[RISOLTO] Samba Server "Base" no PDC no BDC
- Login o registrati per inviare commenti
Sab, 07/24/2010 - 14:12
Salve ho "anche" scaricato da debianizzati.org "Samba e OpenLDAP: creare un controller di dominio con Debian Lenny" un manuale passo passo veramente completo, forse troppo per me.
Sono riuscito a condividere una cartella pubblica mediante l'utente guest. Una bellla soddisfazione vedere sul gruppo di lavoro dei client windows xp pro il pc "Debian Server".
Il mio problema e presto riassunto:
N.B.
L'utente "admin" è riferito a samba
1) Devo creare delle cartelle una per ogni ufficio esempio:
- documenti // per tutti solo lettura e per utente admin tutto
- personale // tutto per utenti pers1,pers2 e per utente admin
- ragioneria // tutto per utenti rag1,rag2 e per utente admin
- magazzino // tutto per utenti mag1,mag2,mag3,mag4 e per utente admin
- riunioni // tutto per utenti pers1,rag1,mag1 e per utente admin
- pubblica // tutto per tutti
2) Le cartelle le devo mettere obbigatoriamente in
/home/documenti
/home/personale
/home/ragioneria
/home/magazzino
/home/riunioni
/home/pubblica
Oppure creare una partizione a parte chiamata per esempio /share come contenitore delle cartelle condivise del server samba
3) L'utenti che saranno abilitati da "samba" all'accesso a queste cartelle dovranno aver
disabilitata la shell e password: come l'esempio seguente per un utente guest
#adduser guest --home=/home/tutti --shell=/bin/false --disabled-password
4) Poichè ci sono più utenti che devono accedere alla cartella del loro ufficio devo creare un gruppo con lo
stesso nome che li contenga ed assegnarlo a samba
5) Infine un ultima domanda è utile salvare il file smb.conf dopo aver settato i parametri di ogni utente.
Grazie per l'aiuto.
Mer, 07/28/2010 - 14:22
#2
Ciao ecnx82 e grazie per la risposta.
Lo so per voi sicuramente sarà facile ma per me è ostico ingranare, attualmente sono arrivato a questo punto:
Debian = 5.0.5 (no gdm)
Samba = 3.2.5-4
WORKGROUP = DITTA
$ su
# mkdir /home/documenti
# mkdir /home/magazzino
# mkdir /home/personale
# mkdir /home/pubblica
# mkdir /home/ragioneria
# mkdir /home/riunioni
# groupadd documenti
# groupadd magazzino
# groupadd personale
# groupadd pubblica
# groupadd ragioneria
# groupadd riunioni
# useradd -g magazzino -G riunioni -s /bin/bash -p pwdmag1 –d /home/mag1 -c "Ufficio Magazzino" –m mag1
# useradd -g personale -G riunioni -s /bin/bash -p pwdpers1 –d /home/pers1 -c "Ufficio Personale" –m pers1
# useradd -g ragioneria -G riunioni -s /bin/bash -p pwdrag1 –d /home/rag1 -c "Ufficio Ragioneria" –m rag1
# useradd -g magazzino -s /bin/bash -p pwdmag2 –d /home/mag2 -c "Ufficio Magazzino" –m mag2
# useradd -g magazzino -s /bin/bash -p pwdmag3 –d /home/mag3 -c "Ufficio Magazzino" –m mag3
# useradd -g personale -s /bin/bash -p pwdpers2 –d /home/pers2 -c "Ufficio Personale" –m pers2
# useradd -g personale -s /bin/bash -p pwdpers3 –d /home/pers3 -c "Ufficio Personale" –m pers3
# useradd -g ragioneria -s /bin/bash -p pwdrag2 –d /home/rag2 -c "Ufficio Ragioneria" –m rag2
# useradd -g ragioneria -s /bin/bash -p pwdrag3 –d /home/rag3 -c "Ufficio Ragioneria" –m rag3
Imposto i permessi sulle cartelle in modo tale che gli utenti non possono entrare dove non sono autorizzati.
# chmod 744 documenti // rwxr--r--
# chmod 770 magazzino // rwxrwx---
# chmod 770 personale // rwxrwx---
# chmod 777 pubblica // rwxrwxrwx
# chmod 770 ragioneria // rwxrwx---
# chmod 770 riunioni // rwxrwx---
Imposto i permessi sugli utenti in modo tale che gli altri utenti non possono entrare dove non sono autorizzati.
# chmod 700 mag1 // rwx------
# chmod 700 mag2 // rwx------
# chmod 700 mag3 // rwx------
# chmod 700 pers1 // rwx------
# chmod 700 pers2 // rwx------
# chmod 700 pers3 // rwx------
# chmod 700 rag1 // rwx------
# chmod 700 rag2 // rwx------
# chmod 700 rag3 // rwx------
Imposto le password degli utenti su samba equivalenti a debian e naturalmente ai client windows xp pro.
# smbpasswd –a mag1
# smbpasswd –a mag2
# smbpasswd –a mag3
# smbpasswd –a pers1
# smbpasswd –a pers2
# smbpasswd –a pers3
# smbpasswd –a rag1
# smbpasswd –a rag2
# smbpasswd –a rag3
Modifico il file smb.conf
# nano /etc/samba/smb.conf
workgroup = DITTA
server string = Debian Server
security = share
obey pam restrictions = yes
invalid users = root
[documenti]
comment = Documenti Ditta
path = /home/documenti
available = yes
read only = yes
browsable = yes
guest ok = yes
[magazzino]
comment = Ufficio Magazzino
path = /home/magazzino
available = yes
read only = no
browsable = yes
valid users = mag1, mga2, mag3
[personale]
comment = Ufficio Personale
path = /home/personale
available = yes
read only = no
browsable = yes
valid users = pers1, pers2, pers3
[pubblica]
comment = Cartella Pubblica
path = /home/pubblica
available = yes
read only = no
browsable = yes
guest ok = yes
[ragioneria]
comment = Ufficio Ragioneria
path = /home/ragioneria
available = yes
read only = no
browsable = yes
valid users = rag1, rag2, rag3
[riunioni]
comment = Ufficio Riunioni
path = /home/riunioni
available = yes
read only = no
browsable = yes
valid users = mag1, pers1, rag1
Salvo il file smb.conf e controllo la configurazione
# testparm
Restarto il servizio di samba
# /etc/init.d/samba restart
Il server riparte correttamente ma quando entro sulla rete nel gruppo di lavoro di windows
e clicclo sul PC (Debian Server) mi da un messaggio:
Impossibile accedere a \\server. L'utente potrebbe non disporre dell'autorizzazione necessaria per l'utilizzo
della risorsa di rete. Per le autorizzazioni di accesso, contattare l'amministratore del server.
Impossibile trovare il percorso di rete.
Cosa devo controllare ???
Grazie per l'aiuto.
Mer, 07/28/2010 - 21:23
#3
A me sfugge una cosa però..... il comando nslookup server cosa ti da????
Gio, 07/29/2010 - 12:50
#4
Ho lanciato il comando che mi hai consigliato
# nslookup server
bash: nslookup: command not found
Lo devo obbligatoriamente installare?
P.S.
Ho fatto dei miglioramenti a breve posterò le migliorie. Anche se ora quando si collega un utente (Windows) non mappato con samba, su cartelle condivise (valid users = utente1 etc..) mi visualizza la schermata per effettuare il login come guest.
Ti terrò aggiornato
Gio, 07/29/2010 - 13:35
#5
Command not found? Mi sa che non hai installato dnsutils come package da repository ufficiale.
Comunque sostanzialmente quando crei un dominio samba o samba/ldap sarebbe cosa buona e giusta creare anche un'infrastruttura DNS; sennò la vedo dura che riesci ad agganciare le macchine e gestire quindi le utenze e gli accessi senza problemi.
P.S> Il fatto che gli utenti windows chiedano la password è normale; sei fuori dominio e quindi ti viene richiesta l'autenticazione. Quindi deduco che quanto scritto sopra da me sia il reale ed effettivo problema che causa tutto ciò
ciauz
Gio, 07/29/2010 - 15:13
#6
INCREDIBILE Sembra funzionare :)
Riassumendo:
N.B.
L'utente "samba" è riferito a Debian Server (non è l'utente root)
Devo creare delle cartelle una per ogni ufficio esempio:
- documenti // per tutti solo lettura e per utente amministratore tutto
- personale // tutto per utenti pers1,pers2 e per utente amministratore
- ragioneria // tutto per utenti rag1,rag2 e per utente amministratore
- magazzino // tutto per utenti mag1,mag2,mag3,mag4 e per utente amministratore
- riunioni // tutto per utenti pers1,rag1,mag1 e per utente amministratore
- pubblica // tutto per tutti
Debian Lenny 5.0.5 (no gdm)
Samba = 3.2.5-4
WORKGROUP = DITTA
-----------------------------------------------
Debian GNU/Linux 5.0 server tty1
server login: samba
Password: _
samba@server:~$ su
Installo samba per debian 5.0.5
# apt-get install samba smbfs
Quando richiesto inserisco il WORKGROUP = DITTA
Usare le impostazioni WINS da DHCP?
Creo le directory che servono alla ditta
# mkdir /home/documenti
# mkdir /home/magazzino
# mkdir /home/personale
# mkdir /home/pubblica
# mkdir /home/ragioneria
# mkdir /home/riunioni
Creo i gruppi su debian uno per ogni cartella "immagino"
# groupadd documenti
# groupadd magazzino
# groupadd personale
# groupadd pubblica
# groupadd ragioneria
# groupadd riunioni
Creo le utenze su debian con le home ed i commenti
# useradd -d /home/mag1 -c "Ufficio Magazzino" -m mag1
# useradd -d /home/mag2 -c "Ufficio Magazzino" -m mag2
# useradd -d /home/mag3 -c "Ufficio Magazzino" -m mag3
# useradd -d /home/pers1 -c "Ufficio Personale" -m pers1
# useradd -d /home/pers2 -c "Ufficio Personale" -m pers2
# useradd -d /home/pers3 -c "Ufficio Personale" -m pers3
# useradd -d /home/rag1 -c "Ufficio Ragioneria" -m rag1
# useradd -d /home/rag2 -c "Ufficio Ragioneria" -m rag2
# useradd -d /home/rag3 -c "Ufficio Ragioneria" -m rag3
Creo le password degli utenti su debian equivalenti ai client windows xp pro.
# passwd mag1
# passwd mag2
# passwd mag3
# passwd pers1
# passwd pers2
# passwd pers3
# passwd rag1
# passwd rag2
# passwd rag3
Associo gli utenti ad i vari gruppi, in particolare gli utenti *1
sono associato ad un doppio gruppo
# usermod -G magazzino,riunioni mag1
# usermod -G personale,riunioni pers1
# usermod -G ragioneria,riunioni rag1
# usermod -G magazzino mag2
# usermod -G magazzino mag3
# usermod -G personale pers2
# usermod -G personale pers3
# usermod -G ragioneria rag2
# usermod -G ragioneria rag3
Cambio il gruppo di appartenenza "chgrp gruppo cartella"
# chgrp documenti documenti
# chgrp magazzino magazzino
# chgrp personale personale
# chgrp pubblica pubblica
# chgrp ragioneria ragioneria
# chgrp riunioni riunioni
Imposto i permessi sulle cartelle in modo tale che gli utenti non possono entrare dove non sono autorizzati.
# chmod 755 documenti // rwxr-xr-x
# chmod 770 magazzino // rwxrwx---
# chmod 770 personale // rwxrwx---
# chmod 777 pubblica // rwxrwxrwx
# chmod 770 ragioneria // rwxrwx---
# chmod 770 riunioni // rwxrwx---
Imposto i permessi sugli utenti in modo tale che gli altri utenti non possono entrare dove non sono autorizzati.
# chmod 700 mag1 // rwx------
# chmod 700 mag2 // rwx------
# chmod 700 mag3 // rwx------
# chmod 700 pers1 // rwx------
# chmod 700 pers2 // rwx------
# chmod 700 pers3 // rwx------
# chmod 700 rag1 // rwx------
# chmod 700 rag2 // rwx------
# chmod 700 rag3 // rwx------
Imposto i tutti gruppi per l'utente samba (penso che si debba procedere così...)
# usermod -G documenti,magazzino,personale,pubblica,ragioneria,riunioni samba
Imposto le password degli utenti su samba equivalenti a debian e naturalmente ai client windows xp pro.
# smbpasswd –a mag1
# smbpasswd –a mag2
# smbpasswd –a mag3
# smbpasswd –a pers1
# smbpasswd –a pers2
# smbpasswd –a pers3
# smbpasswd –a rag1
# smbpasswd –a rag2
# smbpasswd –a rag3
# smbpasswd –a samba
Creo una copia del file di configurazione smb.conf
# cp /etc/samba/smb.conf /etc/samba/smb.conf.old
Modifico il file smb.conf (riporto le parti non commentate)
# nano /etc/samba/smb.conf
[global]
workgroup = DITTA
server string = Debian Server
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
###############################################
# security = share
###############################################
security = user
encrypt passwords = true
obey pam restrictions = yes
invalid users = guest,root
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew......etc.....
pam password change = yes
[homes]
comment = Home Direcotries
browsable = no
read only = yes
create mask = 0700
directory mask = 0700
valid users = %S
[printers]
comment = All Printers
browsable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browsable = yes
read only = yes
guest ok = no
[documenti]
comment = Documenti Ditta
path = /home/documenti
available = yes
browsable = yes
read only = yes
guest ok = yes
[magazzino]
comment = Ufficio Magazzino
path = /home/magazzino
available = yes
browsable = yes
read only = no
guest ok = no
force user = mag1, mga2, mag3
force group = magazzino
[personale]
comment = Ufficio Personale
path = /home/personale
available = yes
browsable = yes
read only = no
guest ok = no
force user = pers1, pers2, pers3
force group = personale
[pubblica]
comment = Cartella Pubblica
path = /home/pubblica
available = yes
browsable = yes
read only = no
guest ok = yes
[ragioneria]
comment = Ufficio Ragioneria
path = /home/ragioneria
available = yes
browsable = yes
read only = no
guest ok = no
force user = rag1, rag2, rag3
force group = ragioneria
[riunioni]
comment = Ufficio Riunioni
path = /home/riunioni
available = yes
browsable = yes
read only = no
guest ok = no
force user = mag1, pers1, rag1
force group = riunioni
Salvo il file smb.conf e controllo la configurazione
# testparm
Restarto il servizio di samba
# /etc/init.d/samba restart
Il server riparte correttamente quando entro sulla rete nel gruppo di lavoro "DITTA"
da windows e clicco sul PC (Debian Server) mi visualizza le seguenti cartelle:
Nome Commenti
---------------------- -------------------------------------------------
Debian Server (server) Debian Server
Nome Commenti
---------------------- -------------------------------------------------
documenti Documenti Ditta
magazzino Ufficio Magazzino
personale Ufficio Personale
pubblica Cartella Pubblica
ragioneria Ufficio Ragioneria
riunioni Ufficio Riunioni
Stampanti e fax Mostra le stampanti e le stampanti fax installate
Entro da windows con utente samba
- documenti - leggo i files ma non li modifico. [ O K ]
- magazzino - Messaggio Impossibile accedere \\Server\Magazzino [ O K ]
- personale - Messaggio Impossibile accedere \\Server\Personale [ O K ]
- pubblica - leggo modifico e cancello i files. [ O K ]
- ragioneria - Messaggio Impossibile accedere \\Server\Ragioneria [ O K ]
- riunioni - Messaggio Impossibile accedere \\Server\Riunioni [ O K ]
- samba - leggo modifico e cancello i files. [ O K ]
Entro da windows con utente rag1
- documenti - leggo i files ma non li modifico. [ O K ]
- magazzino - Messaggio Impossibile accedere \\Server\Magazzino [ O K ]
- personale - Messaggio Impossibile accedere \\Server\Personale [ O K ]
- pubblica - leggo modifico e cancello i files. [ O K ]
- ragioneria - leggo modifico e cancello i files. [ O K ]
- rag1 - leggo modifico e cancello i files. [ O K ]
- riunioni - leggo modifico e cancello i files. [ O K ]
INCREDIBILE
Sembra funzionare, cosa mi consigliate di migliorare nel file smb.conf
Grazie per la pazienza
Gio, 07/29/2010 - 15:27
#7
Mi pongo una domanda la pertizione /home è di tipo ext3. Ho notato che durante la prima connessione su una cartella condivisa "sembra" lento poi l'accesso alle successive cartelle sembra più veloce.
Ho letto http://www.stenoweb.it/node/195 che un file system xfs risulterebbe più veloce
per gestire le acl (se chmod 700 utente riguarda le acl...)
formattando /home con xfs
mkfs -t xfs -f /dev/sdb1 -i size=512 -l size=128m
Cosa mi consigliate?
Grazie
Gio, 07/29/2010 - 18:22
#8
Ho usato una soluzione diciamo di "fantasia"
Su un pc windows xp pro ho messo nel file hosts i vari pc
C:\WINDOWS\system32\drivers\etc\hosts
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows.
#
# Questo file contiene la mappatura degli indirizzi IP ai nomi host.
# Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe
# trovarsi nella prima colonna seguito dal nome host corrispondente.
# L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio
# o punto di tabulazione.
#
# È inoltre possibile inserire commenti (come questi) nelle singole righe
# o dopo il nome del computer caratterizzato da un simbolo '#'.
#
# Per esempio:
#
# 102.54.94.97 rhino.acme.com # server origine
# 38.25.63.10 x.acme.com # client host x
127.0.0.1 localhost
192.168.1.11 pc-1
192.168.1.12 pc-2
192.168.1.13 pc-3
Gio, 07/29/2010 - 19:39
#9
La soluzione del file host è troppo grezza xD Non mi piace per niente.
Per quanto riguarda il filesystem io sto lavorando con XFS su RAID 1 con due dischi da 1 TB a casa. Con XFS mi trovo da signore, e una volta ha avuto un accenno ad un crash e mi ha recuperato tutti i files integri come nuovi ;) Un portento insomma.
Al massimo per velocizzare la LAN perchè non configuri anche BIND con aggiornamento protetto; dato che ci sei fai fare il lavoro completo e fai lavorare con DHCP3 + BIND e vedrai la differenza di lavoro in LAN. Non rimpiango più Win server 2008 R2 da quando ho fatto così ;)
Ciauz
Sab, 07/31/2010 - 14:29
#10
So che è grezza ma è stata l'unica cosa che mi è riuscita
Ti schematizzo lo schema di rete della ditta
MODEM ADSL
SWITCH 16 PORTE 10/100
+ PC-WIN (Win Xp Pro)
+ PC-M1 (Win Xp Pro mag1)
+ PC-M2 (Win Xp Pro mag2)
+ PC-M3 (Win Xp Pro mag3)
+ PC-P1 (Win Xp Pro pers1)
+ PC-P2 (Win Xp Pro pers2)
+ PC-P3 (Win Xp Pro persg3)
+ PC-R1 (Win Xp Pro rag1)
+ PC-R2 (Win Xp Pro rag2)
+ PC-R3 (Win Xp Pro rag3)
+ SERVER (Debian 5.0.5 - attualmente "solo" prova)
+ STAMPANTE-RAG (di RETE)
+ STAMPANTE-MAG (di RETE)
+ STAMPANTE-PERS (di RETE)
Come firewall uso quello di xp, e sul PC-WIN uso come proxy "free proxy" e EasyPHP per far girare alcuni software web.
Più di questo, per ora mi sembra utopia
Ciao
- Login o registrati per inviare commenti
Ciao bruno72, e grazie per aver scelto SI come riferimento ;) Paolo ne sarà contento e ne terrà conto lulz
Tornando al tuo problema direi che i primi due punti sono di facile implementazione, eventualmente se cè qualcosa di poco chiaro esplica meglio quali sono i tuoi dubbi in merito così vediamo di chiarirli con calma e metodo "scientifico" oppure passandoti qualche link utile per capire meglio il procedimento ;)
Per quanto riguarda la partizione dedicata, io per esempio ho optato per 2 dischi su Scheda Raid Sata da 1TB all'uno, formattati con un filesystem dedicato che secondo me è il migliore presente per ora su Unix. Ho optato per questa decisione appunto solo per i dati e i profili utente per dividere fisicamente sistema da Dati in caso di disastri ;)
A te la scelta in quanto queste sono così più o meno soggettive in base alla tua esperienza/e precedenti soprattutto.
Per il terzo punto, almeno IMHO riterrei inutile disabilitare shell e password; andrebbe contro il senso del creare un server LDAP con tanto di dominio, la shell ancora ancora ma la password no. Insomma diventerebbe inutile creare un PDC quando gli utenti sono settati come un normale utente guest su quale non hai vincoli di accesso.
Il compito di un DC è proprio quello del controllo degli accessi e della definizioni di policies per ogni utente / gruppo presente nell'UO; renderli attivi senza password non avrebbre senso visto che poi non potrebbero nemmeno aggiornarla in caso di "ipotetico furto di password" o in caso di scadenza della medesima (se definito da policy su samba); e visto che chiunque potrebbe avere accesso senza autenticarsi alle singole share.
Per quanto riguarda i gruppi direi che un'occhiata al samba RID & GID Mapping(googlando trovi diversa roba e poi semmai chiedi quello che ti torna meno chiaro che vediamo di approfondirlo) ti può venire utile.(avevo chiesto esplicazioni anch'io sul forum ma in merito al rendere root illimitato come domain admin nel dominio utilizzandolo dai client Windows).
Il punto ultimo, direi che anche li la roba è soggettiva. Salvare il smb.conf è sicuramente utile in caso ti servisse una traccia per riprodurre l'ambiente che stai creando ora su quella macchina, e quindi sicuramente non fa mai male salvare i files di configurazione in caso di problemi a seguito di modifiche o esperimenti; tuttavia non ha nessuna utilità per quanto riguarda la definizione di utenti/gruppi e permessi alle cartelle in quanto gli utenti poi sono dentro al contenitore samba e i permessi devono essere settati a manina sulle varie condivisioni specificate da smb.conf e che puntano alle cartelle fisiche create sul disco.
Se dovessi ricreare l'ambiente cartelle e permessi andrebbero comunque ridati ;)
Spero di esserti stato di aiuto
Ciauz
Coltiva linux che tanto windows si pianta da solo