Feb 13 2007
Gestione utenti e gruppi di Samba
In un dominio (Samba o Microsoft) è centrale la gestione degli utenti e dei gruppi per poter gestire al meglio autorizzazioni ed autenticazione sul sistema informativo. Samba e Linux mettono a disposizione gli strumenti per poter gestire con una certa granularità gli utenti ed i gruppi che si autenticano sul dominio. Pensiamo ad esempio di creare un utente con nome BugsBunny appartenente al gruppo LooneyToons, disponibili sull’intero dominio.
Il primo passo consiste nel creare gli utenti sul sistema Linux, che saranno quindi utenti Linux a tutti gli effetti. Per farlo, è possibile utilizzare il comando useradd -m BugsBunny, dove al posto di BugsBunny va inserito il nome con cui l’utente effettuerà il login; quest’utente avrà bisogno anche di una password, da assegnare tramite il comando passwd BugsBunny. L’utente appena creato però sarà disponibile solamente per il login sul sistema Linux, per poterlo usare come utente del dominio Samba quest’utente va creato in modo esplicito per Samba, utilizzando il comando smbpasswd -a BugsBunny, che richiederà anche la password da utilizzare per quell’utente: in genere è buona norma utilizzare la password già specificata per l’utente Linux, anche se questa cosa devo ancora guardarmela bene.
Per quanto riguarda i gruppi di utenti, i concetti sono più o meno simili. Prima cosa, creare il gruppo LooneyToons sul sistema Linux, tramite il comando groupadd LooneyToons, dove al posto di LooneyToons bisogna inserire il nome del gruppo facente parte del dominio. A questo punto bisogna creare il gruppo in Samba, ed è possibile farlo creando automaticamente la corrispondenza tra il gruppo Samba e il gruppo Linux con un unico comando: net groupmap add ntgroup="LooneyToons" unixgroup=LooneyToons type=d. La postilla type=d sta ad indicare che il gruppo appena creato è un gruppo globale, se si volesse creare un gruppo locale bisognerebbe dare l’istruzione type=l. E’ importante notare che un gruppo globale è visibile sull’intero dominio, a differenza di un gruppo locale.
Ora non rimane altro che assegnare l’utente BugsBunny al gruppo LooneyToons. Per farlo, basta assegnare "l’utente Linux" BugsBunny al "gruppo Linux" LooneyToons con il comando gpasswd -a BugsBunny LooneyToons, e quest’impostazione sarà automaticamente recepita da Samba, per cui a tutti gli effetti l’utente BugsBunny farà parte del gruppo LooneyToons anche in Samba, non solo in Linux. Per verificarlo, è possibile elencare gli utenti che fanno parte del gruppo LooneyToons tramite il comando net rpc group members "LooneyToons" -Uroot, inserire la password dell’utente root di Samba e di seguito comparirà la lista degli utenti facenti parte del gruppo LooneyToons.
Ora possiamo autenticarci con l’utente BugsBunny su una qualsiasi macchina iscritta nel dominio, con i privilegi eventualmente assegnati al gruppo LooneyToons.
Link di riferimento: documentazione ufficiale Samba.
[...] Queste direttive indicano diverse impostazioni specifiche di un PDC Samba; domain logon = YES è la direttiva che imposta il server Samba come PDC, logon home e logon drive permettono di specificare una home directory specifica per ogni utente creato su Samba, mappando sui client l’unità di rete U: sulla condivisione "homeuser" che sarà definita più avanti nel file di configurazione. La direttiva logon path permette di abilitare i profili mobili (chiamati anche roaming profiles), che servono per avere i profili personali degli utenti del dominio sul server invece che sul client; ciò consente ad ogni utente di conservare lo stesso ambiente di lavoro su tutti i PC del dominio; secondo questa configurazione, dovrà essere creata una condivisione "profili" sul server Samba. La direttiva logon script permette di specificare un file batch da inserire nella condivisione "netlogon" (da creare) che verrà eseguito ad ogni accesso da parte degli utenti del dominio, mentre add machine script serve per creare automaticamente l’account corrispondente alla macchina come utente di sistema, senza shell ed appartenente al gruppo "computers" (questo gruppo può assumere il nome desiderato), da creare a parte come mostrato precedentemente. [...]