Configurazione di un client Ububntu/Kubuntu 7.10 (Gutsy)

L'installazione di un client linux (etch o ubuntu 7.04) di un server Reteisi si effettua installando i pachetti isi-ldap3-client-def e isi-ldap3-client. Purtroppo questo non risolve (almeno fino alla prossima versioni del pacchetto) alcuni problemi che si verificano quando l'ambiente desktop è realizzato con l'attuale versione di ubuntu, la 7.10.

In breve ecco i problemi riscontrati:

• il sistema non parte, il boot si arresta al caricamento del kernel log daemon
• risolto il problema precedente nel modo che vedremo, l'utente ldap non ha accesso in scrittura alla propria penna usb, nè può far funzionare l'audio.

Ripristinare il boot e il normale funzionamento dell'autenticazione ldap

Il problema riscontrato al boot dipende dalla diversa configurazione del meccanismo ldap. Dalla 7.10 in poi infatti, il file principale di configurazione */etc/ldap/ldap.conf non deve più trovarsi nel solito posto ma in direttamente in /etc. In realtà Ubuntu 7.10 introduce un meccanismo apposito attraverso il pacchetto auth-ldap-config per la gestione di questo file, introducendo anche nuove opzioni, rispetto a quelle normalmente utilizzate nei nostri /etc/ldap/ldap.conf. Niente sembra cambiato per quanto riguarda la configurazione di libpam-ldap.conf e libnss-ldap.conf, per cui non sembra si sia ancora raggiunta una gestione centralizzata del meccanimo ldap lato client, anche se la direzione sembra quella (questo è almeno quanto desunto da ricerche in rete piuttosto approfondite). La buona notizia è che il file /etc/ldap/ldap.conf * prodotto dall'installazione di *isi-ldap3-client risulta perfettamente idoneo e funzionante se copiato direttamente in /etc; con questa operazione si ottiene il ripristino del boot e la corretta autenticazione ldap.

Consentire ad un utente ldap l'utilizzo di stick usb e dell'audio del client ubuntu.

In Gutsy un utente ldap riesce a far funzionare uno stick usb solo in lettura e non ha accesso all'audio della macchina. Questo dipende dal fatto che per utilizzare laudio e vedere montato il proprio dispositivo usb in lettura/scrittura l'utente deve essere membro dei gruppi locali plugdev (46) e audio (29), il che è automatico per gli utenti locali ma non succede per quelli remoti. Occorre quindi implementare un meccanismo che assegni automaticamente la membeship di questi gruppi agli utenti autenticati dal server ldap. Fortunatamente cosa è piuttosto semplice, anche se comporta un riprocessamento di tutti gli utenti remoti. Vediamo quanto è necessario.

LATO SERVER

1. creare i gruppi ldap plugdev e audio (attenzione, quei gruppi esistono già sul server come gruppi locali, saranno quindi duplicati come gruppi ldap
2. assegnare gli utenti a cui si vuole consentiro l'uso dei dispositivi usb e audio del client (potenzialmente tutti) ai gruppi plugdev e audio (eventualmente ad altri)

La prima operazione si fa con i comandi:

# smbldap-groupadd -o -g 46 plugdev
# smbldap-groupadd -o -g 29 audio

l'opzione -o è necessaria per la duplicazione dei gruppi. L'assegnazione della membership può eseguirsi con i comandi:

isi-groupadd user_id plugdev
isi-groupadd user_id audio

LATO CLIENT Per assegnare on the fly la membership ai gruppi locali agli utenti ldap occorre ricorrere a pam_group.so, lo si fa aggiungedo al file /etc/pam.d/common-auth la linea auth optional pam_group.so

A questo punto non resta che configurare pam_group. Lo si fa aggiungendo in testa al suo file di configurazione /etc/security/group.conf le righe seguenti:

gdm; *; *; Al0000-2400; audio, video, cdrom, floppy, plugdev
kdm; *; *; Al0000-2400; audio, video, cdrom, floppy, plugdev
login; *; *; Al0000-2400; audio, video, cdrom, floppy, plugdev

Fare il reboot del client e godersi l'effetto