NB: Istruzioni e configurazioni valide per il dominio UNITN configurazione LDSS e per debian 10 detta anche Buster<\/p>\n
Macchina da mettere in dominio: \u00a0sci-ldtest.unitn.it \u00a0 192.168.121.30<\/p>\n
Server di Dominio e DNS:\u00a0dcunitn01.unitn.it 192.168.206.99\u00a0, dcunitn02.unitn.it\u00a0192.168.119.99<\/p>\n
Server delle home:\u00a0sci-aresw.unitn.it\u00a0192.168.131.2<\/p>\n
Installa i pacchetti:<\/p>\n
# apt-get install krb5-user samba chrony sssd adcli<\/pre>\nMetti UNITN.IT nel Default Kerberos realname:<\/p>\n
Configurazioni<\/h2>\n
Nome macchina:<\/h4>\n
NOTA<\/strong>: il nome meglio tutto minuscolo<\/p>\n
Diamo un nome appropriato alla nostra macchina editando il file \/etc\/hostname<\/strong><\/p>\n
sci-ldtest.unitn.it<\/pre>\nsistemiamo anche il file \/etc\/hosts<\/strong> che dovrebbe essere circa:<\/p>\n
127.0.0.1 localhost\r\n127.0.1.1 sci-ldtest.unitn.it sci-ldtest\r\n\r\n# The following lines are desirable for IPv6 capable hosts\r\n::1 localhost ip6-localhost ip6-loopback\r\nff02::1 ip6-allnodes\r\nff02::2 ip6-allrouters\r\n\r\n# Aggiungi questa riga se la machina non \u00e8 nel DNS\r\n#192.168.121.30 sci-ldDTest.unitn.it sci-ldDTest<\/pre>\nTime:<\/h4>\n
Chrony<\/strong>:<\/p>\n
Modifica le opzioni nel file \/etc\/chrony\/chrony.conf<\/strong> come segue:\r\n...\r\npool unitn.it iburst\r\n...<\/pre>\nKerberos:<\/h4>\n
Modifichiamo il il file \/etc\/krb5.conf<\/strong> lasciando solo le seguenti informazioni:<\/p>\n
[libdefaults]\r\n default_realm = UNITN.IT\r\n rdns = false\r\n dns_lookup_kdc = true\r\n\r\n[domain_realm]\r\n .unitn.it = UNITN.IT\r\n unitn.it = UNITN.IT<\/pre>\nDNS:<\/h4>\n
modifichiamo il file\u00a0\/etc\/resolv.conf<\/strong>\u00a0come segue:<\/p>\n
# Generated by NetworkManager\r\nsearch unitn.it\r\nnameserver 192.168.206.99\r\nnameserver 192.168.119.99<\/pre>\nSamba: ???????????<\/h4>\n
Modifichiamo il file\u00a0\/etc\/samba\/smb.conf<\/strong>\u00a0 nel seguente modo:<\/p>\n
[global]\r\nworkgroup = UNITN\r\nvfs objects = acl_xattr\r\nmap acl inherit = yes\r\n\r\nlog file = \/var\/log\/samba\/log.%m\r\nmax log size = 1000\r\nlogging = file\r\npanic action = \/usr\/share\/samba\/panic-action %d\r\n\r\n\r\n####### Authentication #######\r\n\r\n server role = standalone server\r\n map to guest = bad user\r\n\r\n#======================= Share Definitions =======================\r\nserver string = %h server (Samba %v)\r\nlog file = \/var\/log\/samba\/log.%m\r\nmax log size = 1000\r\n\r\n[Scratch]\r\npath = \/media\/Scratch\r\ncomment = S su %h\r\navailable = yes\r\nbrowseable = yes\r\nwritable = yes\r\npublic = yes<\/pre>\nNOTA<\/strong>: \u00a0la versione di samba di Debian 8 ha un bacco che richiede un comando in pi\u00f9 durante il join al dominio per sistemare il keytab.<\/p>\n
dalle versioni successive di samba ( es Ubuntu 16.04) basta modificare la riga del kerberos method come segue e tutto funziona:<\/p>\n
kerberos method = secrets and keytab<\/pre>\nsssd:<\/h4>\n
Crea il file\u00a0 \/etc\/sssd\/sssd.conf<\/strong>\u00a0 contenente:<\/p>\n
[sssd]\r\ndomains = unitn.it\r\nconfig_file_version = 2\r\nservices = nss, pam\r\n\r\n[nss]\r\nfilter_users = root,administrator\r\nfilter_groups = root,administrator\r\n\r\n[domain\/unitn.it]\r\nad_domain = unitn.it\r\nkrb5_realm = UNITN.IT\r\nid_provider = ad\r\nldap_id_mapping = True\r\nldap_idmap_default_domain_sid = S-1-5-21-343818398-764733703-1708537768\r\nldap_idmap_range_min = 10000\r\nldap_idmap_range_size = 1000000\r\nuse_fully_qualified_names = false\r\ndefault_shell = \/bin\/bash\r\nfallback_homedir = \/home\/%u\r\nldap_group_nesting_level = 0\r\nignore_group_members = true\r\naccess_provider = simple\r\nsimple_allow_groups = utenti servizio generic network di ateneo (ada)-(6789),utenti visiting,sci-auleusers,ing-auleusers\r\ndyndns_update = false\r\nkrb5_lifetime = 10h\r\nkrb5_renewable_lifetime = 7d\r\nkrb5_renew_interval = 2h\r\nad_maximum_machine_account_password_age = 0\r\nkrb5_ccname_template = \/tmp\/krb5cc_%U\r\nldap_user_email = mailNickname<\/pre>\nNOTA<\/strong>: Cambia i permessi del file in root:root 600<\/p>\n
<\/pre>\nNFS:<\/pre>\nModifica le opzioni nel file\u00a0\/etc\/default\/nfs-common<\/strong>\u00a0come segue:<\/p>\n
# Do you want to start the statd daemon? It is not needed for NFSv4.\r\nNEED_STATD=\r\n\r\n# Options for rpc.statd.\r\n# Should rpc.statd listen on a specific port? This is especially useful\r\n# when you have a port-based firewall. To use a fixed port, set this\r\n# this variable to a statd argument like: \"--port 4000 --outgoing-port 4001\".\r\n# For more information, see rpc.statd(8) or http:\/\/wiki.debian.org\/SecuringNFS\r\nSTATDOPTS=\r\n\r\n# Do you want to start the idmapd daemon? It is only needed for NFSv4.\r\nNEED_IDMAPD=\r\n\r\n# Do you want to start the gssd daemon? It is required for Kerberos mounts.\r\nNEED_GSSD= yes<\/strong><\/pre>\n<\/pre>\n<\/p>\n
A questo punto \u00e8 pi\u00f9 veloce fare un riavvio della macchina che riavvirare i singoli servizi!!!!!<\/p>\n
Join<\/h2>\n
Per testare l’autenticazione kerberos (facoltativo):<\/p>\n
kinit [domai_user]@UNITN.IT<\/pre>\nMettere la password e se non ci sono errori procedere con il join:<\/p>\n
adcli join -D unitn.it -U [Domain_Administrator]<\/strong> -S dcunitn01<\/strong> -H $(hostname --fqdn) -O \"OU=Linux,OU=LD,OU=Computers,OU=Scienze,OU=Unitn,dc=unitn,dc=it<\/strong>\" --user-principal<\/pre>\nsystemctl restart sssd.service\r\nsystemctl restart rpc-gssd.service<\/pre>\n<\/p>\n
Le parti in neretto vanno sostituite con i giusti valori a seconda dei casi…<\/p>\n
Prova ad eseguire il comando\u00a0klist -k per vedere cosa contiene il keytab<\/p>\n
Esegui il comando:<\/p>\n
timedatectl set-local-rtc 1<\/pre>\nPer fare un test fare un ssh con un utente di dominio alla macchina e vedere se logga:<\/p>\n
ssh [Domain_user]@localhost<\/pre>\nHome e software remoto<\/h2>\n
A questo punto se tutto \u00e8 andato bene possiamo montare le home\u00a0e le cartelle di rete\u00a0modificando il file \/etc\/fstab<\/strong>:<\/p>\n
192.168.121.3:\/mnt\/Linux \/usr\/LDSS nfs sec=sys 0 0\r\nsci-ares.unitn.it:\/home \/home nfs sec=krb5 0 0\r\n\/dev\/sda7 \/media\/Scratch ntfs-3g defaults,locale=en_EN.utf8 0 0\r\n\r\n<\/pre>\ne se tutto funziona con un mount -a si montano le home e il lavoro \u00e8 finito….<\/p>\n","protected":false},"excerpt":{"rendered":"
NB: Istruzioni e configurazioni valide per il dominio UNITN configurazione LDSS e per debian 10 detta anche Buster Attori: Macchina da mettere in dominio: \u00a0sci-ldtest.unitn.it \u00a0 192.168.121.30 Server di Dominio […]<\/p>\n","protected":false},"author":3,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-1026","post","type-post","status-publish","format-standard","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/posts\/1026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/comments?post=1026"}],"version-history":[{"count":7,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/posts\/1026\/revisions"}],"predecessor-version":[{"id":1105,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/posts\/1026\/revisions\/1105"}],"wp:attachment":[{"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/media?parent=1026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/categories?post=1026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/edulab.unitn.it\/tecnici\/wp-json\/wp\/v2\/tags?post=1026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}