wiki:ConfigurazioneNuovoServer

Dopo avere installato-aggiornato un server

PASSWORD DI GRUB

Come impostare la password di grub

  1. aprire un root-terminal
  2. lanciare il comando grub-md5-crypt
    chiede l'inserimento della password e poi crea la password criptata
  3. aprire un altra shell ed editare il file
    vim /boot/grub/menu.lst
  4. aggiungere sotto la seguente riga --> # password topsecret:
    password --md5 "password criptata"
    esempio: password --md5 $1$CBvR2$0CGIADbxhVUjbzxHZSLvy.

LDAP

Correggere l'albero LDAP

Prima di importare l'albero LDAP, occorre correggere alcuni campi che creano problemi.

Per fare ciò, esiste nella directory /usr/share/fuss-server/scripts/ lo script 'clean_old_ldap.py'

Uso.

  1. Posizionarsi nella directory nella quale è presente il backup dell'albero (esempio: cd /var/backups)
  2. Lanciare il comando, indicando come primo argomento il nome del file da correggere (esempio: oldLDAP.dif) e redirigendoil risultato al nome del nuovo file che si vuole ottenere (esempio: newLDAP.ldif)

/usr/share/fuss-server/scripts/clean_old_ldap.py oldLDAP.ldif > newLDAP.ldif

Fatto questo seguire la procedura indicato in devel Backuppiamo LDAP con però l'accortezza di rimuovere tutto il contenuto della directory ldap TRANNE il file DB_CONFIG che deve essere conservato!

Ulteriori errori

Nel caso che il comando restituisca degli errori del tipo:

slapadd: dn="uid=malo,ou=Users,dc=ghepardi,dc=local" (line=7167): (64)

value of naming attribute 'uid' is not present in entry

vuol dire che l'albero LDAP è ancora sbagliato in alcune sue parti, e precisamente nell'incongruenza fra il valore di uid nel DN e quello nel contenuto:

dn: uid=malo,ou=Users,dc=ghepardi,dc=local objectClass: top ... uid: malo_g ...

In questo caso occorre uniformare i due valori correggendo questo tipo di errori a mano con un editor.

La correzione da fare e` sul valore dentro il DN, cioè:

dn="uid=malo,ou=Users,dc=ghepardi,dc=local"

deve diventare

dn="uid=malo_g,ou=Users,dc=ghepardi,dc=local"

Vanno anche corrette tutte le occorrenze del nome sbagliato all'interno dei gruppi.

GCONF

Evitare conflitti fra il profilo degli utenti già presenti e il nuovo aspetto del desktop

Prima di fare loggare gli utenti, e dopo essersi sincerati che nessuno si connetta per la prima volta da una postazione Soledad o dal server, occorre cancellare alcune directory nascoste presenti nella /home degli utenti.

Per fare ciò, esiste nella directory /usr/share/fuss-server/scripts/ lo script 'clean_gconf_gnome' (non badare ai messaggi che restituisce, che potrebbero fare credere che non stia eseguendo il suo lavoro)

SQUID

Impostare la lingua italiana nei messaggi di errore di SQUID:

  1. Fermare SQUID

/etc/init.d/squid stop

  1. Editare il file di configurazione di SQUID

vim /etc/squid/squid.conf

  1. Aggiungere alla fine del file la seguente riga:

error_directory /usr/share/squid/errors/Italian

  1. Fare ripartire SQUID

/etc/init.d/squid start

RIMUOVERE NSCD

Non essendo necessario e potendo creare dei conflitti, è preferibile rimuovere il pacchetto:

  1. apt-get --purge remove nscd

DANSGUARDIAN

Reimpostare il limite delle frasi pesate:

  1. Editare il file di configurazione:

vim /etc/dansguardian/dansguardianf1.conf

  1. Impostare il limite

cercare la variabile naughtinesslimit = x

  1. Stoppare e riavviare il servizio

/etc/init.d/dansguardian stop && /etc/init.d/dansguardian start

Impostare i messaggi di blocco in italiano:

  1. Editare il file di configurazione:

vim /etc/dansguardian/dansguardian.conf

  1. Commentare la seguete riga:

language = 'ukenenglish'

  1. Scrivere la seguente riga:

language = 'italian'

  1. Stoppare e riavviare il servizio

/etc/init.d/dansguardian stop && /etc/init.d/dansguardian start

Log di SQUID e DANSGUARDIAN

Considerato che occorre conservare per un anno i log delle connessioni a internet, occorre cambiare i file di configurazione del servizio SYSLOG

Per Impostare il salvataggio di 365 giorni di log di DANSGUARDIAN

  1. Editare il file di configurazione di DANSGUARDIAN

vim /etc/logrotate.d/dansguardian

  1. Alla riga 2, direttiva "rotate", impostare 365 invece che 5
  2. Editare il file di configurazione di SQUID

vim /etc/logrotate.d/squid

  1. Alla riga 8, direttiva "rotate", impostare 365 invece che 2
  2. Riavviare il servizio

/etc/init.d/sysklogd restart

SAMBA

ATTENZIONE: Solo se si importa un precedente albero LDAP

Affinché l'autenticazione da Windows funzioni, occorre ripristinare il precedente SID di Samba

  1. Ricavare il vecchio SID

ldapsearch -x | grep SID | head -n1

  1. Impostare quanto viene mostrato come SID attuale

net setlocalsid VECCHIO_SID_RICAVATO_PRECEDENTEMENTE

  1. Editare il file /etc/smbldap-tools/smbldap.conf, commentare il SID presente e aggingere quello ricavato precedentemente: ESEMPIO:

# Put your own SID

# to obtain this number do: net getlocalsid

#SID="S-1-5-21-993713340-4213568875-652305519"

SID="S-1-5-21-656688076-2592243689-317653300"

OCTOFUSS

Per profittare di tutte le funzionalità di Octofuss

Ci sono due pacchetti indicati come "Recommends" nel file "Control" del deb di Octofuss. Essi non vengono quindi installati automaticamente dal pacchetto.

Sabayon: permette la creazione di profili utente del desktop personalizzati, che possono poi venire assegnati a determinati utenti. Si può, ad esempio: impostare il proxy dell'ambiente GNOME (utile per programmi quali GnomeTranslate?); impostare un determinato sfondo, tema, etc.; etc. In poche parole: tutto ciò che occorrerebbe impostare per ogni utente dal suo 'gconf-editor'

Xvncviewer: se questo pacchetto non è installato, non sarà possibile entrare 'da remoto' nel desktop di un utente. A questo proposito, perché ciò sia possibile, è necessario che l'utente abbia impostato da Sistema -> Preferenze -> Desktop remoto l'opzione "Consentire agli altri utenti di visualizzare il proprio desktop", togliendo la spunta a "Richiedere conferma" a "Quando un utente tenta di visualzzare o controllare il proprio desktop". Anche per questo è possibile creare con Sabayon un profilo (ad es: Studenti) nel quale si imposta il parametro in questione.

OCTOFUSS + LDAP

Gestione dei privilegi utente

Octofuss gestisce i privilegi utente in modo differente dal precedente sistema: infatti i gruppi di sistema audio, cdrom, floppy, plugdev, scanner non devono più essere anche gruppi di LDAP, bensì esclusivamente gruppi locali sul server che vengono esportati da Octofuss in quanto "User Privileges".

Per sistemare le cose, procedere così:

  1. Eliminare i gruppi LDAP duplicati dei gruppi presenti in /etc/group del server:

smbldap-groupdel audio cdrom floppy plugdev scanner internet (eventualmente, se presenti, anche lpadmin, sudo, camera, video, dialout, etc.)

  1. Aprire la gestione utenti di Octofuss
  1. selezionare gli utenti ai quali si vogliono aggiungere i privilegi
  1. col tasto destro del mouse selezionare il menu "Add Permission" e selezionare i permessi che si vogliono aggiungere.

NB: Nel file /etc/octofuss/octofuss.conf fornito dal pacchetto, nella sezione "GROUPS" sono presenti i gruppi audio, cdrom, floppy, plugdev, scanner. Si possono aggiungere anche altri gruppi di sistema, purché presenti in /etc/group del server (semmai caso aggiungerli con il comando 'addgroup <nomegruppo>'). ESEMPIO:

[GROUPS]

scanner = scanner

[ . . . ]

Amministratore stampanti = lpadmin

Permettere a uno o più utenti di LDAP di acquisire i privilegi di amministratore sui client Ubuntu

Le distribuzioni basate su Ubuntu (Eland) gestiscono i privilegi di amministratore in modo diverso da quelle basate su Debian (Soledad). Anche il menù di GNOME di un utente con privilegi di amministratore (ad es: l'utente definito in fase di installazione) e quello di un utente senza privilegi di amministratore (ad es: gli utenti di LDAP) differiscono (ad esempio: a questi ultimi non viene mostrato "Synaptic" o qualsiasi applicazione che richieda i privilegi di amministratore). Se un utente lancia una applicazione che richieda privilegi di utente, non gli viene richiesta la password di root, bensì la propria (gtksudo); i privilegi di amministratore si acquisiscono solamente se si è inseriti nel gruppo "admin", che è presente in /etc/sudoers.

Per permettere a uno o più utenti di LDAP di gestire un client Ubuntu con privilegi di amministrattore, procedere così:

  1. Creare sul server, se non fosse già presente, un gruppo locale "admin"
    questo solo dopo aver importato il db di ldap (crea problemi con il gidNumber)

addgroup admin

  1. Editare il file /etc/octofuss/octofuss.conf e aggiungere nella sezione "GROUPS" il gruppo "admin". ESEMPIO:

[GROUPS]

scanner = scanner

[ . . . ]

Amministratore client = admin

  1. Cliccare con il tasto destro del mouse sull'icona dell'utente al quale si intende concedere i privilegi di amministratore dei client, aggiungendogli il privilegio (Add Permission)

ATTENZIONE: questo utente diventa, in pratica, il root dei client!!!

CHIAVI SSH

Permettere la connessione via ssh

In caso di upgrade del server e reinstallazione di client con lo stesso precedente nome, ci potrebbero essere problemi con le chiavi conservate nel file /root/.ssh/known_hosts, che pertanto va cancellato.

Gestione cluster con Octofuss

Per una più agevole gestione da parte dei referenti dei cluster da Octofuss (terminale remoto, spegnimento pc, etc.) è necessario, la prima volta, fare accettare le chiavi per ogni client (che, purtroppo, non avviene in automatico).

INGRESSO DA REMOTO NEL TERMINALE

Per permettere ai referenti di visualizzare il desktop da remoto con Octofuss, è necessario che gli utenti abbiano impostato il permesso di ingresso senza richiesta di password.

Se funzionasse, si potrebbe creare con Sabayon un profilo utente che abbia quell'impostazione e applicarlo agli utenti; ma visto che non funziona, si può procedere in questo modo:

  • aprire sul server la sessione grafica di root (o di un altro utente, è uguale);
  • Desktop -> Preferenze - > Desktop remoto;
  • spuntare la casella "Consentire agli altri utenti di visualizzare il proprio desktop" e de-spuntare "Richiedere conferma";
  • chiudere e uscire dalla sessione dell'utente (altrimenti non scrive la modifica);
  • andare in /root/.gconf/desktop/gnome/ e copiare la cartella "remote_access" nell'utente che si desidera (es: fuss). Esempio:

server:~/.gconf/desktop/gnome# cp -r remote_access /home/fuss.gconf/desktop/gnome/

  • andare nella cartella dell'utente fuss e cambiare i permessi alla cartella e al suo file all'interno:

server:home/fuss/.gconf/desktop/gnome# chown -R fuss remote_access

Last modified 10 years ago Last modified on Sep 10, 2007, 2:39:15 PM