Allora, grazie alle vostre esaustive risposte inizio ad avere la
situazione più chiara e pure quello che voglio fare. vi riassumo e vi
espongo un quesito finale.
La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp
server, server proxy squid, apache, server samba, ldap server. Al suo
interno è presente una cartella con alcune risorse didattiche per
studenti e docenti.
I client sono sia i pc presenti nell'aula che portatili esterni che
possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu
mentre quelli esterni sono in maggior parte Windows e talvolta Mac.
La tipologia dell'utenza è varia:
studenti della facoltà di infermieristica che possono consultare
internet, accedere alle risorse didattiche presenti sul server e avere a
disposizione una loro home utente;
studenti della facoltà di medicina che possono consultare internet ma
che NON possono accedere alle risorse didattiche sul server e NON
possono avere la loro home utente;
docenti che possono consultare internet, accedere alle risorse
didattiche e avere la loro home utente;
personale amministrativo che può consultare internet soltanto con la
loro home utente;
un numero ridotto di utenti (amici) che possono solamente connettersi a
internet;
Può essere che gli stessi studenti, sia di infermieristica che di
medicina, si presentino con i loro portatili (win o mac) e vorrei che
anche in questo caso possano collegarsi alla rete con le loro
credenziali e con i rispettivi permessi citati prima e che (per quelli
di infermieristica) possano comunque avere accesso alla loro home utente.
la stessa cosa per i docenti che avranno i loro portatili (win o mac) e
che potranno consultare qualsiasi sito internet, accedere alle risorse
didattiche sul server e alla loro home utente.
Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di
utenti e procedo con l'inserimento degli utenti per gruppo. ho
installato e configurato NSS e con getent posso visualizzare anche le
utenze e i gruppi presenti in LDAP.
Ora sono fermo a PAM.
Non ho ancora capito una cosa: devo mettere mano su ogni client oppure
esiste un modo con cui da qualsiasi postazione, che sia in aula o
portatile, una volta ottenuto l'IP, si presenti la schermata di login
alla rete e che a seconda delle credenziali inserite l'utente abbia in
automatico i permessi o meno sulla consultazione delle cartelle nel
server, le restrizioni o meno sulla consultazione dei siti e l'accesso
alla propria home?
Grazie della disponibilità
Stefano
On 03/07/2012 10:51 PM, Giuseppe Sacco wrote:
Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto:
intanto grazie!
riepilogo con qualche altra domandina
Autenticazione client Linux/Windows
Mi interessa che gli utenti con macchine Linux o Windows possano
accedere alla rete locale previa autenticazione quindi da ciascuna
macchina sarà effettuato il login. Non ho capito se è sufficiente o meno
avere openLdap per autenticare i client Windows.
pGina mi pare di capire che vada installato su macchine windows ma le
macchine windows che si connettono alla rete non sono quelle fisse
dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono
un tantum su cui non installo un nuovo programma (se ho capito bene il
funzionamento).
[...]
Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma
solo a quelli linux e alle cartelle di rete.
In questo caso non ti serve un dominio windows, ma ti basta un server
LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete
via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian
smbldap-tools). I PC Windows accedono solo alle cartelle condivise
(faranno il login sul PC con il proprio utente, e poi utilizzeranno le
credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux,
poiché sono macchine dell'aula, andranno verificati centralmente su LDAP
via nss/pam. Le macchine Linux possono montare la home da un server
specifico via nfs con automouter e possono montare tutte le cartelle di
rete alle quali possono accedere esattamente allo stesso modo, oppure
sempre via CIFS.
L'accesso alle applicazioni web va controllato sui server web e/o sui
vari server applicativi (ad esempio tomcat, zend o apache+mod_python)
verificando le credenziali su LDAP.
Ciao,
G.
--
Per REVOCARE l'iscrizione alla lista, inviare un email a
[email protected] con oggetto "unsubscribe". Per
problemi inviare un email in INGLESE a [email protected]
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
