Ewa Skrenty
Uczelniane Centrum Informatyczne, UMK

W projekcie Samba informacje o koncie użytkownika takie jak nazwa użytkownika, uid, zakodowane hasła LANMAN/NT, flagi, data ustawienia hasła zazwyczaj są przechowywane w zakodowanym pliku smbpasswd. Ograniczenia takiego podejścia (brak możliwości przechowywania dodatkowych atrybutów, trudności w replikowaniu pliku smbpa sswd, konieczność sekwencyjnego wykonywania zapytań) zmusiły twórców projektu do skonstruowania efektywniejszych metod przechowywania atrybutów użytkownika. W niniejszym dokumencie opisany jest sposób wykorzystania protokołu LDAP do przechowywania informacji o koncie użytkownika lub stacji roboczej w Sambie.

W dokumencie jest przedstawiony opis konfiguracji serwera SMB dla Samby-TNG i Samby 2.2.x w oparciu o serwer OpenLDAP 2.0.x (ldap v.3). Informacje dotyczące instalacji serwera OpenLDAP można znaleźć w OpenLDAP 2.0 Administrator's Guide. Przyjmujemy, że serwer OpenLDAP został zainstalowany w katalogu /usr/local/openldap/.

Zawartość

1. Konfiguracja Samby 2.2.x i serwera OpenLDAP

$ cvs -d :pserver:cvs@pserver.samba.org:/cvsroot login
$ CVS password: <cvs>
$ cvs -z3 -d :pserver:cvs@pserver.samba.org:/cvsroot co -r SAMBA_2_2 samba

Źródła pakietu zostaną umieszczone w katalogu samba. Przed konfiguracją i instalacją należy skopiować biblioteki i nagłówki ldap-a w domyślne miejsce np. /usr/lib i /usr/include:

$ cp -p /usr/local/openldap/include/* /usr/include
$ cp -p /usr/local/openldap/lib/* /usr/lib

Instalacja pakietu wymaga wykonania standardowych kroków instalacyjnych. Dodatkowo należy podczas konfiguracji ustawić opcję with-ldapsam, co umożliwi współpracę Samby z LDAP-em. Wykonujemy:

$ ./configure --prefix=/usr/local/samba --with-ldapsam
$ make
$ make install

1.2 Konfiguracja serwera LDAP

Poniżej przedstawiona jest przykładowa konfiguracja pliku slapd.conf:

#########################################################
# global configuration directives
#########################################################
include  /usr/local/openldap/etc/openldap/schema/core.schema
include  /usr/local/openldap/etc/openldap/schema/cosine.schema
include  /usr/local/openldap/etc/openldap/schema/nis.schema
include  /usr/local/openldap/etc/openldap/schema/inetorgperson.schema
include  /usr/local/openldap/etc/openldap/schema/samba.schema

pidfile  /usr/local/openldap/var/slapd.pid
argsfile /usr/local/openldap/var/slapd.args

schemacheck on

loglevel 776

#########################################################
# ldbm database definitions
#########################################################

database ldbm
rootdn "cn=root,o=samba,dc=uci,dc=uni,dc=torun,dc=pl"
rootpw secret
suffix "o=samba,dc=uci,dc=uni,dc=torun,dc=pl"
directory /usr/local/openldap/var/openldap-samba

index objectcalass eq
index primaryGroupID,rid,uid,cn eq
index default sub

access to dn=".*,o=samba,dc=uci,dc=uni,dc=torun,dc=pl"
    by self write
    by * search

Po konfiguracji możemy uruchomić serwer slapd. Wykonujemy

$ /usr/local/openldap/libexec/slapd -f /usr/local/openldap/etc/openldap/slapd.conf

Szczegółowe informacje na temat uruchamiania serwera OpenLDAP można znaleźć w OpenLDAP 2.0 Administrator's Guide.

1.3 Wprowadzenie podstawowych danych do serwera LDAP

• lmPassword:  16-bajtowe zakodowane hasło LanManager-a reprezentowane w postaci hexadecymalnej
• ntPassword:  16-bajtowe zakodowane hasło NT reprezentowane w postaci hexadecymalnej
• pwdLastSet:  Czas ostatniego ustawienia hasła w formacie UCT
• logonTime:  Czas ostatniego zalogowania w formacie UCT (obecnie nie obsługiwany)
• logoffTime:  Czas ostatniego wylogowania w formacie UCT (obecnie nie obsługiwany)
• kickoffTime:  Czas w formacie UCT, po którym nastąpi wylogowanie (obecnie nie obsługiwany)
• pwdCanChange:  Liczba całkowita określająca możliwość zmiany hasła (obecnie nie obsługiwany)
• pwdMustChange:  Liczba całkowita określająca konieczność zmiany hasła przy pierwszym logowaniu (obecnie nie obsługiwany)
• acctFlags:  11-znakowy string zapisany w nawiasach kwadratowych definiujący flagi konta (U-użytkownik, W-stacja robocza, X-brak czasu ważności konta, D-konto zablokowane)
• displayName:  string określający nazwę konta (zazwyczaj pozycja gcos z /etc/passwd)
• smbHome:  string określający katalog domowy użytkownika postaci \\serwer\zasób\katalog (parametr logon home z pliku smb.conf)
• homeDrive:  string postaci "X:" określający literę dysku, pod jaką będzie mapowany zasób (parametr logon drive z pliku smb.conf)
• scriptPath:  string określający ścieżkę do skryptu (.cmd, .exe lub .bat) jaki będzie wykonany po zalogowaniu (ścieżka do zasobu [netlogon] - parametr logon script z pliku smb.conf)
• profilePath:  ścieżka określająca miejsce przechowywania profilu użytkownika (parametr logon path z pliku smb.conf)
• userWorkstations: (obecnie nie obsługiwany)
• rid:  całkowita liczba reprezentująca relatywny identyfikator użytkownika (RID)
• primaryGroupID:  całkowita liczba określająca relatywny identyfikator podstawowej grupy użytkownika

Na początku wprowadzamy do serwera LDAP trzy podstawowe rekordy:

dn: o=samba,dc=uci,dc=uni,dc=torun,dc=pl
o: samba
objectClass: organization

# nobody, samba, umk, pl
dn: uid=nobody, o=samba,dc=uci,dc=uni,dc=torun,dc=pl
objectClass: sambaAccount
uid: nobody
primaryGroupID: 99
rid: 99
lmPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
ntPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
pwdLastSet: 0
pwdMustChange: 0
pwdCanChange: 0
logonTime: 0
logoffTime: 0
kickoffTime: 0
acctFlags: [NU ]

Powyższe dane umieszczamy w pliku dane.ldif i wprowadzamy do serwera LDAP za pomocą komendy

$ /usr/local/openldap/bin/ldapadd -x -D "cn=root,o=samba,dc=uni,dc=torun,dc=pl" -W -f dane.ldif

Wszystkie dodawane konta muszą mieć swoje wpisy w /etc/passwd i /etc/group. Jeżeli nie istnieje w systemie konto Administratora, należy je najpierw utworzyć.

LmPassword i ntPassword są zakodowanymi hasłami reprezentowanymi w postaci hexadecymalnej. Muszą zgadzać się z hasłem użytkownika w systemie. Do tworzenia haseł lmPassword i ntPassword można użyć narzędzia mkntpwd oraz poniższego skryptu:

#!/usr/bin/perl
system "stty -echo";
print "Podaj haslo:";
chomp($haslo=<STDIN>);
print "\n";
system "stty echo";
$ntpwd = `/usr/local/sbin/mkntpwd '$haslo'`;
$lmpassword = substr($ntpwd, 0, index($ntpwd, ':'));
chomp $lmpassword;
$ntpassword = substr($ntpwd, index($ntpwd, ':')+1);
chomp $ntpassword;
print "LmPassword: " ,$lmpassword , "\nNtPassword: ", $ntpassword, "\n";

1.4 Konfiguracja i uruchomienie serwera SMB

W katalogu /usr/local/samba/lib/ tworzymy plik smb.conf i definiujemy w nim parametry konfiguracyjne Samby. Po dodaniu przy kompilacji opcji --with-ldapsam, dostępne są dodatkowe parametry dotyczące współpracy z serwerem LDAP:

ldap server	- określa nazwę hosta, na którym jest uruchomiony serwer LDAP
ldap admin dn	- określa DN, za pomocą którego serwer Samby będzie łączył się z serwerem LDAP
ldap suffix	- określa bazowy DN, jaki będzie przeszukiwany
ldap port	- definiuje port, na którym odbywać się będzie komunikacja z serwerem LDAP
ldap filter	- określa filtr używany przy przeszukiwaniu bazy LDAP
ldap ssl	- określa, czy komunikacja z serwerem LDAP ma się odbywać za pomocą protokołu SSL

Najczęściej wystarczy zdefiniować pierwsze cztery paramerty. Parametr ldap filter można pozostawić przy domyślnej wartości. Przeszukiwane są wówczas obiekty klasy sambaAccount według atrybutu uid. W przypadku, gdy komunikacja z serwerem LDAP ma odbywać się bez pośrednictwa protokołu SSL, ustawić trzeba parametr ldap ssl = off (domyślnie obsługa SSL jest włączona).

Oto przykładowa konfiguracja pliku smb.conf:

[global]
ldap suffix = "o=samba,dc=uci,dc=uni,dc=torun,dc=pl"
ldap admin dn = "cn=root,dc=uci,dc=uni,dc=torun,dc=pl"
ldap server = efa.uci.uni.torun.pl
ldap port = 389
ldap ssl = off

workgroup = UCI
netbios name = efa
comment = Linux RedHat Samba Server
security = user
null passwords = Yes
encrypt passwords = yes

logon drive = U:
domain master = yes
domain logons = yes

preferred master = yes
os level = 255
wins support = yes
wins proxy = yes

time offset = 60
time server = True

log file = /usr/local/samba/logs
public = No
browseable = No
writable = No

[homes]
comment = Katalogi domowe
path = /home/%u
read only = no
create mode = 0700
browseable = yes

[netlogon]
path = /usr/local/samba/netlogon
locking = no
writeable = no
guest ok = no
browseable = yes

[profiles]
path = /usr/local/samba/profiles
writeable = no
guest ok = yes
browseable = yes
create mode 0777

Przed uruchomieniem serwera należy ustawić w Sambie hasło administratora (admin dn), za pomocą którego będzie możliwa komunikacja serwerem slapd. Musi to być to samo hasło jakie ustawione jest w parametrze rootpw w pliku slapd.conf. Hasło administratora w Sambie przechowywane jest w pliku secrets.tdb w katalogu /usr/local/samba/private. Ustawiamy je uruchamiając program smbpasswd z opcją -w:

$ /usr/local/samba/bin/smbpasswd -w <haslo>

Tworzymy jeszcze brakujące katalogi:

$ cd /usr/local/samba/
$ mkdir var/locks
$ mkdir profiles
$ mkdir netlogon
$ chmod 755 var/locks
$ chmod 755 profiles
$ chmod 755 netlogon

i startujemy demony serwera SMB:

$ ./sbin/smbd -D
$ ./sbin/nmbd -D

1.5 Tworzenie nowych kont