Samba4vsactive

La gestione degli utenti tramite un Domain Controller Active Directory introduce innumerevoli vantaggi e possibilità, soprattutto grazie alle potentissime Group Policy centralizzate, con cui è possibile definire con grande granularità chi può fare cosa all’interno della rete.

Tutto questo, grazie a Samba4, è possibile anche usando un server Linux in alternativa al classico Server Windows, ma la complessità di gestione e implementazione è spesso proibitiva.

La soluzione? NethServer!

Questo articolo ci introduce alle peculiarità tecniche di un Active Directory basato su Samba4 e suggerisce le Best Practice per far sì che tutto funzioni alla perfezione.

Tutto diventa facile con NethServer!! 

 

Configurazione DNS per il ruolo Domain Controller in un nuovo dominio Active Directory

Molti sistemi informatici hanno bisogno di identificare l’utente per fornire le giuste autorizzazioni di accesso, secondo i criteri stabiliti dell’organizzazione a cui l’utente appartiene. Active Directory (AD) è un sistema che centralizza la gestione dell’identità e delle autorizzazioni in una rete di computer all’interno di uno o più server che svolgono il ruolo di controllori di dominio o Domain Controller (DC).

Il Domain Name System (DNS) è un database gerarchico e distribuito che consente di ottenere l’indirizzo IP dato un nome di host completo (FQDN), come ad esempio nsdc.ad.nethesis.it. In questo caso nsdc è il nome host, mentre ad.nethesis.it è il nome del dominio. Il DNS viene interrogato dai computer membri di Active Directory per trovare un Domain Controller a cui accedere e costituisce quindi un servizio essenziale per il funzionamento di Active Directory.

Princìpi di funzionamento di DNS

La struttura gerarchica del DNS individua il dominio ad.nethesis.it come sottodominio di nethesis.it. Inoltre il dominio it è detto “dominio di primo livello”, mentre nethesis.it è detto “dominio di secondo livello”.

L’essere un database distribuito fa sì che un certo dominio sia controllato da un server DNS detto autoritativo, disposto cioè a fornire la risposta giusta quando interpellato da qualche client sui nomi host di sua competenza. Un server autoritativo può essere accessibile solo da certe reti (DNS privato) o da tutta Internet (DNS pubblico). Altri server DNS detti resolver agiscono da intermediari e smistano le richieste verso i server autoritativi. Altri ancora, detti forwarder, si limitano a registrare temporaneamente le risposte ottenute dai server autoritativi e dai resolver per velocizzare le richieste successive.

DNS in NethService

A quest’ultima tipologia (forwarder) appartiene dnsmasq, il servizio DNS implementato in NethService NG 7. Quando eletto a server DNS della propria LAN, dnsmasq riceve le richieste (Query) DNS da tutti gli host della rete e le inoltra al server configurato nella pagina “Rete > Server DNS > DNS primario”.

Prima di inoltrare al DNS primario controlla tuttavia se la stessa richiesta è stata già fatta ed è presente in memoria (cache) o se una nostra impostazione locale dalla pagina “DNS > Host” vuole mascherare la risposta di un server autoritativo (override).

NethService come domain controller di AD

NethService NG 7 può agire come domain controller di Active Directory. Esegue i servizi forniti da Samba 4 in un linux container, un contenitore separato dal resto del sistema che appare dall’esterno come un server distinto dal NethService che lo ospita, con un proprio indirizzo IP. Per brevità, chiamiamo questo contenitore nsdc.

Un Domain Controller di AD svolge il ruolo di server DNS autoritativo per il suo dominio. Abbiamo dunque nsdc come DNS autoritativo per il dominio di Active Directory e dnsmasq che si occupa di inoltrare le richieste DNS verso nsdc o verso il DNS primario.

 

Scelta del nome per un nuovo Active Directory

Il dominio di Active Directory una volta scelto non può essere cambiato. E’ dunque importante scegliere un nome che sia valido anche in caso di trasformazioni dell’organizzazione (trasloco, fusione con altre entità, separazione in più reparti etc…).

Quando si crea un nuovo dominio di Active Directory, la procedura consigliata [1] da Microsoft stessa è la seguente:

  • Registrare un nome di dominio nel DNS pubblico (es: nethesis.it). Questo passo è necessario anche se si vuole installare un mail server.
  • Utilizzare il nome di dominio pubblico come suffisso per l’FQDN del NethService (es: srv.nethesis.it)
  • Attribuire un sottodominio privato ad Active Directory. L’interfaccia di NethService prepone “ad.” al dominio pubblico (es: ad.nethesis.it), ma si può modificare a piacere:

  1. https://social.technet.microsoft.com/wiki/contents/articles/34981.active-directory-best-practices-for-internal-domain-and-network-names.aspx

La soluzione consigliata è pienamente compatibile con tutti gli standard DNS, con il ruolo di mail server, e consente di ottenere certificati SSL validi. Inoltre è riconosciuta essere la più semplice da amministrare quando si configurano i client DNS.

Effetti della scelta del nome di NethService

Il suffisso di dominio attribuito all’FQDN di NethService è un parametro fondamentale nella configurazione del server.

Casella di posta predefinita

In NethService NG 7 il nome utente completo che si usa per accedere ai servizi coincide con l’indirizzo della casella di posta predefinita.

Scegliendo il dominio pubblico associato all’organizzazione (es: nethesis.it) si ottengono facilmente gli indirizzi di posta elettronica validi e si semplifica la configurazione dei client e dei moduli di posta:

  • primo.utente@nethesis.it
  • secondo.utente@nethesis.it

Su questi indirizzi possono poi essere definiti ulteriori alias, anche definendo nuovi domini di posta elettronica.

Login da workstation Windows

Quando un utente si autentica da una workstation Windows può fornire il proprio nome in diversi modi. Se NethService è il domain controller, uno di questi è digitare il proprio indirizzo email predefinito:

  • primo.utente@nethesis.it

NethService infatti imposta l’indirizzo email predefinito come User Principal Name (UPN).

Forme alternative, anch’esse valide sono:

  • primo.utente@ad.nethesis.it (dominio AD come suffisso)
  • NETHESIS\primo.utente (dominio NetBIOS come prefisso)

Configurazione DNS per i client

I client di rete membri di Active Directory devono poter accedere al dominio DNS privato per trovare il domain controller. Per questi client si deve impostare come DNS di rete l’indirizzo IP di NethService, a cui risponde dnsmasq. Come abbiamo visto è dnsmasq che inoltra le richieste a nsdc, DNS autoritativo per il dominio di AD.

Conclusioni

Nel creare un nuovo dominio di Active Directory con NethService 7 NG è consigliato

  • scegliere un dominio registrato nel DNS pubblico per l’FQDN di NethService
  • scegliere un sottodominio del precedente, privato, per Active Directory

In questo modo si semplifica notevolmente la configurazione della posta elettronica e si consente agli utenti di accedere ai servizi digitando il proprio indirizzo di posta.