rigacci.org

User Tools

Site Tools

Trace:
doc:appunti:linux:sa:samba_ad

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
Last revisionBoth sides next revision
doc:appunti:linux:sa:samba_ad [2021/08/24 07:32] niccolodoc:appunti:linux:sa:samba_ad [2021/10/27 16:03] – [Attivare i profili roaming] niccolo
Line 309: Line 309:
 samba-tool user delete username samba-tool user delete username
 samba-tool user setpassword username samba-tool user setpassword username
 +samba-tool user setpassword username --newpassword="NewSecret"
 samba-tool user setexpiry username --days=7 samba-tool user setexpiry username --days=7
 samba-tool user disable username samba-tool user disable username
Line 317: Line 318:
 samba-tool group listmembers 'Domain Users' samba-tool group listmembers 'Domain Users'
 </code> </code>
 +
 +===== Accesso in Remote Desktop =====
 +
 +Come impostazione predefinita solo gli utenti del gruppo **Domain Admins** possono accedere in dekstop remoto ad un host del dominio Active Directory; contrariamente a quanto ci si potrebbe aspettare **non è sufficiente** appartenere al gruppo **Remote Desktop Users**.
 +
 +Per abilitare l'accesso al gruppo //Remote Desktop Users// è necessario sulla singola macchina eseguire **secpol.msc** e quindi seguire **Allow log on through Remote Desktop Services** => **Add Users or Group** e aggiungere il gruppo.
 +
 +Solo dopo questa impostazione **da fare su ogni singola macchina** sarà sufficiente aggiungere l'utente del dominio al gruppo opportuno:
 +
 +<code>
 +samba-tool group addmembers "Remote Desktop Users" niccolo.rigacci
 +</code>
 +
  
 ===== Integrazione di utenti e gruppi Samba in Unix ===== ===== Integrazione di utenti e gruppi Samba in Unix =====
Line 414: Line 428:
  
 Per accedere invece con utente locale del PC si usa la sintassi **NOMEPC\username**. Per accedere invece con utente locale del PC si usa la sintassi **NOMEPC\username**.
 +
 +===== Modifica record LDB di un utente =====
 +
 +Le informazioni che riguardano gli utenti sono contenute in un database **LDB**. È è possibile utilizzare il comando **ldbedit** (fornito dal pacchetto Debian **ldb-tools**) per visualizzare e modificare direttamente il contenuto di un record:
 +
 +<code>
 +ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=niccolo.rigacci'
 +</code>
 +
 +Viene lanciato l'editor (**$VISUAL** oppure **vi**) ed è possibile correggere o aggiungere campi. Ad esempio è possibile aggiungere il percorso per il profilo roaming (**senza slash finale**):
 +
 +<file>
 +profilePath: \\server\profiles\niccolo.rigacci
 +</file>
 +
 +===== Attivare i profili roaming =====
 +
 +È necessario creare la directory che conterrà i profili utente e condividerla con uno share di nome **profiles**. Nel file **/etc/samba/smb.conf** aggiungere la sezione:
 +
 +<file>
 +[profiles]
 +    path = /home/samba/profiles
 +    read only = no
 +</file>
 +
 +La directory **/home/samba/profiles** deve avere **mode 2775** e appartenere a **root:users**. Non è necessario riavviare il servizio, la modifica al file viene riconosciuta al volo e resa attiva.
 +
 +=== Attivazione per il singolo utente ===
 +
 +Per attivare il profilo roaming per un **singolo utente** è sufficiente aggiungere l'attributo **profilePath** al record LDB di quell'utente. Sull'host Samba Active Directory si esegue:
 +
 +<code>
 +ldbedit -H /var/lib/samba/private/sam.ldb 'sAMAccountName=niccolo.rigacci'
 +</code>
 +
 +quindi si aggiunge l'attributo:
 +
 +<file>
 +profilePath: \\server\profiles\niccolo.rigacci
 +</file>
 +
 +Questa impostazione è sufficiente ad ottenere il profilo roaming, non è necessario alcuna modifica alla configurazione del singolo host. In alternativa alla riga di comando GNU/Linux si può utilizzare il programma Windows **Active Directory Users and Computers**.
 +
 +=== Attivazione per tutti gli utenti di un computer ===
 +
 +**ATTENZIONE**: Questa ricetta non attiva il profilo roaming per tutti gli utenti del dominio, ma per tutti gli utenti che si collegano **ad un certo computer**.
 +
 +Per attivare il profilo roaming per **tutti gli utenti** del dominio si può utilizzare il programma Windows chiamato **Group Policy Management Console**, che ovviamente richiede i privilegi di Administrator. Seguendo il percorso //Computer Configuration// => //Policies// => //Administrative Templates// => //System// => **User Profiles** si arriva alla dialog box **Set roaming profile path for all users logging onto this computer**.
 +
 +Nella versione italiana: si cerca **Modifica Criteri di gruppo**, viene trovato ed avviato l'**Editor Criteri di gruppo locali**, quindi => //Criteri Computer locale// => //Configurazione computer// => //Modelli amministrativi// => //Sistema//
 +=> //Profili utente// si arriva a **Imposta percorso profilo mobile per tutti gli utenti che accedono al computer**.
 +
 +Nell'apposita edit box sarà sufficiente aggiungere qualcosa del tipo:
 +
 +<code>
 +\\SERVER\PROFILES\%USERNAME%
 +</code>
 +
 ===== Web References ===== ===== Web References =====
  
doc/appunti/linux/sa/samba_ad.txt · Last modified: 2021/10/27 16:15 by niccolo