Debian etch 4, guida per joinare una Active Directory

Premessa

Per stilare questa sequenza d'istruzioni, effettuate mano a mano che configuravo l'ennesima debian per la mia Active Directory, ho preso a piene mani dai seguenti articoli/how-to:
http://www.debian-administration.org/articles/340
http://www.enterprisenetworkingplanet.com/netos/article.php/3487081

Ho scritto questa mia modestissima “guida” solo perche' per far si che tutto funzioni in modo liscio ho dovuto unire informazioni prese da entrambi i link postati poco sopra ed essendo stufo di passare da uno all'altro quando non ricordavo un particolare ho deciso di riunire il tutto in un unico posto. ;-)


Procedimento

Iniziamo a controllare che il sistema sia aggiornato

  apt-get update
  apt-get upgrade

Installazione Kerberos e OpenLDAP

Per compilare l'ultima release di Samba disponibile abbiamo bisogno d'installare i pacchetti di MIT Kerberos e OpenLDAP:

  apt-get install libkrb53 libcupsys2 libldap-2.4-2 krb5-user krb5-config krb5-user

Durante la fase d'installazione con apt, ci verra' richiesto Kerberos servers for your realm, inserire il nome del domain controller con il dominio scritto tutto in maiuscolo. Es: pdcmail.IBISINFORMATICA.LOCAL Lo stesso vale subito dopo alla richiesta del Administrative server for your Kerberos realm.

Installazione Samba

Posizionarsi in una cartella temporanea e scaricarsi da uno dei mirror samba, http://www.samba.org/, l'ultima release disponibile: wget ftp://ftp.easynet.be/samba/samba-latest.tar.gz Procediamo poi a scompattare e ripristinare i files e le cartelle: tar zxvf samba-latest.tar.gz Entriamo nella cartella scompattata di samba e poi in source, configuriamo, compiliamo ed installiamo Samba : cd /tmp/samba-3.4.0/source3 ./configure –prefix=/usr –localstatedir=/var –with-configdir=/etc/samba –with-privatedir=/etc/samba –with-fhs –with-quotas –with-syslog –with-utmp –with-swatdir=/usr/share/swat –with-shared-modules=idmap_rid –with-libsmbclient –with-automount –with-ads –with-winbind –with-acl-support –with-ldap make install Nel caso dica che no acceptable C compiler found in PATH indica che ci manca tutto il software necessario a compilare. Installiamo gcc e make tramite apt-get : apt-get install gcc make A questo punto potremo rieseguire i comandi precedenti.

  apt-get install samba

Basta ed avanza per le nostre necessità!

Configurazione di esempio

Per semplicita' ipotizziamo di dover joinare un server con Active Direcoty con le seguenti specifiche:

  • Domain administrator account sul server Windows : administrator
  • Domain name: IBISINFORMATICA.LOCAL
  • Fully qualified domain name: IBISINFORMATICA.LOCAL
  • Hostname of Windows domain controller: pdcmail
  • IP address of Windows domain controller: 172.16.0.107


Risoluzione nomi

Verifichiamo che in /etc/resolv.conf ci siano le seguenti informazioni :

  search IBISINFORMATICA.LOCAL
  nameserver 172.16.0.107

Configurazione Kerberos

Modifichiamo come segue il file di configurazione del kerberos /etc/krb5.conf :

[libdefaults]
        default_realm = IBISINFORMATICA.LOCAL

[realms]
        IBISINFORMATICA.LOCAL = {
                kdc = pdcmail.IBISINFORMATICA.LOCAL
                admin_server = pdcmail.IBISINFORMATICA.LOCAL
        }

[domain_realm]
        .IBISINFORMATICA.LOCAL = PDCMAIL.IBISINFORMATICA.LOCAL
        IBISINFORMATICA.LOCAL = PDCMAIL.IBISINFORMATICA.LOCAL

Installazione Ntp

Installiamo un client NTP in modo che l'ora del server linux sia sempre sincronizzata con l'AD (altrimenti vi beccate un bel Clock skew too great while getting initial credentials al primo tentativo di inizializzare kerberos):

  apt-get install ntpdate

Editate il file /etc/default/ntpdate come segue:

    # The settings in this file are used by the program ntpdate-debian, but not
    # by the upstream program ntpdate.

    # Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
    # so you only have to keep it in one place.
    NTPDATE_USE_NTP_CONF=no

    # List of NTP servers to use (Separate multiple servers with spaces.)
    # Not used if NTPDATE_USE_NTP_CONF is yes.
    NTPSERVERS="172.16.0.107 172.16.0.129 172.16.0.1"

    # Additional options to pass to ntpdate
    NTPOPTIONS=""

Inizializzazione Kerberos

Inizializziamo kerberos:

  kinit administrator@IBISINFORMATICA.LOCAL

Per verificare l'effettiva inizializzazione eseguite:

  klist

Configurazione samba

A questo punto configuriamo samba (/etc/samba/smb.conf) per connettersi al dominio:

global]
password server = 172.16.0.107
wins server = 172.16.0.107

auth methods = winbind
encrypt passwords = true

realm = IBISINFORMATICA.LOCAL
workgroup = IBISINFORMATICA

netbios name = nomeserver
server string = nomeserver

idmap uid = 10000-20000
idmap gid = 10000-20000

default = NomeShare

os level = 20
security = ads

preferred master = no
client use spnego = yes

winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
winbind use default domain = yes


[NomeShare]
        force create mode = 777
        force directory mode = 777
        path = /DIRECTORY
        invalid users = "IBIS+notrust"
        write list = @"IBISINFORMATICA+domain admins",@"IBISINFORMATICA+domain users"

Modifica metodi autenticazione

Modifichiamo /etc/nsswitch.conf in modo da dire a debian i metodi di autenticazione da utilizzare:

    # /etc/nsswitch.conf
    #
    # Example configuration of GNU Name Service Switch functionality.
    # If you have the `glibc-doc-reference' and `info' packages installed, try:
    # `info libc "Name Service Switch"' for information about this file.

    passwd: compat winbind
    group: compat winbind
    shadow: compat

    hosts: files dns wins
    networks: files dns

    protocols: db files
    services: db files
    ethers: db files
    rpc: db files

    netgroup: nis

Avvio Samba

Facciamo partire i servizi di samba:

  smbd
  nmbd

Join Active Directory

Infine joiniamo il server all'AD:

  net ads join -W IBISINFORMATICA.LOCAL -S dcmail -U administrator

Verifichiamo che il join sia andato realmente a buon fine con :

net ads testjoin.

Verifichiamo che winbind riesca a recuperare gli utenti ed i gruppi dell'AD con:

wbinfo -u

e

wbinfo -g


Se wbinfo riporta errori, potrebbe essere perche' non e' stato installato:

  apt-get install winbind

Ripetete le operazioni di cui sopra e dovreste finalmente visualizzare tutti gli utenti e gruppi dell'AD! Finalmente ci siete ! :-D

debian/realizzato/debianactivedirectory.txt · Ultima modifica: 2010/01/14 13:39 da admin
 
Ad eccezione da dove è diversamente indicato, il contenuto di questo wiki è soggetto alla seguente licenza: CC Attribution-Noncommercial-Share Alike 3.0 Unported
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki