Configurazione di Samba

3 novembre 2009

La prima parte dell’articolo si era chiusa con l’installazione di Samba, procediamo ora alla sua configurazione.

Il file su cui agire è /etc/samba/smb.conf, ricordiamoci di fare la consueta copia dell’originale prima di apportare modifiche. Di seguito trovate una configurazione esemplificativa: esamineremo in dettaglio il primo gruppo di direttive della sezione “global”, le rimanenti sono generiche e non verranno prese in considerazione. Ricordo infatti che l’obbiettivo primario è autenticarci sull’AD, mentre la configurazione delle condivisioni è, in questa sede, del tutto marginale.

[global]

workgroup = MIODOMINIO
realm = MIODOMINIO.LOCAL
preferred master = no
server string = Server Linux
security = ADS
encrypt passwords = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
;template primary group = "Domain Users"
template shell = /bin/bash


#i valori vanno da 0 a 10
log level = 3
# log suddivisi per macchina
log file = /var/log/samba/log.%m
# dimensione massima 50KB del file di log
max log size = 50

printcap name = cups
printing = cups


[homes]

comment = Home Direcotries
valid users = %S
read only = No
browseable = No

[printers]

comment = All Printers
path = /var/spool/cups
browseable = no
printable = yes
guest ok = yes

Con le prime due direttive, workgroup e realm, impostiamo rispettivamente il nome NetBIOS e DNS (kerberos realm) del Dominio Windows di cui farà parte la nostra macchina.

Ponendo a no il valore di preferred master facciamo in modo che il nostro server non si imponga come Master Browser della rete. Invece con server string indichiamo la stringa descrittiva che comparirà accanto al nome dell’host (sambaserver) in Risorse di Rete.

La direttiva security = ADS imposta la nostra Linux box come un Member Server del Dominio Active Directory, che utilizzerà Kerberos per l’autenticazione. Encrypt passwords non ha bisogno di commenti.

Assegnando il valore Yes a winbind enum users e winbind enum groups, consentiamo l’enumerazione di utenti e gruppi appartenenti all’AD. Il processo è piuttosto costoso in termini di risorse e non strettamente necessario all’autenticazione. Anzi potrebbe causare un timeout e far fallire l’operazione, per questo è solitamente sconsigliato se utenti e gruppi superano i 200.

Con winbind use default domain possiamo evitare di far precedere il nome di dominio al nome utente. Potremo autenticarci come username invece di MIODOMINIO\username (o MIODOMINIO+username come si chiarirà subito sotto).

In situazioni complesse in cui nell’AD siano definiti gruppi annidati dobbiamo ricorrere all’opzione winbind nested groups = Yes.

Per impostare il carattere “+” come separatore tra dominio e username ricorriamo alla direttiva winbind separator. Se enumeriamo gli utenti appariranno come MIODOMINIO+username.

Le direttive idmap uid ed idmap gid ci consentono di mappare nel sistema locale gli utenti dell’AD a partire da certi valori per uid e gid. Il numero di base indicato dovrà come minimo superare l’uid dell’ultimo utente inserito in /etc/passwd. Attenzione: l’utilizzo di valori bassi, in collisione con utenti di sistema, unito alla configurazione di nsswitch (che vedremo più avanti) possono bloccare il login come root. Il valore massimo specificato deve essere tale da permettere di mappare tutti gli utenti\gruppi presenti nell’AD.

La direttiva template primary group = “Domain Users”, nell’esempio commentata, imposta il gruppo di default per gli utenti che si autenticano sul sistema. Non è richiesta per i controllori Windows 2003 a meno che non funzionino in “mixed mode”.

Infine con template shell = /bin/bash richiediamo la shell di default per gli utenti che si loggano sul sistema.

Se vuoi aggiornamenti su Configurazione di Samba inserisci la tua e-mail nel box qui sotto:
 
X
Se vuoi aggiornamenti su Configurazione di Samba

inserisci la tua e-mail nel box qui sotto:

Ho letto e acconsento l'informativa sulla privacy

Acconsento al trattamento di cui al punto 3 dell'informativa sulla privacy