[successivo] [precedente] [inizio] [fine] [indice generale] [violazione GPL] [translators] [docinfo] [indice analitico] [volume] [parte]


Capitolo 211.   Autenticazione di utenti MS-Windows con Samba

A partire dalla versione 2.0 è possibile configurare Samba come domain controller e autenticare gli utenti degli elaboratori clienti MS-Windows 95/98 sostituendo un servente MS-Windows NT/2000.

Con la versione 2.1 è stata data la possibilità di accreditare anche clienti MS-Windows NT.

Dalla versione 2.2, che è la più recente, Samba può accreditare anche clienti MS-Windows 2000/XP, partecipare a una ADS (Active directory service) ed è stato aggiunto il demone winbind che consente di usare un domain controller MS-Windows come servente per le utenze, allineando del tutto le utenze di GNU/Linux con quelle di MS-Windows e centralizzando la loro gestione su un solo sistema.

È sicuramente anche il caso di elencare ciò che Samba non può fare (almeno per il momento):

In questa sede viene presa in esame solo la configurazione di Samba come PDC per l'accreditamento di clienti MS-Windows 95/98/Me/NT.

Di seguito viene presentato un possibile file smb.conf con le definizioni necessarie affinché Samba sia un PDC:


[global]
   netbios name = ServerSamba
   workgroup = INF
   server string = Samba Server NT
   log file = /var/log/samba/%m.log
   max log file = 50
   security = user
   encrypt password = yes
   smb password file = /etc/samba/smbpasswd
   local master = yes
   preferred master = yes
   os level = 33
   domain master = yes
;
   domain logons = yes
;
#  script di accesso fisso per tutti
   logon script = logon.bat
#  oppure uno per ogni cliente
;  logon script = %m.bat
#  oppure uno per ogni utente
;  logon script = %U.bat 
; 
#  profili utenti  
   logon path =  \\ServerSamba\profile\%U

   
[netlogon]
   comment = Directory degli script di inizializzazione
   path = /home/netlogon
   read only = yes
   guest ok = yes
   browseable = no

[home]
   comment = Dir utente
   path = /home/%U
   browseable = yes
   writable = yes

[public]
   comment = Dir pubblica
   path = /home/public
   browseable = yes
   writable = yes
   public = yes
   create mask = 0777

211.1   Domain logons

È la direttiva che permette di configurare Samba come PDC in quanto lo imposta come servente di autenticazione di dominio.

211.2   Logon script

Samba consente l'esecuzione degli script di accesso di MS-Windows (.BAT o .CMD). Tali script vengono eseguiti sul cliente al momento della connessione di un utente al dominio ma sono memorizzati sul servente e vengono quindi trasferiti attraverso la rete. Ovviamente sono molto utili per impostare dinamicamente le configurazioni di rete per gli utenti quando si connettono.

L'opzione logon script permette appunto di indicare il nome dello script da eseguire quando l'utente si collega; come si vede dall'esempio può essere uno script unico, valido per tutti, oppure dipendente dal cliente o dal nome utente.

Sul servente GNU/Linux questi script vengono memorizzati nella directory indicata nella condivisione netlogon, che viene descritta più avanti.

Una cosa importante da ricordare è che gli script di accesso vengono eseguiti in ambiente MS-Windows e devono essere quindi scritti con righe terminanti con i caratteri di <CR> e <LF>, invece del solo <LF> di un sistema GNU/Linux.

L'esempio seguente di script di accesso, definisce un disco di rete W: su una condivisione di Samba:


   echo Connette disco di rete
   net use w: \\ServerSamba\dati

211.3   Logon path

In MS-Windows 95/98 ciascun utente può avere il proprio profilo comprendente informazioni sull'aspetto della scrivania grafica, sulle applicazioni che appaiono nel menù {Start}, sullo sfondo e altre ancora. Tale profilo può essere memorizzato direttamente su un elaboratore cliente e si chiama allora «profilo locale», oppure sul servente e si chiama «profilo di roaming», in quanto l'utente ha a disposizione sempre lo stesso ambiente anche spostandosi da un cliente all'altro.

La direttiva logon path viene usata per indicare dove vengono memorizzati i profili dei vari utenti.

211.4   Logon home e logon drive

Con logon home si indica la posizione della directory personale di un utente, che può essere diversa da quella indicata nella sezione homes.

Con logon drive, da usare solo in caso di clienti MS-Windows NT, si indica la lettera del disco su un client in cui vengono abbinate le directory personali indicate con logon home.

211.5   Sezione [netlogon]

In questa sezione viene configurata una condivisione speciale che serve a contenere gli script di accesso. La configurazione scelta nell'esempio (sola lettura, pubblica, non visibile alla scansione delle risorse) è dettata dal ruolo particolare che svolge.

211.6   Definizione delle utenze per macchina

Nel caso nella rete siano presenti dei clienti MS-Windows NT, per essi devono essere creati sul PDC i cosiddetti machine account in aggiunta alle utenze normali. Ovviamente, tali utenze speciali devono essere inserite sia come utenti Samba che come utenti del sistema GNU/Linux che ospita il servente. Tale operazione può essere fatta in modo automatico (direttiva add user illustrata in precedenza) oppure manualmente, con i seguenti comandi:


   /usr/sbin/useradd -d /dev/null -g 100 -c"descrizione_dell'elaboratore_client"  (segue)
  -s /bin/false nome_elaboratore$ passwd -l nome_elaboratore$ smbpasswd -a -m nome_elaboratore

È necessario prestare attenzione al carattere $ alla fine del nome della macchina nel primo e nel secondo comando.
Il secondo comando permette di bloccare la parola d'ordine di quell'utente fittizio.
Con il terzo comando si definisce l'utente nome_elaboratore per Samba grazie all'opzione -m.


Dovrebbe essere possibile fare riferimento a questa pagina anche con il nome autenticazione_di_utenti_ms_windows_con_samba.html

[successivo] [precedente] [inizio] [fine] [indice generale] [violazione GPL] [translators] [docinfo] [indice analitico]