[Soci SLIP] AGGIUNGERE UN CLIENT UBUNTU AD UN DOMINIO WINDOWS
GESTITO CON ACTIVE DIRECTORY
Lucio Crusca
lucio a sulweb.org
Mar 3 Giu 2014 11:05:40 CEST
In data martedì 3 giugno 2014 10:36:02, Davide Corio ha scritto:
> On 03/06/14 10:26, Giampiero Marconetto wrote:
> > Qualcuno di voi ha già usato questa procedura ? Oppure ne esistono altre
> > ? Se SI ci posso essere problemi con i client e/o con il server windows ?
>
> E' fattibilissimo, ma non senza sforzo.
>
> l'autenticazione su AD non è un problema. ubuntu ha dei meta pacchetti
> che agevolano la configurazione.
> i problemi nascono nella configurazione dello storage per le home degli
> utenti, profili di stampa, etc etc...
>
> ne aveva parlato Lucio poco tempo fa se non erro.
Sì, qui:
http://mailman.pinerolo.linux.it/pipermail/soci/2014-April/023803.html
ma ho degli aggiornamenti, perché nel frattempo ho portato a termine quel
lavoro.
Primo: "fattibilissimo" in questo caso non è una parola grossa, ma enorme.
Dipende da quel che vuoi fare. Se ti basta l'autenticazione nel dominio,
allora è pure semplice e basta installare PBIS Open (ex Likewise Open) e
seguire le istruzioni della procedura trovata da Giampiero.
Se per disgrazia vuoi avere qualcosa di simile (e comunque non equivalente) ai
roaming profiles anche sui client Linux, potresti pensare alla home montata su
NFS: semplice da configurare sui client, ma per qualche motivo che nessuno ha
ancora saputo spiegare, PBIS assegna id differenti allo stesso utente fra login
successivi, di conseguenza la sua home su NFS che usa come proprietario dei
files l'ID numerico dell'utente non funziona. PBIS diventa quindi un'opzione da
escludere e ti trovi a configurare l'autenticazione kerberos a mano...
Avere i roaming profiles veri e propri invece significa sostanzialmente
configurarsi pam_script in modo che faccia un rsync al login ed al logout, con
codice scritto da te (non esiste nulla di già fatto) e quello è il primo
problema. Il secondo è che configurare pam per usare pam_script non è banale,
né esiste una procedura ripetibile che funzioni su tutte le distro senza
accorgimenti specifici, quindi ogni nuovo client linux, prima di poter usare i
roaming profiles, deve passare da una procedura di configurazione che non si può
delegare all'utente stesso, ma ci vuole un sistemista pure bravo.
La mia soluzione è stata usare la home su NFS, ma mandare a quel paese Samba 4
e fare un dominio non active directory con Samba 3. Perché?
1. perché nel mio caso non servivano le group policies (in pratica era
sufficiente un PDC stile NT4)
2. perché su Samba 4 non c'è più l'opzione "unix password sync", ovviamente,
dato che l'autenticazione è gestita da kerberos, ma questo fatto mi
costringeva a configurare a mano l'autenticazione dei client Linux su kerberos,
per quanto detto prima (problema dell'ID utente).
3. grazie a "unix password sync" di samba3, ho la garanzia di avere il file
/etc/passwd ed /etc/shadow sempre allineato con gli utenti del dominio. Mi
sono bastati due script che distribuissero ai client degli estratti di tali
files (e di /etc/group) per avere l'autenticazione standard di Linux come se
fosse sul dominio, con la home su NFS.
Chiaramente la mia soluzione fa acqua da tutte le parti, soprattutto dal punto
di vista della sicurezza (il file /etc/shadow distribuito!). Nel mio caso
andava bene così, il dominio serviva più per ragioni di comodità che di
sicurezza e comunque per trovare la password di un altro utente tramite
/etc/shadow è necessario che la password sia debole e che l'attaccante sappia
usare John The Ripper o qualcosa di analogo.
Appena ho tempo comunque ci scrivo un howto e pubblico gli script che ho
fatto, penso che sia una buona soluzione per le piccole realtà dove avere il
dominio è più un legittimo capriccio che una reale ed irrinunciabile
necessità.
Maggiori informazioni sulla lista
Soci