Zentyal: La guida definitiva alla configurazione di Active Directory e Samba File Server
Zentyal è una potente alternativa a Windows Server basata su Linux, che consente di implementare un Domain Controller completo all'interno della vostra infrastruttura virtuale (ad esempio, utilizzando Proxmox VE come hypervisor). Questa guida illustra il percorso da un'installazione "vanilla" a un dominio pronto per la produzione con condivisioni di rete e client Windows connessi.
Preparazione del sistema
Prima di iniziare a fare clic sui pulsanti, accertarsi di quanto segue:
- Il server abbia un indirizzo IP statico.
- Sia stato scelto un nome di dominio (ad es. office.lan).
- Zentyal è installato con i seguenti moduli: DNS, Controller di dominio e condivisione file e Utenti e computer.
Questo tutorial utilizza Zentyal 8.0. L'interfaccia può variare in altre versioni.
Se si utilizza il programma di installazione ISO di Zentyal, selezionare il ruolo "Domain Controller". Il sistema contrassegnerà automaticamente i tre moduli necessari per l'installazione.
Se si tratta del primo accesso dopo l'installazione, selezionare il ruolo di server Domain Controller e attendere l'installazione dei componenti. È possibile saltare la procedura guidata iniziale ed eseguire le configurazioni manualmente per un migliore controllo.
Configurazione del nome di dominio
Andare in Sistema -> Generale e specificare il nome di dominio (ad esempio, office.lan). È fondamentale: Fare clic su Cambia, quindi su Salva modifiche in alto a destra per applicare le impostazioni.
Configurazione del modulo DNS
Active Directory dipende in modo critico dal DNS. Se il DNS non è configurato correttamente, i client Windows non vedranno il dominio.
Passo 1: Andare su Stato del modulo. Assicurarsi che il modulo DNS sia abilitato. In caso contrario, attivarlo e salvare le modifiche.
Fase 2: Navigare in Infrastruttura -> DNS.
Scheda Inoltratori: Aggiungere server DNS esterni (ad esempio, 8.8.8.8 o il DNS del vostro ISP). Questi gestiscono le richieste che non possono essere risolte localmente. Fare clic su Aggiungi nuovo -> Salva modifiche.
Scheda Domini: Questa dovrebbe già contenere una voce per il vostro dominio (office.lan).
Configurazione del controllore Active Directory
Ora trasformiamo il server in un controller di dominio funzionale.
Fase 1: in Stato del modulo, abilitare il controller di dominio e la condivisione dei file. Se si verifica un errore, andare al link:
e assicurarsi che l'IP del server sia assegnato correttamente:
Fase 2: passare alla scheda Dominio.
Fase 3: verificare i parametri: Ruolo del server: Controllore di dominio. Nome NetBIOS: OFFICE. Realm di dominio: office.lan. Lettera di unità: Definisce la lettera da assegnare all'unità di rete montata automaticamente per ogni utente del dominio al momento dell'accesso.
Creazione di utenti e gruppi di dominio
Un dominio è solo un guscio finché non ha degli utenti.
Fase 1: nella barra laterale, andare su Utenti e computer -> Gestisci.
Fase 2: Selezionare Utenti dalla struttura di sinistra.
Fase 3: Fare clic su Aggiungi nuovo (+).
Fase 4: creare un utente (ad esempio, admin.work o i.user) e impostare una password forte. Fare clic su Aggiungi.
Utilizzare la stessa sezione per creare i gruppi. L'organizzazione degli utenti in gruppi (ad esempio, "Risorse umane", "IT", "Vendite") è il modo più efficiente per gestire le autorizzazioni di accesso.
Aggiornamento dell'amministratore di dominio
Per impostazione predefinita, Zentyal crea un utente amministratore appartenente ai gruppi Domain Admins e Schema Admins.
Impostate subito una password sicura per questo account. È necessario per unire i server al dominio e per eseguire operazioni amministrative di alto livello.
È possibile creare un nuovo amministratore di dominio aggiungendo un utente ai gruppi Domain Admins e Schema Admins.
Configurazione delle condivisioni di rete di Samba
Per consentire la condivisione dei file, è necessario creare una directory con specifiche liste di controllo degli accessi (ACL).
Fase 1: Assicurarsi che il modulo Condivisione file sia attivo in Stato modulo.
Fase 2: Andare a Condivisione file -> Condivisioni.
Fase 3: Fare clic su Aggiungi nuovo, assegnare un nome alla cartella (ad esempio, File_condivisi) e selezionare il percorso: Directory sotto Zentyal /home/samba.
Passo 4: Impostare le autorizzazioni (ACL): Nell'elenco delle condivisioni, fare clic sull'icona Controllo accesso.
Fase 5: Fare clic su Aggiungi nuovo, selezionare il proprio utente (o il gruppo Utenti di dominio) e impostare le autorizzazioni su Lettura-Scrittura.
Fare sempre clic su Salva le modifiche nell'intestazione superiore per trasferire la configurazione al sistema attivo.
Unire le stazioni di lavoro Linux (Ubuntu/Debian)
Questa sezione spiega come unire un computer Ubuntu o Debian al nuovo dominio in modo che gli utenti possano accedere con le loro credenziali di dominio.
Preparazione e installazione
Assicuratevi che il DNS del vostro client Linux punti all'IP del server Zentyal. Quindi, installate i pacchetti necessari:
sudo apt update && sudo apt install realmd sssd sssd-tools adcli libpam-sss -y
Modificare le impostazioni DNS nelle proprietà dell'adattatore di rete. Nel nostro esempio, stiamo usando Ubuntu Desktop. In genere, qualsiasi ambiente desktop fornisce un modo per configurare questo parametro. In alternativa, è sempre possibile eseguire questa operazione tramite la riga di comando; il metodo specifico dipende dalla distribuzione: Netplan per Ubuntu o il tradizionale file /etc/network/interfaces per Debian.
In Linux, è meglio mantenere solo l'IP del controller di dominio nelle impostazioni DNS. I DNS Forwarders di Zentyal si occuperanno della risoluzione globale dei nomi internet per il client.
Unire il dominio
Eseguite il seguente comando (sostituite office.lan con il vostro dominio):
sudo realm join -U Administrator office.lan
Quando viene richiesto, inserire la password dell'amministratore del dominio.
Configurazione dei diritti Sudo
Per consentire al gruppo "Domain Admins" di utilizzare sudo, creare un file di configurazione:
echo "%Domain\ Admins@office.lan ALL=(ALL) NOPASSWD:ALL" | sudo tee /etc/sudoers.d/domain-admins
Creazione automatica della home directory
Per garantire la creazione automatica di una cartella /home/utente al primo accesso al dominio:
sudo pam-auth-update --enable mkhomedir
Verifica dell'accesso
Prestare molta attenzione al formato del nome utente, poiché differisce dal formato standard tipicamente utilizzato in Windows.
Unire un server/client Windows al dominio
Infine, colleghiamo un computer Windows per verificare la configurazione.
Configurazione della rete Windows
Aprite Rete e Internet -> Connessioni di rete.
- Fare clic con il pulsante destro del mouse sull'adattatore -> Proprietà.
- Selezionare Protocollo Internet versione 4 (TCP/IPv4) -> Proprietà.
Nel campo Server DNS preferito, inserire l'indirizzo IP del server Zentyal. Questo è il passaggio più critico.
Unire il dominio
Passo 1. Aprire le Proprietà del sistema (Sistema -> Impostazioni di sistema avanzate); scheda Nome computer -> pulsante Cambia.
Passo 2. Selezionare il campo "Membro del dominio" e inserire il nome del dominio. Nel nostro esempio, si tratta di office.lan.
Passo 3. Nella finestra che appare, inserire il login e la password di un utente del gruppo degli amministratori di dominio. In precedenza, in questo manuale, abbiamo impostato la password dell'account Administrator, che fa parte del gruppo degli amministratori di dominio.
Dopo l'adesione al dominio, riavviate Windows. Dopo il riavvio, sarà possibile utilizzare un account di dominio per accedere a Windows.
Accesso e verifica
Nella schermata di accesso, selezionate Altro utente e inserite le credenziali in questo formato: OFFICE\i.user (sostituire i.user con il nome utente creato).
Una volta effettuato l'accesso, aprire Risorse del computer. Si dovrebbe vedere un'unità di rete mappata (di solito H:). Si tratta della condivisione Samba creata nell'interfaccia di Zentyal.
Congratulazioni! Avete realizzato un'infrastruttura IT su larga scala. Zentyal gestisce ora con successo i servizi DNS, Active Directory (AD) e Samba File Services.
