Andrea Mauro
CHI SONO Geek dagli anni 80 Commodore 64 Linuxaro dal 1995 Distribuzione Slackware Professionista IT Virtualizzazione, Sistemi Operativi, Storage, VMware, Microsoft, Citrix, Andrea Mauro Twitter: @Andrea_Mauro
PERCHÉ WINDOWS? Perché non esiste il mondo perfetto Client prevalentemente Windows Realtà eterogenee Protocolli Microsoft più usati di NIS/NFS Problema dei client
Source: HitsLink (desktop, May 2012), IDC (server, Q1 2012), Gartner (mobile, May 2012), and IDC (March 2012).
PERCHÉ ACTIVE DIRECTORY? Standard «De Facto» per i domini Utile per diverse compliance Utile nelle fasi di acquisizioni/fusioni/trasformazioni aziendali Altri tipi di domini Domini NT4 Domini NIS Directory Novell Soluzioni basate su LDAP
ACTIVE DIRECTORY Sistema integrato e distribuito di directory service rilasciata come beta nel 1996 rilasciata per la prima volta con Windows 2000 Integrazione di diversi standard Domain Name Service sostituisce ai Domini NT i Domini DNS X.500 Utilizzato per elencare gli oggetti Lightweight Directory Access Protocol Utilizzato la comunicazione Kerberos V5 Utilizzato per l autenticazione Active Directory Service Interfaces (ADSI)
ACTIVE DIRECTORY STANDARD DNS DHCP Internet-Standard Technologies SNTP TCP/IP LDAP X.509 Kerberos LDIF
DIRECTORY Repository contenente oggetti: Utenti, gruppi e/o contatti Stampanti condivise Computer e/o Server Unità disco condivise Organizzato in modo gerarchico all interno di Domini (Domain) Organization Unit (OU) Simile ad un database informazioni tipicamente usate in lettura Accesso non transazionale Permesse inconsistenze temporanee
TERMINOLOGIA AD (1) Dominio contenitore di oggetti deve includere almeno un controller di dominio (DC) può contenere dei computer client e/o stampanti e/o Root Domain Struttura (Albero Tree ) raggruppamento di uno o più domini Windows può essere costituita da un solo dominio più altri sottodomini appartenenti allo stesso spazio dei nomi contiguo Insieme di Strutture (Foresta Forest ) raggruppamento di una o più strutture Organizational Unit (OU) contenitore di oggetti delimita il raggio d azione delle policy permette la delega amministrativa
TERMINOLOGIA AD (2) Sito rappresenta il raccordo tra la struttura logica di Active Directory e la rete fisica che la ospita delimita il contesto di replica tra i vari Domain Controller Schema definisce tutti gli elementi che appartengono all Active Directory NTDS (database di Active Directory) directory del nuovo dominio e contiene tutti gli oggetti memorizzati nell'archivio di Active Directory il percorso predefinito del database è c:\windows\ntds il file che contiene il database di directory si chiama Ntds.dit SYSVOL (Volume di sistema condiviso) struttura di cartelle che esiste in tutti i controller di dominio memorizza gli script e alcuni oggetti per il dominio il percorso predefinito del sistema condiviso è: c:\windows\sysvol
TERMINOLOGIA AD (3) Tipo di server Domain Controller Domain Member Tipi di DC Global Catalog Read Only Domain Controller (RODC) Ruoli FSMO (Flexible Single Master Operation) A livello di foresta Schema master Domain naming master A livello di dominio PDC emulator RID master Infrastructure master
RISOLUZIONE DEI NOMI Problemi Conversione nomi in indirizzi IP Service Discovery Utilizzo del DNS A record Risoluzione dei nomi macchina Sostituisce il vecchio WINS Service (SRV) record Discovery dei server per i servizi di AD LDAP, GC, DC, Kerberos
NAMING CONVENTION LDAP Distinguished name CN=Jeff Smith, CN=Users, DC=contoso, DC=msft Relative distinguished name Kerberos User Principal Name (UPN) e suffissi alternativi JeffS@contoso.msft Service Principal Name (SPN) Globally Unique IDentifier (GUID) Universal Naming Convention (UNC)
PROTOCOLLO SMB Server Message Block It is a protocol by which a lot of PC-related machines share files and printers and other information such as lists of available files and printers Operating systems that support this natively include Windows NT, OS/2, and Linux What is CIFS? CIFS Common Internet File System is a protocol that is basically an updated SMB.
SMB DA NT 4.0 A NT 6.2 Versioni esistenti CIFS Microsoft Windows NT 4.0 (1996) SMB 1.0 (o SMB1) Windows 2000, Windows XP, Windows Server 2003 e Windows Server 2003 R2 SMB 2.0 (o SMB2) Windows Vista (SP1 or later) e Windows Server 2008 SMB 2.1 (or SMB2.1) Windows 7 e Windows Server 2008 R2 SMB 3.0 (or SMB3) Anche noto come SMB 2.2 Windows 8 e Windows Server 2012 Verificare la versione PowerShell: Get-SmbConnection
COSA È SAMBA? Samba is a suite of programs which work together to allow clients to access to a server's filespace and printers via the SMB (Server Message Block) and CIFS (Common Internet Filesystem) protocols Samba is freely available and is an OpenSource project With Samba, you can share a Linux filesystem with Windows 95, 98, 2000 and NT and vice versa You can also share printers connected to either Linux or a system with Windows 95, 98, 2000 or NT Samba enables a Linux or Unix server to function as a file server for client PCs running Windows software Andrew Tridgell developed the first version of Samba Unix in December 1991 and January 1992
SAMBA 4 Version 4.x (12/11/12) brings AD compatible Domain Controller or join to existing DC Samba Active Directory Domain LDAP Server Heimdal Kerberos Authentication Dynamic DNS Group policy Roaming profiles SMB 2.1 / 3
SAMBA 4.1 October 11, 2013 Più funzioni e compatibilità http://www.samba.org/samba/history/samba-4.1.0.html
SAMBA4 AD
PROBLEMA DELLA DISTRIBUZIONE Samba3 è ancora il default Poche includono versioni (vecchie) di Samba4 (Nessuna) include Samba 4.1 Sorgenti esterni Spesso incompleti Oppure ricompilazione dai sorgenti
FUNZIONALITÀ E COMPATIBILITÀ Officially" supported in 4.0: forests: 1, domains: 1, domain controllers: 1* Trusts: Samba can be trusted Samba can not trust (yet) Replication: directory replication works sysvol replication not implemented yet *multiple Samba DCs possible (sysvol replicated externally) SMB 3.0 TODO: multi channel RDMA cluster concepts (scale-out/continuous availability)
COMPONENTI DI SAMBA (1) smb.conf: This is the configuration file for smbd smbd daemon: This provides the file and print services to SMB clients such as Windows NT or other Linux or Unix clients nmbd daemon: This daemon provides NetBIOS nameserving and browsing support smbclient: This is an smb client program that implement a simple FTP-like client on a Linux or Unix box smbmount: This mounting program enables mounting of server directories on a Linux or Unix box smbstatus: This programs lists the current Samba connections
COMPONENTI DI SAMBA (2) testparm: This utility is used to test the smb.conf configuration file SWAT: Swat allows a Samba administrator to configure the smb.conf file via a Web browser smbpasswd: This allows the user to change the password used for their SMB sessions NTVFS file server: This file server is what was used prior to the beta2 release of Samba 4.0; expect to move smbd to in the longer term CTDB: Samba4 Clustered Filesystem samba-tool: Provision of a new AD domain
COMPILARE SAMBA git clone git://git.samba.org/samba.git samba-master cd samba-master./configure make make install
I PARAMETRI DI BASE File smb.conf Definizione del Workgroup/Dominio direttiva workgroup Definizione delle reti autorizzate SMB su TCP/IP funziona anche su Internet! Definizione dell autenticazione direttiva security nel caso di security=user è importante definire le password degli utenti SAMBA Microsoft e Unix hanno password cifrate diverse! Definizione delle share
SAMBA COME AD DC http://wiki.samba.org/index.php/samba_ad_dc_howto samba-tool domain provision Scelta del back-end DNS DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) Kerberos e problemi con alcune distro
SAMBA COME DC AGGIUNTIVO https://wiki.samba.org/index.php/samba4/howto/join_a_do main_as_a_dc samba-tool domain join DC RODC MEMBER Migrare i ruoli FSMO Global Catalog Sysvol samba-tool fsmo seize --role=... Problemi con Windows Server 2012
ESTENDERE SAMBA Stackable VFS modules Included Modules audit extd_audit fake_perms recycle netatalk shadow_copy VFS Modules Available Elsewhere DatabaseFS Vscan Per saperne di più http://www.samba.org/samba/docs/man/samba-howto- Collection/VFS.html
FILE SYSTEM PER SAMBA Problema dei permessi Unix utilizza i bit dei permessi Windows le ACL Filesystem con opzione acl Nota If you are using an ext3 or ext4 filesystem on Linux, you should ensure that the filesystem is mounted with the options: user_xattr,acl,barrier=1 LVM per il supporto alle snapshot
CONSIDERAZIONI FINALI Interoperabilità Compatibilità Non tutte le funzioni sono implementate Disponibilità AD è già progettata per alta disponibilità Con Linux vi sono poi interessanti opzioni Sicurezza AD non è una soluzione multi-tenant Adatta solo in reti locali http://www.golinuxhub.com/2013/09/iptable-rules-forsamba-4-in-red-hat.html
SAMBA EXPERIENCE The Samba experience is the international Samba conference for users and developers May 13th - 16th, 2014 the 13th international Samba conference Hotel Freizeit In Göttingen, Germany http://www.sambaxp.org