{"id":1217,"date":"2015-06-16T11:31:58","date_gmt":"2015-06-16T09:31:58","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1217"},"modified":"2023-03-17T10:34:20","modified_gmt":"2023-03-17T09:34:20","slug":"inserire-una-macchina-linux-in-un-dominio-ad-con-samba-4","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1217","title":{"rendered":"Inserire una macchina linux in un dominio AD con samba 4"},"content":{"rendered":"

Pagina obsoleta sono cambiate alcune cose qui<\/a> la configurazione riveduta e corretta<\/p>\n

Ultimamente in azienda siamo passati a Samba 4 con AD come autenticatore di utenti e gestore di share.
\nMi son trovato a dover inserire un proxy in dominio AD, ci sono molti howto in rete ne ho letti diversi e questo e’ il risultato di quanto preso qui e la che mi ha risolto il problema, questo articolo \u00e8 relativo solo alla parte di samba per le configurazioni di proxy ne far\u00f2 un altro quando avro’ tempo.
\nAmmettiamo di avere una macchina debian stable base, vale a dire col default e un server ssh per poterci lavorare da remoto.
\nScenario:
\naudace.oceano.lan \u00e8 il proxy da joinare al dominio AD MYFIRM.LOCAL ha IP 192.168.2.1
\nurania.myfirm.local samba 4 \u00e8 primary kerberos server ha IP 192.168.2.227
\ndanaide.myfirm.local samba4 backup e secondary kerberos server ha ip 192.168.2.228
\nIl primo passo \u00e8 aggiungere i 2 host al file \/etc\/hosts, subito dopo installare Kerberos, ntpdate,samba,winbind.
\napt-get install samba krb5-user libpam-krb5 ntpdate winbind
\ne quindi sincronizzare l’ora con il proprio AD server
\nntpdate urania.myfirm.local<\/p>\n

un possibile risultato \u00e8 questo
\n18 Mar 09:46:22 ntpdate[4717]: step time server 192.168.2.227 offset -0.545435 sec
\nSvuotiamo il krb5.conf\u00a0 e modifichiamolo in modo tale che alla fine sia cos\u00ec
\nkrb5.conf<\/p>\n

[logging]
\ndefault = FILE:\/var\/log\/krb5libs.log
\nkdc = FILE:\/var\/log\/krb5kdc.log
\nadmin_server = FILE:\/var\/log\/kadmind.log<\/p>\n

[libdefaults]
\ndefault_realm = MYFIRM.LOCAL
\nticket_lifetime = 24h
\ndns_lookup_realm = false
\ndns_lookup_kdc = true
\n[realms]
\nMYFIRM.LOCAL = {
\nkdc = urania.myfirm.local:88
\nkdc = danaide.myfirm.local:88
\nadmin_server = urania.myfirm.local:749
\ndefault_domain = MYFIRM.LOCAL
\n}<\/p>\n

[domain_realm]
\n.myfirm.local = MYFIRM.LOCAL
\nmyfirm.local = MYFIRM.LOCAL
\nAttenzione le maiuscole hanno un senso e i realm vanno proprio scritti in maiuscolo.
\ntestiamo il kerberos con
\nroot@audace:\/etc# kinit administrator
\nPassword for administrator@MYFIRM.LOCAL: mettere qui la pw supersegreta del samba4 e dare invio
\nnessun errore? ok Murphy e’ distratto va bene cos\u00ec, con<\/p>\n

root@audace:\/etc# klist
\nabbiamo questo risultato che dice che tutto \u00e8 ok
\nTicket cache: FILE:\/tmp\/krb5cc_0
\nDefault principal: administrator@MYFIRM.LOCAL<\/p>\n

Valid starting Expires Service principal
\n18\/03\/2015 10:26:51 18\/03\/2015 20:26:51 krbtgt\/MYFIRM.LOCAL@MYFIRM.LOCAL
\nrenew until 19\/03\/2015 10:26:43
\nModifichiamo il smb.conf cos\u00ec:
\n[global]<\/p>\n

## Browsing\/Identification ###
\nserver string = PROXY
\nsecurity = ADS
\nrealm = MYFIRM.LOCAL
\nworkgroup = MYFIRM
\nencrypt passwords = yes
\nidmap uid = 10000-40000
\nidmap gid = 10000-20000
\nwinbind enum users = yes
\nwinbind enum groups = yes
\nwinbind separator = @
\nwinbind use default domain = yes
\nwinbind trusted domains only = yes
\nwinbind cache time = 3600
\ntemplate homedir = \/home\/%D\/%U
\ntemplate shell = \/bin\/bash
\n# stop the client from becoming domain master
\ndomain master = no
\nlocal master = no
\npreferred master = no
\nos level = 0
\ndomain logons = no
\nclient ntlmv2 auth = yes<\/p>\n

### per evitare di vedere gli errori di cups
\nload printers = no
\nshow add printer wizard = no
\nprinting = bsd
\nprintcap name = \/dev\/null
\ndisable spoolss = yes
\nRestarte samba e winbind quindi joinare al dominio con:
\nnet ads join -S AUDACE.MYFIRM.LOCAL -U administrator
\nEnter administrator’s password: inserire qui la pw supersegreta
\nUsing short domain name — MYFIRM
\nJoined ‘AUDACE’ to realm ‘myfirm.local’
\nDNS Update for audace.oceano.lan failed: ERROR_DNS_GSS_ERROR
\nDNS update failed!
\nE ti pareva… ma dopo aver guardato in internet si scopre che e’ tutto ok e che la prova del 9 \u00e8 questa:
\nroot@audace:\/etc\/samba# net ads testjoin
\nJoin is OK
\nQuindi ci siamo, ultima cosa da fare prima di installare squid3 \u00e8 mettere a posto i permessi di winbind, editiamo \/etc\/init.d\/winbind e sostituiamo la riga
\nchgrp winbindd_priv $PIDDIR\/winbindd_privileged\/ || return 1<\/p>\n

con<\/p>\n

chgrp proxy $PIDDIR\/winbindd_privileged\/ || return 1
\ne aggiungiamo questa riga immediatamente dopo<\/p>\n

chown root $PIDDIR\/winbindd_privileged\/ || return 1
\ne anche winbid \u00e8 a posto<\/p>\n

fonti:<\/p>\n

https:\/\/wiki.debian.org\/AuthenticatingLinuxWithActiveDirectory
\nhttp:\/\/community.spiceworks.com\/how_to\/1958-installing-squid-and-squidguard-with-transparent-active-directory-authentification<\/p>\n","protected":false},"excerpt":{"rendered":"

Pagina obsoleta sono cambiate alcune cose qui la configurazione riveduta e corretta Ultimamente in azienda siamo passati a Samba 4 con AD come autenticatore di utenti e gestore di share. Mi son trovato a dover inserire un proxy in dominio AD, ci sono molti howto in rete ne ho letti diversi e questo e’ il […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,13,11,6],"tags":[38,84,42,85],"class_list":["post-1217","post","type-post","status-publish","format-standard","hentry","category-linux","category-proxy","category-samba","category-work","tag-dansguardian","tag-samba4","tag-squid3","tag-tinyproxy"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1217"}],"version-history":[{"count":14,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1217\/revisions"}],"predecessor-version":[{"id":2275,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1217\/revisions\/2275"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1217"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}