri sono necessari per far si che vi sia una corrispondenza di criptazione fra le password del server Linux in smbpasswd e quelle dei server Microsoft.
logon script = default.bat
Questo parametro permetterà a Samba di cercare lo script di default da eseguire su una macchina Windows appena verrà effettuato il Logon.
Lo script che ho inserito io è ad, esempio:
rem Default logon script, create links to this file.
net time \fileserver /set /yes
@echo off
if %OS%.==Windows_XP. goto WinXP
:Win95
net use x: \fileserver\mp3
net use y: \fileserver\c
goto end
:WinXP
net use x: \fileserver\mp3 /persistent:no
net use y: \fileserver\c /persistent:no
:end
Lo script default.bat lo dobbiamo mettere nella directory definita alla sezione:
[netlogon]
path = /usr/local/samba/netlogon
Configuriamo ora gli utenti e le workstation che potranno loggarsi al nostro dominio:
Macchine XP:
Ogni macchina NT del dominio dovrà avere la sua riga sia in /etc/passwd che in /etc/smbpasswd. Nel file /etc/passwd vi sarà l'ID del login mentre in smbpasswd vi sarà la stessa password criptata in formato NT.
adduser –g microsoft –c MSworkst –d /dev/null –s /bin/false –n pippo
Questa riga crea un utente di nome pippo (il nome della mia workstation), nel gruppo microsoft con commento MSworkst con directory home /dev/null e con shell /bin/false. In questo modo l'utente pippo non potrà effettuare un telnet sulla macchina Linux.
smbpasswd -a -m pippo
Questo comando, invece, crea la password di pippo nel file /etc/smbpasswd
Utenti del dominio:
Ogni utente del dominio dovrà avere un account sul PDC sia come utente del server linux che nel file smbpasswd. La home directory può benissimo essere /dev/null così come per la shell:
adduser -g users -c 'Raffaello Raffaelli' -s /bin/false -n raffo
smbpasswd -a raffo
Ora possiamo provare a loggarci con la nostra workstation Microsoft...semplice no ?
Nessun commento:
Posta un commento