GiorgioRavera.it

il mio blog: ciò che penso e faccio, trucchi di programmazione, linux, reti e molto altro

giovedì, 17 Settembre 2015

Autenticare samba su LDAP (no controller di dominio)

Informatica, Servizi, by Giorgio.

Un saluto a tutti.

vi propongo una soluzione ad un problema che avevo alcuni giorno fa.

Ho 2 server, entrambi linux. Su uno dei due ho configurato LDAP per autenticare gli utenti, l’altro è semplicemente client.

Mediante il tool nslcd gli utenti configurati nel database LDAP accedono ad entrambe le macchine. Mediante samba la cosa è leggermente più complessa.

Siccome non avevo intenzione di gestire la cosa a livello di dominio nt, ho configurato entrambe le macchine con un samba standard indicando solamente come metodo di autenticazione LDAP anziché tdbsam.

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
passdb backend = tdbsam
passdb backend = ldapsam:ldaps://server
ldap suffix = dc=domain,dc=local
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=domain,dc=local
#ldap ssl = start tls
ldap ssl = no
ldap passwd sync = yes

fatto questo si riavvia samba.

Si noti che la connessione verso il server ldap è realizzata mediante SSL per garantire maggiore sicurezza.

Non è finita qui la cosa. Samba verifica che il server LDAP gestisca utenti appartenenti al proprio SID. Sarà quindi necessario impostare sul secondo server lo stesso SID del primo in cui è in esecuzione LDAP.

I comandi per leggere e settare il SID sono i seguenti:

net getlocalsid

net setlocalsid

In questo modo entrambi i server avranno lo stesso SID che corrisponderà al SID presente nelle entry relative agli utenti di LDAP.

Si può verificare che samba riesca ad accedere alla lista di utenti presenti su LDAP mediante il comando:

pdbedit -L -v

 

Se tutto è andato a buon fine su entrambi i server potrete accedere mediante le medesime credenziali.

Back Top