Configurazione Samba per grandi aziende

[battinoxbox]

Salve ragazzi,
lavoro in un'azienda di circa 80 persone. Utilizziamo Samba per condividere file in rete ed essendo partiti con non più di 10 dipendenti, sono stati configurati solo 3 utenti Samba, utilizzati da chiunque.
Ultimamente sento sempre di più il bisogno di controllare gli utilizzi delle varie risorse e stavo pensando di creare un utente Samba per ogni dipendente, ciascuno con credenziali e accessi ben specifici.
Avete una valida alternativa da proporre prima che inizi a scrivere gli accessi per 80 dipendenti?
Vi ringrazio in anticipo

[OoZic]

dalle poche info che hai dato non saprei più d tanto cosa dire

ad esempio mi verrebbe da consigliarti NFS se tutti utilizzano sistemi unix (linux / osx) al posto di samba ma suppongo che se si parla di samba ci saranno utenti con windows.

[battinoxbox]

Perdonami hai ragione.

Allora, in breve abbiamo un server centrale che fa da server Samba, e circa 80 client diversificati tra windows, linux e mac, i quali accedono a questo server utilizando i soliti 2 o 3 account.
Io stavo pensando di creare un account per ogni singolo cliente/dipendente, in modo da avere maggior controllo.
Però prima di fare 80 nuove credenziali, volevo sapere se avevate qualcos'altro da consigliare. Non so, leggevo qualcosa riguardo le ACL.... Ma non saprei dove andare a parare

[malatodihardware]

Scusa ma un hardware dimensionato per 10 utenti ora va bene anche per 80?

Valuta anche se vuoi restare su Linux oppure passare ad AD windows, se i client sono al 90% Windows..

[OoZic]

Quote:

Originariamente inviato da malatodihardware

Scusa ma un hardware dimensionato per 10 utenti ora va bene anche per 80?

domanda lecita però se al momento riesce a gestire comunque 80 utenti su 2-3 account vuol dire che in linea di massima li gestisce anche su 80 account diversi.
l'aumento di risorse per avere più account (con diversi permessi) non credo sia poi così oneroso relativamente al fatto che già ora, da quanto dice, riesce a reggere 80 persone comunque.

[malatodihardware]

Ovviamente il numero di account non c'entra, era riferito alla situazione in generale..

[Dane]

Il numero di account centra.
Nel senso che un conto è avere 3 o 4 utenze (che usano diverse persone), un'altra cosa è averne un centinaio, che usano servizi diversi.

Hai la necessità di qualcosa di più flessibile per raggruppare le utenze o per mettere permessi più granulari?

Intendi gestire 80 utenze per samba, 80 per la posta e altre 80 per qualche servizio web interno o intendi gestire gli accessi da una parte sola?
Come prevedi che evolverà il tutto?

Con samba ci puoi fare tantissime cose, ma un dominio "tipico" di queste dimensioni probabilmente AD è più adatto. Con tutti i vantaggi e svantaggi che si porta dietro.

[malatodihardware]

Se fino ad adesso andava bene con 3/4 vuol dire che:
- la posta è slegata dal dominio (e al 90% é comunque sempre così, exchange a parte)
- i pc non sono nel dominio (e riconfigurarli tutti richiederebbe un lavoraccio)
- gli account servono solo per i privilegi sulle cartelle

Certo, se vuole passare tutto a AD per avere autorizzazioni centralizzate su tutto (proxy, VPN etc..) è un conto, ma se vuole solo i permessi sui file allora il numero di account centra poco..

[Tasslehoff]

Progetto interessante, può sembrare semplice o banale ma in realtà quanto hai intenzione di realizzare imho può essere fatto in modo abbastanza furbo da renderlo molto più utile di quanto possa sembrare a prima vista.

Io mi sento di suggerirti due possibilità che ti invito a valutare prima di metterti a creare utenti.
1) valuta la possibilità di configurare un piccolo dominio utilizzando samba, in questo modo gestiresti gli utenti in modo centralizzato sia per login sulle workstation che per l'accesso alle condivisioni.
2) in alternativa al dominio puoi usare samba utilizzando un server ldap (visto il numero di utenti basta e avanza il semplice e leggero openldap, non serve tirare in ballo directory faraoniche tipo OID, TDS o altri "polpettoni" proprietari e costosissimi).

Il vantaggio del punto 1 è evidente, ma richiede un maggior sforzo per la configurazione e l'implementazione.
Il vantaggio del punto 2 è avere un repository di utenti che può essere facilmente integrato con altri servizi, e lo sforzo per la configurazione sarebbe sicuramente inferiore a quello necessario a implementare un dominio.

Pensa ad un domani in cui adotterete un qualsiasi altro software che richiede l'autenticazione (chessò un gestionale piuttosto che un server di posta o qualsiasi altra cosa), avrete già una directory bella e pronta all'uso.
Un altro vantaggio è il fatto che in questo modo puoi rendere agevole la gestione delle utenze (es cambio delle credenziali, scadenza password e quant'altro) senza dare agli utenti accesso al server, pensa ad es ad una applicazione web per la gestione della password o del profilo dell'utente.
L'unica cosa che mi sento di raccomandarti se dovessi scegliere questa strada è di usare una directory ldap senza personalizzare troppo le object classes, rimani aderente agli schema standard (che già contengono un sacco di attributi) e vivrai felice per il resto dei tuoi giorni senza problemi di integrazione futuri, ogni personalizzazione generalmente si traduce in mal di pancia futuri.

PS: se invece volessi creare tutti gli utenti a manina ti consiglio di farlo tramite un semplice ciclo while in bash, crei un elenco di username e password in un file di testo che usi come stdin e cicli sugli elementi dell'array valorizzando una variabile per username e una per password, usando queste variabili ti fai un bel ciclo che crea l'utente, lancia smbpasswd e fa qualsiasi cosa di cui ti possa aver bisogno.
Insomma in questo modo spendi mezz'ora per fare lo script però crei gli utenti tutti in fila con un unico comando in un picosecondo

[battinoxbox]

Quote:

Originariamente inviato da malatodihardware

Scusa ma un hardware dimensionato per 10 utenti ora va bene anche per 80?

Valuta anche se vuoi restare su Linux oppure passare ad AD windows, se i client sono al 90% Windows..

All'inizio ci siamo sbilanciati e abbiamo configurato un server abbastanza prestante perché la crescita era prevista.
Devo studiarmi un pò le Active Directories perché sono praticamente a zero.

Quote:

Originariamente inviato da Dane

Il numero di account centra.
Nel senso che un conto è avere 3 o 4 utenze (che usano diverse persone), un'altra cosa è averne un centinaio, che usano servizi diversi.

Hai la necessità di qualcosa di più flessibile per raggruppare le utenze o per mettere permessi più granulari?

Intendi gestire 80 utenze per samba, 80 per la posta e altre 80 per qualche servizio web interno o intendi gestire gli accessi da una parte sola?
Come prevedi che evolverà il tutto?

Con samba ci puoi fare tantissime cose, ma un dominio "tipico" di queste dimensioni probabilmente AD è più adatto. Con tutti i vantaggi e svantaggi che si porta dietro.

Assolutamente necessità di flessibilità e permessi più granulari.
Gestiamo la posta tramite Google App for Business.
Servizi web interni quasi assenti (solo un piccolo DB MySql).
E' in arrivo un HRM, e mi piacerebbe tanto non dover riscrivere tutte le utenze anche per lui.

Quote:

Originariamente inviato da malatodihardware

Se fino ad adesso andava bene con 3/4 vuol dire che:
- la posta è slegata dal dominio (e al 90% é comunque sempre così, exchange a parte)
- i pc non sono nel dominio (e riconfigurarli tutti richiederebbe un lavoraccio)
- gli account servono solo per i privilegi sulle cartelle

Certo, se vuole passare tutto a AD per avere autorizzazioni centralizzate su tutto (proxy, VPN etc..) è un conto, ma se vuole solo i permessi sui file allora il numero di account centra poco..

posta slegata dal dominio ---> bingo
i pc non sono nel dominio ---> nessun dominio configurato
utilità account ---> privilegi cartelle e MAGARI integrazione con altri servizi (sarebbe spettacolare) e autorizzazioni centralizzate su vpn, ecc...

[battinoxbox]

Quote:

Originariamente inviato da Tasslehoff

Progetto interessante, può sembrare semplice o banale ma in realtà quanto hai intenzione di realizzare imho può essere fatto in modo abbastanza furbo da renderlo molto più utile di quanto possa sembrare a prima vista.

Io mi sento di suggerirti due possibilità che ti invito a valutare prima di metterti a creare utenti.
1) valuta la possibilità di configurare un piccolo dominio utilizzando samba, in questo modo gestiresti gli utenti in modo centralizzato sia per login sulle workstation che per l'accesso alle condivisioni.
2) in alternativa al dominio puoi usare samba utilizzando un server ldap (visto il numero di utenti basta e avanza il semplice e leggero openldap, non serve tirare in ballo directory faraoniche tipo OID, TDS o altri "polpettoni" proprietari e costosissimi).

Il vantaggio del punto 1 è evidente, ma richiede un maggior sforzo per la configurazione e l'implementazione.
Il vantaggio del punto 2 è avere un repository di utenti che può essere facilmente integrato con altri servizi, e lo sforzo per la configurazione sarebbe sicuramente inferiore a quello necessario a implementare un dominio.

Pensa ad un domani in cui adotterete un qualsiasi altro software che richiede l'autenticazione (chessò un gestionale piuttosto che un server di posta o qualsiasi altra cosa), avrete già una directory bella e pronta all'uso.
............................
L'unica cosa che mi sento di raccomandarti se dovessi scegliere questa strada è di usare una directory ldap senza personalizzare troppo le object classes, rimani aderente agli schema standard (che già contengono un sacco di attributi) e vivrai felice per il resto dei tuoi giorni senza problemi di integrazione futuri, ogni personalizzazione generalmente si traduce in mal di pancia futuri.

Mi piace molto la via LDAP, anche li sono a zero però. Mi documenterò a dovere. Soprattutto per il fatto dell'integrazione con altri servizi.

Quote:

Originariamente inviato da Tasslehoff

Un altro vantaggio è il fatto che in questo modo puoi rendere agevole la gestione delle utenze (es cambio delle credenziali, scadenza password e quant'altro) senza dare agli utenti accesso al server, pensa ad es ad una applicazione web per la gestione della password o del profilo dell'utente.

Lacrime di gioia..... E' possibile fare un'app web del genere?
So che posso sembrare un ignorantello (e in effetti mi ci avvicino molto...), il fatto è che sono ancora piccolo (24 anni) e dover gestire la struttura informatica di un'azienda di 80 persone (seppur minuscola rispetto ad altre realtà) mi spaventa non poco (e mi gasa allo stesso tempo)

Quote:

Originariamente inviato da Tasslehoff

PS: se invece volessi creare tutti gli utenti a manina ti consiglio di farlo tramite un semplice ciclo while in bash, crei un elenco di username e password in un file di testo che usi come stdin e cicli sugli elementi dell'array valorizzando una variabile per username e una per password, usando queste variabili ti fai un bel ciclo che crea l'utente, lancia smbpasswd e fa qualsiasi cosa di cui ti possa aver bisogno.
Insomma in questo modo spendi mezz'ora per fare lo script però crei gli utenti tutti in fila con un unico comando in un picosecondo

Questa è favolosa
Solo che in questo modo dovrei scegliere io tutte le password e comunicarlo in chiaro in qualche modo.... o non saprei.....

[Tasslehoff]

Quote:

Originariamente inviato da battinoxbox

Mi piace molto la via LDAP, anche li sono a zero però. Mi documenterò a dovere. Soprattutto per il fatto dell'integrazione con altri servizi.


Lacrime di gioia..... E' possibile fare un'app web del genere?
So che posso sembrare un ignorantello (e in effetti mi ci avvicino molto...), il fatto è che sono ancora piccolo (24 anni) e dover gestire la struttura informatica di un'azienda di 80 persone (seppur minuscola rispetto ad altre realtà) mi spaventa non poco (e mi gasa allo stesso tempo)

Di per se puoi fare questa cosa con qualsiasi tecnologia, da php a java, in realtà c'è già tutto pronto con dei progetti ad hoc, ed esempio Ldap Account Manager (in php --> https://www.ldap-account-manager.org).

La versione free ti mette a disposizione un pannello di amministrazione web based per l'intera directory, la versione pro (a pagamento ma vedo che il costo è tutto sommato accessibile) permette anche ai singoli utenti di cambiarsi la password in modo autonomo).

In alternativa c'è Webmin, oppure ci sono un sacco di paginette php sparse in rete per fare questo lavoro, la prima che ho trovato è questa --> http://technology.mattrude.com/2010/...sword-webpage/ oppure quest'altro progetto --> http://ltb-project.org/wiki/document...rvice-password

Insomma c'è solo l'imbarazzo della scelta

Quote:

Questa è favolosa
Solo che in questo modo dovrei scegliere io tutte le password e comunicarlo in chiaro in qualche modo.... o non saprei.....

Potresti cominciare con il definire le password con uno ciclo bash, nel frattempo gli utenti andrebbero avanti a lavorare.
In questo modo ti puoi prendere tutto il tempo di integrare ldap e implementare una soluzione più scalabile e utile per eventuali future applicazioni che utilizzeranno ldap.

[battinoxbox]

Quindi mi consigli LDAP for the win?
Il dominio windows? Mi consigli di metterlo su? E' obbligatorio per utilizzare LDAP?

[barzokk]

Quote:

Originariamente inviato da battinoxbox

Gestiamo la posta tramite Google App for Business.

Caspita che scelta strategica. Così i documenti aziendali appartengono a loro; anche se cancelli, le mail e gli attachment rimangono per sempre sui loro server a loro disposizione; ci fanno girare i loro motorini per keywords e leggere tutto quanto per la profilazione; monitorano mittenti e destinatari, ecc ecc ecc
Ah ma google è costa poco, è gratis

PS: e scusate l'intrusione ma di storie del genere ne sento sempre di più, prima o poi la gente si renderà conto che non esistono pasti gratis

[Shinobi]

Cavoli ma se si parla di gestire 80 postazioni che hanno tutte s.o. windows francamente ritengo AD uno strumento indispensabile, pensa anche solo alle group policy...
L'accesso alle cartelle che attualmente utilizzate (con 3 utenze samba) oltre ad essere sbagliato è anche pericoloso perchè sicuramente permette a vari utenti di accedere a cartelle che non dovrebbero neppure vedere.

C'è sicuramente molto lavoro da fare (setup del dominio, join del dominio degli 80 pc etc.) ma personalmente non vedo molte alternative.
Hai qualcuno (interno o consulente esterno) che ti potrebbe affiancare in tale attività? Lo dico perchè per quanto motivato e munito di voglia di fare non è una cosa semplice, specie nella fase intermedia del lavoro.

Ciao

[battinoxbox]

Quote:

Originariamente inviato da barzokk

Caspita che scelta strategica. Così i documenti aziendali appartengono a loro; anche se cancelli, le mail e gli attachment rimangono per sempre sui loro server a loro disposizione; ci fanno girare i loro motorini per keywords e leggere tutto quanto per la profilazione; monitorano mittenti e destinatari, ecc ecc ecc
Ah ma google è costa poco, è gratis

PS: e scusate l'intrusione ma di storie del genere ne sento sempre di più, prima o poi la gente si renderà conto che non esistono pasti gratis

Sono pienamente d'accordo con te, ma all'epoca quando la nostra azienda era solo una startup di 10 persone, in cui la prospettiva media era "oggi ci sei e l'altro probabilmente no", la webmail era la scelta più veloce ed efficacie per le risorse a disposizione. Prima non c'era neanche un IT Manager (il mio ruolo tutt'oggi). Ed è per questo che mi trovo qui a chiedere informazioni a chi sicuramente ci è già passato

ps
Cospirazioni "googlesche" a parte, non credo che google ci faccia poi cosi tanto con i dati di un'aziendina come la nostra.... Siamo una macchietta nel immenso cloud di informazioni che google analizza quotidianamente
Anyway, un mail server sarà FORSE il prossimo passo, a patto che possa utilizzare le AD anche per avere già pronte le credenziali per il mail server... se fosse possibile una cosa simile bè.... stasera offro io

Quote:

Originariamente inviato da Shinobi

Cavoli ma se si parla di gestire 80 postazioni che hanno tutte s.o. windows francamente ritengo AD uno strumento indispensabile, pensa anche solo alle group policy...
L'accesso alle cartelle che attualmente utilizzate (con 3 utenze samba) oltre ad essere sbagliato è anche pericoloso perchè sicuramente permette a vari utenti di accedere a cartelle che non dovrebbero neppure vedere.

C'è sicuramente molto lavoro da fare (setup del dominio, join del dominio degli 80 pc etc.) ma personalmente non vedo molte alternative.
Hai qualcuno (interno o consulente esterno) che ti potrebbe affiancare in tale attività? Lo dico perchè per quanto motivato e munito di voglia di fare non è una cosa semplice, specie nella fase intermedia del lavoro.

Ciao

Va bene, allora AD sia (LDAP dovrebbe essere poi un servizio per l'autenticazione già incluso credo....).
Inizierò a documentarmi (libri + mamma Google). Nel frattempo avete dei punti di partenza per neofiti? Ve ne sarei molto grato

[Dane]

Quote:

Originariamente inviato da battinoxbox

Anyway, un mail server sarà FORSE il prossimo passo, a patto che possa utilizzare le AD anche per avere già pronte le credenziali per il mail server... se fosse possibile una cosa simile bè.... stasera offro io


Va bene, allora AD sia (LDAP dovrebbe essere poi un servizio per l'autenticazione già incluso credo....).
Inizierò a documentarmi (libri + mamma Google). Nel frattempo avete dei punti di partenza per neofiti? Ve ne sarei molto grato

L'integrazione con AD un prodotto M$ ce l'ha. Si chiama Exchange.
Comodo finchè vuoi, ma come ti ho consigliato AD per le utenze/credenziali ti consiglio (moltiplicato per 10000) di lasciarlo perdere.

Perdi qualcosa se vai su altri prodotti, sempre con integrazione con AD, ma non in termini di capelli bianchi.

Per AD io mi leggerei la documentazione per la certificazione MCSA..... un bel malloppo ma almeno chiarisce e ha un bel po' di esempi per far pratica.

[Tasslehoff]

Io non sono così convinto che Active Directory sia necessario per una infrastruttura con quel numero di client, anzi imho non solo con 80, ma anche con 100 o 1000 client, almeno non è necessario così a prescindere.

Negli ultimi quindici anni si è creato il mito secondo cui un Dominio è necessario, scusate ma chi l'ha detto?
Una volta di sistemi per il single sign-on c'era ben poco, ma oggi tra servizi CAS, ldap in ogni salsa, e servizi di integrazione per ogni esigenza io trovo che Active Directory sia un servizio non più così utile come una volta, quantomeno non a prescindere.

La mia società ad esempio si è liberata di AD più di 10 anni fa e da allora viviamo liberi e felici, siamo aumentati di numero e abbiamo anche acquisito 2 altre società.

Inoltre se proprio non si vuol fare a meno di un dominio per centralizzare l'autenticazione tra servizi e client ci sono alternative ad Active Directory.
La rete è piena di tutorial su come configurare un dominio con Samba, magari usando ldap come repository degli utenti.
Active Directory è costoso, complesso (se sfruttato a dovere) e richiede Windows Server (che francamente è una palla al piede), peggio di così imho non si può

[Niam]

Quote:

Originariamente inviato da Tasslehoff

Io non sono così convinto che Active Directory sia necessario per una infrastruttura con quel numero di client, anzi imho non solo con 80, ma anche con 100 o 1000 client, almeno non è necessario così a prescindere.

Negli ultimi quindici anni si è creato il mito secondo cui un Dominio è necessario, scusate ma chi l'ha detto?

Concordo in pieno. L'unico problema è la stragrande maggioranza delle realtà aziendali implementa AD.

Certo che Tasslehoff sei veramente una culla di sapienza Ogni volta che leggo qualche tuo post mi trovo sempre nelle mani qualcosa di nuovo da sperimentare. Ad esempio leggendo il tuo ultimo post su subsonic mi è venuta voglia di fare qualche prova con i reverse proxy

[Tasslehoff]

Quote:

Originariamente inviato da Niam

Certo che Tasslehoff sei veramente una culla di sapienza Ogni volta che leggo qualche tuo post mi trovo sempre nelle mani qualcosa di nuovo da sperimentare. Ad esempio leggendo il tuo ultimo post su subsonic mi è venuta voglia di fare qualche prova con i reverse proxy

Ti ringrazio
Tra l'altro sono venuto a conoscenza di Subsonic proprio leggendo un post su questo forum, non ricordo se nel thread del pc a basso consumo 24x7 o altrove.

Se vuoi un consiglio studiateli bene i reverse proxy, magari sia con Apache che con Nginx, anzitutto perchè sono utilissimi, in secondo luogo sono fondamentali in ambito lavorativo per esporre servizi online.