Configurare un client Linux per l'autenticazione ldap dei laboratori
Configurare un client Linux per l'autenticazione ldap dei laboratori
Si suppone che il client si chiami pinss9.lab.unimo.it ed il server OpenLDAP/samba sia debian-host1.lab.unimore.it (non unimo.it). Il client linux monta una /home locale con le quote: fa parte del workgroup sambanfs per poter salvare i dati in una locazione condivisa.
Pacchetti da installare:
apt-get install ldap-utils openssl libnss-ldap libpam-ldap
Si possono ignorare le richiesta di configurazione ldap perché i file di configurazione saranno riscritti a breve. La configurazione di samba chiede il nome di un workgroup. Rispondere "workgroup" o "test" o simili (non "sambanfs").
Modificare il file /etc/ldap/ldap.conf come segue:
host debian-host1.lab.unimore.it base dc=unimore,dc=it pagesize 100000 ldap_version 3 bind_policy soft ssl start_tls tls_cacert /etc/ssl/certs/europki-ca-chain.pem #tls_cacertdir /etc/ssl/certs
Nota: per debian sarge l'ultima riga si può anche decommentare (per debian etch no).
Cancellare i file /etc/libnss-ldap.conf e /etc/pam_ldap.conf e renderli soft link a /etc/ldap/ldap.conf.
rm /etc/libnss-ldap.conf rm /etc/pam_ldap.conf ln -s /etc/ldap/ldap.conf /etc/libnss-ldap.conf ln -s /etc/ldap/ldap.conf /etc/pam_ldap.conf
Installare i certificati digitali per lo start_tls
cd /etc/ssl/certs wget http://www.lettere.unimo.it/samba-ldap/certs/createhash.sh sh createhash.sh
Lo script createhash.sh copia dal server di lettere i certificati necessari per l'autenticazione e crea gli indici necessari al loro uso.
Per provare che lo start_tls funziona lanciare:
ldapsearch -x -ZZ 'uid=malvezzi'
Modifiche a nsswitch.conf e pam.d
Modificare il file /etc/nsswitch.conf e aggiungere ldap nelle sezioni passwd e shadow (dopo compat, con uno spazio come separatore). Lanciare il comando "getent passwd" e controllare di avere oltre 27 mila entry.
Creare i soft link:
ln -s /bin/bash /bin/mosh ln -s /home /homel
Spostarsi in /etc/pam.d e modificare i file common-* in questo modo:
common-auth: auth sufficient pam_unix.so nullok_secure auth required pam_ldap.so use_first_pass common-account: account sufficient pam_unix.so likeauth nullok account required pam_ldap.so use_first_pass common-session: session required pam_mkhomedir.so skel=/etc/skel umask=0002 session required pam_unix.so
common-password resta invariato.
Pacchetti da installare
apt-get install gdm openoffice.org openoffice.org-l10n-it x-window-system-core gnome samba gnome-panel gnome-menus smbclient
e subito dopo:
apt-get remove ekiga
(se lo si vuole togliere)
iptables
Per un uso automatico delle iptables, è comodo il pacchetto lokkit:
- editare /etc/init.d/lokkit e settare:
SCRIPT=/etc/default/lokkit.0
- copiare in /etc/default/lokkit.0
#!/bin/sh PATH=/sbin:$PATH iptables -N RH-Lokkit-0-50-INPUT iptables -F RH-Lokkit-0-50-INPUT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 155.185.1.25 --sport 123 -d 0/0 -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p tcp -m tcp -s 155.185.0.0/16 --dport 22 --syn -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth0 -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 0/0 --sport 67:68 -d 0/0 --dport 67:68 -i eth1 -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 155.185.1.2 --sport 53 -d 0/0 -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -s 155.185.1.5 --sport 53 -d 0/0 -j ACCEPT iptables -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --syn -j REJECT iptables -A RH-Lokkit-0-50-INPUT -p udp -m udp -j REJECT
Avviare il servizio lokkit.
samba e join al dominio
Dovrebbe essere sufficiente modificare:
workgroup SAMBANFS security DOMAIN
Poi fare il join con
net -Uusername join SAMBANFS
Penne usb
Aggiungere:
/dev/sda1 /media/usb auto rw,user 0 0
in /etc/fstab e creare /media/usb
Da non dimenticare
- Bloccare da BIOS l'avvio da cdrom
- mettere la password su grub
- impedire il logon di root da gdm