Linux Samba Active Directory

Due dritte come promemoria per tutti su come configurare cartelle condivise su una macchina Linux con autenticazione su un dominio Windows. Dato che in rete si trova di tutto, molte cose sono interssanti ma altre sono fuorvianti tengo a precisare che:

  • NEL DOMINIO WINDOWS ESISTENTE POSSONO TROVARSI SERVER DAL 2000 A 2008 ANCHE IN MODALITÀ NATIVA.
  • NON È NECESSARIO CREARE UTENTI SAMBA SULLA MACCHINA LINUX, GLI ACCESSI LI CONVALIDA AL VOLO NEL DOMINIO TRAMITE LDAP.
  • LA MACCHINA LINUX PARTECIPA AL DOMINIO COME UN QUALSIASI COMPUTER CLIENT, NON COME DOMAIN CONTROLLER!
  • Ho provato sulla mia pelle (anzi sui miei server), a proposito la mia linux è una debian squeeze e nel dominio Windows ho server 2000/2003/2008.

Detto ciò bisogna:

1) installare i pacchetti prerequisiti, da root:

apt-get install krb5-config krb5-user krb5-doc winbind samba rdate

2) Salvare ed editare il file /etc/krb5.conf e scriverci

[logging]
    default = FILE:/var/log/krb5.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmin.log
[libdefaults]
    default_realm = DOMINIO.IT
    dns_lookup_realm = false
    dns_lookup_kdc = false
    clock_skew = 300
    ticket_lifetime = 24h
    forwardable = yes
[realms]
    DOMINIO.IT = {
        kdc = ip_server1
        kdc = ip_server2
        kdc = ip_serverx
        admin_server = ip_server1
        default_domain = dominio.it
        }
[domain_realm]
    .raci.it = DOMINIO.IT
    .kerberos.server = DOMINIO.IT

sostituire DOMINIO.IT con il nome del dominio in active directory esistente e ip_server1… con gli IP o i nomi dns dei domain controller

3) Testare la connessione con: kinit Administrator@DOMINIO.IT

4) controllare i dati che la Directory service ci restituisce con klist

5) salvare e impostare /etc/samba/smb.conf così:

[global]
netbios name = omega
workgroup = DOMINIO
enable privileges = yes
realm = DOMINIO.IT
server string = Server Cartelle Condivise
preferred master = no
password server = ip_server1 ip_server2 ip_serverx
remote announce = ip_rele_locale/24
dns proxy = no
name resolve order = lmhosts host wins bcast
log file = /var/log/samba/log.%m
log level = 10
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d load printers = no
security = ads
encrypt passwords = true
socket options = TCP_NODELAY
message command = /bin/sh -c ‘/usr/bin/linpopup “%f” “%m” %s; rm %s’ &
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes

sostituire DOMINIO.IT con il nome del dominio in active directory esistente e ip_server1… con gli IP o i nomi dns dei domain controller

6) riavviare samba con /etc/init.d/samba restart

7) unire la macchina a dominio con net ads join -U administrator (inserire poi la password)

8) testare il tutto con:

wbinfo -u per ottenere una lista utenti del dominio

wbinfo -g per ottenere una lista dei gruppi del dominio

9) Istruire linux per cercare le autenticazioni sul dominio e non in locale, per far questo salvare ed editare /etc/nsswitch.conf modificando tre righe così:

passwd:     compat winbind
shadow:     compat winbind
group:       compat winbind

10) Istruire linux su cosa fare all’autenticazione, aggiungere queste righe in:

/etc/pam.d/common-account

account         sufficient      pam_unix.so
account         sufficient      pam_winbind.so

/etc/pam.d/common-auth

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so try_first_pass

 

11) Creare le home directory degli utenti, a proposito come test se tutto ok aggiungerei in fondo a /etc/samba/smb.conf le condivisioni:

[homes]
comment=Cartella Personale di %S
path = /home/DOMINIO/user/%S
valid users = %S
read only = No
browseable = No
writeable = yes
create mode = 0775

[Pubblica]
path=/home/Pubblica
comment = “Directory Pubblica”
read only = no
guest ok = no
create mask = 0777
directory mask = 0777
valid users = @”domain users”

Fine.

VN:F [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Spegnere la luce di attenzione operatore su AS400

Capita che si accende la famosa luce arancione per motivi futili come per esempio se si scollega la console, oppure dopo un guasto più serio ma la lucina rimane accessa. Per spegnerla bisogna:

  • Loggarsi come QSECOFR
  • STRSST
  • Digitare 1 –> Start a service tool / Avvio di un programma di manutenzione
  • Digitare 7 –> Selezionare Hardware Service manager / Programma di manutenzione hardware
  • Digitare 6 –> Selezionare Work with service action log / Gestione delle registrazioni
    delle azioni di assistenza
  • Impostare le date per selezionare le registrazioni da selezionare
  • Controllare che gli errori siano EFFETTIVAMENTE TUTTI corretti
  • Premere F6 = Acknowledge All Errors / Ricezione di tutti gli errori
  • Rimuovere tutti gli errori presenti , uno alla volta, utilizzando l’opzione 8 di Close (Chiusura) e poi 9 di Delete (Cancellazione). Se non ci sono errori nella pagina ma è presente la funzione F6 fare comunque l’acknowledge per spegnere la luce.
  • Se richiesto premere F10=Conferma
  • Controllare se la luce ora è spenta
VN:F [1.9.22_1171]
Rating: 9.0/10 (5 votes cast)
VN:F [1.9.22_1171]
Rating: +5 (from 5 votes)

Come aggiungere una linuxbox in un dominio Windows

Possiamo aggiungere una linuxbox ad una infrastruttura Active directory per esempio per gestire delle cartelle condivise autenticando gli utenti sul dominio o come ftp per il download dati o per tunnel ssh per l’accesso remoto o per… chi più ne ha più ne metta. ecco come:

  • Premetto che ho testato questa configurazione con una Ubuntu Server 11.04 ma dovrebbe funzionare con qualsiasi distribuzione
  • Controllare che i DNS siano ok. In pratica dovete poter fare dei ping con i nomi dei server esistenti
  • sudo apt-get install likewise-open
  • sudo domainjoin-cli join miodominio.com Administrator (dove miodomininio.com è il nome del dominio esistente e Administrator è il nume di un utente autorizzato ad aggiungere macchine al dominio
  • Fine. Per provare ora dovreste poter accedere alla shell usando l’utente Windows con il comando:
  • ssh ‘dominio\utente’@indirizzo

Con il pacchetto likewise avete anche a disposizione una serie di comandi per interagire con il dominio che cominciano tutti  con lw-

 

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Vitrociset che figuraccia…

Volevo raccontare una storia che sta ancora accadendo. Riguarda la Vitrociset che è uno dei più importanti gruppi italiani, per dimensione e conoscenze, che opera nel campo dell’IT e nella logistica” (Wikipedia http://is.gd/mpmTFS). In altre parole un vero e proprio gigante dell’IT che ha circa 1000 dipendenti e che si occupa anche della gestione di “Interpolizie, un sistema di comunicazione multimediale blindato, riservato alle forze dell’ordine” (http://is.gd/Abbafq).

La storia ha inizio il 30 luglio quando un gruppo di persone che si fanno chiamare Anonymous e LulzSec cambiano la home page del sito dell’azienda e pubblicano alcuni file riservati. Questa frase appariva sul lla home page: “Salve Vitrociset, oggi abbiamo deciso di rivolgere la nostra attenzione su di voi, non potendo più ignorare il modo in cui i soldi dei cittadini vi vengono elargiti quotidianamente, grazie ad appalti e concorsi quantomeno di dubbia regolarità, da svariati enti pubblici e governativi, molti dei quali operanti nel settore difesa/sicurezza (CNAIPIC, ENAV, Ministero Della Difesa, Ministero dell’interno, Carabinieri, Polizia, Gdf) a fronte della vostra comprovata professionalità che viene così descritta sul vostro sito: ‘Vitrociset Progetta, realizza e gestisce soluzioni e servizi che garantiscono qualità e sicurezza ai più alti standard di innovazione ed affidabilità, in ambito civile e militare, per amministrazioni pubbliche, agenzie governative, organizzazioni internazionali e aziende private.’ Potete quindi immaginare l’espressione di stupore che si è dipinta sui nostri volti (rigorosamente coperti da una maschera di Guy Fawkes) quando facendo alcuni test preliminari sui vostri sistemi abbiamo trovato non l’inespugnabile fortezza che ci aspettavamo, bensì un rudere fatiscente che anche un bambino dotato del tempo e della voglia necessari sarebbe riuscito a compromettere seriamente”. Il comunicato, che si può leggere per intero sul blog di Anonymous (http://is.gd/yvaT4j) continua con la frase emblematica: “Rideremmo fino a diventare cianotici se non fosse per il semplice fatto che i soldi che percepite, oltre ad ammontare a cifre incommensurabili, non fossero i *NOSTRI*. Detto questo vi auguriamo un buon week-end e una ‘calda’ estate, fiduciosi che la nostra piccola scorribanda non verrà riportata dai media come l’ennesimo ‘Attacco Terroristico ad opera degli arcinoti e temutissimi Anonymous & Lulzsec’, ma come un semplice invito ad amministrare meglio i *NOSTRI* soldi”.

La storia va avanti il 2 Agosto dopo varie ore di downtime dichiarate dall’azienda per correggere le falle, quando il gruppo invia una fattura beffa per un penetration test dove di evidenziano ancora falle ecco il link con addirittura la schermata del contenuto del disco fisso del server! http://anon-news.blogspot.com/2011/08/antisec-vitrocisetit-owned-part-ii.html

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Sincronizzare iPad con Linux e Banshee

Alcune persone hanno segnalato problemi nella sincronizzazione, da me ha funzionato tutto con questi comandi:

sudo apt-add-repository ppa:pmcenery/ppa
sudo apt-get update
sudo apt-get install libimobiledevice2 libimobiledevice2-dbg libplist1 libusbmuxd1 usbmuxd
sudo apt-get upgrade
Riavviare tutto

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Aprire file XLSX DOCX etc con versioni di office precedenti alla 2007

Office dalla versione 2007 salva i documenti in un formato non più compatibile con le versioni precedenti. Se vi mandano un file in questo formato potete:

1) Comprare ed installare una nuova versione di Office (Sconsigliatissimo se lo scopo è solo quello)

2) Farvi mandare il documento in un formato corretto (provateci)

3) Installare un convertitore sviluppato da microsoft scaricandolo da qui

4) Installare LibreOffice (che è una suite similare a office ma gratuita e libera) scaricandola da qui

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

iPad e Linux buone notizie…perfect iPad…perfect iPhone

iPad un bell’oggetto ma che delusione sul multimedia! Non e’ possibile aprire nulla che non e’ digerito da iTunes, (in realta’ non molto) i più come vi sarete accorti non gira su Linux. Ma ecco alcune dritte per ottenere il massimo senza craccare nulla…

1) Prerequisito: avere linux acceso, ho detto acceso non installato! Potete usare una linux live che va bene lo stesso.
2) Sincronizzare musica: bisogna utilizzare Banshee il lettore multimediale nativo di ubuntu, collegate il pad e sincronizzate musica esattamente come da iTunes, se avete una live non avrete la collezione ordinata ma potete vedere lo stesso i disci fissi del computer e copiare musica sul pad.
3) Vedere film: Installate GoodPlayer, un ottimo lettore multimediale che costa meno di 5€ acquistabile sullo store di Apple (volendo usando jailbreak si trova anche a meno ma non sarebbe legale). Questo lettore oltre ad aprire praticamente tutti i formati SENZA NESSUNA CONVERSIONE permette di caricare i film direttamente via rete, è sufficiente cliccare su wifi (da goodplayer sul pad),  leggere l’indirizzo proposto e inserirlo nel browser di un computer in rete, apparirà’ una schermata con un bottone per fare l’upload direttamente nella cartella corretta. Se ritenete che la rete la wireless e’ troppo lenta e’ possibile caricare (purtroppo solo con Linux) direttamente via USB come una chiavetta senza software ulteriori, collegando il pad su linux (anche live) si aprirà una cartella con il contenuto del pad dove sarà possibile incollare i film nella cartella documenti-Goodplayer dove saranno disponibili immediatamente per la visione dal player.

VN:F [1.9.22_1171]
Rating: 7.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Si dimette il capo della divisione sicurezza informatica del ministero della difesa interna americana

Riporto la notizia di qualche giorno fa cosi’ come l’ho letta: “Doveva difendere il governo americano dagli attacchi informatici, ma qualcosa e’ andato storto. I pirati di Anonymous e Lulz Security, due dei gruppi piu’ attivi di hacker, sono riusciti a ‘bombardare’ le reti di Senato, CIA e FBI. Solo nel mese di marzo stati sottratti dai computer del Pentagono ventiquattromila file. E all’alto responsabile del ministero per la sicurezza interna Randy Vickers, non e’ rimasto altro che dimettersi, lasciando le sue funzioni di direttore operativo”

VN:F [1.9.22_1171]
Rating: 0.0/10 (0 votes cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)

Utilizzo i cookie per essere sicuro che tu possa avere la migliore esperienza sul mio sito. Se continui ad utilizzare questo sito assumo che tu ne sia felice.. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi