{"id":447,"date":"2011-02-08T12:22:15","date_gmt":"2011-02-08T10:22:15","guid":{"rendered":"http:\/\/blog.sfsoft.it\/?p=447"},"modified":"2013-09-24T14:41:45","modified_gmt":"2013-09-24T12:41:45","slug":"samba-complete-active-directory-domain-integration","status":"publish","type":"post","link":"https:\/\/www.sfsoft.it\/blog\/2011\/02\/08\/samba-complete-active-directory-domain-integration\/","title":{"rendered":"Samba Complete Active Directory Domain Integration"},"content":{"rendered":"<p><strong>Aggiornamento:<\/strong> nonostante la comunit\u00e0 di <a href=\"http:\/\/ubuntuforums.org\/\" target=\"_blank\">Ubuntuforums<\/a> abbia bannato il mio utente a seguito di questo articolo cosa che sinceramente non comprendo ( da quando ri-pubblicare informazioni gi\u00e0 pubbliche citando tra l&#8217;altro la fonte sia una procedura da evitare, considerato tra l&#8217;alto l&#8217;ambiente ) per completezza aggiorno l&#8217;articolo in quanto il thread linkato \u00e8 stato chiuso e tutte le informazioni sono state raccolte in questa pagina ufficiale:<\/p>\n<p><a href=\"https:\/\/help.ubuntu.com\/community\/SambaActiveDirectoryDomainIntegrationScript\" target=\"_blank\">https:\/\/help.ubuntu.com\/community\/SambaActiveDirectoryDomainIntegrationScript<\/a><\/p>\n<hr \/>\n<p>Dopo l&#8217;articolo &#8220;<a href=\"http:\/\/blog.sfsoft.it\/2010\/12\/16\/eseguire-il-join-su-un-dominio-active-directory-con-ubuntu\/\" target=\"_blank\" rel=\"bookmark\">Eseguire il join su un dominio Active Directory con Ubuntu<\/a>&#8221; ho riscontrato alcune mancanze tipo la possibilit\u00e0 di condividere una cartella con <em>Samba<\/em> che prenda i permessi dal dominio ( o magari non sono solo riuscito io a configurare la cosa come si deve ).<\/p>\n<p>Comunque cercando di risolvere la cosa sono incappato in <a href=\"http:\/\/ubuntuforums.org\/showthread.php?t=1580505\" target=\"_blank\">questa discussione<\/a> dove l&#8217;utente <em>SerbisS<\/em> ha pubblicato uno <em>script<\/em> che si occupa di preparare il sistema per un integrazione a tutti gli effetti con un dominio <em>Active Directory<\/em>.<\/p>\n<p>Come sempre rimando alla <a href=\"http:\/\/ubuntuforums.org\/showthread.php?t=1580505\" target=\"_blank\">fonte dell&#8217;articolo<\/a> per maggiori informazioni o eventualmente aggiornamenti sulla procedura ma riporto i passaggi effettuati da me.<\/p>\n<p>Come prima cosa <a href=\"http:\/\/ubuntuforums.org\/attachment.php?attachmentid=170348&amp;d=1285260826\" target=\"_blank\">scaricate lo script<\/a> ( occorre <del>essere utenti registrati al forum<\/del> avere un utente <a href=\"https:\/\/login.ubuntu.com\/\" target=\"_blank\">Ubuntu One<\/a> ) e <a href=\"http:\/\/ubuntuforums.org\/attachment.php?attachmentid=174521&amp;d=1288864641\" target=\"_blank\">l&#8217;aggiornamento<\/a>.<\/p>\n<p>Come consigliato nel thread il nome della macchina deve essere minore di 15 caratteri.<\/p>\n<p>Poi occorre assicurarsi che siano impostati i <em>DNS<\/em> del dominio ( <em>\/etc\/resolv.conf<\/em> per le impostazioni standard o il vostro gestore di rete ):<\/p>\n<pre lang=\"bash\">sudo nano \/etc\/resolv.conf<\/pre>\n<p>Inserire ad esempio:<\/p>\n<pre lang=\"bash\">domain mydomain.local\r\nsearch mydomain.local\r\nnameserver ip.server.dns.1\r\nnameserver ip.server.dns.2<\/pre>\n<p>Controllare poi eventualmente che il <em>DNS<\/em> funzioni:<\/p>\n<pre lang=\"bash\">nslookup mydomaincontroller.domain.local<\/pre>\n<p>A questo punto basta estrarre il contenuto dell&#8217;archivio ( applicando la correzione ), spostarsi nella cartella dello <em>script<\/em> e configurarlo:<\/p>\n<pre lang=\"bash\">nano AD_join.sh<\/pre>\n<p>Modificate solo i primi parametri, non modificate lo script vero e proprio:<\/p>\n<pre lang=\"bash\">SUPER_USER=\"myusername\"\r\nDOMAIN=\"MYDOMAIN\"\r\nFQDN_CAPITAL=\"MYDOMAIN.LOCAL\"\r\nFQDN=\"mydomain.local\"\r\nDOMAIN_CONTROLLER=\"mydomaincontroller.domain.local\"<\/pre>\n<p>Salvate, e assicuratevi di essere nella cartella dello <em>script<\/em> prima di eseguirlo, date i permessi di esecuzione e poi lanciatelo:<\/p>\n<pre lang=\"bash\">cd \/path\/of\/script\/directory\/AD_join\r\nsudo chmod +x AD_join.sh\r\nsudo .\/AD_join.sh<\/pre>\n<p>Lo <em>script<\/em> si occupa di installare <em>samba<\/em>, <em>winbind<\/em> e <em>kerberos<\/em>, salvare eventuali file di configurazione esistenti e impostare i propri.<\/p>\n<p>A questo punto si procede al vero <em>join<\/em> al dominio ( vi verr\u00e0 poi richiesta la password dell&#8217;amministratore di dominio indicato ):<\/p>\n<pre lang=\"bash\">sudo net ads join -U your_domain_admin<\/pre>\n<p>Se tutto \u00e8 andato liscio avrete un messaggio <em>&#8220;SUCCESS&#8221;<\/em> alla fine.<\/p>\n<p>Ora potete anche provare a interrogare il dominio per provarne il funzionamento, avere l&#8217;elenco degli utenti:<\/p>\n<pre lang=\"bash\">wbinfo -u<\/pre>\n<p>O l&#8217;elenco dei gruppi:<\/p>\n<pre lang=\"bash\">wbinfo -g<\/pre>\n<p>Ora \u00e8 possibile\u00a0 creare un piccolo <em>script<\/em> e magari lanciarlo con un <em>cronjob<\/em> che metta in sicurezza le cartelle degli utenti del dominio:<\/p>\n<pre lang=\"bash\">sudo chgrp \u201cdomain admins\u201d \/home\/MY_DOMAIN\/*\r\nsudo chmod 770 \/home\/MY_DOMAIN\/*<\/pre>\n<p>E&#8217; possibile anche configurare <em>Samba<\/em> in maniera che usi i permessi del dominio:<\/p>\n<pre lang=\"bash\">valid users =@YOUR_DOMAIN+your_group YOUR_DOMAIN+your_user<\/pre>\n<p>Oppure:<\/p>\n<pre lang=\"bash\">valid users =@\"YOUR_DOMAIN+Group Name with Spaces\"<\/pre>\n<p>Faccio i complimenti all&#8217;utente <em>SerbisS<\/em> per l&#8217;ottimo lavoro, e riporto ancora l&#8217;url della discussione per avere maggiori informazioni, ottenere lo script e collaborare al progetto.<\/p>\n<p><a href=\"http:\/\/ubuntuforums.org\/showthread.php?t=1580505\" target=\"_blank\">Samba Complete Active Directory Domain Integration tested on windows 2003r2\/2008r2<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aggiornamento: nonostante la comunit\u00e0 di Ubuntuforums abbia bannato il mio utente a seguito di questo articolo cosa che sinceramente non comprendo ( da quando ri-pubblicare informazioni gi\u00e0 pubbliche citando tra l&#8217;altro la fonte sia una procedura da evitare, considerato tra l&#8217;alto l&#8217;ambiente ) per completezza aggiorno l&#8217;articolo in quanto il thread linkato \u00e8 stato chiuso [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[11,15,3,23],"tags":[83,12,16,8,114,5],"_links":{"self":[{"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/447"}],"collection":[{"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/comments?post=447"}],"version-history":[{"count":11,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/447\/revisions"}],"predecessor-version":[{"id":1461,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/posts\/447\/revisions\/1461"}],"wp:attachment":[{"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/media?parent=447"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/categories?post=447"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sfsoft.it\/blog\/wp-json\/wp\/v2\/tags?post=447"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}