SAMBA per condividere informazioni tra ambienti eterogenei.

Slides:



Advertisements
Presentazioni simili
Accesso ai dati su file LSA: Laboratorio di Sistemi Informativi Economico Aziendali Salvatore Ruggieri Dipartimento di Informatica, Università di Pisa.
Advertisements

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Introduzione ad Active Directory
Sicurezza e Policy in Active Directory
Installazione di Active Directory
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Servizio DHCP.
Amministrazione di una rete con Active Directory
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Remote file access sulla grid e metodi di interconnesione di rete M. Donatelli, A.Ghiselli e G.Mirabelli Infn-Grid network 24 maggio 2001.
Il Client Windows98 Client nel dominio Windows 2000.
L’ambiente di rete Come si configura una scheda di rete
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Amministrazione della rete
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Configurazione di una rete Windows
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
Certificati e VPN.
Windows Deployment Services Ai LNF e’ stato realizzato il servizio WDS su Windows Ent 2008 R2. Il sistema e’ stato virtualizzato sul cluster Linux Xen.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Security Group – Cnaf-Bologna - 7 Novembre 2007 Security Gruppo Auditing Franco Brasolin Servizio di Calcolo e Reti Sezione INFN di Bologna.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Come proteggere Windows tm con GNU/Linux Roberto Lacava.
Amministrazione di reti di calcolatori - Massimo Bertozzi Servizi base di rete.
LTSP (Linux Terminal Server Project) GNU/Linux ed Workshop di Enrico Teotti powered with Gentoo Linux Linux Day LUG Mantova.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
SAMBA per condividere informazioni tra ambienti eterogenei.
Introduzione a GNU/Linux. GNU/Linux Caratteristiche Compatibile con UNIX ® Multitasking Multiutente Libero.
Orientamento. Il Kernel Il Kernel è un programma scritto in linguaggio vicino all'hardware che ha il compito di fornire ai processi in esecuzione sul.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
Configurazione Router IR794- IG601
Office WPC049 Strumenti di supporto e analisi per Office 365
WPC069 Il deployment automatizzato di Windows 10
Riunione INFN – Bologna, 17 January 2013
Pronto.
Breve report su corso RedHat Enterprise Virtualization (RH318)
Office 365: un primo bilancio
Commissione Calcolo e Reti
Terza Lezione → Navigare nel file System → parte 2
how to use Windows SharePoint Services
Metriche SE monitoring G.Donvito G.Cuscela INFN Bari
“VIRTUAL BOX E CONDIVISIONE FILE”
Portal Architecture Data Management
INDICO Parte 1 01/07/2018 Francesco Serafini.
Condivisione Documentazione Tecnica
Sistema Operativo - DietPI
Amministrazione dei servizi di stampa
INFN-AAI Autenticazione e Autorizzazione
Creare un server casalingo - 1
Creare un server casalingo - 2
Managed Workplace RMM Il monitoraggio e la gestione da remoto (Remote Monitoring and Management) resi semplici. Ottieni gli strumenti e le conoscenze necessarie.
analizzatore di protocollo
Organizzazione di una rete Windows 2000
Windows Admin Center La rivoluzione della gestione di Windows Server
Come abilitare la CRS-CNS
Alessandro Brunengo Mirko Corosu INFN – Sezione di Genova
Marco Panella MS - Windows Marco Panella
Aurora Iacuzzi Classe 4 C S.U..
Alessandro Brunengo Mirko Corosu INFN – Sezione di Genova
Unità D1 Architetture di rete.
INFN-AAI Autenticazione e Autorizzazione
389 Directory Server Dael Maselli.
Build /13/2019 ASP.NET Core Web API all’opera Problemi veri nello sviluppo di un backend vero Marco Minerva Microsoft MVP Windows Development
Come abilitare la CRS-CNS
Transcript della presentazione:

SAMBA per condividere informazioni tra ambienti eterogenei

● Che cos'è SAMBA ? ● Samba è un progetto libero che fornisce servizi di condivisione di file e stampanti a client SMB/CIFS. ● Samba è liberamente disponibile e permette di ottenere interoperabilità tra Linux, Unix, Mac OS X e Windows.

● Che cos'è SAMBA ? ● Samba è un software che può girare su piattaforme che non siano Microsoft Windows, per esempio, UNIX, Linux, IBM System 390, OpenVMS e altri sistemi operativi. Samba utilizza il protocollo TCP/IP sfruttando i servizi offerti sul server ospite. Quando correttamente configurato, permette di interagire con client o server Microsoft Windows come se fosse un file e print server Microsoft agendo da Primary Domain Controller (PDC) o come Backup Domain Controller, può inoltre prendere parte ad un dominio Active Directory (dalla versione 4 potrà essere integrato in AD come un normale Domain Controller).

● Come possiamo integrare SAMBA ● in una struttura già esistente ? ● La soluzione proposta questa sera prevede che in rete sia già presente un servizio Active Directory di Microsoft ● Il file server SAMBA dovrà condividere delle cartelle presenti sul server samba con i vari utenti/gruppi di AD

● Quali sono i servizi proposti ● per realizzare la soluzione ? ● Active Directory di Microsoft (solo perché vogliamo integrare SAMBA in una struttura pre- esistente, ma in realtà SAMBA + OpenLDAP + Kerberos, opportunamente configurati potrebbe potenzialmente sostituire AD). ● DNS e DHCP installati, per semplicità, sullo stesso server AD (anche in questo caso i servizi DNS e DHCP potrebbero essere configurati su di un server Linux)

● Quali sono i servizi proposti ● per realizzare la soluzione ? ● NTP – Network Time Protocol, necessario a mantenere sincronizzati gli orologi di tutti i server e i pc della rete

● Quali sono i servizi proposti ● per realizzare la soluzione ? ● Kerberos – Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identità e cifrando i dati (vengono utilizzati dei “token” al posto di utente e password) ●

● Quali sono i servizi proposti ● per realizzare la soluzione ? ● SAMBA opportunamente configurato per utilizzare AD e l'autenticazione tramite Kerberos !

● Iniziamo con il servizio NTP ● Installiamo il servizio NTP lato SERVER su di una macchina a scelta (es. il gateway di rete), tutti i pc e i server della rete utilizzeranno il servizio NTP lato CLIENT per mantenere sincronizzati i propri orologi.

● NTP lato SERVER ● apt-get install ntp ● NTP lato CLIENT ● apt-get install ntp ● modificare il contenuto del file /etc/ntp.conf ● server IP_DEL_SERVER_NTP ● #server 0.debian.pool.ntp.org iburst dynamic ● #server 1.debian.pool.ntp.org iburst dynamic ● #server 2.debian.pool.ntp.org iburst dynamic ● #server 3.debian.pool.ntp.org iburst dynamic

● Installiamo il client Kerberos ● apt-get install krb5-user krb5-config krb5-doc ● Configuriamo il file /etc/krb5.conf e verifichiamo che tutto funzioni correttamente ● [libdefaults] ● default_realm = NOME_ASSEGNATO_AL_REALM ● [realms] ● NOME_ASSEGNATO_AL_REALM = { ● kdc = indirizzo_ip_del_server_microsoft ● admin_server = indirizzo_ip_del_server_microsoft ● } ● [domain_realm] ● nomeserver.dominio.locale = NOME_ASSEGNATO_AL_REALM ●.dominio.locale = NOME_ASSEGNATO_AL_REALM ● dominio.locale = NOME_ASSEGNATO_AL_REALM

● Testiamo il client Kerberos ● kinit -V utente → per ricevere un token dal server ● klist → per visualizzare l'elenco dei token ● kdestroy → per cancellare i token ricevuti

● Installiamo SAMBA ● apt-get install samba smbclient smbfs winbind ● In realtà smbclient e smbfs ci servono per effettuare solo dei test di funzionamento !

● SERVIZI - SAMBA ● Sul server samba sono in esecuzione 3 servizi: ● smbd per i servizi di condivisione di file e stampanti. ● nmbd per il servizio di risoluzione dei nomi NetBIOS e di assistenza al browsing delle risorse. ● winbind, che in questo caso è il vero “collettore” tra il mondo linux e il mondo Microsoft !

Configuriamo opportunamente PAM perché utilizzi winbind Pluggable Authentication Modules: è un meccanismo per integrare più schemi di autenticazione a basso livello in un'unica API ad alto livello In parole povere è IL sistema di autenticazione a “moduli” utilizzato da linux per gestire l'autenticazione degli utenti.

Modifichiamo PAM perchè usi winbind # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # #auth required pam_unix.so nullok_secure auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok_secure use_first_pass

Modifichiamo PAM perchè usi winbind # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # #account required pam_unix.so account sufficient pam_winbind.so account sufficient pam_unix.so

Modifichiamo PAM perchè usi winbind # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). The default is pam_unix. # # session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 session required pam_unix.so

Modifichiamo nsswitch perchè usi winbind # /etc/nsswitch.conf passwd: compat winbind group: compat winbind in sostanza si dice a linux di utilizzare winbind per interrogare l'elenco degli utenti e dei gruppi !! per maggiori informazioni su cos'è nsswitch:

Configuriamo il file /etc/samba/smb.conf [global] workgroup = NOME_DOMINIO_NEL_FORMATO_NETBIOS realm = NOME_ASSEGNATO_AL_REALM server string = %h server security = ADS password server = indirizzo_ip_del_server_microsoft obey pam restrictions = Yes passdb backend = tdbsam pam password change = Yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully*. unix password sync = Yes syslog = 0 log file = /var/log/samba/log.%U max log size = 1000 name resolve order = lmhosts host wins bcast socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

Configuriamo il file /etc/samba/smb.conf load printers = No dns proxy = No wins server = indirizzo_ip_del_server_microsoft panic action = /usr/share/samba/panic-action %d idmap backend = idmap_rid:DOMINIO_NETBIOS= idmap uid = idmap gid = winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes template shell = /bin/ template homedir = /home/%D/%U valid users = %S

● Facciamo ripartire i servizi ● winbind e samba ● Aggiungiamo il server SAMBA ● al dominio ● /etc/init.d/samba restart ● /etc/init.d/winbind restart ● net ads join -U Administrator ● /etc/init.d/winbind restart

● Verifichiamo che il file di configurazione di Samba sia corretto. ● testparm

● Facciamo alcune prove ● getent passwd → per visualizzare l'elenco degli utenti locali e di tutti gli utenti del dominio ● getent group → per visualizzare l'elenco dei gruppi locali e di tutti i gruppi del dominio ● wbinfo -u → per visualizzare l'elenco dei soli utenti del dominio ● wbinfo -g → per visualizzare l'elenco dei soli gruppi del dominio

● Andiamo a creare una cartella ● che verrà condivisa per i nostri test ● e assegnamola ad un gruppo del ● dominio. ● mkdir /condivisa ● chgrp permessi-commerciali /condivisa ● chmod 770 /condivisa

● Apportiamo alcune modifiche al ● nostro server SAMBA per condividere la cartella in rete. ● [condivisa] ● comment = cartella condivisa di prova ● path = /condivisa ● read list ● write list ● read only = No ● create mask = 0660 ● directory mask = 0770 ● Facciamo caricare a samba (smbd) le nuove impostazioni ● /etc/init.d/samba reload

● Esiste un'interfaccia grafica che mi ● permette di gestire la configurazione ● del server SAMBA ? ● apt-get install swat ● ● NB. dopo aver installato swat è necessario effettuare un riavvio del server.

Come integrare un client linux in un Active Directory ?

● Configuriamo il nostro client linux per l'autenticazione tramite Kerberos ● #apt-get install ntp ● #apt-get install samba-common winbind ● #apt-get install krb5-user krb5-config krb5-doc libpam-krb5 ● configuriamo il file /etc/krb5.conf come visto prima ● configuriamo samba e aggiungiamo il client al dominio come visto in precedenza ● modifichiamo i file nella cartella /etc/pam.d per gestire l'autenticazione tramite kerberos ● modifichiamo il file /etc/nsswitch.conf per winbind

Configuriamo il nostro client per l'autenticazione tramite Kerberos # /etc/pam.d/common-auth auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u auth sufficient pam_unix.so likeauth nullok_secure use_first_pass auth required pam_deny.so # /etc/pam.d/common-account account required pam_unix.so account [default=bad success=ok user_unknown=ignore service_err=ignore system_err=ignore] pam_krb5.so minimum_uid=10000 # /etc/pam.d/common-session session required pam_unix.so session optional pam_foreground.so session optional pam_krb5.so minimum_uid=10000 session required pam_mkhomedir.so umask=0077 skel=/etc/skel

Configuriamo nsswitch # /etc/nsswitch.conf passwdcompat winbind groupcompat winbind Alcune note: - configurare l'interfaccia di rete direttamente tramite il file /etc/network/interfaces e disattivare network manager (NetworkManager può creare dei ritardi in fase di autenticazione !!)

Come copiare file da una parte ad un'altra ? scp – per copiare file tra sistemi linux ftp – penso lo conosciamo tutti (tcpdump src IPSORG and dst IPDEST and port ftp -A) smbclient – client testuale per connettersi ad un server samba/cifs filezilla – per copiare file tramite ftp.... oppure sfruttando ssh

● DOMANDE ?