Re: sistema di autenticazione ldap su server debian
Il giorno lun, 12/03/2012 alle 13.56 +0100, Marco Gaiarin ha scritto: [...] s Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo s dovrà comprendere gli identificativi sia per le macchine linux che windows? Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure loro. Forse mi sono perso qualche pezzo, ma la richiesta non era di non installare nulla sui PC portatili che potrebbero essere privati? Se così fosse il dominio non sarebbe una via perseguibile. Ciao, G -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331632440.4524.17.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s il fatto è che devo inserire da zero gli utenti quindi creerò dei file s ldif per utenti, gruppi, macchine e volevo sapere se esiste una s objectClass ed un attributo appositi alla memorizzazione degli s identificativi delle macchine. Insisto: perchè non usare gli smbldap-tools? Ad ogni modo le mie macchine sono: dn: uid=voldemort$,ou=Host,dc=sv,dc=lnf,dc=it objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: sambaSamAccount cn: voldemort$ sn: voldemort$ uid: voldemort$ uidNumber: 1195 [...] ovvero normalissimi account come quelli degli utenti (ne ero quasi certo, ho voluto verificare). s Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo s dovrà comprendere gli identificativi sia per le macchine linux che windows? Se linux+samba+winbind, si; devono essere ''joinate'' a dominio pure loro. -- Io credo nella chimica tanto quanto Giulio Cesare credeva nel caso... mi va bene fino a quando non riguarda me :) (Emanuele Pucciarelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/dd8139-jb7@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Grazie Marco. sto studiandomi i file di configurazione libnss-ldapd, smb.conf, smbldap_bind.conf e smbldap.conf e mi sono soffermato sulla necessità di creare un ramo per le macchine nell'albero di directory, su cui credo di avere un pò di confusione. vi chiedo un chiarimento: se ho capito giusto, dato che in in un domain controller windows sono previste due tipologie di utenti, quelli associati ad una persona e quelli associati ad una macchina, deve essere aggiunto il ramo Computers che dovrà contenere gli identifcativi dei pc fissi nell'aula (che hanno ubuntu). Due domande: 1. quale identificativo e quindi quale objectClass devo usare per identifcare i computers? 2. per i pc windows che si autenticheranno tramite freeradius è necessario aggiungere i loro identificativi? On 03/10/2012 11:38 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s riporto questi miei interrogativi: s - come si imposta l'autenticazione al momento della connessione alla s rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s - come si impostano poi i diversi permessi sui siti internet s consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s non riesco a farmi il quadro generale di realizzazione di questo mio s progetto. s potete essermi d'aiuto in qualche modo consigliandomi anche risorse s didattiche online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5c78e5.1090...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... s 1. quale identificativo e quindi quale objectClass devo usare per s identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s 2. per i pc windows che si autenticheranno tramite freeradius è s necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Dai diamanti non nasce niente dal letame nascono i fior (F. De Andre`) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/v22v29-5c3@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
il fatto è che devo inserire da zero gli utenti quindi creerò dei file ldif per utenti, gruppi, macchine e volevo sapere se esiste una objectClass ed un attributo appositi alla memorizzazione degli identificativi delle macchine. Non mi è ancora chiaro l'utilizzo del gruppo delle macchine. Tale gruppo dovrà comprendere gli identificativi sia per le macchine linux che windows? On 03/11/2012 05:56 PM, Marco Gaiarin wrote: Mandi! stefano In chel dì si favelave... s 1. quale identificativo e quindi quale objectClass devo usare per s identifcare i computers? Oddio... sinceramente ho sempre usato smbldap-populate e non me ne sono mai preoccupato. ;-) s 2. per i pc windows che si autenticheranno tramite freeradius è s necessario aggiungere i loro identificativi? Freeradius, se opportumanete configurato (ma necessita ntlm/winbind), utilizza semplicemente i ''machine account'' di cui parli al punto 1). Ovvero non ti serve agiungere altro. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5d085b.1010...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR Hai notizie più recenti? Nono, mi riferivo a GINA, non a pGINA. Leggendo: http://pgina.sourceforge.net/index.php/PGina_2.x_About sembra che abbiamo ragione entrambi, ovvero hanno trovato un modo diverso (ergo, non GINA) per fare la stessa cosa. -- Stanno arrivando da lontano con il futuro nella mano sotto la pioggia (A. Venditti) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/gt1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Mandi! stefano In chel dì si favelave... Premessa: gestisco da tempo dele reti con client windows (xp) e server debian. Una cosa va capita fondo: samba non ''reinventa la ruota'' la offre le risorse unix alla rete winodws. In particolare, per scelte tecnologiche di fondo profondamente diverse, le password tra i due mondi non sono compatibili, ergo non è possibile usare una unica password. Si presentano più strade: 1) usare solo le password linux; scelta che obbliga a tenere le password windows in chiaro, ormai tecnicamente non possibile. 2) usare solo le password windows, ovvero si veda alla voce 'winbind'. 3) usare un sistema che tenga ''in sincronia'' le password windows e unix, normalmente vuol dire gli smbldap-tools, ma non solo perchè già in samba 3 c'è una gestione nativa di queste cose. Io uso gli smbldap-tools. s mi sono abbastanza chiari i ruoli di nss e pam ma non totalmente e s riporto questi miei interrogativi: s - come si imposta l'autenticazione al momento della connessione alla s rete locale? Eslcuso GINA che è stato eliminato da win7, con samba (windows) e pam (unix) come hai già fatto. Se parli di accesso fisico alla rete, la strada è quella di freeradius, che funziona perfettamente sia con LDAP che con ntlm (winbind). s - come si impostano poi i diversi permessi sui siti internet s consultabili a seconda del gruppo di appartenenza dell'utente? Impostando l'autenticazione ntlm in squid (il che implica ancra winbind) e scrivendo corrette ACL (o usando helper esterni come squidguard). s - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad s alcune cartelle presenti sul server? Con le ACL, come in windows (più omeno; non hai infatti un concetto di ACL negativa). Vedi altro thread se usi anche NFS, c'è un limite al numero delle entry. s - la dimensione della home per ogni utente ha un minimo necessario? La home quello che vuoi; il profilo (roaming profile) è bene che sia invece piccolo (1-2GB) onde evitare casini fotonici. s online ho trovato varie guide ed alcune mi hanno aiutato parecchio ma s non riesco a farmi il quadro generale di realizzazione di questo mio s progetto. s potete essermi d'aiuto in qualche modo consigliandomi anche risorse s didattiche online? Leggiti la dcumentazione di samba dall'inizio alla fine, con calma. Poi rileggitela. ;-) -- Vendere no, non passa tra i miei rischi, non comprate i miei dischi e sputatemi addosso. (F. Guccini) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/un1t29-iv2@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 21:36: grazie Piviul. mi sembra una valida soluzione. i pc che si possono connettere, oltre a quelli della sala, lo fanno in wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. ma l'autenticazione con radius su ldap avverrà con le credenziali registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. e una volta autenticati coloro che hanno la loro home utente potranno vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59c3f3.50...@riminilug.it
Re: sistema di autenticazione ldap su server debian
grazie! provo l'autenticazione con radius. ora sono su samba, sto configurando smbldap.conf. non c'è il man per smbldap.conf. ho qualche dubbio su alcune direttive come computersdn, idmapdn(ma se non uso winbind non credo sia necessario), sambaUnixIdPooldn e scope. dove posso trovare informazioni? On 03/09/2012 09:48 AM, Paolo Sala wrote: stefano scrisse in data 08/03/2012 21:36: grazie Piviul. mi sembra una valida soluzione. i pc che si possono connettere, oltre a quelli della sala, lo fanno in wi-fi quindi si, posso impostare un server radius. direi che più che puoi dovresti. ma l'autenticazione con radius su ldap avverrà con le credenziali registrate in ldap? se vuoi si. Altrimenti se sei masochista ;) potresti anche usare winbind o sicuramente altri metodi. e una volta autenticati coloro che hanno la loro home utente potranno vederla e lavorarci? Certamente. Chiunque acceda alla rete, indipendentemente dalla modalità con cui vi accede (cavo o wireless), possono accedere al server e se conoscono una user e una password nel dominio possono accedere alle risorse messe a disposizione dal server per quelle credenziali. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f59ceb6.2050...@gmail.com
Re: sistema di autenticazione ldap su server debian
Mandi! Ezio Da Rin In chel dì si favelave... EDR con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. -- La BBS e' come il mio frigorifero... da tanti anni fa in silenzio un ottimo lavoro, al punto tale che mi accorgo della sua utilita' solo quando manca la corrente e tutto quello che contiene diventa inutilizzabile. (E. Margelli) -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/h8sp29-5hc@lily.sv.lnf.it
Re: sistema di autenticazione ldap su server debian
Il 09/03/2012 18:46, Marco Gaiarin ha scritto: Mandi! Ezio Da Rin In chel dì si favelave... Mandi Marco, EDR con Netlive (derivata da Debian Live) noi avevamo usato Pgina: EDR http://pgina.org/ A quanto so GINA è stato abbandonato, ergo non funziona per i client win7 e seguenti. probabilmente ti riferisci a pGina 1 o ai problemi della 2.0.0. Io non l'ho provato ma qui dicono che pGina 2 supporta win7, vista ecc con l'ultima release pGina 2.1.1 (06-03-2011): http://pgina.sourceforge.net/index.php/PGina_2.x_FAQ Hai notizie più recenti? Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5b05b0.4050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Allora, grazie alle vostre esaustive risposte inizio ad avere la situazione più chiara e pure quello che voglio fare. vi riassumo e vi espongo un quesito finale. La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp server, server proxy squid, apache, server samba, ldap server. Al suo interno è presente una cartella con alcune risorse didattiche per studenti e docenti. I client sono sia i pc presenti nell'aula che portatili esterni che possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu mentre quelli esterni sono in maggior parte Windows e talvolta Mac. La tipologia dell'utenza è varia: studenti della facoltà di infermieristica che possono consultare internet, accedere alle risorse didattiche presenti sul server e avere a disposizione una loro home utente; studenti della facoltà di medicina che possono consultare internet ma che NON possono accedere alle risorse didattiche sul server e NON possono avere la loro home utente; docenti che possono consultare internet, accedere alle risorse didattiche e avere la loro home utente; personale amministrativo che può consultare internet soltanto con la loro home utente; un numero ridotto di utenti (amici) che possono solamente connettersi a internet; Può essere che gli stessi studenti, sia di infermieristica che di medicina, si presentino con i loro portatili (win o mac) e vorrei che anche in questo caso possano collegarsi alla rete con le loro credenziali e con i rispettivi permessi citati prima e che (per quelli di infermieristica) possano comunque avere accesso alla loro home utente. la stessa cosa per i docenti che avranno i loro portatili (win o mac) e che potranno consultare qualsiasi sito internet, accedere alle risorse didattiche sul server e alla loro home utente. Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di utenti e procedo con l'inserimento degli utenti per gruppo. ho installato e configurato NSS e con getent posso visualizzare anche le utenze e i gruppi presenti in LDAP. Ora sono fermo a PAM. Non ho ancora capito una cosa: devo mettere mano su ogni client oppure esiste un modo con cui da qualsiasi postazione, che sia in aula o portatile, una volta ottenuto l'IP, si presenti la schermata di login alla rete e che a seconda delle credenziali inserite l'utente abbia in automatico i permessi o meno sulla consultazione delle cartelle nel server, le restrizioni o meno sulla consultazione dei siti e l'accesso alla propria home? Grazie della disponibilità Stefano On 03/07/2012 10:51 PM, Giuseppe Sacco wrote: Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58cd99.9090...@gmail.com
Re: sistema di autenticazione ldap su server debian
stefano scrisse in data 08/03/2012 16:17: Allora, grazie alle vostre esaustive risposte inizio ad avere la situazione più chiara e pure quello che voglio fare. vi riassumo e vi espongo un quesito finale. La LAN dispone di un unico server debian squeeze che fa da gateway, dhcp server, server proxy squid, apache, server samba, ldap server. Al suo interno è presente una cartella con alcune risorse didattiche per studenti e docenti. I client sono sia i pc presenti nell'aula che portatili esterni che possono venire e connettersi alla rete. Nell'aula i pc sono ubuntu mentre quelli esterni sono in maggior parte Windows e talvolta Mac. La tipologia dell'utenza è varia: studenti della facoltà di infermieristica che possono consultare internet, accedere alle risorse didattiche presenti sul server e avere a disposizione una loro home utente; studenti della facoltà di medicina che possono consultare internet ma che NON possono accedere alle risorse didattiche sul server e NON possono avere la loro home utente; docenti che possono consultare internet, accedere alle risorse didattiche e avere la loro home utente; personale amministrativo che può consultare internet soltanto con la loro home utente; un numero ridotto di utenti (amici) che possono solamente connettersi a internet; Può essere che gli stessi studenti, sia di infermieristica che di medicina, si presentino con i loro portatili (win o mac) e vorrei che anche in questo caso possano collegarsi alla rete con le loro credenziali e con i rispettivi permessi citati prima e che (per quelli di infermieristica) possano comunque avere accesso alla loro home utente. la stessa cosa per i docenti che avranno i loro portatili (win o mac) e che potranno consultare qualsiasi sito internet, accedere alle risorse didattiche sul server e alla loro home utente. Ho installato ldap sul server ed ho iniziato ad inserire i gruppi di utenti e procedo con l'inserimento degli utenti per gruppo. ho installato e configurato NSS e con getent posso visualizzare anche le utenze e i gruppi presenti in LDAP. Ora sono fermo a PAM. Non ho ancora capito una cosa: devo mettere mano su ogni client oppure esiste un modo con cui da qualsiasi postazione, che sia in aula o portatile, una volta ottenuto l'IP, si presenti la schermata di login alla rete e che a seconda delle credenziali inserite l'utente abbia in automatico i permessi o meno sulla consultazione delle cartelle nel server, le restrizioni o meno sulla consultazione dei siti e l'accesso alla propria home? Anzitutto configurerei il server samba come pdc; i pc dell'aula informatica li legherei al dominio e in questo caso devi mettere mano a PAM su quei client. In questo modo soltanto chi ha un account del dominio può fare il logon sui pc dell'aula. Per quanto riguarda gli altri pc esterni possono sempre sfogliare le risorse messe a disposizione dal PDC e quindi accedere ad esse solo se conoscono username e password. Ora invece non ho ben capito come vuoi invece gestire l'accesso all'infrastruttura di rete. Anzitutto parliamo di rete wireless? Se non è wireless e non è in un luogo pubblico potresti semplicemente permettere a chiunque abbia a disposizione di un cavo di rete di collegarsi ad internet (squid in modalità trasparente), sfogliare la rete e, se conosce username e password, accedere anche alle risorse del pdc. Se invece trattasi di wireless allora dovresti installare anche un server radius che autentica gli utenti via ldap. Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f58d6a1.7010...@riminilug.it
Re: sistema di autenticazione ldap su server debian
Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? Cosa vuol dire al momento della connessione? Nel caso di wifi puoi probabilmente arrivare a configurare gli access point per richiedere delle credenziali da verificare su un LDAP o AD. Ma se ci sono connessioni via cavo non lo puoi fare in questo modo. Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. - come si impostano poi i diversi permessi sui siti internet consultabili a seconda del gruppo di appartenenza dell'utente? Dipende da come sono pubblicate le applicazioni. Una soluzione potrebbe essere quella di far fare tutto al server web. Ad esempio apache può bloccare l'accesso ad alcuni URL tramite autenticazione. E questa autenticazione può avvenire in vari modi, ad esempio tramite LDAP. - .come si impostano gli accessi (solo lettura o lettura/scrittura) ad alcune cartelle presenti sul server? Con i diritti impostati in samba. Anche qui le credenziali possono essere verificate sia su AD che su LDAP. - la dimensione della home per ogni utente ha un minimo necessario? Non credo. Il minimo è forse quello per i file che vi sono copiati alla creazione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331126132.2696.32.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco scrisse in data 07/03/2012 14:15: Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux? È molto che non ho più a che fare con ldap e pdc ma che mi ricordi basta un solo backend per autenticare un utente sia da una macchina windows che linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. ^^ intendevi Linux Ciao Piviul -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57628f.9040...@riminilug.it
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? [...] Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5764c3.5050...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.28 +0100, Piviul ha scritto: Giuseppe Sacco scrisse in data 07/03/2012 14:15: Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Ciao Giuseppe sono d'accordo quasi su tutto ma quasi... cosa intendi con allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux? È molto che non ho più a che fare con ldap e pdc ma che mi ricordi basta un solo backend per autenticare un utente sia da una macchina windows che linux. Avrei dovuto sottolineare «esclusivamente»... intendevo che gli utenti Windows vanno nel dominio Windows, mentre se ci sono altri utenti (linux) che non sono _anche_ utenti Windows (difatti ho scritto «esclusivamente linux») allora si può usare LDAP (credo che il semplice shadow non basterebbe poiché c'è di mezzo l'autenticazione samba). NSS e PAM vanno configurati per cercare gli utenti in tutti i vari backend. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. ^^ intendevi Linux Sì, grazie per la correzione. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127675.2696.37.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: Giuseppe Sacco ha scritto: Ciao Stefano, Il giorno mer, 07/03/2012 alle 10.34 +0100, stefano ha scritto: [...] - come si imposta l'autenticazione al momento della connessione alla rete locale? [...] Se invece intendi al login dell'utente, allora devi creare un dominio Windows per gli utenti Windows, e uno LDAP per quelli esclusivamente Linux. Devi poi configurare i PC Windows per appartenere al dominio, e quelli Windows per l'autenticazione via nss/pam a LDAP. con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? In ogni caso, nella mia riposta precedente, quando ho fatto riferimento al dominio Windows, non ho inteso che il dominio debba essere su server Windows. Potrebbe benissimo essere su samba3 e openldap. A meno che non ci siano di mezzo macchine per le quali è richiesto il dominio di win2008, per il quale si deve attendere samba4 se non erro. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331127936.2696.41.camel@scarafaggio
Re: sistema di autenticazione ldap su server debian
Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f576dba.4070...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). La creazione di un dominio Windows devo farlo con Samba o mi sbaglio? gli utenti del dominio Windows che ho creato dovranno essere presenti anche in LDAP o no? la pagina di login dei client che tipo di pagina è? Per il resto (restrizioni sui siti, accesso a risorse del server) dovrò configurare separatamente Apache e Samba con LDAP per recuperare le informazioni su tali permessi? vi ringrazio ancora Stefano On 03/07/2012 03:16 PM, Ezio Da Rin wrote: Giuseppe Sacco ha scritto: Il giorno mer, 07/03/2012 alle 14.38 +0100, Ezio Da Rin ha scritto: [...] con Netlive (derivata da Debian Live) noi avevamo usato Pgina: http://pgina.org/ e con OpenLDAP si autenticano sia utenti Linux che Windows: http://www.cloc3.net/dokuwiki/doku.php/l_accesso Non lo conosco, ma non mi pare che openldap sia sufficiente per l'autenticazione sulle macchine Windows. È sufficiente per l'accesso a risorse di rete samba da parte di macchine Windows, ma non per l'accesso alla macchina Windows stessa. Mi sbaglio? Puoi spiegarmi meglio cosa facciano i prodotti da te indicati? è proprio questo che fa Pgina, se l'utente è inserito del database di OpenLDAP viene autenticato, nel nostro caso con winserver2003 ma viene usato anche con xp: http://www.hawaii.edu/ldap/pgina-xp.pdf e, se l'utente è al suo primo accesso gli viene creato il suo ambiente windows esattamente come succede per Linux nel caso acceda a Linux. L'implementazione è relativamente semplice e sono tre anni che, a quanto ne so io, questo metodo viene utilizzato al Liceo Pio Paschini di Tolmezzo UD. Ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f5787a0.9060...@gmail.com
Re: sistema di autenticazione ldap su server debian
stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). ciao Stefano, hai capito esattamente il funzionamento, nel tuo caso non credo tu possa risolvere con Pgina in quanto deve essere installato appunto o nel winserver o nei client win. ciao, Ezio. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4f57a260.10...@linuxnetlive.org
Re: sistema di autenticazione ldap su server debian
Il giorno mer, 07/03/2012 alle 17.06 +0100, stefano ha scritto: intanto grazie! riepilogo con qualche altra domandina Autenticazione client Linux/Windows Mi interessa che gli utenti con macchine Linux o Windows possano accedere alla rete locale previa autenticazione quindi da ciascuna macchina sarà effettuato il login. Non ho capito se è sufficiente o meno avere openLdap per autenticare i client Windows. pGina mi pare di capire che vada installato su macchine windows ma le macchine windows che si connettono alla rete non sono quelle fisse dell'aula informatica (che sono Ubuntu) ma sono utenti che si connettono un tantum su cui non installo un nuovo programma (se ho capito bene il funzionamento). [...] Allora a te non interessa controllare l'accesso a tutti i singoli PC, ma solo a quelli linux e alle cartelle di rete. In questo caso non ti serve un dominio windows, ma ti basta un server LDAP con gli utenti e i gruppi. I server che esportano cartelle di rete via CIFS verificheranno le credenziali su LDAP (vedi il pacchetto Debian smbldap-tools). I PC Windows accedono solo alle cartelle condivise (faranno il login sul PC con il proprio utente, e poi utilizzeranno le credenziali LDAP per l'accesso alle cartelle di rete). Gli utenti linux, poiché sono macchine dell'aula, andranno verificati centralmente su LDAP via nss/pam. Le macchine Linux possono montare la home da un server specifico via nfs con automouter e possono montare tutte le cartelle di rete alle quali possono accedere esattamente allo stesso modo, oppure sempre via CIFS. L'accesso alle applicazioni web va controllato sui server web e/o sui vari server applicativi (ad esempio tomcat, zend o apache+mod_python) verificando le credenziali su LDAP. Ciao, G. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto unsubscribe. Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1331157078.4713.10.camel@scarafaggio