[Soci SLIP] AGGIUNGERE UN CLIENT UBUNTU AD UN DOMINIO WINDOWS GESTITO CON ACTIVE DIRECTORY

[Lucio Crusca]

In data martedì 3 giugno 2014 10:36:02, Davide Corio ha scritto:
> On 03/06/14 10:26, Giampiero Marconetto wrote:
> > Qualcuno di voi ha già usato questa procedura ? Oppure ne esistono altre
> > ? Se SI ci posso essere problemi con i client e/o con il server windows ?
>
> E' fattibilissimo, ma non senza sforzo.
> 
> l'autenticazione su AD non è un problema. ubuntu ha dei meta pacchetti
> che agevolano la configurazione.
> i problemi nascono nella configurazione dello storage per le home degli
> utenti, profili di stampa, etc etc...
> 
> ne aveva parlato Lucio poco tempo fa se non erro.

Sì, qui:

http://mailman.pinerolo.linux.it/pipermail/soci/2014-April/023803.html

ma ho degli aggiornamenti, perché nel frattempo ho portato a termine quel 
lavoro.

Primo: "fattibilissimo" in questo caso non è una parola grossa, ma enorme. 
Dipende da quel che vuoi fare. Se ti basta l'autenticazione nel dominio, 
allora è pure semplice e basta installare PBIS Open (ex Likewise Open) e 
seguire le istruzioni della procedura trovata da Giampiero.

Se per disgrazia vuoi avere qualcosa di simile (e comunque non equivalente) ai 
roaming profiles anche sui client Linux, potresti pensare alla home montata su 
NFS: semplice da configurare sui client, ma per qualche motivo che nessuno ha 
ancora saputo spiegare, PBIS assegna id differenti allo stesso utente fra login 
successivi, di conseguenza la sua home su NFS che usa come proprietario dei 
files l'ID numerico dell'utente non funziona. PBIS diventa quindi un'opzione da 
escludere e ti trovi a configurare l'autenticazione kerberos a mano...

Avere i roaming profiles veri e propri invece significa sostanzialmente 
configurarsi pam_script in modo che faccia un rsync al login ed al logout, con 
codice scritto da te (non esiste nulla di già fatto) e quello è il primo 
problema. Il secondo è che configurare pam per usare pam_script non è banale, 
né esiste una procedura ripetibile che funzioni su tutte le distro senza 
accorgimenti specifici, quindi ogni nuovo client linux, prima di poter usare i 
roaming profiles, deve passare da una procedura di configurazione che non si può 
delegare all'utente stesso, ma ci vuole un sistemista pure bravo.

La mia soluzione è stata usare la home su NFS, ma mandare a quel paese Samba 4 
e fare un dominio non active directory con Samba 3. Perché?

1. perché nel mio caso non servivano le group policies (in pratica era 
sufficiente un PDC stile NT4)

2. perché su Samba 4 non c'è più l'opzione "unix password sync", ovviamente, 
dato che l'autenticazione è gestita da kerberos, ma questo fatto mi 
costringeva a configurare a mano l'autenticazione dei client Linux su kerberos, 
per quanto detto prima (problema dell'ID utente).

3. grazie a "unix password sync" di samba3, ho la garanzia di avere il file 
/etc/passwd ed /etc/shadow sempre allineato con gli utenti del dominio. Mi 
sono bastati due script che distribuissero ai client degli estratti di tali 
files (e di /etc/group) per avere l'autenticazione standard di Linux come se 
fosse sul dominio, con la home su NFS.

Chiaramente la mia soluzione fa acqua da tutte le parti, soprattutto dal punto 
di vista della sicurezza (il file /etc/shadow distribuito!). Nel mio caso 
andava bene così, il dominio serviva più per ragioni di comodità che di 
sicurezza e comunque per trovare la password di un altro utente tramite 
/etc/shadow è necessario che la password sia debole e che l'attaccante sappia 
usare John The Ripper o qualcosa di analogo.

Appena ho tempo comunque ci scrivo un howto e pubblico gli script che ho 
fatto, penso che sia una buona soluzione per le piccole realtà dove avere il 
dominio è più un legittimo capriccio che una reale ed irrinunciabile 
necessità.