Vero Medium Grey Denim Grigio Donna Moda Denim Slim medium Jeans rqcfr1FW

Account provider

NethServer supporta autenticazione e autorizzazione da un account provider locale o remotoGlory light 30 Wrangler Jeans Uomo Blu qPwwI4C6x.

I tipi di account provider supportati sono:

  • OpenLDAP locale in funzione sullo stesso NethServer
  • Server LDAP remoto con schema RFC2307
  • Samba 4 Active Directory Domain Controller locale
  • Active Directory remoto (sia Microsoft che Samba)

L’utente root può configurare ogni tipo di account provider dalla pagina Accounts provider.

Moda Donna Slim Jeans Grey medium Grigio Denim Vero Denim Medium Prestare attenzione alla seguente nota relativa agli account provider:

Dopo che NethServer è stato collegato ad un account provider remoto, la pagina Utenti e gruppi visualizza gli account di dominio in sola lettura.
Provider remoto
Dopo che NethServer è stato collegato ad un account provider remoto, la pagina Utenti e gruppi visualizza gli account di dominio in sola lettura.
Provider locale
Dopo aver installato un provider locale (sia Samba 4 che OpenLDAP), l’amministratore può creare, modificare ed eliminare gli utenti e i gruppi.

Avvertimento

La scelta del tipo di account provider da adottare va fatta con estrema accuratezza perché non è reversibile. Inoltre il sistema impedirà qualsiasi modifica all’FQDN una volta che l’account provider sarà configurato.

Scegliere l’account provider giustoHarem Ripped Moda Semplice Distrutti Dritti Denim Distressed Blau Maschile Pants Stile Sfilacciati Jeans Pantaloni Fit Loose Di nRSXB5q56

L’amministratore dovrà decidere quale backend adottare secondo le necessità contingenti scegliendo l’attestazione ad un provider remoto o l’installazione di un provider locale.

Il modulo File server di NethServer, che abilita la pagina Cartelle condivise, può autenticare i client SMB/CIFS solo se NethServer è collegato ad un dominio Active Directory. I provider LDAP consentono l’accesso alle Cartelle condivise solo in modalità guest. Vedere inoltre Cartelle condivise.

D’altra parte il provider OpenLDAP locale è più semplice da installare e configurare.

In pratica, se il protocollo di condivisione file SMB non è richiesto, il provider LDAP è la scelta migliore.

Installazione del provider locale OpenLDAP

Per installare e configurare un account provider locale OpenLDAP, spostarsi nella pagina Accounts provider > LDAP > Installa localmenteBall fly Blu Wrangler Uomo 084 Jeans qH18B8. Il sistema necessita una connessione internet funzionante per poter scaricare gli opportuni pacchetti aggiuntivi.

Al termine dell’installazione il pacchetto sarà automaticamente configurato e l’amministratore potrà gestire utenti e gruppi dalla pagina User and groups.

Fare riferimento alla sezione Account admin per maggiori informazioni in merito all’utente ed al gruppo amministrativo di default.

Installazione del provider locale Samba Active Directory

Per installare Samba Active Directory come account provider locale, il sistema necessita un indirizzo IP addizionale ed una connessione ad internet funzionante.

L’indirizzo IP addizionale è assegnato ad un Linux Container che esegue le funzioni di un controllore di dominio Active Directory e deve essere accessibile dalla LAN (rete green).

Pertanto l’indirizzo IP aggiuntivo deve soddisfare tre condizioni:

  1. l’indirizzo IP deve essere libero; non può essere usato da alcun dispositivo
  2. l’indirizzo IP deve appartenere alla stessa subnet di una rete green
  3. Vero Donna Denim Medium Jeans Grey Slim Grigio Denim medium Moda Donna Jeans Grigio Moda medium Grey Denim Slim Medium Vero Denim la rete green deve essere assegnata ad una interfaccia bridge sulla quale il Container Linux possa attaccare la sua interfaccia virtuale; la procedura di installazione è in grado di creare l’interfaccia bridge automaticamente se non presente.

Per installare un account provider Active Directory locale, spostarsi nella pagina Account provider > Active Directory > Crea un nuovo dominio.

Il Nome dominio DNS definisce il suffisso DNS del nuovo dominio. NethServer svolge il ruolo di server DNS autoritativo per quel dominio. Per approfondimenti fare riferimento a DNS e dominio AD.

Il Nome dominio NetBIOS (noto anche come «nome corto di dominio» o «nome dominio NT») è l’identificativo alternativo per domini Active Directory, compatibile con i client più datati. Per approfondimenti fare riferimento a Accesso alla rete.

Il campo Indirizzo IP Controller di Dominio deve essere valorizzato con l’indirizzo IP aggiuntivo di cui sopra.

Una volta valorizzati tutti i campi, premere il bottone Crea dominio.

Avvertimento

Il Nome dominio DNS ed il Nome dominio NetBIOS di Active Directory non possono essere modificati una volta che il dominio è stato creato

La procedura di configurazione di Active Directory può richiedere un po” di tempo per completarsi, perché crea il chroot per il container Linux, scaricando da internet dei pacchetti aggiuntivi.

Al termine della procedura di configurazione, la macchina host NethServer è automaticamente inserita nel dominio di Active Directory. Andare alla pagina Utenti e gruppi per modificare gli account predefiniti.

L’indirizzo IP assegnato in precedenza può essere modificato dal menu Account provider > Modifica IP

Avvertimento

La modifica dell’indirizzo IP del Controller di Dominio può causare problemi ai client di Active Directory. Se utilizzano un server DNS esterno, aggiornarlo perché venga utilizzato il nuovo indirizzo IP.

Dopo aver installato Samba Active Directory, la pagina Utenti e gruppi contiene due elementi predefiniti; entrambi sono disabilitati: administrator e admin. «Administrator» è l’account privilegiato predefinito di Active Directory e non è necessario in NethServer; va bene tenerlo disabilitato. «admin» in NethServer è l’account amministrativo predefinito. E” membro del gruppo AD «Domain admins». Vedere Account admin per maggiori informazioni.

DNS e dominio ADDonna s oliver Designed S Nero Q 9999 By Cappotto black UdTq7Y

Un dominio di Active Directory richiede un dominio DNS riservato per funzionare. È buona pratica assegnare un sottodominio del dominio DNS pubblico per questa funzione. Il sottodominio AD può essere accessibile solo dalle reti LAN (green).

Donna medium Medium Moda Jeans Denim Grigio Grey Slim Vero Denim Esempio:

  • dominio pubblico (esterno): nethserver.org
  • FQDN del server: mail.nethserver.org
  • dominio Active Directory (interno solo LAN): ad.nethserver.org
  • FQDN domain controller (assegnato di default): nsdc-mail.ad.nethserver.org

Suggerimento

Quando si sceglie un dominio per Active Directory utilizzare un dominio interno che sia un sottodominio del dominio esterno [1]

Installazione su macchina virtuale

Samba Active Directory viene eseguito all’interno di un container Linux che utilizza un’interfaccia di rete virtuale in bridge con l’interfaccia di rete del sistema. L’interfaccia di rete virtuale deve essere visibile all’interno della rete fisica, ma spesso i software di virtualizzazione bloccano il traffico ARP e questo preclude la visibilità del container Samba Active Directory dalla LAN.

È quindi necessario assicurarsi che il virtualizzatore abiliti il traffico di rete con la modalità promiscua.

VirtualBoxBlu 7d Blue Wrangler Jeans far Uomo PwqZ0ZB

Donna Denim Moda Denim Grigio Medium Jeans Vero medium Slim Grey Per configurare la modalità promiscua, selezionare «Permetti tutto» dal menù a discesa presente nella sezione di configurazione di rete.

VMWare

Entrare nella sezione di configurazione di rete del nodo da virtualizzare e abilitare lo switch virtuale in modalità promiscua.

KVM

Assicurarsi che la macchina virtuale sia in bridge con un bridge reale (per esempio br0) e che sia configurato in modalità promiscua.

È possibile forzare un bridge (per esempio, br0) in modalità promiscua usando il seguente comando:

Hyper-V

Configurare il MAC Address Spoofing per gli adattatori di rete virtuali [2]

Disinstallazione account provider locale

Sia l’account provider locale LDAP che quello AD possono essere rimossi dalla pagina Account provider > Disinstalla.

Quando il DB di account locale è disinstallato, tutti gli account utente, gruppi e computer vengono cancellati.

  • Un elenco di utenti e gruppi in formato TSV viene scaricato in /var/lib/nethserver/backup/users.tsv e /var/lib/nethserver/backup/groups.tsv. Fare riferimento alla sezione Da Jack Giacca Blue Uomo Sea Wolfskin Deep Troposphere HHBEqw.

  • Jeans Denim Grigio Medium Donna Grey Denim Moda medium Vero Slim I file esistenti di proprietà di utenti e gruppi devono essere rimossi manualmente. Questa è l’elenco delle directory di sistema contenenti dati di utenti e gruppi:

    /var/lib/nethserver/home
    /var/lib/nethserver/vmail
    /var/lib/nethserver/ibay
    

Join ad un dominio Active Directory esistente

In questo scenario NethServer è collegato ad un account provider Active Directory remoto. Può essere una implementazione Samba o Microsoft. NethServer diventa quindi un server membro di un dominio Active Directory esistente. Quando si accede ad una risorsa su NethServer da una workstation del dominio, le credenziali dell’utente sono verificate da uno dei controllori di dominio e l’accesso alla risorsa viene consentito.

Per l’attestazione a un dominio di Active Directory è necessario siano soddisfatti i seguenti requisiti:

Il protocollo Kerberos richiede che la differenza tra gli orologi dei dispositivi del dominio sia meno di 5 minuti. Sincronizzare gli orologi dei client di rete con una sorgente di orario comune. Per NethServer andare alla pagina Data e ora.

Soddisfatti i prerequisiti, spostarsi alla pagina Account provider > Active Directory > Join a un dominio.

  • Immettere il Nome dominio DNS del dominio AD. Il nome di dominio NetBIOS (nome breve di dominio) viene verificato automaticamente.
  • Compilare il campo Server DNS AD. Solitamente è l’indirizzo IP di un controller di dominio AD.
  • Fornire il Nome utente e la Password di un account AD avente i necessari privilegi per attestare un computer al dominio. Attenzione, l’account amministratore predefinito potrebbe essere disattivato!

Avvertimento

Alcuni moduli aggiuntivi, come Nextcloud, WebTop, Roundcube, Ejabberd, richiedono un accesso in sola lettura ai servizi LDAP di AD. Per renderli pienamente operativi, è necessario fornire un account di dominio aggiuntivo per eseguire semplici bind LDAP.

Creare un account dedicato in AD impostandogli una password complessa priva di scadenza.

Una volta attestato con successo NethServer ad AD, specificare le credenziali di un account utente dedicato nel campo Account provider > Credenziali bind in sola lettura.

Collegamento ad un server LDAP remoto

Per configurare un provider di account LDAP remoto, spostarsi nella pagina Account provider > LDAP > Collega remotamente.

Digitare l’indirizzo IP del server LDAP nel campo Medium Vero Donna Denim Jeans Denim Grigio Grey Slim Moda medium Nome host o IP. Se il servizio LDAP viene eseguito su una porta TCP non standard, specificarla nel campo Porta TCP.

Quindi una query LDAP rootDSE verrà inviata all’host specificato e il form verrà valorizzato con i dati restituiti. Controllare che i valori siano corretti e premere il tasto Salva per confermare.

Se il server LDAP richiede l’autenticazione, compilare i campi sotto Binding autenticato. Abilitare ldaps:// o STARTTLS per crittografare la connessione.

Suggerimento

Se il server LDAP remoto è un NethServer e si trova nella rete LAN (green), selezionare Bind anonimo

Utenti

Un nuovo utente rimane bloccato finché non gli viene assegnata una password. Agli utenti bloccati è negato l’accesso ai servizi del sistema.

I seguenti campi sono obbligatori per la creazione di un utente:

  • Nome utente
  • Nome completo (nome e cognome)

Un utente può essere aggiunto ad uno o più gruppi usando la pagina Denim Medium Vero Denim Jeans Moda Slim medium Grigio Grey Donna Utenti o Gruppi.

A volte può essere necessario bloccare l’accesso ai servizi di un utente senza eliminare l’account. E” possibile farlo usando le azioni Blocca e Sblocca.

Nota

Quando l’utente viene eliminato, verranno eliminati anche tutti i dati dell’utente.

Modifica della password

Se durante la creazione dell’utente non è stata impostata una password, l’account utente è disabilitato. Per abilitarlo, impostare una password con il pulsante Cambia password .

Quando un utente è abilitato, può accedere al Server Manager e cambiare la propria password dalla voce Profilo nel menù user@domain.com in alto a destra.

Se il sistema è collegato ad un account provider di tipo Active Directory, gli utenti possono cambiare la propria password anche utilizzando gli strumenti appositi di Windows. In questo caso, non è possibile impostare password più corte di 6 caratteri, indipendentemente dalla policy selezionata. Windows esegue dei controlli prima di inviare la password al server,dove viene valutata in base alla policy configurata.

Credenziali per i servizi

Le credenziali dell’utente sono lo username e la password. Le credenziali sono richieste per accedere ai servizi installati sul sistema.

Lo username può essere utilizzato in due forme: lungo (default) e breve. La forma lunga è sempre accettata dai servizi. La forma breve potrebbe non essere valida in qualche servizio.

Per esempio se il dominio è example.com e l’utente è goofy:

Forma lunga username
goofy@example.com
Forma breve username
goofy

Per accedere ad una cartella condivisa, vedere anche Accesso alla rete.

Cartelle home dell’utenteJeans U18042d4181 Jo Mod Liu Collezione Nuova Bottom Up Donna qS8x84w5

Le directory home degli utenti sono memorizzate all’interno della directory :file: /var/lib/ nethserver/home`, al fine di semplificare la distribuzione di un sistema di partizione a crescita singola.

L’amministratore può comunque ripristinare il noto /home usando il bind mount:

echo "/var/lib/nethserver/home       /home   none    defaults,bind   0 0" >> /etc/fstab
mount -a

Gruppi

Un gruppo di utenti può essere usato per assegnare permessi speciali ad alcuni utenti, come autorizzare l’accesso alle cartelle condivise.

Si possono creare due gruppi speciali. Gli utenti che appartengono a questi gruppi ottengono l’accesso alle pagine del Server Manager.

  • domain admins: gli utenti di questo gruppo hanno gli stessi permessi di root nel Server Manager.
  • Medium Vero Jeans medium Grigio Denim Donna Slim Denim Moda Grey managers: gli utenti di questo gruppo hanno l’accesso alle pagine della sezione Gestione.

Account admin

Se è installato un account provider locale LDAP o AD, l’utente admin, membro del gruppo domain admins è creato automaticamente. Questo account consente di accedere a tutte le pagine di configurazione del Server Manager. Inizialmente è bloccato e non ha accesso alla console.

Suggerimento

Per abilitare l’account admin impostargli la password.

Dove possibile, l’account admin riceve dei permessi speciali da parte di servizi specifici, come poter aggiungere una workstation al dominio di Active Directory.

Se NethServer è collegato ad un account provider remoto, l’utente admin e il gruppo domain admins possono essere creati, se non esistono già.

Se un utente o un gruppo con una funzione simile è già presente nella base dati dell’account provider remoto, ma si chiama diversamente, può essere designato come admin usando questi comandi:

config setprop admins user customadmin group customadmins
/etc/e-smith/events/actions/system-adjust custom

Gestione password

Il sistema prevede la possibilità di impostare dei vincoli sulla complessità e la scadenza delle password.

Le politiche di gestione password possono essere cambiate usando l’interfaccia web.

Complessità

La complessità password è un insieme di condizioni minime che devono essere soddisfatte affinché la password venga accettata dal sistema: è possibile scegliere tra due differenti policy di gestione complessità delle password:

  • none: non viene fatto alcun controllo sulla password immessa se non sulla lunghezza di almeno 7 caratteri
  • strong

La policy strong impone che la password debba rispettare le seguenti regole:

  • lunghezza minima 7 caratteri
  • contenere almeno 1 numero
  • contenere almeno 1 carattere maiuscolo
  • contenere almeno 1 carattere minuscolo
  • contenere almeno 1 carattere speciale
  • Vero Slim Denim medium Grey Jeans Grigio Donna Denim Medium Moda contenere almeno 5 caratteri diversi
  • non deve essere presente nei dizionari di parole comuni
  • deve essere diversa dallo username
  • non può avere ripetizioni di pattern formati da più 3 caratteri (ad esempio la password As1.$As1.$ non è valida)
  • se è installato Samba Active Directory, sarà abilitato anche lo storico delle password

La policy di default è strong.

Avvertimento

Cambiare le politiche predefinite è altamente sconsigliato. L’utilizzo di password deboli è la prima causa di compromissione dei server da parte di attaccanti esterni.

Scadenza

La Denim Vero Medium Slim Jeans Grigio Grey medium Moda Denim Donna scadenza delle password viene attivata di default a 6 mesi a partire dal momento in cui la password viene impostata.

Nota

Al momento dell’attivazione il sistema farà riferimento alla data dell’ultimo cambio password, se tale data è precedente più di 6 mesi, il server invierà una mail per segnalare che la password è scaduta. In tal caso è necessario cambiare la password dell’utente. Ad esempio: se l’ultimo cambio password è stato fatto a gennaio e l’attivazione della scadenza in ottobre, il sistema riterrà la password cambiata in gennaio come scaduta, e lo segnalerà all’utente.

Effetti della password scaduta

Allo scadere della password l’utente sarà ancora in grado di leggere e inviare email.

Se NethServer ha un account provider Active Directory, l’utente non potrà più accedere alle cartelle condivise, stampanti (Samba) e altri PC del dominio

Importazione account da file plain-textStretch Donna Sexy Jeans Woman Ragazza Bordeaux xScBTq8Z

Importazione utenti

È possibile creare utenti a partire da un file TSV (Tab Separated Values) con il seguente formato:

username  fullName  password 

Esempio:

mario  Mario Rossi  112233 

quindi eseguire:

/usr/share/doc/nethserver-sssd-/import_users 

Per esempio, se il file è /root/users.tsv, eseguire:

/usr/share/doc/nethserver-sssd-`rpm --query --qf "%{VERSION}" nethserver-sssd`/scripts/import_users /root/users.tsv

Per utilizzare un carattere separatore alternativo:

import_users users.tsv ','

Importazione gruppi

La gestione dei gruppi è disponibile da linea di comando usando gli eventi group-create e group-modify

Denim Denim Slim Vero medium Jeans Medium Grey Donna Grigio Moda signal-event group-create group1 user1 user2 user3
signal-event group-modify group1 user1 user3 user4