Cluster \u00e8 l’host pi\u00f9 importante dell’azienda in cui lavoro, esiste un record DNS che lo identifica con un preciso indirizzo IP, ed \u00e8 in buona sostanza quell’entita’ che provvede all’autenticazione in dominio, allo sharing di risorse sia come dati condivisi che come stampanti di rete, fornisce servizi di posta (SMTP IMAP POP3), fornisce indirizzi in DHCP ai visitatori, risolve nomi DNS interni ed esterni, fornisce openvpn per i road warriors (non riesco a scriverlo senza ridere), e altro che adesso non ricordo ma direi che i topic pi\u00f9 importanti li ho citati.Il cluster principale (ne esiste uno anche di firewall per la connessione ad internet\u00a0 e uno di test per fare tutte le esperienze necessarie prima di\u00a0 mandare in produzione qualcosa) \u00e8 costituito da 2 server Dell PowerEdge T410 che hanno instalalto una Debian Lenny al solito il clustering \u00e8 affidato a drbd+heartbeat ma in questo articolo mi limiter\u00f2 a parlare della configurazione di samba.<\/p>\n
[global]
\n### sezione di parametri generali<\/p>\n
workgroup = OCEANO<\/p>\n
### nome del dominio\/gruppo di lavoro
\nnetbios name = CLUSTER
\n### hostname con il quale viene visto dalla rete il gruppo logico<\/p>\n
server string = %h\u00a0 (Sangiusto files and prints server %v)
\n### banner che appare nell browsing di rete e che indentifica il gruppo logico<\/p>\n
interfaces = eth0, eth0:0, 172.19.170.0\/24, lo
\n### interfacce su cui ascolta samba vale a dire l’interfaccia della lan (eth0) l’interfaccia virtuale del cluster (eth0:0) la loopback e da ultimo l’IP su cui gira la VPN
\nbind interfaces only = Yes
\n### istruzione di usare solo le interfacce specificate e solo quelle<\/p>\n
obey pam restrictions = Yes
\n### samba deve seguire le direttive di PAM<\/p>\n
passwd program = \/usr\/bin\/passwd %u
\n### path del programma di password<\/p>\n
passwd chat = *Enter\\snew\\sUNIX\\spassword:* %n\\n *Retype\\snew\\sUNIX\\spassword:* %n\\n .
\n### hardening sulla password
\nunix password sync = Yes
\n### samba deve usare le stesse password dell’utente linux<\/p>\n
log level = 2
\n### molta attenzione a questo parametro alzarlo per il debug ammazza nel vero senso della parola la velocita’ di trasmissione dei dati.
\nsyslog = 0
\n### niente in syslog
\nlog file = \/var\/log\/samba\/log.%m
\n### path dei log
\nmax log size = 10000
\n### dimensione del log in KiloBytes
\nname resolve order = host wins bcast<\/p>\n
### ordine di risoluzione dei nomi<\/p>\n
time server = Yes
\n### fornisce il servizio time sulla rete
\nsocket options = TCP_NODELAY IPTOS_LOWDELAY\u00a0 SO_SNDBUF=65536 SO_RCVBUF=65536 SO_KEEPALIVE
\n### opzioni di ottimizzazione per la trasmissione ricezione dei dati<\/p>\n
deadtime = 15<\/p>\n
### tempo in minuti per considerare morta una connessione con un client e quindi interrotta.<\/p>\n
printcap name = cups
\n### abilitazione di CUPS per le stampe<\/p>\n
add machine script = \/usr\/sbin\/adduser -n -g machines -c Machine -d \/dev\/null -s \/bin\/false %u
\nadd group script = \/usr\/sbin\/addgroup –force-badname %g
\n### path dei programmi per l’aggiunta di user e groups<\/p>\n
logon script = %U.bat
\n### nome dello script di logon tipicamente userlogin.bat<\/p>\n
logon path = \\\\%L\\profiles\\%U
\n### path degli script di logon<\/p>\n
logon drive = H:
\n### directory home dell’user vine mappata come unit\u00e0 H
\ndomain logons = Yes
\nos level = 65
\npreferred master = Yes
\ndomain master = Yes
\n### diventa PDC<\/p>\n
wins support = Yes
\n### diventa Wins server (DNS Microsoft)
\nidmap uid = 10000-20000
\nidmap gid = 10000-20000
\nwinbind enum groups = yes
\nwinbind enum users = yes<\/p>\n
### parametri necessari a winbind per l’autenticazione ntlm (proxy)<\/p>\n
client ntlmv2 auth = yes
\nwins proxy = No
\nlanman auth = yes
\nntlm auth = Yes
\n### parametri necessari per inserire in dominio macchine windows 7
\nadmin users = root
\n### root=administrator
\nprinter admin = @admin
\n### amministratori di stampa
\nhosts allow = 127., 192.168.2., 172.19.170.
\n### solo gli hosts appartenenti a queste subnet si possono collegare vale a dire la lan e da vpn<\/p>\n
browse list = yes<\/p>\n
### crea la lista delle shares disponibili<\/p>\n
### da qui comincia la configurazione delle shares di samba
\n### system shares<\/p>\n
[netlogon]
\ncomment = Servizio di logon di dominio
\npath = \/etcvar\/var\/samba\/logon
\ncreate mask = 0664
\nbrowseable = No<\/p>\n
[profiles]
\npath = \/etcvar\/var\/samba\/ntprofiles\/%U
\nread only = No
\ncreate mask = 0600
\ndirectory mask = 0700
\nprofile acls = Yes
\nwriteable = Yes
\nbrowseable = Yes
\nguest ok = Yes<\/p>\n
[homes]
\ncomment = Cartella personale
\nread only = No
\ncreate mask = 0700
\ndirectory mask = 0700
\nbrowseable = No<\/p>\n
### stampanti di rete[centralino]
\ncomment = multifunzione centralino richo 3025
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[schede]
\ncomment = stampante schede DHL
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[contabilita]
\ncomment = Stampante Contabilita richo3025
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[galvanica]
\ncomment = multifunzione ufficio bolle richo 2018D
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[macchine]
\ncomment = Stampante Macchine richo 2018D
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[ute]
\ncomment = Stampante ute ricoh 2035
\npath = \/tmp
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[plotter]
\ncomment = Plotter oc 5150
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nvalid users = @ute,
\nforce group = ute
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[bolle_galv]
\ncomment = oki bolle galvanica
\npath = \/tmp
\ninvalid users = depuratore, aquisizione
\nvalid users = @galvanica
\nforce group = galvanica
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[epson_lx800]
\ncomment = epson tabulati\u00a0 galvanica
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nvalid users = @galvanica
\nforce group = galvanica
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[oki_acq]
\ncomment = oki 520 tabulati acquisti
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
[oki_bolle]
\ncomment = oki 520 bolle produzione
\npath = \/tmp
\ninvalid users = depuratore, acquisizione
\nguest ok = Yes
\nprintable = Yes<\/p>\n
### CDROM condiviso sul server servisse per un qualcosa.
\n[cdrom]
\ncomment =\u00a0 CD-ROM
\npath = \/cdrom
\ninvalid users = depuratore
\nguest ok = Yes
\nlocking = No
\npreexec = \/bin\/mount \/cdrom
\npostexec = \/bin\/umount \/cdrom<\/p>\n
### shares di dati [newute]
\ncomment = Cartella di lavoro di UTE
\npath = \/home3\/samba\/ute
\ninvalid users = depuratore, acquisizione
\nvalid users = @ute, utente1, utente 2, utente3, utente4
\nwrite list = @ute, utente2
\nforce group = ute
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_ute
\nbrowseable = Yes<\/p>\n
[old_contracts]
\ncomment = Directory vecchie commesse
\npath = \/home4\/samba\/vecchie_commesse
\nvalid users = @ute, utente2, utente1, utente3
\nwrite list = @ute
\nforce group = ute
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_vecchie_commesseute
\nbrowseable = Yes<\/p>\n
[cdl]
\ncomment = Cartella di lavoro cicli di produzione
\npath = \/home3\/samba\/cdl
\ninvalid users = depuratore, acquisizione
\nvalid users = @cdl
\nforce group = cdl
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_cdl<\/p>\n
[arc_pdf]
\ncomment = Cartella files pdf da ute
\npath = \/home3\/samba\/archivio_pdf
\ninvalid users = depuratore, acquisizione
\nread only = No
\ncreate mask = 0775
\ndirectory mask = 0775
\nvolume = disco_pdf<\/p>\n
[qualita]
\ncomment = Cartella di lavoro Assicurazione Qualita
\npath = \/home2\/samba\/qualita
\ninvalid users = depuratore, aquisizione
\nvalid users = @users, user1, netuser, comune
\nforce group = comune
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_qualita<\/p>\n
[galvanica1]
\ncomment = Directory di lavoro dipartimento galvanica
\npath = \/home2\/samba\/galvanica
\nvalid users = @galvanica1
\ninvalid users = depuratore
\nforce group = galvanica1
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nbrowseable = yes
\nvolume = disco_galvanica<\/p>\n
[amm]
\ncomment = Cartella di lavoro Amministrazione
\npath = \/home2\/samba\/amm
\ninvalid users = depuratore, acquisizione
\nvalid users = @users
\nforce group = users
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_amm<\/p>\n
[programmi]
\ncomment = Programmi vari per utenza win
\npath = \/home2\/samba\/programmi
\ninvalid users = depuratore, aquisizione
\nvalid users = @users, @edp
\nread list = @users
\nwrite list = @edp
\nforce group = edp
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_programmi
\nbrowseable = Yes<\/p>\n
[Oasi]
\ncomment = Dati del programma gestionale
\npath = \/home2\/samba\/Oasi
\ninvalid users = depuratore
\nvalid users = @users
\nwrite list = @users
\nforce group = users
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_Oasi<\/p>\n
[viaggi]
\ncomment = viaggi corriere Pellicano
\npath = \/home2\/samba\/viaggi_corriere_interno
\ninvalid users = depuratore, aquisizione
\nvalid users = @users
\nwrite list = @users
\nforce group = users
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = directory gestione corriere<\/p>\n
[divmacc]
\ncomment = Cartella di lavoro Divisione Macchine
\npath = \/home2\/samba\/divmacc
\ninvalid users = depuratore, acquisizione
\nvalid users = @macchine
\nforce group = macchine
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\nvolume = disco_divmacc[ura]
\ncomment = directory di interscambio ura
\npath = \/home2\/samba\/ura
\ninvalid users = depuratore, acquisizione
\nvalid users = @ura, @edp
\nforce group = ura
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
[acquisti]
\ncomment = directory di interscambio acquisti
\npath = \/home2\/samba\/acquisti
\ninvalid users = depuratore, acquisizione
\nvalid users = @acquisti, @edp
\nforce group = acquisti
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
[collaudo]
\ncomment = directory delle certificazioni di collaudo
\npath = \/home2\/samba\/collaudo
\ninvalid users = depuratore, acquisizione
\nvalid users = @collaudo, @edp, @qualita
\nforce group = collaudo
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
[manute]
\ncomment = directory manutenzione
\npath = \/home2\/samba\/manutenzione
\ninvalid users = depuratore, acquisizione
\nvalid users = @manutenzione, @edp
\nforce group = manutenzione
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770
\n[dati]
\ncomment = directory dati depuratore
\npath = \/home2\/samba\/dati
\ninvalid users = acquisizione
\nvalid users = @manutenzione, @edp
\nforce group = manutenzione
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
[avast]
\ncomment = setup centralizzato di avast
\npath = \/home2\/samba\/avast
\nvalid users = @users, @edp
\nforce group = users
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
[ferie]
\ncomment = calendario\u00a0 centralizzato ferie
\npath = \/home2\/samba\/ferie
\nvalid users = @uffici, @edp
\nforce group = uffici
\nread only = No
\ncreate mask = 0770
\ndirectory mask = 0770<\/p>\n
E questa \u00e8 la configurazione di un server samba funzionante e che fa lavorare uan ditta di circa 80 persone al momento attuale, da notarsi che molte opzioni sono state ignorate nel file di configurazione il programma prende quelle di default che nel 90% dei casi vanno bene, la configurazione completa si pu\u00f2 vedere con il comando testparm -v. clark.bat<\/a> <\/a><\/p>\n Una volta configurato il tutto resta la parte pi\u00f9 noiosa, vale a dire istruire Samba su utenti e password, esistono dei tools per automatizzare la cosa in passato ne ho provato uno di cui non ricordo minimamente il nome, il risultato \u00e8 stato decisamente deludente, e da allora ogni volta che devo rifare il cluster mi armo di buona pazienza ed eseguo la seguente operazione per ogni utente e per ogni macchina, breve parentesi sia gli utenti che le macchine devono avere una entry come questa in \/etc\/passwd e \/etc\/shadow si tratta ora di aggiungere user e macchina a samba l’operazione da compiere \u00e8 la seguente: e la macchina viene aggiunta al DB di samba<\/p>\n smbpasswd -a clark \u00c8 un lavoro lungo e noioso lo ammetto ma si fa una volta ogni 5-6 anni (o quando si aggiungono user e PC alla rete) quando si rif\u00e0 il tutto.<\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Cluster \u00e8 l’host pi\u00f9 importante dell’azienda in cui lavoro, esiste un record DNS che lo identifica con un preciso indirizzo IP, ed \u00e8 in buona sostanza quell’entita’ che provvede all’autenticazione in dominio, allo sharing di risorse sia come dati condivisi che come stampanti di rete, fornisce servizi di posta (SMTP IMAP POP3), fornisce indirizzi in […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[12,8,14,11,6],"tags":[],"class_list":["post-804","post","type-post","status-publish","format-standard","hentry","category-cluster","category-linux","category-networking","category-samba","category-work"],"_links":{"self":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/804","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=804"}],"version-history":[{"count":2,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/804\/revisions"}],"predecessor-version":[{"id":814,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/804\/revisions\/814"}],"wp:attachment":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=804"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=804"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=804"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nUna nota a margine bisogna farla per gli script di logon, questi files.bat (estensione eseguibile per il mondo Microsoft) sono dei semplici files di testo che vengono eseguiti all’avvio o meglio all’entrata in dominio di ogni client.
\nPer la mia personalissima esperienza questi files conviene scriverli con un notepad di windows e poi andare a copiarli nella directory di lavoro, il responsabile di tutto ci\u00f2 \u00e8 il ritorno a capo<\/a> che deve essere di tipo windows, di seguito 2 esempi di logon script.<\/p>\n
\ncommon.bat<\/p>\n
\nper l’utente in \/etc\/passwd
\nclark:x:1079:1079:Clark,,:\/home\/clark:\/bin\/false
\nper l’tente in \/etc\/shadow
\nclark:$1$GujNFrfv$XRvOKgq0uZw\/YBLl3Nlfi1:15026:0:99999:7:::
\nper la macchina PC0 a puro titolo di esempio
\nin \/etc\/passwd
\npc0$:x:2001:2001:computer:\/dev\/null:\/bin\/false
\nin \/etc\/shadow
\npc0$:!:11968:0:99999:7:::
\nda notarsi che la password della macchina \u00e8 assolutamente fittizia e pu\u00f2 essere vuota<\/p>\n
\nsmbpasswd -a -m pc0<\/p>\n
\nNew SMB password:
\nRetype new SMB password:
\nalla richiesta della password inserire quella dell’utente clark e l’utente viene aggiunto al DB di samba.<\/p>\n