[Linuxtrent] Re: ssh active directory e cambio password al successivo login

• From: Enrico <enrico@xxxxxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Sat, 07 Nov 2015 17:05:12 +0100

On Saturday 07 November 2015 09:52:58 Marco Ciampa wrote:

On Fri, Nov 06, 2015 at 11:40:13PM +0100, Enrico wrote:

Ho tirato su un paio di scatolotti.
Uno funziona da Active Directory con Samba4
L'altro da server LTSP.
Sia il server ltsp che i client sono stati uniti al domain controller
mediante join.

Sono molto interessato a come hai fatto ambedue, mi puoi dire che guida
hai seguito così ci provo anche io e vedo se mi salta fuori il tuo stesso
errore?

Grazie!

--


Marco Ciampa

Di guide ne ho lette diverse. Mi sono basato fondamentalmente sul samba wiki

Ti riassumo brevemente quel che ho fatto

SERVER AD
Ho installato samba smbclient cups
Ho aggiunto poi heimdal-clients, perché mi sembra di ricordare che samba4 non
usa il kerberos MIT, ma Heimdal

l'installazione di samba4 crea un file /etc/samba/smb.conf, che io ho
rinominato in /etc/samba/smb.conf.orig, altrimenti non si riesce a fare il
provisioning

Per fare il provisioning ho utilizzato
# samba-tool domain provision --use-rfc2307 --use-xattrs=yes --interactive
Come dns ho usato quello interno di samba. Ho fatto pure una prova con bind,
ma secondo me se non si hanno particolari esigenze non ne vale la pena
Durante il provisioning gli devi dire di usare un forwarder dns per gli
indirizzi che samba non concosce, sia che siano esterni, sia della tua rete ma
eventualmente posti in un'altra zona.

Ho modificato /etc/ntp.conf, come da guida archlinux
https://wiki.archlinux.org/index.php/Samba_4_Active_Directory_domain_controller,

aggiungendo
# Location of the update directory
ntpsigndsocket /var/lib/samba/ntp_signd/

e

# Restrictions
restrict default kod limited nomodify notrap nopeer mssntp

Ho creato /var/lib/ntp/samba/ntp_signd e settato i permessi:
# install -d /var/lib/samba/ntp_signd
# chown root:ntp /var/lib/samba/ntp_signd
# chmod 0750 /var/lib/samba/ntp_signd

Infine, ho dovuto riavviare la macchina, altrimenti samba dava sempre errori e
non accettava connessioni.

Ho scoperto che il dns samba non ha di default la reverse-zone, al che l'ho
generata io
# samba-tool dns zonecreate ad.epdavvocati.locale 0.168.192.in-addr.arpa -U
Administrator

Così già funziona.
Se Ti interessa Ti dico pure la parte sul dhcp e l'aggiornamento dinamico del
dns.


SERVER LTSP

Prima ho provato che tutto funzionasse con una normale macchina, sulla quale
ho installato X, kde e le altre applicazioni a me necessarie.
Ho inoltre installato samba smbclient heimdal-clients winbind libnss-winbind
libpam-winbind libpam-heimdal
Questo il mio smb.conf

[global]
security = ads
realm = INT.PDAVVOCATI.LOCAL
password server = 192.168.0.253
workgroup = EPDAVVOCATI
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
winbind use default domain = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0

Ho modificato /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat

ed ho aggiunto a /etc/pam.d/common-session questa riga:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

A questo punto ho fatto il join della macchina nel dominio
# net ads join -U Administrator

Fatto il join ho testato che la macchina linux avesse accesso alle utenze
active directory
# getent passwd
# getent group

Sul server LTSP, come già detto, tutto funziona perfettamente.
Ci si autentica, si cambia la password, si riceve il messaggio che è
necessario cambiare la password al primo login se così impostato sia da shell
che da kde.

L'unico problema sta nell'uso di ssh e, quindi, per i clients ltsp.
In tal caso, non mi è stato possibile impostare il cambio della password al
successivo login perché winbind genera un processo winbindd che sembra andare
in loop e succhia tutta la cpu.

ciao

Enrico



--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] ssh active directory e cambio password al successivo login
    • From: Enrico
  • [Linuxtrent] Re: ssh active directory e cambio password al successivo login
    • From: Marco Ciampa

Other related posts:

• » [Linuxtrent] ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Marco Ciampa
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Roberto Resoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- azazel
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Mauro Colorio
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Diaolin
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login - Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- azazel
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Roberto Resoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- azazel
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Diaolin
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Diaolin
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Diaolin
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Daniele Piccoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Roberto Resoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Daniele Piccoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Diaolin
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Roberto Resoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Daniele Piccoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Daniele Piccoli
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Enrico
• » [Linuxtrent] Re: ssh active directory e cambio password al successivo login- Roberto Resoli

1. Home
2. linuxtrent
3. Archive
4. 11-2015

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---