Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tuto:fusiondirectory:install_ubuntu [22/03/2013 10:09]
dani [Service DHCP]
+++ tuto:fusiondirectory:install_ubuntu [02/09/2013 16:01] (Version actuelle)
dani Page moved and renamed from tuto:fusiondirectory:install_ubuntu:installer_fusiondirectory_ubuntu to tuto:fusiondirectory:install_ubuntu
@@ Ligne 1: / Ligne 1: @@
 ====== Installer FusionDirectory sur Ubuntu ======
-<note important>En cours de rédaction</note>
 <note tip>Testé sur Ubuntu 12.04</note>
+Ce how-to décrit la mise en place:
+  * d'un annuaire LDAP
+  * un contrôleur samba
+  * un serveur DNS
+  * un serveur DHCP
+Tous les services (samba, dns, dchp) utilisent LDAP pour récupérer la configuration et les comptes. L'annuaire LDAP est contrôlé par l'interface FusionDirectory.
+Dans cet exemple, tous ces services tournent sur la même machine, mais il est bien sûre possible de les faire tourner chacun sur une machine indépendante (du moment que chaque service peut se connecter à l'annuaire LDAP)
 ===== Installer OpenLDAP =====
@@ Ligne 39: / Ligne 48: @@
 echo 'FIREWALL.LOCAL' > /etc/install/samba.domain
 echo 'firewall-services.com' > /etc/install/dnsdomain
-openssl rand -base64 33 > /etc/install/samba.pw
+openssl rand -base64 33 | perl -pe 's/\//\./g' > /etc/install/samba.pw
-openssl rand -base64 33 > /etc/install/dhcp.pw
+openssl rand -base64 33 | perl -pe 's/\//\./g' > /etc/install/dhcp.pw
-openssl rand -base64 33 > /etc/install/unix.pw
+openssl rand -base64 33 | perl -pe 's/\//\./g' > /etc/install/unix.pw
 </code>
@@ Ligne 127: / Ligne 136: @@
        by dn=uid=samba,ou=DSA,dc=firewall-services,dc=com write
        by self read
+       by * none
+access to filter=(objectClass=sambaDomain)
+       by dn=uid=samba,ou=DSA,dc=firewall-services,dc=com write
+       by group.exact="cn=admins,ou=Groups,dc=firewall-services,dc=com" write
+       by * none
+access to dn.subtree=ou=Computers,ou=systems,dc=firewall-services,dc=com
+       by dn=uid=samba,ou=DSA,dc=firewall-services,dc=com write
+       by group.exact="cn=admins,ou=Groups,dc=firewall-services,dc=com" write
        by * none
 # Accès aux attributs posix
@@ Ligne 132: / Ligne 149: @@
        by dn=uid=samba,ou=DSA,dc=firewall-services,dc=com write
        by self read
-       by dn.subtree="ou=DSA,dc=firewall-services,dc=com" read
+       by dn="uid=unix,ou=DSA,dc=firewall-services,dc=com" read
 # Accès aux container des comptes systèmes
 access to dn.subtree=ou=DSA,dc=firewall-services,dc=com
-       by group.exact="cn=admins,ou=Groups,dc=firewall-services,dc=com"
+       by group.exact="cn=admins,ou=Groups,dc=firewall-services,dc=com" write
        by * none
 # Accès pour tous le monde à la base
@@ Ligne 144: / Ligne 161: @@
        by * read
 # Accès à des fins d'annuaires aux utilisateurs et aux groupes
-access to dn.regex="^.*,ou=(People|Groups),dc=firewall-services,dc=com"
+access to dn.regex="^.*,ou=(Users|Groups),dc=firewall-services,dc=com"
        by * read
 # Accès au reste
@@ Ligne 250: / Ligne 267: @@
 </code>
-  * Personnalisez les mots de passe des comptes samba et dhcp
+  * Personnalisez les mots de passe des comptes samba, dhcp et unix
 <code bash>
 ldappasswd -x -D cn=admin,$(sudo cat /etc/install/ldap.base) -w $(sudo cat /etc/install/ldap.pw) \
@@ Ligne 259: / Ligne 276: @@
     -s $(sudo cat /etc/install/unix.pw) uid=unix,ou=DSA,$(sudo cat /etc/install/ldap.base)
 </code>
 ===== Configurer l'authentification nss_ldap =====
 Pour que samba fonctionne normalement, il faut que les comptes UNIX du contrôleur soient basés sur l'annuaire LDAP:
@@ Ligne 348: / Ligne 364: @@
   * installez les paquets nécesssaires
 <code bash>
-sudo apt-get install fusioninventory
+sudo apt-get install fusiondirectory
 </code>
@@ Ligne 383: / Ligne 399: @@
 sudo apt-get install fusiondirectory-plugin-samba
 </code>
-  * SUr le serveur samba
+  * Sur le serveur samba
 <code bash>
 sudo apt-get install samba-client samba smbldap-tools smbclient
 </code>
+<note important>Si le service samba tourne sur une machine différente de l'annuaire LDAP, il faut également configurer l'authentification des comptes UNIX via nss-ldap sur le serveur samba, voir plus haut</note>
 === Configurez samba ===
   * Prenez ce fichier smb.conf comme modèle, ajustez le et remplacez le contenu de /etc/samba/smb.conf
@@ Ligne 725: / Ligne 743: @@
             -e "s/firewall-services.com/$(sudo cat /etc/install/dnsdomain)/g" \
             -e "s/__NETBIOS__/$(sudo cat /etc/install/samba.netbios)/g" \
-            -e "s/__NT_DOMAIN/$(sudo cat /etc/install/samba.domain)/g" \
+            -e "s/__NT_DOMAIN__/$(sudo cat /etc/install/samba.domain)/g" \
             -e "s/__DNS_DOMAIN__/$(sudo cat /etc/install/dnsdomain)/g" /etc/smbldap-tools/smbldap.conf
 sudo sed -i -e "s/dc=firewall-services,dc=com/$(sudo cat /etc/install/ldap.base)/g" \
@@ Ligne 765: / Ligne 783: @@
   * Installer bind9
 <code bash>
-sudo apt-get install bind9 ldap2zone
+sudo apt-get install bind9 ldap2zone ldap-utils
 </code>
@@ Ligne 877: / Ligne 895: @@
 </code>
-=== Ajouter le carnet d'adresse ====
+==== Plugins FusionDirectory supplémentaires ====
+=== Addressbook ===
 Ce plugin fournit un carnet d'adresse simple:
 <code bash>
 sudo apt-get install fusiondirectory-plugin-addressbook
+sudo /etc/init.d/apache2 restart
+</code>
+=== Board ===
+Ce plugin permet de donner des informations générales sur les utilisateurs (nombres, comptes arrivant à expiration etc...)
+<code bash>
+sudo apt-get install fusiondirectory-plugin-board
+sudo /etc/init.d/apache2 restart
 </code>
 ===== Points à revoir =====
-  * <todo> Re-faire une installation from-scratch pour vérifier ces notes (prises au fur et à mesure, possible que certains éléments aient été oubliés)</todo>
+  * <todo #> Re-faire une installation from-scratch pour vérifier ces notes (prises au fur et à mesure, possible que certains éléments aient été oubliés)</todo>
   * <todo>Tester les fonction de domaine NT</todo>
     * <todo #>Jonction au domaine</todo>
@@ Ligne 920: / Ligne 948: @@
 </hidden>
   * <todo>Intégration obverlay smb5k</todo>
-  * <todo>Intergration overlay ppolicy</todo>
+  * <todo #>Intergration overlay ppolicy</todo> <fc #FF0000>Simple à mettre en place, mais pas de réel intérêt sans smbk5pwd, qui n'est pas disponible sur Ubunt 12.04</fc>
   * <todo #>Patcher (et soumettre le patch upstream) FusionDirectory pour utiliser sambaPwdLastSet au lieu de sambaPwdMustChange (sambaPwdMustChange est obsolète dans les versions récentes de samba)</todo>
 <hidden patch>
@@ Ligne 1033: / Ligne 1061: @@
 </file>
 </hidden>
-  * <todo>Ajuster les ACL ldap (pas de consultation anonyme ?)</todo>
+  * <todo #>Ajuster les ACL ldap (pas de consultation anonyme ?)</todo>
   * <todo>Mise en place SSL/TLS (pas nécessaire dans cet exemple puisque tous les services tournent sur la même machine, via le loopback, mais à faire si les services sont sur des machines différentes)</todo>
   * Créer des comptes pour les services suivants et les utiliser (au lieu d'utiliser le DN admin ou une connexion anonyme)
-    * <todo>samba</todo>
+    * <todo #>samba</todo>
-    * <todo>bind</todo>
+    * <todo>bind</todo> <fc #FF0000>l'outil ldap2bind utilisé ne supporte pas de connexion authentifiées</fc>
-    * <todo>dhcp</todo>
+    * <todo #>dhcp</todo>
   * <todo #>Créer le ~home à la première ouverture de session samba (pour l'instant, mkhomedir fonctionne pour la 1° connexion en ligne de commande)</todo>
   * <todo>Ajouter le plugin rsyslog</todo> http://documentation.fusiondirectory.org/en/documentation/plugin/rsyslog
   * <todo #>Les uid et gid des comptes supprimés peuvent être ré-utilisés</todo>
   * <todo #>Voir comment prendre en compte plusieurs branches dans l'annuaire (départements FusionDirectory)</todo>