{"id":1566,"date":"2019-03-21T14:31:56","date_gmt":"2019-03-21T13:31:56","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1566"},"modified":"2019-03-21T14:31:56","modified_gmt":"2019-03-21T13:31:56","slug":"vedetta","status":"publish","type":"post","link":"http:\/\/clark.tipistrani.it\/?p=1566","title":{"rendered":"Vedetta"},"content":{"rendered":"<p>Vedetta \u00e8 la seconda macchina realizzata ed \u00e8 l&#8217;AD-DC della mini LAN.<br \/>\nPoich\u00e9 far\u00e0 solo da AD-DC non necessita di particolari spazi, il disco da 20 GB \u00e8 stato cos\u00ec partizionato<br \/>\n2 gb swap<\/p>\n<p>16 gb \/<\/p>\n<p>2 gb \/samba<br \/>\nCi sono diverse considerazioni da fare sulla scelta di avere una macchina che contrariamente a quanto si faceva un tempo provvede solo all&#8217;autenticazione degli utenti e alla gestione delle policy globali, con l&#8217;avvento della virtualizzazione \u00e8 diventato facile avere tante macchine piccole che fanno ognuna una cosa, questo vuol dire sostanzialmente macchine semplici da fare e gestire, di contro se prima si avevano due macchine per esempio che coprivano interamente le necessit\u00e0 aziendali oggi si corre il rischio di averne una ventina, per\u00f2 e torniamo al discorso della semplicit\u00e0 una macchina che fa solo ed esclusivamente una cosa (o due-tre) e&#8217; meno facile che si &#8220;inchiodi&#8221; ed \u00e8 infinitamente pi\u00f9 semplice fare troubleshooting, inoltre anche ipotizzando che non ne vieni fuori tirare in piedi una macchina sostitutiva non \u00e8 un grosso lavoro, nello specifico parlando di samba ipotizzando che per un motivo qualsiasi la macchina AD-DC vada offline per un periodo di tempo lungo il DC di supporto provvede all&#8217;autenticazione e il samba share che sostanzialmente fa solo quello continua a lavorare senza neanche accorgersi, se invece ho nello stesso cesto sia i dati che la parte di autenticazione e qualcosa va storto sono fermo, inoltre chiudendo il discorso una macchina virtuale pu\u00f2 essere dumpata facilmente, un conto \u00e8 fare restore di\u00a0 10 gb un altro di magari 1 tb.<br \/>\nLa prima cosa da fare sulla macchina che sar\u00e0 il cuore del dominio \u00e8 sistemare il resolv.conf che dovr\u00e0 diventare una cosa del genere:<\/p>\n<p>search MYFIRM.LAN oceano.lan<br \/>\nnameserver 192.168.2.205 #se stessa<br \/>\nnameserver 192.168.2.203 #il DNS vero e proprio in questo caso alghero<\/p>\n<p>Si passa a generare l&#8217;AD vero e proprio<\/p>\n<p># samba-tool domain provision &#8211;use-rfc2307 &#8211;interactive<br \/>\nRealm [OCEANO.LAN]: MYFIRM.LAN<br \/>\nDomain [MYFIRM]:<br \/>\nServer Role (dc, member, standalone) [dc]: dc<br \/>\nDNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: SAMBA_INTERNAL<br \/>\nDNS forwarder IP address (write &#8216;none&#8217; to disable forwarding) [192.168.200.203]: 192.168.200.203<br \/>\nAdministrator password:<br \/>\nRetype password:<br \/>\nLooking up IPv4 addresses<br \/>\nLooking up IPv6 addresses<br \/>\nNo IPv6 address will be assigned<br \/>\nSetting up secrets.ldb<br \/>\nSetting up the registry<br \/>\nSetting up the privileges database<br \/>\nSetting up idmap db<br \/>\nSetting up SAM db<br \/>\nSetting up sam.ldb partitions and settings<br \/>\nSetting up sam.ldb rootDSE<br \/>\nPre-loading the Samba 4 and AD schema<br \/>\nUnable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs<\/p>\n<p>Adding DomainDN: DC=myfirm,DC=lan<br \/>\nAdding configuration container<br \/>\nSetting up sam.ldb schema<br \/>\nSetting up sam.ldb configuration data<br \/>\nSetting up display specifiers<br \/>\nModifying display specifiers and extended rights<br \/>\nAdding users container<br \/>\nModifying users container<br \/>\nAdding computers container<br \/>\nModifying computers container<br \/>\nSetting up sam.ldb data<br \/>\nSetting up well known security principals<br \/>\nSetting up sam.ldb users and groups<br \/>\nSetting up self join<br \/>\nAdding DNS accounts<br \/>\nCreating CN=MicrosoftDNS,CN=System,DC=myfirm,DC=lan<br \/>\nCreating DomainDnsZones and ForestDnsZones partitions<br \/>\nPopulating DomainDnsZones and ForestDnsZones partitions<br \/>\nSetting up sam.ldb rootDSE marking as synchronized<br \/>\nFixing provision GUIDs<br \/>\nA Kerberos configuration suitable for Samba AD has been generated at \/usr\/local\/samba\/private\/krb5.conf<br \/>\nMerge the contents of this file with your system krb5.conf or replace it with this one. Do not create a symlink!<br \/>\nSetting up fake yp server settings<br \/>\nOnce the above files are installed, your Samba AD server will be ready to use<br \/>\nServer Role: active directory domain controller<br \/>\nHostname: vedetta<br \/>\nNetBIOS Domain: myfirm<br \/>\nDNS Domain: myfirm.lan<br \/>\nDOMAIN SID: S-1-5-21-3633762817-3401141303-3063552358<br \/>\nArrivati a questo punto cancellare il file \/etc\/krb5.conf esistente e copiare il il file che si trova in \/usr\/local\/samba\/private sotto \/etc<br \/>\nfacciamo due test per vedere se tutto \u00e8 andato come doveva:<br \/>\n# smbclient -L localhost -U%<\/p>\n<p>Sharename Type Comment<br \/>\n&#8212;&#8212;&#8212; &#8212;- &#8212;&#8212;-<br \/>\nnetlogon Disk<br \/>\nsysvol Disk<br \/>\nIPC$ IPC IPC Service (Samba 4.9.4)<br \/>\nReconnecting with SMB1 for workgroup listing.<\/p>\n<p>Server Comment<br \/>\n&#8212;&#8212;&#8212; &#8212;&#8212;-<\/p>\n<p>Workgroup Master<br \/>\ne con questo abbiamo listato le share che mette a disposizione l&#8217;AD-DC proviamo adesso l&#8217;autenticazione con:<\/p>\n<pre># smbclient \/\/localhost\/netlogon -UAdministrator -c 'ls'<\/pre>\n<p>Enter MYFIRM\\Administrator&#8217;s password:<br \/>\n. D 0 Fri Mar 8 09:55:01 2019<br \/>\n.. D 0 Thu Mar 14 11:38:16 2019<br \/>\n1865076 blocks of size 1024. 1319992 blocks available<br \/>\ne anche qui ci siamo proviamo a fare qualche query al DNS per vedere se tutto \u00e8 a posto<br \/>\n# host -t A vedetta.myfirm.lan.<br \/>\nvedetta.myfirm.lan has address 192.168.2.205<br \/>\n# host -t SRV _ldap._tcp.MYFIRM.LAN.<br \/>\n_ldap._tcp.MYFIRM.LAN has SRV record 0 100 389 vedetta.myfirm.lan.<br \/>\n# host -t SRV _kerberos._udp.MYFIRM.LAN.<br \/>\n_kerberos._udp.MYFIRM.LAN has SRV record 0 100 88 vedetta.myfirm.lan<br \/>\ne anche qui ci siamo. ultimo test sul kerberos e possiamo considerare pronta la macchina<br \/>\n# kinit administrator<br \/>\nPassword for administrator@MYFIRM.LAN:<br \/>\n# klist<br \/>\nTicket cache: FILE:\/tmp\/krb5cc_0<br \/>\nDefault principal: administrator@MYFIRM.LAN<\/p>\n<p>Valid starting Expires Service principal<br \/>\n21\/03\/2019 11:10:22 21\/03\/2019 21:10:22 krbtgt\/MYFIRM.LAN@MYFIRM.LAN<br \/>\nrenew until 22\/03\/2019 11:10:13<br \/>\nUn ultimissima cosa che regolarmente mi scordo, il samba deve partire quando si accende la macchina quindi serve un init script, senza reinventare l&#8217;acqua calda l&#8217;ho preso da qui:<br \/>\n<a href=\"https:\/\/wiki.samba.org\/index.php\/Managing_the_Samba_AD_DC_Service_Using_an_Init_Script#Debian\">samba-ad-dc<\/a><\/p>\n<p>Un altra cosa molto importante in ambiente AD \u00e8 la sincronizzazione oraria, tutte le macchine devono avere lo stesso orario o al massimo uno scarto di 5 minuti, in un dominio AD i singoli client non possono scegliersi il server ntp che preferiscono, \u00e8 il server AD stesso che fa da time server, quindi i singoli client quando si collegano al dominio prendono in automatico l&#8217;ora sincronizzandosi.<br \/>\n<a href=\"http:\/\/clark.tipistrani.it\/?p=1554\">Qui<\/a> la configurazione di ntp per un server AD-DC<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vedetta \u00e8 la seconda macchina realizzata ed \u00e8 l&#8217;AD-DC della mini LAN. Poich\u00e9 far\u00e0 solo da AD-DC non necessita di particolari spazi, il disco da 20 GB \u00e8 stato cos\u00ec partizionato 2 gb swap 16 gb \/ 2 gb \/samba Ci sono diverse considerazioni da fare sulla scelta di avere una macchina che contrariamente a [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8,11,7,6],"tags":[147,149,116],"class_list":["post-1566","post","type-post","status-publish","format-standard","hentry","category-linux","category-samba","category-sistemi-operativi","category-work","tag-ad-dc","tag-samba","tag-sorgenti"],"_links":{"self":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1566","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1566"}],"version-history":[{"count":6,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1566\/revisions"}],"predecessor-version":[{"id":1587,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1566\/revisions\/1587"}],"wp:attachment":[{"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1566"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1566"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1566"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}