Il pacchetto truelite-fileserver¶

Questo pacchetto installa automaticamente tutti i servizi necessari alla realizzazione di un fileserver con autenticazione su LDAP. Gli utenti sono centralizzati su LDAP per Unix e per Windows. La condivisione dei file e la gestione utenti lato Windows avviene tramite Samba.

La versione corrente del pacchetto funziona solo per Debian Squeeze. Per l'uso con Lenny si prenda la versione rilasciata nell'omonimo branch su subversion. Le seguenti istruzioni si applicano alla nuova versione.

L'accesso a LDAP per i client Unix viene fornito su SSL ed i relativi certificati creati automaticamente. La gestione degli utenti viene effettuata via riga di comando o con la nuova interfaccia web (del sottoprogetto console)

Con la installazione del pacchetto verranno installate tutti i servizi necessari come dipendenze. E' opportuno rispondere adeguatamente alle richieste di debconf dei vari pacchetti dei servizi onde evitare di chiedere le cose più volte.

Ad esempio è opportuno specificare nei valori di configurazione di ''Samba'' il workgroup da usare, (il default è WORKGROUP) e nella configurazione di LDAP il nome DNS su cui verrà costruita la base dell'albero (corrisponde al proprio dominio, come ottenuto da dnsdomainname). Questi due valori non vengono più chiesti (a meno di non richiedere la riconfiguraizione a priorità medium). La password inserita per il server LDAP verrà comunque sovrascritta dalla master password inserita nella configurazione di truelite-fileserver che viene comunque richiesta.

I servizi del fileserver vengono configurati dalle informazioni prese da debconf nella installazione del pacchetto, fra questi quello più importante è la master password, che verrà usata come password dell'account amministrativo di LDAP, per l'utente amministratore di dominio di Samba (admin) e per la Certification Authority che firma i certificati SSL usati dai pacchetti. Vengono inoltre creati tre condivisioni/gruppi di default.

Gli altri dati vengono ripresi dalle precedenti configurazioni, ma possono essere cambiati in un secondo tempo eseguendo il comando:

dpkg-reconfigure -p medium truelite-fileserver

L'unica configurazione che non può essere sovrascritta, eseguita o modificata direttamente dal debconf del pacchetto è quella relativa alla configurazione del Name Service Switch che viene eseguita invece nella installazione di nslcd. In tale fase è necessario indicare le sezioni del file /etc/nsswitch.conf che devono essere abilitate all'uso di LDAP. Quindi in fase di prima installazione del pacchetto è necessario dare risposte corrette a questa configurazione, in particolare per il funzionamento del sistema è necessario abilitare all'uso di LDAP le sezioni group, passwd e shadow, pena il fallimento della successiva installazione con tspm.

Versione corretta di slapd-smbk5pwd¶

Per un funzionamento corretto del nuovo pacchetto occorre utilizzare l'overlay di OpenLdap smbk5pwd, ma nella versione di squeeze questo non supporta l'aggiornamento dell'attributo shadowLastChange con la conseguenza di lasciare scadute per sempre le password in tutti quei casi in cui questo non viene aggiornato esplicitamente dal software, ad esempio per il cambio password con passwd (via libpam-ldapd) o da Windows. Per risolvere il problema è necessario installare una versione patchata del pacchetto, che aggiunge il supporto per la modifica.

Questa può essere scaricata insieme agli altri pacchetti dal repository di Truelite (da fare). Quelle che seguono sono le istruzioni per ricreare i pacchetti dai sorgenti Debian.

Anzitutto si provveda ad installare quanto necessario, pertanto si dovranno eseguire i comandi:

apt-get build-dep openldap
apt-get source openldap

poi si provveda a configurare quilt (sistema di gestione dei patch) come illustrato su http://www.debian.org/doc/manuals/maint-guide/modify.en.html#quiltrc, o più semplicemente si definiscano le variabili di ambiente:

export QUILT_PATCHES=debian/patches
export QUILT_REFRESH_ARGS="-p ab --no-timestamps --no-index" 

poi si scarichi il file smbk5pwd.patch allegato e lo si includa nei patch del pacchetto con:

cd openldap-2.4.23
quilt push -a
quilt import -P smbk5pwd-posix /path/to/smbk5pwd.patch
quilt push

potete verificare che l'importazione sia corretta esaminando che esista debian/patches/smbk5pwd-posix, occorrerà poi ricreare il pacchetto, per avere una versione successiva dovrete modificare la versione cosa che però rigenererà tutti i pacchetti e le realative dipendenze con un nuovo nome e dovrete reinstallarli tutti, se vi serve solo un sostituto del pacchetto slapd-smbk5pwd potete saltare questo passaggio, ma un aggiornamento sovrascriverà il vostro pacchetto con conseguente perdita delle modifiche e blocco del funzionamento di LDAP che richiede nella configurazione la presenza delle stesse.

dch --local trl # optional
debuild -uc -us