Presentazione per l'OpenSourceDay 2013

1. Andrea Mauro

2. CHI SONO
• Geek dagli anni 80
• Commodore 64
• Linuxaro dal 1995
• Distribuzione Slackware
• Professionista IT
• Virtualizzazione, Sistemi Operativi, Storage, …
•
VMware, Microsoft, Citrix, …
• Andrea Mauro
• Twitter: @Andrea_Mauro

3. PERCHÉ WINDOWS?
• Perché non esiste il mondo perfetto
• Client prevalentemente Windows
• Realtà eterogenee
• Protocolli Microsoft più usati di NIS/NFS
• Problema dei client

4. Source: HitsLink (desktop, May 2012), IDC (server, Q1 2012), Gartner (mobile, May 2012), and IDC (March 2012).

5. PERCHÉ ACTIVE
DIRECTORY?
• Standard «De Facto» per i domini
• Utile per diverse compliance
• Utile nelle fasi di acquisizioni/fusioni/trasformazioni
aziendali
• Altri tipi di domini
•
•
•
•
•
Domini NT4
Domini NIS
Directory Novell
Soluzioni basate su LDAP
…

6. ACTIVE DIRECTORY
Sistema integrato e distribuito di directory service
• rilasciata come beta nel 1996
• rilasciata per la prima volta con Windows 2000
Integrazione di diversi standard
• Domain Name Service
• sostituisce ai Domini NT i Domini DNS
• X.500
• Utilizzato per elencare gli oggetti
• Lightweight Directory Access Protocol
• Utilizzato la comunicazione
• Kerberos V5
• Utilizzato per l’autenticazione
• Active Directory Service Interfaces (ADSI)

7. ACTIVE DIRECTORY
STANDARD
DNS
SNTP
DHCP
Internet-Standard Technologies
LDAP
TCP/IP
LDIF
X.509
Kerberos

8. DIRECTORY
Repository contenente oggetti:
•
•
•
•
Utenti, gruppi e/o contatti
Stampanti condivise
Computer e/o Server
Unità disco condivise
Organizzato in modo gerarchico all’interno di
• Domini (Domain)
• Organization Unit (OU)
Simile ad un database
• informazioni tipicamente usate in lettura
Accesso non transazionale
Permesse inconsistenze temporanee

9. TERMINOLOGIA AD (1)
Dominio
• contenitore di oggetti
• deve includere almeno un controller di dominio (DC)
• può contenere dei computer client e/o stampanti e/o …
• Root Domain
Struttura (Albero – “Tree”)
• raggruppamento di uno o più domini Windows
• può essere costituita da un solo dominio più altri sottodomini
appartenenti allo stesso spazio dei nomi contiguo
Insieme di Strutture (Foresta – “Forest”)
• raggruppamento di una o più strutture
Organizational Unit (OU)
• contenitore di oggetti
• delimita il raggio d’azione delle policy
• permette la delega amministrativa

10. TERMINOLOGIA AD (2)
Sito
• rappresenta il raccordo tra la struttura logica di Active Directory e la
rete fisica che la ospita
• delimita il contesto di replica tra i vari Domain Controller
Schema
• definisce tutti gli elementi che appartengono all’Active Directory
NTDS (database di Active Directory)
• directory del nuovo dominio e contiene tutti gli oggetti memorizzati
nell'archivio di Active Directory
• il percorso predefinito del database è c:windowsntds
• il file che contiene il database di directory si chiama Ntds.dit
SYSVOL (Volume di sistema condiviso)
• struttura di cartelle che esiste in tutti i controller di dominio
• memorizza gli script e alcuni oggetti per il dominio
• il percorso predefinito del sistema condiviso è: c:windowssysvol

11. TERMINOLOGIA AD (3)
Tipo di server
• Domain Controller
• Domain Member
Tipi di DC
• Global Catalog
• Read Only Domain Controller (RODC)
• Ruoli FSMO (Flexible Single Master Operation)
• A livello di foresta
• Schema master
• Domain naming master
• A livello di dominio
• PDC emulator
• RID master
• Infrastructure master

12. RISOLUZIONE DEI
NOMI
Problemi
• Conversione nomi in indirizzi IP
• Service Discovery
Utilizzo del DNS
• A record
• Risoluzione dei nomi macchina
• Sostituisce il vecchio WINS
• Service (SRV) record
• Discovery dei server per i servizi di AD
• LDAP, GC, DC, Kerberos

13. NAMING CONVENTION
LDAP
• Distinguished name
CN=Jeff Smith, CN=Users, DC=contoso, DC=msft
• Relative distinguished name
Kerberos
• User Principal Name (UPN) e suffissi alternativi
JeffS@contoso.msft
Service Principal Name (SPN)
Globally Unique IDentifier (GUID)
Universal Naming Convention (UNC)

14. PROTOCOLLO SMB
Server Message Block
• It is a protocol by which a lot of PC-related machines
share files and printers and other information such as lists
of available files and printers
• Operating systems that support this natively include
Windows NT, OS/2, and Linux
What is CIFS?
• CIFS – Common Internet File System is a protocol that is
basically an updated SMB.

15. SMB – DA NT 4.0 A NT
6.2
Versioni esistenti
• CIFS
• Microsoft Windows NT 4.0 (1996)
• SMB 1.0 (o SMB1)
• Windows 2000, Windows XP, Windows Server 2003 e Windows
Server 2003 R2
• SMB 2.0 (o SMB2)
• Windows Vista (SP1 or later) e Windows Server 2008
• SMB 2.1 (or SMB2.1)
• Windows 7 e Windows Server 2008 R2
• SMB 3.0 (or SMB3) – Anche noto come SMB 2.2
• Windows 8 e Windows Server 2012
Verificare la versione
• PowerShell: Get-SmbConnection

16. COSA È SAMBA?
• Samba is a suite of programs which work together to allow
clients to access to a server's filespace and printers via
the SMB (Server Message Block) and CIFS (Common
Internet Filesystem) protocols
• Samba is freely available and is an OpenSource project
• With Samba, you can share a Linux filesystem with
Windows 95, 98, 2000 and NT and vice versa
• You can also share printers connected to either Linux or a
system with Windows 95, 98, 2000 or NT
• Samba enables a Linux or Unix server to function as a file
server for client PCs running Windows software
• Andrew Tridgell developed the first version of Samba Unix
in December 1991 and January 1992

17. SAMBA 4
Version 4.x (12/11/12) brings AD compatible Domain
Controller or join to existing DC
• Samba Active Directory Domain
• LDAP Server
• Heimdal Kerberos Authentication
• Dynamic DNS
• Group policy
• Roaming profiles
• SMB 2.1 / 3

18. SAMBA 4.1
• October 11, 2013
• Più funzioni e compatibilità
• http://www.samba.org/samba/history/samba-4.1.0.html

19. SAMBA4 AD

20. PROBLEMA DELLA
DISTRIBUZIONE
• Samba3 è ancora il default
• Poche includono versioni (vecchie) di Samba4
• (Nessuna) include Samba 4.1
• Sorgenti esterni
• Spesso incompleti
• Oppure ricompilazione dai sorgenti

21. FUNZIONALITÀ E
COMPATIBILITÀ
• “Officially" supported in 4.0:
• forests: 1, domains: 1, domain controllers: 1*
• Trusts:
• Samba can be trusted
• Samba can not trust (yet)
• Replication:
• directory replication works
• sysvol replication not implemented yet
•
*multiple Samba DCs possible (sysvol replicated externally)
• SMB 3.0 TODO:
• multi channel
• RDMA
• cluster concepts (scale-out/continuous availability)

22. COMPONENTI DI
SAMBA (1)
• smb.conf: This is the configuration file for smbd
• smbd daemon: This provides the file and print services to
SMB clients such as Windows NT or other Linux or Unix
clients
• nmbd daemon: This daemon provides NetBIOS
nameserving and browsing support
• smbclient: This is an smb client program that implement a
simple FTP-like client on a Linux or Unix box
• smbmount: This mounting program enables mounting of
server directories on a Linux or Unix box
• smbstatus: This programs lists the current Samba
connections

23. COMPONENTI DI
SAMBA (2)
• testparm: This utility is used to test the smb.conf
configuration file
• SWAT: Swat allows a Samba administrator to configure the
smb.conf file via a Web browser
• smbpasswd: This allows the user to change the password
used for their SMB sessions
• NTVFS file server: This file server is what was used prior
to the beta2 release of Samba 4.0; expect to move smbd to
in the longer term
• CTDB: Samba4 Clustered Filesystem
• samba-tool: Provision of a new AD domain

24. COMPILARE SAMBA
git clone git://git.samba.org/samba.git samba-master
cd samba-master
./configure
make
make install

25. I PARAMETRI DI BASE
File smb.conf
Definizione del Workgroup/Dominio
• direttiva workgroup
Definizione delle reti autorizzate
• SMB su TCP/IP funziona anche su Internet!
Definizione dell’autenticazione
• direttiva security
• nel caso di security=user è importante definire le password
degli utenti SAMBA
• Microsoft e Unix hanno password cifrate diverse!
Definizione delle share

26. SAMBA COME AD DC
http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO
samba-tool domain provision
Scelta del back-end DNS
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE,
BIND9_DLZ, NONE)
Kerberos e problemi con alcune distro

27. SAMBA COME DC
AGGIUNTIVO
https://wiki.samba.org/index.php/Samba4/HOWTO/Join_a_do
main_as_a_DC
samba-tool domain join
DC | RODC | MEMBER
Migrare i ruoli FSMO
samba-tool fsmo seize --role=....
Global Catalog
Sysvol
Problemi con Windows Server 2012

28. “ESTENDERE” SAMBA
Stackable VFS modules
• Included Modules
•
•
•
•
•
•
audit
extd_audit
fake_perms
recycle
netatalk
shadow_copy
• VFS Modules Available Elsewhere
• DatabaseFS
• Vscan
Per saperne di più
• http://www.samba.org/samba/docs/man/Samba-HOWTOCollection/VFS.html

29. FILE SYSTEM PER
SAMBA
• Problema dei permessi
• Unix utilizza i bit dei permessi
• Windows le ACL
• Filesystem con opzione acl
• Nota
• If you are using an ext3 or ext4 filesystem on Linux, you
should ensure that the filesystem is mounted with the
options:
• user_xattr,acl,barrier=1
• LVM per il supporto alle snapshot

30. CONSIDERAZIONI
FINALI
• Interoperabilità
• Compatibilità
• Non tutte le funzioni sono implementate
• Disponibilità
• AD è già progettata per alta disponibilità
• Con Linux vi sono poi interessanti opzioni
• Sicurezza
• AD non è una soluzione multi-tenant
• Adatta solo in reti locali
• http://www.golinuxhub.com/2013/09/iptable-rules-forsamba-4-in-red-hat.html

31. SAMBA EXPERIENCE
• The Samba eXPerience is the international Samba
conference for users and developers
• May 13th - 16th, 2014
• the 13th international Samba conference
• Hotel Freizeit In Göttingen, Germany
• http://www.sambaxp.org