Trust di due domini Samba: Difference between revisions
Jump to navigation
Jump to search
No edit summary |
mNo edit summary |
||
| (7 intermediate revisions by 2 users not shown) | |||
| Line 1: | Line 1: | ||
Per poter far accedere gli utenti di due domini diversi ai vicendevoli pdc sena riautenticarli, è necessario stabilire un trust tra i due domini. | Per poter far accedere gli utenti di due domini diversi ai vicendevoli pdc sena riautenticarli, è necessario stabilire un trust tra i due domini. | ||
'''ATTENZIONE:''' se i domini sono in due subnet differenti, bisogna attivare la propagazione wins come in [[Browsing di due domini in due subnet separate]] | '''ATTENZIONE:''' se i domini sono in due subnet differenti, bisogna attivare la propagazione wins come in [[Browsing di due domini in due subnet separate]] | ||
| Line 25: | Line 26: | ||
Prima si deve creare un account su crosrv01 per poter accogliere il dominio CROMEN: | Prima si deve creare un account su crosrv01 per poter accogliere il dominio CROMEN: | ||
net rpc trustdom add CROMEN | net rpc trustdom add CROMEN passwordditrust -I crosrv01 -Uadministrator%arabafenice | ||
Se dà l'errore: | Se dà l'errore: | ||
[2006/03/10 10:28:54, 0] utils/net_rpc.c:rpc_trustdom_add_internals(4422) | [2006/03/10 10:28:54, 0] utils/net_rpc.c:rpc_trustdom_add_internals(4422) | ||
Could not set trust account password: NT_STATUS_ACCESS_DENIED | Could not set trust account password: NT_STATUS_ACCESS_DENIED | ||
Ripetere il comando precedente | |||
Verificare che sia stato creato l'account unix: | Verificare che sia stato creato l'account unix: | ||
| Line 38: | Line 41: | ||
Verificare l'account Samba: | Verificare l'account Samba: | ||
pdbedit -Lw CROMEN\$ | sudo pdbedit -Lw CROMEN\$ | ||
cromen$:1117:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[DU ]:LCT-00000000: | cromen$:1117:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[DU ]:LCT-00000000: | ||
Il problema è che l'account è disabilitato, ed è un account user. | Il problema è che l'account è disabilitato, ed è un account user perchè c'è la U in [DU ]. | ||
Abilitarlo, | Abilitarlo, reinserendo la passwordditrust: | ||
smbpasswd -e cromen\$ | sudo smbpasswd -e cromen\$ | ||
New SMB password: | New SMB password: | ||
Retype new SMB password: | Retype new SMB password: | ||
Enabled user cromen$. | Enabled user cromen$. | ||
Trasformarlo in account di '''I'''nterdomani Trust: | Trasformarlo in account di '''I'''nterdomani Trust: | ||
smbpasswd -ei cromen | sudo smbpasswd -ei cromen | ||
Enabled user cromen$. | Enabled user cromen$. | ||
Verificarlo: | Verificarlo: | ||
pdbedit -Lw CROMEN\$ | sudo pdbedit -Lw CROMEN\$ | ||
cromen$:1117:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:[I ]:LCT-441153B0: | cromen$:1117:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:[I ]:LCT-441153B0: | ||
| Line 62: | Line 64: | ||
<pre> | <pre> | ||
net rpc trustdom list -Uadministrator%arabafenice | net rpc trustdom list -I crosrv01 -Uadministrator%arabafenice | ||
Trusted domains list: | Trusted domains list: | ||
| Line 78: | Line 80: | ||
== Attivazione del TRUST == | == Attivazione del TRUST == | ||
Sul PDC1, | Sul PDC1, attivare il trust. | ||
'''ATTENZIONE''': LA PRIMA PASSWORD RICHIESTA È QUELLA DI SUDO, LA SECONDA È QUELLA DI TRUST: | |||
<pre> | <pre> | ||
net rpc trustdom establish CROMEN | sudo net rpc trustdom establish CROMEN | ||
Password: | |||
Password: | Password: | ||
Could not connect to server CROSRV02 | Could not connect to server CROSRV02 | ||
| Line 100: | Line 105: | ||
</pre> | </pre> | ||
Sul PDC2 | Sul PDC2 ripetere la stessa cosa: | ||
<pre> | <pre> | ||
net rpc trustdom establish CROSS | sudo net rpc trustdom establish CROSS | ||
Password: | |||
Password: | Password: | ||
Could not connect to server CROSRV01 | Could not connect to server CROSRV01 | ||
| Line 127: | Line 133: | ||
Cioè gli account di un dominio valgono anche in quello di un altro. | Cioè gli account di un dominio valgono anche in quello di un altro. | ||
== Installazione di Winbind per la gestione degli account remoti == | |||
Se non si usa winbind, quando si vogliono applicare dei diritti con gruppi o utenti trustati, il sistema non saprà come gestirli, e quindi li scarterà. | |||
Occorre usare winbind, su tutti e due i PDC: | |||
Installarlo | |||
sudo apt-get install winbind | |||
Modificare il file che dice di usarlo: | |||
<pre> | |||
sudoedit /etc/nsswitch.conf | |||
... | |||
passwd: compat winbind | |||
group: compat winbind | |||
... | |||
</pre> | |||
Aggiornare le librerie: | |||
sudo /sbin/ldconfig -v | grep winbind | |||
libnss_winbind.so -> libnss_winbind.so.2 (changed | |||
Mettere i parametri in smb.conf: | |||
<pre> | |||
sudoedit /etc/samba/samba.conf | |||
[global] | |||
# use uids from 10000 to 20000 for domain users | |||
idmap uid = 10000-20000 | |||
# use gids from 10000 to 20000 for domain groups | |||
idmap gid = 10000-20000 | |||
# allow enumeration of winbind users and groups | |||
winbind enum users = yes | |||
winbind enum groups = yes | |||
# give winbind users a real shell (only needed if they have telnet access) | |||
#template homedir = /home/winnt/%D/%U | |||
#template shell = /bin/bash | |||
</pre> | |||
Restartare samba e winbind: | |||
sudo /etc/init.d/samba restart; sudo /etc/init.d/winbind restart | |||
Controllare che listi gli account remoti: | |||
<pre> | |||
wbinfo -u | |||
CROSS\milko.radicioni | |||
CROSS\arcserve | |||
CROSS\mario.corrado | |||
CROSS\maria.savorelli | |||
CROSS\dataentry | |||
CROSS\luca.loprete | |||
CROSS\silvia.rossi | |||
CROSS\silvia.ranni | |||
CROSS\mara.lepori | |||
CROSS\guest | |||
CROSS\paola.fasola | |||
CROSS\monitor | |||
CROSS\at-105 | |||
CROSS\at-104 | |||
CROSS\nadege.lods | |||
CROSS\elisabetta.zuccato | |||
CROSS\andrea.distefano | |||
CROSS\valeria.campi | |||
CROSS\paola.nessi | |||
CROSS\rosamaria.degiorgi | |||
CROSS\roberto.pigozzo | |||
CROSS\gabriele.vivinetto | |||
CROSS\tempadmin | |||
CROSS\antonio.rusca | |||
CROSS\nicola.maltone | |||
CROSS\administrator | |||
</pre> | |||
== Riferimenti == | == Riferimenti == | ||
*[http://it.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#id2568619 SAMBA HOWTO: Interdomain Trusts] | *[http://it.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html#id2568619 SAMBA HOWTO: Interdomain Trusts] | ||
*[http://www.samba.org/samba/docs/man/Samba3-HOWTO/winbind.html SAMBA HOWTO: Winbind Use of Domain Accounts] | |||
*[http://www.linuxtopia.org/online_books/network_administration_guides/samba_reference_guide/20_NetCommand_20.html Samba Administration Guide - Interdomain Trusts] | |||
*[http://www-curri.u-strasbg.fr/documentation/calcul/doc/ProPack/3SP1/docs/doc/samba-3.0.2/docs/htmldocs/InterdomainTrusts.html Samba HOWTO Collection - Chapter 16. Interdomain Trust Relationships] | |||
*[http://lists.samba.org/archive/samba/2004-December/097402.html [Samba] Trusted domain problem (maybe networking)] | |||
Latest revision as of 17:09, 17 June 2008
Per poter far accedere gli utenti di due domini diversi ai vicendevoli pdc sena riautenticarli, è necessario stabilire un trust tra i due domini.
ATTENZIONE: se i domini sono in due subnet differenti, bisogna attivare la propagazione wins come in Browsing di due domini in due subnet separate
Si supponga che :
LAN1: Dominio CROSS, PDC crosrv01
LAN2: Dominio CROMEN, PDC crosrv02
Attivazione del primo trusting account
Verificare che non ci siano altre relazioni di trust:
net rpc trustdom list -Uadministrator%arabafenice Trusted domains list: none Trusting domains list: none
Prima si deve creare un account su crosrv01 per poter accogliere il dominio CROMEN:
net rpc trustdom add CROMEN passwordditrust -I crosrv01 -Uadministrator%arabafenice
Se dà l'errore:
[2006/03/10 10:28:54, 0] utils/net_rpc.c:rpc_trustdom_add_internals(4422) Could not set trust account password: NT_STATUS_ACCESS_DENIED
Ripetere il comando precedente
Verificare che sia stato creato l'account unix:
cat /etc/passwd | grep 'cromen\$' cromen$:x:1117:100::/home/cromen$:
Verificare l'account Samba:
sudo pdbedit -Lw CROMEN\$ cromen$:1117:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[DU ]:LCT-00000000:
Il problema è che l'account è disabilitato, ed è un account user perchè c'è la U in [DU ].
Abilitarlo, reinserendo la passwordditrust:
sudo smbpasswd -e cromen\$ New SMB password: Retype new SMB password: Enabled user cromen$.
Trasformarlo in account di Interdomani Trust:
sudo smbpasswd -ei cromen Enabled user cromen$.
Verificarlo:
sudo pdbedit -Lw CROMEN\$ cromen$:1117:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:[I ]:LCT-441153B0:
Verificare ora se CROMEN appare nella lista dei trusting domains:
net rpc trustdom list -I crosrv01 -Uadministrator%arabafenice Trusted domains list: none Trusting domains list: CROMEN S-1-5-21-554765556-2967324569-2728440080
Se si usa User Manager for domains, ora lo si vede anche lì in Policies ... Trust Relationships (certo che non funzionava crearlo da lì...)
Fare la stessa cosa sul PDC2
Attivazione del TRUST
Sul PDC1, attivare il trust.
ATTENZIONE: LA PRIMA PASSWORD RICHIESTA È QUELLA DI SUDO, LA SECONDA È QUELLA DI TRUST:
sudo net rpc trustdom establish CROMEN Password: Password: Could not connect to server CROSRV02 Trust to domain CROMEN established
Verificare:
net rpc trustdom list -Uadministrator%arabafenice Trusted domains list: CROMEN S-1-5-21-554765556-2967324569-2728440080 Trusting domains list: CROMEN S-1-5-21-554765556-2967324569-2728440080
Sul PDC2 ripetere la stessa cosa:
sudo net rpc trustdom establish CROSS Password: Password: Could not connect to server CROSRV01 Trust to domain CROSS established
Verificare:
net rpc trustdom list -Uadministrator%muuocugd Trusted domains list: CROSS S-1-5-21-2127181584-2096053586-1845911597 Trusting domains list: CROSS S-1-5-21-2127181584-2096053586-1845911597
Ora è possibile accedere ad entrambi i domini senza che venga richiesta la password, se si è autenticati in uno.
Cioè gli account di un dominio valgono anche in quello di un altro.
Installazione di Winbind per la gestione degli account remoti
Se non si usa winbind, quando si vogliono applicare dei diritti con gruppi o utenti trustati, il sistema non saprà come gestirli, e quindi li scarterà.
Occorre usare winbind, su tutti e due i PDC:
Installarlo
sudo apt-get install winbind
Modificare il file che dice di usarlo:
sudoedit /etc/nsswitch.conf ... passwd: compat winbind group: compat winbind ...
Aggiornare le librerie:
sudo /sbin/ldconfig -v | grep winbind
libnss_winbind.so -> libnss_winbind.so.2 (changed
Mettere i parametri in smb.conf:
sudoedit /etc/samba/samba.conf [global] # use uids from 10000 to 20000 for domain users idmap uid = 10000-20000 # use gids from 10000 to 20000 for domain groups idmap gid = 10000-20000 # allow enumeration of winbind users and groups winbind enum users = yes winbind enum groups = yes # give winbind users a real shell (only needed if they have telnet access) #template homedir = /home/winnt/%D/%U #template shell = /bin/bash
Restartare samba e winbind:
sudo /etc/init.d/samba restart; sudo /etc/init.d/winbind restart
Controllare che listi gli account remoti:
wbinfo -u CROSS\milko.radicioni CROSS\arcserve CROSS\mario.corrado CROSS\maria.savorelli CROSS\dataentry CROSS\luca.loprete CROSS\silvia.rossi CROSS\silvia.ranni CROSS\mara.lepori CROSS\guest CROSS\paola.fasola CROSS\monitor CROSS\at-105 CROSS\at-104 CROSS\nadege.lods CROSS\elisabetta.zuccato CROSS\andrea.distefano CROSS\valeria.campi CROSS\paola.nessi CROSS\rosamaria.degiorgi CROSS\roberto.pigozzo CROSS\gabriele.vivinetto CROSS\tempadmin CROSS\antonio.rusca CROSS\nicola.maltone CROSS\administrator
Riferimenti
- [Samba Trusted domain problem (maybe networking)]