Vai al contenuto

Installa Zentyal 5.1

Zentyal è un set di strumenti per l’installazione e gestione di un dominio SAMBA.v4 compatibile con Active Directory. Tra le funzioni disponibili ricordo:

  • DNS
  • Gestione utenti
  • Cartelle condivise
  • Gestione gruppi
  • Compatibile con RSAT!

Installazione

  1. Download iso Zentyal 5.1 da qui
  2. Crea una VM sul tuo pc o usa una macchina reale
  3. Preparati un indirizzo ip statitco e un nome da assegnare
  4. Inizia l’installazione come in queto video

Dopo il riavvio, avvia la configurazione del domain controller

In questo esempio, il server è nominato “dc1” e il nostro dominio è “europe.lan”

Dopo questo primo setup siamo pronti per le prime operazioni pratiche:

  • Creazione di un utente standard e amministrativo
  • Aggiungere un client al dominio
  • Creare una cartella di rete per utente e per gruppo
  • Installare RSAT su un client
  • Creare utenti e gruppi da RSAT
  • Creazione di Group Policies

Creare utenti e cartelle condivise

Possiamo farlo in due modi: da terminalee da interfaccia grafica

Gestione gli utenti da gui

Apri la console di zentyal su https://<zentyal ip>:8443 e procedi con il login

Zentyal login page

Ci apparirà la dashboard

Zentyal Dashboard

Per ragioni di sicurezza settiamo le politiche dei log alla voce “Logs” nel menu laterale

  • Configuration changes: 2 anni
  • Samba access: 30 giorni

NB: I log di accesso a Samba ci aiuteranno a rilevare eventuali accessi anomali

Logs rotations configuration suggest

Impostiamo la lettera di default per il montaggio della risorsa di rete dell’utente, di default è la lettera “H”

Show default letter for network directory

Quando amministri gli utenti bisogna capire il concetto di gruppo ed entità

Un gruppo è un’insieme di utenti e ci sono due tipi di gruppo: gruppo di distribuzione e gruppi di sicurezza

Le differenze base tra gruppo sicurezza e gruppo di distruzione sono:

Un gruppo di sicurezza può essere usato per assegnare diritti di sicurezza e e risorse nel dominio. Usando un gruppo sicurezza possiamo unire più utenti in un gruppo e applicare a tutti le stesse politiche di accesso ad alcune risorse (come cartelle condivise).

Un gruppo di distribuzione viene usato per inviare la stessa email a più utenti nel dominio. Non possiamo usare un gruppo di distribuzione per gestire politiche di sicurezza

Risorse condivise

Per impostazione predefinita gli utenti possono vedere solo la propria cartella di rete

In questo esempio aggiungiamo una cartella di rete condivisa tra più utenti per il gruppo “office1”

Aprire la sezione “File Sharing”

Share directory sections

Fatto questo, possiamo creare una cartella condivisa nella sezione “Zentyal folder”, il percorso predefinito per queste risorse è /home/samba/shares/<nome>

share directory creation

Ora dobbiamo assegnare i permessi di accesso alla risorsa

Aprire la sezione “File Sharing”, selezione l’icona delle impostazioni nella colonna “Access Control”. Nella schermata successiva cliccare su “Add new”

Setting ACL for shared folder

Si possono impostare ACL per singolo utente o per gruppo, si possono impostare più di una ACL

Gestire utenti da riga di comando

Aggiungere un utente

samba-tool user create mario password --use-username-as-cn --userou='OU=employee' --home-drive=H --home-directory='\\dc1.EUROPE.lan\mario'  --unix-home='/home/mario' --given-name=mario --surname=rossi --login-shell=/bin/bash

Aggiungere gruppi

samba-tool group add office2 --group-type=Security --group-scope=Domain --groupou='CN=Groups'

Aggiungere utenti ad un gruppo

use samba-tool addmember <group name> user1,user2

samba-tool group addmember "office2" mario

Rimuovere un utente da un gruppo

samba-tool group removemembers "office2" mario

Mostrare elenchi

List of users domain

samba-tool users list

List of groups

samba-tool group list

List of users in to a group

samba-tool group listmembers "office2" 

Home di rete

La cartella di rete dell’utente è impostata per default in /home/<utente> ed è definita in /etc/samba/smb.conf nella sezione [HOME]

Aggiungere una cartella in /home con lo stesso nome del nome utente

mkdir -p /home/mario

Usare setfactl per applicare i permessi:

setfacl -m d:u:mario:rxw /home/mario

Gestire utenti da RSAT

Il migliore strumento per gestire un dominio SAMBAv4 sono gli RSAT di Microsoft (Remote Server Administration tools). Puoi scaricarli da qui

Alcuni aggiornamenti di Windows possono rimuovere RSAT, in questo caso li dovrai reinstallare.

Apri “Users and Computer of Active Directory” o digita “dsa.msc” nella casella di ricerca, segui le questo breve video.

Zentyal è compatibile con gli strumenti di Active Directory e dopo le tue modifiche vedrai i risultati nella Dashboard di Zentyal

Zentyal non usa le Unità Organizative di Default ma i Contentitori. Un contenitore è identificato dal path CN=<name> esempio CN=Groups è il contenitore dei gruppi. Per visualizzare i contentitori in RSAT “Utenti e computer di Active Directory” occorre visualizzare le impostazioni avanzate.

Changes after RSAT

Group policy per il montaggio automatico

Oltre alla cartella di rete dell’utente, vogliamo che venga montata in automatico una risorsa si rete condivisa. Creiamo una “Group Policy” o “Criterio di gruppo” e applichiamola all’unità organizzativa interessata.

Apri Group Policy Editor con gpmc.msc

  • Assicurati che le ACL siano correttamente impostate sulla cartella di destinazione
  • riavvia il client o forza l’aggiornamento dei criteri di gruppo con gpudate.exe
  • testa i comandi in locale prima di applicarli a tutto il dominio

Your domain is done!