:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
Chi siamo Iniziative Progetti Documenti Links Home News Login
Samba 3 + ldap + PDC HOWTO
Link utili
Configurazione Samba 3 con supporto
SAMBA - opening
LDAP
windows to a wider
world
su Debian Sarge
OpenLDAP -
Autore: Edy Incoletti (edy.incoletti@logicsnc.com) community
developed LDAP
Versione: 1.0.0, del 18/10/2005
software
E' dato permesso di distribuire questo documento in rispetto ai termini della GNU
Sambaldap tools -
Free Documentation License (http://www.gnu.org).
Dal sito IDEALX
L'autore incoraggia le modifiche a tale documento al fine di correggere/migliorare la
HOWTO
configurazione del software indicato. E' ben accetta la comunicazione di tali
migliorie in modo che possano essere integrate nelle future versioni.
Samba 3 + LDAP +
PDC HOWTO
Scopo dell'HOWTO
CD Wav mp3
HOWTO
Configurare Samba 3.0 con un backend LDAP.
SNORT Tutorial
Utilizzare lo stesso server LDAP per la gestione degli utenti UNIX in modo da avere
una gestione integrata degli utenti di dominio.
Midi HOWTO (parte
1)
Riferimenti
Altre versioni
Edd Dumbill
1.0.3
[1] Turn your world LDAP-tastic
(http://usefulinc.com/edd/blog/contents/2005/09/25-ldap/read)
1.0.2
Ignacio Coupeau
[2] Samba (v. 3) PDC LDAP HOWTO
1.0.1
(http://www.unav.es/cti/ldap-smb/smb-ldap-3-howto.html)
Olivier Lemaire
1.0.0
[3] The SAMBA-2.2.4/LDAP PDC HOWTO
(http://samba.idealx.org/samba-ldap-howto.pdf) 0.1.0
Jelmer R. Vernooij, John H. Terpstra, Gerald (Jerry) Carter
[4] The Official Samba-3 HOWTO and Reference Guide
(http://us4.samba.org/samba/docs/man/Samba-HOWTO-Collection/)
Modifiche rispetto alla versione precedente
Il presente howto Ł stato aggiornato utilizzando la nuova versione stabile di Debian,
Debian 3.1 Sarge.
Questa versione introduce una serie di migliorie ai pacchetti utilizzati che rendono
decisamente pił agevole la configurazione dell'ambiente, soprattutto per ci che
riguarda la configurazione dei smbldap-tools.
In questa versione sono, inoltre, state introdotte informazioni tratte dal documento
"Turn your world LDAP-tastic" ([1]) che copre in linea di massima la stessa
1 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
configurazione, facendo per riferimento a documenti esterni che in questo howto
sono invece integrati. Rispetto al documento indicato, inoltre, sono state apportate
alcune correzioni per semplificare o correggere le varie impostazioni.
Sistema installato
Il presente HOWTO Ł stato realizzato utilizzando un sistema Debian 3.1 Sarge con
tutti gli aggiornamenti di sicurezza ufficiali.
La configurazione iniziale del sistema prevede un'installazione base senza alcun
componente aggiuntivo.
Durante tutto il processo si presuppone di agire come utente root
Si consiglia di installare immediatamente Samba, in quanto alcuni strumenti che
mette a disposizione saranno necessari anche per le configurazioni degli altri
servizi.
# apt-get install samba smbclient
Per il momento come configurazione base rispondente nel seguente modo alle
domande che vi verranno poste:
- impostate il nome corretto del dominio (nel nostro esempio LOGIC)
- abilitare l'utilizzo di password cifrate
- non utilizzare DHCP per i nomi NETBIOIS
- avviare Samba con demoni
- non creare il database delle password
non preoccupatevi per eventuali errori, in quanto tutta la configurazione verrą
ripresa in un secondo momento.
Installazione e configurazione del server LDAP
Il server LDAP Ł essenzialmente un database gerarchico che viene utilizzato per la
memorizzazione dei dati degli utenti, dei computer del dominio e di tutto quanto si
desideri gestire tramite una base dati condivisibile via rete tra pił sistemi.
Si considera che il server in questione venga utilizzato all'interno di una rete
aziendale altamente affidabile e non verranno, pertanto, trattati gli aspetti relativi
alla crittografia delle comunicazioni. Questa scelta riduce la sicurezza, pertanto si
consiglia di approfondire l'argomento su [1].
Per utilizzare il server LDAP occorre installare il pacchetto slapd che costituisce
un'implementazione di server LDAP, un insieme di strumenti che ne permettono la
gestione e il pacchetto samba-doc contentente alcuni file necessari per configurare
LDAP per l'utilizzo con SAMBA.
# apt-get install slapd ldap-utils samba-doc
Durante l'installazione verranno richieste alcune informazioni necessarie a
configurare il server LDAP. In particolare verrą richiesto il nome del dominio che
pu essere un dominio interno completamente inventato (es. miadominio.tld) o un
dominio internet valido. La scelta Ł legata a politiche organizzative aziendali e
tecniche che richiederebbero una trattazione approfondita e che esula da questo
HOWTO.
Nei file riportati si considera che il dominio specificato Ł "logic", un dominio interno
non valido per Internet.
In seguito verrą richiesta la password per l'utente amministratore. Scegliete una
password particolarmente sicura, in quanto tramite essa si potrą avere accesso
completo alla gestione degli utenti del vostro dominio e, pertanto, accedere a
qualsiasi sistema presente sulla vostra rete. Questa password, inoltre, verrą
utilizzata anche in seguito in alcuni file di configurazione, pertanto Ł bene
2 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
ricordarsela.
Per tutte le altre opzioni possono essere confermate le impostazioni di default.
Copiare in /etc/ldap/schema lo schema LDAP necessario per SAMBA.
# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Modifica il file di configurazione di slapd (/etc/ldap/slapd.conf) aggiungendo nella
sezione "Schema and objectClass definitions" lo schema per samba:
include /etc/ldap/schema/samba.schema
Nella sezione "Indexing options" aggiungere una serie di indicizzazioni che
ottimizzeranno le interogazioni per l'utilizzo del server SAMBA:
index objectClass eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
Consentire agli utenti di cambiare non solo la propria password LDAP, ma anche le
password di SAMBA e contemporaneamente proteggere tali informazioni da un
accesso pubblico sostituendo la riga:
access to attribute=userPassword
con:
access to attrs=userPassword,sambaNTPassword,sambaLMPassword
Far ripartire slapd affinch tutte le modifiche apportate siano prese in
considerazione.
# /etc/init.d/slapd restart
Controllare che il server sia correttamente partito eseguendo una query con il
comando:
# ldapsearch -x
La risposta deve essere un file LDIF. Se invece si ottiene un errore di connessione
ricontrollare tutte le impostazioni e i file di log.
Per controllare il funzionamento di slapd pu sempre tornare utile fermare il
servizio e farlo partire, anzich con gli script standard debian con il comando:
# slapd -d 256
In tal modo viene avviato visualizzando varie informazioni di debug a video.
Configurazione dei client per LDAP
Ogni volta che un client accede ad un server LDAP deve impostare la base di
ricerca e, nel caso si trovi su un server differente, l'URL del server LDAP. Queste
informazioni possono essere impostate come default nel file /etc/ldap/ldap.conf
aggiungendo le righe:
BASE dc=logic
URI ldap://localhost
Una volta fatto questo Ł possibile verificare il corretto funzionamento di LDAP
nuovamente con il comando:
# ldapsearch -x
3 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
che dovrebbe fornire tutti i dati presenti nel server LDAP. Sempre pochi, ma in
numero maggiore rispetto a quanto elencato la volta precedente.
Configurare i SMBLDAP TOOLS
I smbldap-tools sostituiscono i comandi standard di UNIX per la gestione di gruppi,
utenti e password in modo da dialogare direttamente con il server LDAP e gestire in
contemporanea gli account UNIX e SAMBA.
Malgrado la documentazione ufficiale di SAMBA asserisca che smbpasswd sia in
grado di gestire tali account, utilizzando quello strumento occorre prima creare
l'utente UNIX, poi quello Samba, pertanto ne sconsiglio l'utilizzo.
Installazione
Installare il pacchetto smbldap-tools
# apt-get install smbldap-tools
Configurazione
Copiare i file smbldap.conf e smbldap_bind.conf in /etc/smbldap-tools.
#zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > \
/etc/smbldap-tools/smbldap.conf
# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf \
/etc/smbldap-tools/smbldap_bind.conf
Modificare il file /etc/smbldap-tools/smbldap_bind.conf inserendo il DN
dell'amministratore del server LDAP e la sua password.
Il DN dell'amministratore Ł stato impostato automaticamente durante l'installazione
del pacchetto Debian di slapd e corrisponde a "cn=admin,dc=
", in cui il
dominio dipende dalle configurazioni sopra riportate per il server LDAP.
La password Ł quella richiesta in fase di installazione del server LDAP.
Se non si Ł sicuri del DN da inserire lanciare il comando:
# slapcat
e cercare una riga che inizia con "dn: cn=". Il valore riportato Ł quello da inserire
come DN.
Nel file sono presenti le configurazioni sia per il master che per lo slave, in modo
da poter gestire un server di backup per il sistema LDAP gestito tramite slurpd.
Al momento si presuppone di avere un solo server LDAP, pertanto le configurazioni
coincideranno.
Eseguire il comando:
# net getlocalsid
e copiare il codice che viene restituito.
Modificare il file /etc/smbldap.conf inserento il SID appena ottenuto e controllare gli
indirizzi dei 2 server LDAP in modo che coincidano con il server locale (127.0.0.1).
SID="S-1-5-21-2318037123-1631426476-2439636316"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
Verificare che il TLS sia disabilitato.
ldapTLS="0"
Configurare il corretto suffisso per il dominio (quello specificato nella
4 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
configurazione di LDAP) e il nome corretto per il dominio che si vuole configurare
(LOGIC).
suffix="dc=logic"
sambaUnixIdPooldn="sambaDomainName=LOGIC,${suffix}"
Potrebbe tornare utile anche impostare una differente scadenza per le password, in
modo che non ne venga richiesta la sostituzione troppo di frequente:
defaultMaxPasswordAge="180"
Questo parametro Ł poi utilizzato al momento della creazione di un utente e ogni
volta che un utente si cambia password.
Configurare infine i percorsi per le home degli utenti e per le cartelle che
conterranno i profiles nel caso di roaming profiles.
userSmbHome="\\PDC-SERVER\%U"
userProfile="\\PDC-SERVER\profiles\%U"
PDC-SERVER deve essere sostituito con il nome SAMBA del server che funziona
come PDC (il server che stiamo configurando).
In questo esempio, inoltre, si Ł ritenuto di fornire uno script di logon comune a tutti
gli utenti, anzich di uno script personale per ogni utente, pertanto si Ł impostato il
seguente parametro:
userScript="startup.cmd"
Tale impostazione pu essere poi cambiata per determinati utenti con esigenze
particolari direttamente agendo sui dati LDAP dell'utente.
Impostare infine il suffisso per gli indirizzi mail, anche se nel presente HOWTO non
vengono configurati.
mailDomain="logicsnc.com"
Terminate le modifiche cambiare i permessi per i file appena modificati al fine di
aumentare la sicurezza del sistema ed impedire agli utenti di avere accesso alle
password di amministratore di LDAP.
# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Configurazione di SAMBA
A questo punto il backend per la memorizzazione degli utenti e la loro gestione Ł
pronto, Ł quindi il momento di passare a SAMBA per farlo accedere a quanto fatto
finora.
Creazione dei dati base
Per il funzionamento corretto SAMBA ha bisogno di diversi gruppi predefiniti e 2
utenti: Administrator e nobody.
Inoltre, affinch si riesca ad aggiungere computer al dominio in modo automantico
(da macchine Windows), deve esistere un utente con uid = 0 da utilizzare per
questa operazione.
Tale utente pu essere un utente root (da aggiungere a mano) o lo stesso
Administrator cambiandogli l'uid. Quest'ultima Ł la scelta presa in questa
configurazione, in modo da avere un utente Administrator che Ł Administrator per
Samba e root per il "dominio" UNIX.
Per creare tali gruppi utilizzare il comando:
5 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
smbldap-populate -k 0
Il parametro "-k 0" imposta l'UID di Administrator a 0, facendolo di fatto coincidere
con l'utente root.
Durante l'esecuzione del comando vengono riepilogati i record aggiunti. In ogni
caso Ł possibile controllare i dati inseriti con il comando:
# ldapsearch -x less
e anche:
# ldapsearch -x uid=Administrator
Infine cambiare la password di Administrator con il comando:
# smbldap-passwd Administrator
Questo sarą anche il comando che dovrą essere normalmente utilizzato per la
gestione delle password.
Configurazione del server
Modificare il file /etc/samba/smb.conf e apportare le seguenti modifiche.
Abilitare l'autenticazione tramite username.
security = user
Sostituire il bakend predefinito:
passdb backend = tdbsam guest
con il backend LDAP:
passdb backend = ldapsam:ldap://127.0.0.1
inserendo l'indirizzo corretto (nel nostro esempio 127.0.0.1 Ł corretto).
Aggiungere le direttive per la configurazione del backend LDAP:
ldap admin dn = cn=admin,dc=logic
ldap suffix = dc=logic
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
Aggiungere le direttive che consentono ai client Windows di cambiare password, di
gestire utenti e gruppi e di aggiungere macchine al dominio.
Alcuni come quelli per password e gestione macchine sono indispensabili, mentre
quelli per utenti e gruppi possono anche essere tralasciati se non si pensa di gestire
gli utenti tramite un client Windows.
ldap passwd sync = Yes
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
Configurare SAMBA perch si comporti come un PDC:
os level = 255
domain master = yes
domain logons = yes
preferred master = yes
6 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
Rendere scrivibili le home directory (di default sono in sola lettura e personalmente
non ne capisco il motivo).
[homes]
comment = Home Directories
browseable = no
writable = yes
create mask = 0700
directory mask = 0700
Infine decommentare la share [netlogon] e creare la share [profiles].
Affinch i roaming profiles funzionino correttamente Ł necessario che la cartella
puntata dalla share [profiles] esista e abbia permessi 1757.
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
share modes = no
[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
Il file Ł pronto. Salvarlo e testarlo con il comando:
# testparm
Infine impostare la password per l'accesso a LDAP come admin
# smbpasswd -w
e far ripartire SAMBA.
# /etc/init.d/samba restart
Creare infine le cartelle necessarie per netlogon e profiles.
# mkdir /var/lib/samba/netlogon
# mkdir /var/lib/samba/profiles
# chmod 1757 /var/lib/samba/profiles
Note generali
Attenzione: Ł impossibile collegarsi ad un dominio con un client XP Home Edition.
Per la gestione della posta tramite samba occorre modificare lo schema LDAP per
l'utilizzo di campi aggiuntivi. Questi campi, tuttavia, sono contenuti in uno schema
apertamente dichiarato non pronto per l'utilizzo in produzione. Procedete a vostro
rischio e seguite le istruzioni contenute in [1].
Creare il primo utente
Adesso siamo pronti per la creazione del primo utente con il comando:
# smbldap-useradd -a -m -c "Nome Utente" username
Dove -a serve per creare anche i dati UNIX, -m crea l'home directory e -c specifica
il nome completo.
Infine impostare la password dell'utente con:
# smbldap-passwd username
Per verificare il tutto usare il comando:
# smbldap-usershow username
7 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
Configurare NSS per lavorare con LDAP
Il primo utente Ł stato creato, tuttavia se si provasse ad utilizzare il PDC in questo
momento l'accesso verrebbe negato, in quanto SAMBA si aspetta di trovare un
utente di sistema con username coincidente con quello di SAMBA.
Affinch ci si realizzi occorre che il sistema UNIX vada a leggere le informazioni
sugli utenti da LDAP, anzich dai file canonici.
A tal fine occorre riconfigurare NSS e prima occorre installare il seguente
pacchetto:
# apt-get install libnss-ldap
Come al solito viene chiesto l'IP del server LDAP (127.0.0.1) e il dominio da usare
(dc=logic). Per tutte le altre opzioni possono essere accettate quelle di default.
Dopo l'installazione modificare il file /etc/nsswitch.conf nel seguente modo:
passwd: compat ldap
group: compat ldap
shadow: compat ldap
Verificare infine le impostazioni con il comando:
# getent passwd
che deve riportare anche gli utenti di SAMBA (Administrator, nobody e quello
appena creato).
Connettersi al dominio
Il nostro server Ł ora pronto per essere utilizzato. Per testarne le funzionalitą Ł
possibile procedere per gradi, in modo da isolare quelli che sono i problemi di
configurazione da quelli che sono i problemi di rete o dei client Windows.
A tal fine il primo accesso pu essere fatto dal server stesso con il comando:
# smbclient -L localhost -U Administrator
Configurare i client XP
Per aggiungere un client XP ad un dominio SAMBA occorre prima di tutto effettuare
la seguente modifica al registry usando regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000
In alternativa a modificare il registry si pu andare in Pannello di controllo -
Strumenti di amministrazione - Impostazioni di protezione - Criteri locali e
disabilitare il seguente parametro:
Membro di dominio: aggiunta crittografia o firma digitale ai dati del canale protetto
(sempre)
Fatto questo Ł possibile provare ad aggiungere il computer al dominio e se non si
sono fatti errori si dovrebbe, dopo un riavvio, poter fare login con l'utente
Administrator o l'utente precedentemente creato.
Gestione degli utenti e dei gruppi
TODO: aggiungere tutte le casistiche.
Aggiungere un utente ad un gruppo:
8 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# smbldap-usermod -G "gruppo" username
Elencare i gruppi memorizzati in LDAP:
# ldapsearch -x objectClass=posixGroup
Elencare gli utenti di un gruppo:
# smbldap-groupshow "gruppo"
Configurazioni addizionali attivabili in SAMBA
Disabilitare i roaming profiles
Cos come Ł stato configurator Samba permette l'utilizzo dei roaming profiles,
meccanismo per cui tutte le impostazioni di un utente sono caricate dal server al
login e salvate sul server al logout in modo da poter utilizzare computer differenti
ritrovando le proprie impostazioni.
Seppur questa funzionalitą sia utile, nel caso di cartelle di profilo di elevate
dimensioni (in questa cartella c'Ł la cache del broser, le mail, la cartella documenti,
...) i tempi di login e logout sono eterni.
Il meccanismo dei roaming profiles pu essere disabilitato in 3 modi:
Come impostazione di default sul server
Per ogni utente
Per ogni computer, indipendentemente dall'utente
Le prime 2 impostazioni in pratica coincidono, con la differenza che in un caso
sono impostate come default per tutti gli utenti creati in seguito, nel secondo sono
impostate sullo specifico utente.
Per disabilitare i roaming profiles in questo modo occorre eliminare i seguenti
campi da un utente LDAP:
userSmbHome
userProfile
userHomeDrive
TODO: Questa configurazione non Ł stata testata e non so se funzioni realmente.
Per lavorare a livello di impostazioni predefinite sul server occorre modificare i
parametri in /etc/smbldap-tools/smblda.conf, per gli utenti occorre agire sul singono
utente cambiando le impostazioni.
Per lavorare a livello di computer eseguire le seguenti operazioni su ogni computer
per cui devono essere disabilitati i roaming profiles sia esso XP o Windows2000.
Andare in menu di avvio - Esegui e scrivere mmc.
Andare in "Console - Aggiungi rimuovi snap-in...".
Andare in Aggiungi e selezionare "Criterio gruppo".
Confermare tutto e chiudere le finestre fino a poter accedere allo snap-in appena
aggiunto.
Andare in "Criteri di protezione - Configurazione computer - Modelli amministrativi -
Sistema - Profili utente" per XP e in "Criteri computer locale - Configurazione
computer - Modelli amministrativi - Sistema - Accesso" per Windows 2000
Cambiare il valore di "Consenti solo profili utente locali" da Non configurato a
Attivo.
In questo modo al login e logout i profili sul server non sono pił considerati.
9 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
Configurare l'accesso a LDAP per il sistema UNIX
A questo punto SAMBA Ł pronto per l'uso. Il nostro obiettivo, tuttavia, Ł quello di
utilizzare LDAP anche per autenticare gli accessi ai servizi UNIX offerti dalle Linux
box della rete.
I cambiamenti di NSS dovrebbero gią essere sufficienti per determinate operazioni,
ma l'accesso tramite alcuni strumenti come SSH ancora non funziona.
Per attivare i servizi in modo completo occorre lavorare su PAM e, in particolare,
installare le librerie che consentono a PAM di accedere a LDAP.
# apt-get install libpam-ldap
Vi viene chiesto come per libnss-ldap, il DN dell'amministratore di LDAP e la sua
password. Per il resto possono essere confermate le impostazioni predefinite. In
questo modo il file /etc/pam_ldap.conf ha gią tutte le impostazioni corrette e la
password Ł stata memorizzata in /etc/ldap.secret.
Nella cartella /etc/pam.d modificare i seguenti files:
commom-account:
account sufficient pam_ldap.so
account required pam_unix.so
commom-auth:
auth sufficient pam_ldap.so nullok_secure
auth required pam_unix.so use_first_pass
commom-password:
password sufficient pam_ldap.so
password required pam_unix.so try_first_pass nullok obscure min=4 max=8 md5
commom-session:
session sufficient pam_ldap.so
session required pam_unix.so
Per provare un servizio, tipo ssh, far ripartire il demone corrispondente.
Appendice A - Files di configurazione
File /etc/ldap/slapd.conf
# This is the main slapd configuration file. See slapd.conf(5) for more
# info on the configuration options.
#######################################################################
# Global Directives:
# Features to permit
#allow bind_v2
# Schema and objectClass definitions
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
# Schema check allows for forcing entries to
# match schemas for their objectClasses's
schemacheck on
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
argsfile /var/run/slapd.args
# Read slapd.conf(5) for possible values
loglevel 0
# Where the dynamically loaded modules are stored
modulepath /usr/lib/ldap
moduleload back_bdb
10 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
#######################################################################
# Specific Backend Directives for bdb:
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
backend bdb
checkpoint 512 30
#######################################################################
# Specific Backend Directives for 'other':
# Backend specific directives apply to this backend until another
# 'backend' directive occurs
#backend
#######################################################################
# Specific Directives for database #1, of type bdb:
# Database specific directives apply to this databasse until another
# 'database' directive occurs
database bdb
# The base of your directory in database #1
suffix "dc=logic"
# Where the database file are physically stored for database #1
directory "/var/lib/ldap"
# Indexing options for database #1
index objectClass eq
index uid,uidNumber,gidNumber,memberUid eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
# Save the time that the entry gets modified, for database #1
lastmod on
# Where to store the replica logs for database #1
# replogfile /var/lib/ldap/replog
# The userPassword by default can be changed
# by the entry owning it if they are authenticated.
# Others should not be able to see it, except the
# admin entry below
# These access lines apply to database #1 only
access to attrs=userPassword,sambaNTPassword,sambaLMPassword
by dn="cn=admin,dc=logic" write
by anonymous auth
by self write
by * none
# Ensure read access to the base for things like
# supportedSASLMechanisms. Without this you may
# have problems with SASL not knowing what
# mechanisms are available and the like.
# Note that this is covered by the 'access to *'
# ACL below too but if you change that as people
# are wont to do you'll still need this if you
# want SASL (and possible other things) to work
# happily.
access to dn.base="" by * read
# The admin dn has full write access, everyone else
# can read everything.
access to *
by dn="cn=admin,dc=logic" write
by * read
# For Netscape Roaming support, each user gets a roaming
# profile for which they have write access to
#access to dn=".*,ou=Roaming,o=morsnet"
# by dn="cn=admin,dc=logic" write
# by dnattr=owner write
#######################################################################
# Specific Directives for database #2, of type 'other' (can be bdb too):
# Database specific directives apply to this databasse until another
# 'database' directive occurs
#database
# The base of your directory for database #2
#suffix "dc=debian,dc=org"
File /etc/ldap/ldap.conf
# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666
BASE dc=logic
URI ldap://localhost
11 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
File /etc/smbldap-tools/smbldap_bind.conf
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=logic"
slavePw="xxxxxxx"
masterDN="cn=admin,dc=logic"
masterPw="xxxxxxx"
File /etc/smbldap-tools/smbldap.conf
Sono stati omessi i commenti iniziali.
# $Source: /opt/cvs/samba/smbldap-tools/smbldap.conf,v $
# $Id: smbldap.conf,v 1.17 2005/01/29 15:00:54 jtournier Exp $
#
# smbldap-tools.conf : Q & D configuration file for smbldap-tools
# This code was developped by IDEALX (http://IDEALX.org/) and
# contributors (their names can be found in the CONTRIBUTORS file).
#
# Copyright (C) 2001-2002 IDEALX
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
# USA.
# Purpose :
# . be the configuration file for all smbldap-tools scripts
##############################################################################
#
# General Configuration
#
##############################################################################
# Put your own SID
# to obtain this number do: net getlocalsid
SID="S-1-5-21-1773908177-4217205279-276856595"
##############################################################################
#
# LDAP Configuration
#
##############################################################################
# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
# (typically a replication directory)
# Ex: slaveLDAP=127.0.0.1
slaveLDAP="127.0.0.1"
slavePort="389"
# Master LDAP : needed for write operations
# Ex: masterLDAP=127.0.0.1
masterLDAP="127.0.0.1"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
ldapTLS="0"
# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify="require"
# CA certificate
# see "man Net::LDAP" in start_tls section for more details
12 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
cafile="/etc/smbldap-tools/ca.pem"
# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert="/etc/smbldap-tools/smbldap-tools.pem"
# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey="/etc/smbldap-tools/smbldap-tools.key"
# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=logic"
# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Ex groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Ex groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available
sambaUnixIdPooldn="sambaDomainName=LOGIC,${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################
# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"
# Home directory
# Ex: userHome="/home/%U"
userHome="/home/%U"
# Gecos
userGecos="System User"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="180"
##############################################################################
#
# SAMBA Configuration
#
##############################################################################
# The UNC path to home drives location (%U username substitution)
# Ex: \\My-PDC-netbios-name\homes\%U
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
userSmbHome="\\PDC-SAMBA\%U"
# The UNC path to profiles locations (%U username substitution)
# Ex: \\My-PDC-netbios-name\profiles\%U
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
userProfile="\\PDC-SAMBA\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: H: for H:
userHomeDrive="H:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
13 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# make sure script file is edited under dos
# Ex: %U.cmd
# userScript="startup.cmd" # make sure script file is edited under dos
#userScript="%U.cmd"
userScript="startup.cmd"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
mailDomain="logicsnc.com"
##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
File /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
File /etc/samba/smb.conf
#
# Sample configuration file for the Samba suite for Debian GNU/Linux.
#
#
# This is the main Samba configuration file. You should read the
# smb.conf(5) manual page in order to understand the options listed
# here. Samba has a huge number of configurable options most of which
# are not shown in this example
#
# Any line which starts with a ; (semi-colon) or a # (hash)
# is a comment and is ignored. In this example we will use a #
# for commentary and a ; for parts of the config file that you
# may wish to enable
#
# NOTE: Whenever you modify this file you should run the command
# "testparm" to check that you have not many any basic syntactic
# errors.
#
#======================= Global Settings =======================
[global]
## Browsing/Identification ###
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = LOGIC
# server string is the equivalent of the NT Description field
server string = %h server (Samba %v)
# Windows Internet Name Serving Support Section:
# WINS Support - Tells the NMBD component of Samba to enable its WINS Server
; wins support = no
# WINS Server - Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = w.x.y.z
# If we receive WINS server info from DHCP, override the options above.
; include = /etc/samba/dhcp.conf
# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no
14 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# What naming service and in what order should we use to resolve host names
# to IP addresses
; name resolve order = lmhosts host wins bcast
#### Debugging/Accounting ####
# This tells Samba to use a separate log file for each machine
# that connects
log file = /var/log/samba/log.%m
# Put a capping on the size of the log files (in Kb).
max log size = 1000
# If you want Samba to only log through syslog then set the following
# parameter to 'yes'.
; syslog only = no
# We want Samba to log a minimum amount of information to syslog. Everything
# should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
# through syslog you should set the following parameter to something higher.
syslog = 0
# Do something sensible when Samba crashes: mail the admin a backtrace
panic action = /usr/share/samba/panic-action %d
####### Authentication #######
# "security = user" is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/ServerType.html in the samba-doc
# package for details.
security = user
# You may wish to use password encryption. See the section on
# 'encrypt passwords' in the smb.conf(5) manpage before enabling.
encrypt passwords = true
# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
# passdb backend = tdbsam guest
passdb backend = ldapsam:ldap://127.0.0.1
obey pam restrictions = yes
; guest account = nobody
invalid users = root
# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
; unix password sync = no
# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Augustin Luton for
# sending the correct chat script for the passwd program in Debian Potato).
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# 'passwd program'. The default is 'no'.
; pam password change = no
############ LDAP ############
ldap admin dn = cn=admin,dc=logic
ldap suffix = dc=logic
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap passwd sync = Yes
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
os level = 255
domain master = yes
domain logons = yes
preferred master = yes
########## Printing ##########
# If you want to automatically load your printer list rather
# than setting them up individually then you'll need this
; load printers = yes
# lpr(ng) printing. You may wish to override the location of the
# printcap file
; printing = bsd
; printcap name = /etc/printcap
15 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# CUPS printing. See also the cupsaddsmb(8) manpage in the
# cupsys-client package.
; printing = cups
; printcap name = cups
# When using [print$], root is implicitly a 'printer admin', but you can
# also give this right to other users to add drivers and set printer
# properties
; printer admin = @ntadmin
######## File sharing ########
# Name mangling options
; preserve case = yes
; short preserve case = yes
############ Misc ############
# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting
; include = /home/samba/etc/smb.conf.%m
# Most people will find that this option gives better performance.
# See smb.conf(5) and /usr/share/doc/samba-doc/htmldocs/speed.html
# for details
# You may want to add the following on a Linux system:
# SO_RCVBUF=8192 SO_SNDBUF=8192
socket options = TCP_NODELAY
# The following parameter is useful only if you have the linpopup package
# installed. The samba maintainer and the linpopup maintainer are
# working to ease installation and configuration of linpopup and samba.
; message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
# Domain Master specifies Samba to be the Domain Master Browser. If this
# machine will be configured as a BDC (a secondary logon server), you
# must set this to 'no'; otherwise, the default behavior is recommended.
; domain master = auto
# Some defaults for winbind (make sure you're not using the ranges
# for something else.)
; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash
#======================= Share Definitions =======================
[homes]
comment = Home Directories
browseable = no
# By default, the home directories are exported read-only. Change next
# parameter to 'yes' if you want to be able to write to them.
writable = yes
# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
create mask = 0700
# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
directory mask = 0700
# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
share modes = no
[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 0700
#[printers]
# comment = All Printers
# browseable = no
# path = /tmp
# printable = yes
# public = no
# writable = no
# create mode = 0700
# Windows clients look for this share name as a source of downloadable
# printer drivers
#[print$]
# comment = Printer Drivers
# path = /var/lib/samba/printers
# browseable = yes
# read only = yes
# guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# Replace 'ntadmin' with the name of the group your admin users are
16 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# members of.
; write list = root, @ntadmin
# A sample share for sharing your CD-ROM with others.
;[cdrom]
; comment = Samba server's CD-ROM
; writable = no
; locking = no
; path = /cdrom
; public = yes
# The next two parameters show how to auto-mount a CD-ROM when the
# cdrom share is accesed. For this to work /etc/fstab must contain
# an entry like this:
#
# /dev/scd0 /cdrom iso9660 defaults,noauto,ro,user 0 0
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don't want to use auto-mounting/unmounting make sure the CD
# is mounted on /cdrom
#
; preexec = /bin/mount /cdrom
; postexec = /bin/umount /cdrom
File /etc/pam.d/common-account
#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system. The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
account sufficient pam_ldap.so
account required pam_unix.so
File /etc/pam.d/common-auth
#
# /etc/pam.d/common-auth - authentication settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authentication modules that define
# the central authentication scheme for use on the system
# (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the
# traditional Unix authentication mechanisms.
#
auth sufficient pam_ldap.so nullok_secure
auth required pam_unix.so use_first_pass
File /etc/pam.d/common-password
#
# /etc/pam.d/common-password - password-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define the services to be
#used to change user passwords. The default is pam_unix
# The "nullok" option allows users to change an empty password, else
# empty passwords are treated as locked accounts.
#
# (Add `md5' after the module name to enable MD5 passwords)
#
# The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in
# login.defs. Also the "min" and "max" options enforce the length of the
# new password.
password sufficient pam_ldap.so
password required pam_unix.so try_first_pass nullok obscure min=4 max=8 md5
# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
# (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5
File /etc/pam.d/common-session
#
# /etc/pam.d/common-session - session-related modules common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of modules that define tasks to be performed
# at the start and end of sessions of *any* kind (both interactive and
17 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
:: SLAG :: Samba 3 + ldap + PDC HOWTO http://www.slag.it/documenti/samba3_ldap_pdc/samba3_ldap_p...
# non-interactive). The default is pam_unix.
#
session sufficient pam_ldap.so
session required pam_unix.so
Associazione Culturale SLAG - Via Monte Pasubio, 24/A - 11100 AOSTA - mail: info [at] slag.it
18 di 18 22/03/2006 9.35
PDF created with pdfFactory Pro trial version www.pdffactory.com
Wyszukiwarka
Podobne podstrony:
Samba Ldap Squid (2005)
debian apt howto pl
securing debian howto en
Redhat Linux Samba HOWTO Collection
bootdisk howto pl 8
PPP HOWTO pl 6 (2)
NIS HOWTO pl 1 (2)
kernel howto 3 clbigwpagydoy3epnkmic3ys7wlqwsg4rlwwgvq clbigwpagydoy3epnkmic3ys7wlqwsg4rlwwgvq
consultants howto 18
function ldap next entry
126@7 pol ed02 2005
cdrom howto pl 1
jtz howto pl 5
więcej podobnych podstron