Documentazione<Precedenti | Contenuti | Succ.>
2.3. Configurazione Samba
Esistono diversi modi per configurare Samba. Per i dettagli su alcune configurazioni comuni vedere il Capitolo 18, Samba [P. 305]. Per configurare Samba in modo che utilizzi LDAP, modifica il suo file di configurazione /etc/samba/smb.conf commentando l'impostazione predefinita backend passdb parametro e aggiungendone di altri relativi a ldap. Assicurati di utilizzare gli stessi valori che hai usato durante l'esecuzione di smbldap-populate:
# passdb backend = tdbsam workgroup = ESEMPIO
# Impostazioni LDAP
backend passdb = ldapsam:ldap://hostname suffisso ldap = dc=esempio,dc=com
Suffisso utente ldap = ou=Persone Suffisso gruppo ldap = ou=Gruppi
Suffisso macchina ldap = ou=Computer suffisso idmap ldap = ou=Idmap
ldap admin dn = cn=admin,dc=esempio,dc=com
# o disattivato se TLS/SSL non è configurato ldap ssl = start tls
ldap passwd sync = si
Modifica i valori in modo che corrispondano al tuo ambiente.
. smb.conf come spedito dal pacchetto è piuttosto lungo e ha molti esempi di configurazione. Un modo semplice per visualizzarlo senza commenti è eseguire testparm -s.
Ora informa Samba della password dell'utente rootDN (quella impostata durante l'installazione del pacchetto slapd):
sudo smbpasswd -W
Come passaggio finale per consentire ai tuoi utenti LDAP di connettersi a samba e autenticarsi, è necessario che anche questi utenti vengano visualizzati nel sistema come utenti "unix". Un modo per farlo è usare libnss-ldap. Istruzioni dettagliate sono disponibili nella Sezione 1.10, «Autenticazione LDAP» [p. 134], ma abbiamo solo bisogno della parte NSS.
1. Installa libnss-ldap
sudo apt installa libnss-ldap
Non è necessario utilizzare le credenziali di accesso rootDN LDAP, quindi puoi saltare questo passaggio.
2. Configurare il profilo LDAP per NSS:
sudo auth-client-config -t nss -p lac_ldap
3. Riavvia i servizi Samba:
sudo systemctl riavviare smbd.service nmbd.service
4. Per testare rapidamente la configurazione, verifica se getent può elencare i gruppi Samba:
gruppo getent
...
Operatori account:*:548: Operatori di stampa:*:550: Operatori di backup:*:551: Replicatori:*:552:
Se disponi di utenti LDAP esistenti che desideri includere nel tuo nuovo Samba supportato da LDAP, a loro, ovviamente, dovranno essere assegnati anche alcuni degli attributi aggiuntivi specifici di Samba. L'utilità smbpasswd può fare questo per te:
sudo smbpasswd -un nome utente
Ti verrà chiesto di inserire una password. Sarà considerata come la nuova password per quell'utente. Renderlo uguale a prima è ragionevole. Nota che questo comando non può essere usato per creare un nuovo utente da zero in LDAP (a meno che tu non stia usando ldapsam: fidato e ldapsam: editposix, non trattato in questa guida).
Per gestire gli account utente, gruppo e macchina, utilizzare le utilità fornite dal pacchetto smbldap-tools. Ecco alcuni esempi:
• Per aggiungere un nuovo utente con una directory home:
sudo smbldap-useradd -a -P -m nome utente
. -a l'opzione aggiunge gli attributi Samba e il -P L'opzione chiama l'utilità smbldap-passwd dopo che l'utente è stato creato consentendo di inserire una password per l'utente. Infine, -m crea una directory home locale. Prova con il comando getent:
getent passwd nome utente
Se non ricevi una risposta, la configurazione di libnss-ldap non è corretta.
• Per rimuovere un utente:
sudo smbldap-userdel nome utente
Nel comando sopra, usa il -r opzione per rimuovere la directory home dell'utente.
• Per aggiungere un gruppo:
sudo smbldap-groupadd -a nomegruppo
Per quanto riguarda smbldap-useradd, il -a aggiunge gli attributi Samba.
• Per rendere un utente esistente membro di un gruppo:
sudo smbldap-groupmod -m nome utente nomegruppo
. -m l'opzione può aggiungere più di un utente alla volta elencandoli in un formato separato da virgole.
• Per rimuovere un utente da un gruppo:
sudo smbldap-groupmod -x nome utente nomegruppo
• Per aggiungere un account macchina Samba:
sudo smbldap-useradd -t 0 -w nomeutente
sostituire nome utente con il nome della postazione di lavoro. Il -t 0 opzione crea l'account macchina senza indugio, mentre il -w opzione specifica l'utente come account macchina. Inoltre, nota il aggiungi script macchina parametro in /etc/samba/smb.conf è stato modificato per utilizzare smbldap-useradd.
Ci sono utilità nel pacchetto smbldap-tools che non sono state trattate qui. Ecco un elenco completo:
smbldap-groupadd37 smbldap-groupdel38 smbldap-groupmod39 smbldap-groupshow40 smbldap-passwd41 smbldap-popolare42 smbldap-useradd43 smbldap-userdel44 smbldap-userinfo45 smbldap-userlist46 smbldap-usermod47 smbldap-usershow48