server di domino scolastico con linux e autenticazione centralizzata

[Luigi De Pizzol]

Ciao a tutti,

sto cercando di vedere se in qualche scuola è stata adottata l'autenticazione di dominio con server linux

e un'autenticazione centralizzata con PAM e NSS.

Ho letto nel gruppo che qualcuno l'aveva affrontata 2011, ora la situazione com'è?

Io sono docente in una scuola con più di 1000 utenti, che soluzione adottereste 

sapendo che vi sono un centinaio di postazioni linux circa (2 lab + tutti i pc nelle aule con lim) e una cinquantina

di postazioni windows 7/10?

Grazie

 luigi 

[matteo ruffoni]

Lunedì a Rovereto penso si parlerà di questo, ho già inoltrato ai due relatori. Appena ne so di più....

--
Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/forum/#!topic/wii_libera_la_lavagna/3wtcDt9IUhA
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "wii_libera_la_lavagna" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a wii_libera_la_lavagna+unsub...@googlegroups.com.
Per altre opzioni visita https://groups.google.com/d/optout.

[Luigi De Pizzol]

Perfetto, 

grazie Matteo, avevo letto proprio un tuo post del 2011 nel quale avevi

più o meno la stessa esigenza, sei poi riuscito a configurare le cose con lo script 

indicato da Bergonzini?

Grazie

luigi

[Roberto Bergonzini]

Il 19/01/2018 15:22, Luigi De Pizzol ha scritto:

Perfetto, 

grazie Matteo, avevo letto proprio un tuo post del 2011 nel quale avevi

più o meno la stessa esigenza, sei poi riuscito a configurare le cose con lo script 

indicato da Bergonzini?

Ciao Luigi,

ho utilizzato linux come controller di dominio per alcuni anni e devo dire che è stata una pacchia. Poi, mi pare nel 2014 (?) l'installazione che avevo messo a punto seguendo il testo (Ubuntu Small Business Server 10.04) di Stefano Giro (un ottimo strumento che non è più stato aggiornato), non funzionava più sulle nuove versioni LST di Ubuntu a seguito delle diverse caratteristiche implementate (soprattutto lato LDAP, ma non solo).
Poichè il parco PC che dovevo gestirte era abbastanza limitato non ho più utilizzato il server come controller di dominio, semplicemente come proxy, file server con backup automatici e cloud, utilizzando qualche script per automatizzare la creazione degli utenti (linux e samba) e gestire le password sui client.
Certo che il controller di dominio misto (linux/Windows) diventa indispensabile e molto comodo con un parco macchine come hai tu.
In rete credo troverai distribuzioni ad hoc per la scuola che implementano quanto cerchi, almeno a su tempo le individuai, ma non mi inoltrai nella sperimentazione data la semplicità della mia situazione.

Saluti a tutti

--

Roberto Bergonzini

[omar lazzari]

hai guardato Nethserver versione community? È una centOS con interfaccia web. Molto bella e completa.

[matteo ruffoni]

vero ci son le distro già pronte. A scuola usao zenthyal, ma non ho messo l'autenticazione

Il giorno 20 gennaio 2018 15:51, omar lazzari <olaz...@gmail.com> ha scritto:

hai guardato Nethserver versione community? È una centOS con interfaccia web. Molto bella e completa.

--
Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/forum/#!topic/wii_libera_la_lavagna/3wtcDt9IUhA
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "wii_libera_la_lavagna" di Google Gruppi.
Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a wii_libera_la_lavagna+unsub...@googlegroups.com.

Per ulteriori opzioni, visita https://groups.google.com/d/optout.

[Daniele Piccoli]

Anzitutto un saluto a tutti i partecipanti di questa lista, vi seguo da
molto ma è la prima volta che scrivo.

Sono Piccoli Daniele e lavoro come assistente di laboratorio informatico
presso l'Istituto Comprensivo Trento 5.

Nel mio istituto (4 sedi) utilizzo Linux per tutta la parte server,
mentre per i client ho installato So.Di.Linux nei 4 laboratori (circa
100 macchine), e lo sto gradualmente introducendo nelle varie postazioni
utilizzate per il sostegno, laboratori vari, e aule insegnanti; per il
momento tutte le aule didattiche con LIM funzionano con W7/W10.

Utilizzo l'autenticazione centralizzata sia per i client W$ sia per i
client Linux (unici esclusi sono i notebook)

Lato server utilizzo Zentyal [0], una distribuzione Linux basata su
Ubuntu, che tra le altre cose è configurabile come domain controller
(utilizzando Samba4); ho circa 750 utenze distribuite tra le 4 sedi.

Per quanto riguarda l'integrazione dei client Linux, utilizzo il metodo
tradizionale, ovvero Samba + Winbind + Kerberos [1]

Il login manager è stato configurato per richiedere il proprio username
e password, senza mostrare tutta la lista degli utenti prelevati da AD
(cosa che pianta i client e genera molto traffico sulla rete)

Oltre a questo i client Linux sono configurati per montare la cartella
di rete dell'utente (home) e le share di rete comuni (transito,
software, ecc..), e questo avviene al momento del login (utilizzando
pam_mount [2]).

Infine sono state apportate alcune personalizzazioni, come la homepage
dei browser, i motori di ricerca da utilizzare, la configurazione di apt
per uscire attraverso un proxy, ecc..

Per fare tutto questo mi sono preparato un immagine di So.Di.Linux (per
la verità due perché uso sia la 2015 sia la più recente 2017), e le ho
distribuite sui vari client utilizzando Clonezilla SE [3] (per i
laboratori).

Successivamente mi sono loggato su ogni singolo client, e ho lanciato
uno script che ho preparato (che fa tutto il lavoro di configurazione di
cui sopra in un colpo solo, senza passarsi tutti i file di
configurazione a mano)

Al riavvio della macchine è possibile fare la login con le proprie
credenziali.

Uno dei problemi ancora irrisolti è il cambio password durante il login
(qualora questa fosse scaduta); a tal proposito sto facendo delle prove
con diversi display manager, e al momento con GDM (GNOME Dispay Manager)
questa procedura funziona.

Naturalmente questa soluzione non è l'unica ed è sicuramente
migliorabile, quindi sono ben accetti suggerimenti e naturalmente
critiche costruttive :)

> Grazie
>  luigi 
>

Buona serata

Daniele


[0] http://www.zentyal.org/server/
[1]
https://rhelblog.redhat.com/2015/02/04/overview-of-direct-integration-options/
[2]http://pam-mount.sourceforge.net/
[3] http://clonezilla.org/clonezilla-SE/
[4]

[Marco Ciampa]

1) complimenti come sempre
2) avevo fatto cosa simile molti anni fa con SAMBA 3 su Debian ma prossimamente farò con Zentyal (ti chiamerò...)
3) domani ci sei anche tu a Rovereto? Sentiamoci...


--


Marco Ciampa

I know a joke about UDP, but you might not get it.

------------------------

GNU/Linux User #78271
FSFE fellow #364

------------------------

[Luigi De Pizzol]

Ciao Daniele, 

a tutti un grande grazie.... ho visto la distribuzione nethserver che consigliava Omar ed è veramente bella...  penso che la proverò.

L'esperienza però che sta facendo Daniele Piccoli capita a fagiolo e leggo che la situazione è molto simile alla

mia attuale, sia per quantità di macchine che di utenti.

Da domani comincerò ad indagare con il tecnico della scuola per trovare una macchina ed iniziare a fare dei test.

Sono un docente di informatica e come estrazione professionale sono un software developer nel mondo open source (usa da sempre linux),

ora da qualche anno insegno informatica, mi stanno chiedendo di accuparmi di queste cose sistemistiche e ben volentieri accetto 

questa sfida proponendo delle soluzioni che prescindano il più possibile da W$...:-)

Grazie ancora

A presto

Luigi

 

--
Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/forum/#!topic/wii_libera_la_lavagna/3wtcDt9IUhA
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "wii_libera_la_lavagna" di Google Gruppi.

Per annullare l'iscrizione a questo argomento, visita https://groups.google.com/d/topic/wii_libera_la_lavagna/lwQnxW3-UOA/unsubscribe.
Per annullare l'iscrizione a questo gruppo e a tutti i suoi argomenti, invia un'email a wii_libera_la_lavagna+unsub...@googlegroups.com.

Per ulteriori opzioni, visita https://groups.google.com/d/optout.

--

~~~~~~~~~~~~~~~~~~~~~~~~~
Ing. Luigi De Pizzol
cell: 347-7337477
email: luigi.d...@gmail.com

[Daniele Piccoli]

Il 21/01/2018 23:21, 'Marco Ciampa' via wii_libera_la_lavagna ha scritto:
> 1) complimenti come sempre
> 2) avevo fatto cosa simile molti anni fa con SAMBA 3 su Debian ma prossimamente farò con Zentyal (ti chiamerò...)

Quando vuoi..felice di condividere per portare sempre più in alto il
software libero nelle scuole (e non solo).

Ciao,

Daniele

[Daniele Piccoli]

Il 21/01/2018 23:42, Luigi De Pizzol ha scritto:
> Ciao Daniele, 
> a tutti un grande grazie.... ho visto la distribuzione nethserver che
> consigliava Omar ed è veramente bella...  penso che la proverò.

Provata in ambiente di test, non molto per la verità; comunque è una
distribuzione modulare, con interfaccia grafica, e basata su CentOS.

> L'esperienza però che sta facendo Daniele Piccoli capita a fagiolo e
> leggo che la situazione è molto simile alla
> mia attuale, sia per quantità di macchine che di utenti.

Resto a disposizione per qualsiasi chiarimento e condivisione.

> Da domani comincerò ad indagare con il tecnico della scuola per trovare
> una macchina ed iniziare a fare dei test.
> Sono un docente di informatica e come estrazione professionale sono un
> software developer nel mondo open source (usa da sempre linux),
> ora da qualche anno insegno informatica, mi stanno chiedendo di
> accuparmi di queste cose sistemistiche e ben volentieri accetto 
> questa sfida proponendo delle soluzioni che prescindano il più possibile
> da W$...:-)

;)

>
> Grazie ancora
>
> A presto
>
> Luigi
>

Ciao

Daniele

[Daniele Piccoli]

Il 23/01/2018 08:28, Roberto Bergonzini ha scritto:

> Il 21/01/2018 22:54, Daniele Piccoli ha scritto:
>> Anzitutto un saluto a tutti i partecipanti di questa lista, vi seguo da
>> molto ma è la prima volta che scrivo.
>>

> [cut]

>> Utilizzo l'autenticazione centralizzata sia per i client W$ sia per i
>> client Linux (unici esclusi sono i notebook)
>>
>> Lato server utilizzo Zentyal [0], una distribuzione Linux basata su
>> Ubuntu, che tra le altre cose è configurabile come domain controller
>> (utilizzando Samba4); ho circa 750 utenze distribuite tra le 4 sedi.

> [cut]
>
> Credevo Zentyal fosse ormai passato alla sola versione commerciale.

No, continua ad essere rilasciata anche la versione community (Zentyal
Server Development Edition)

http://www.zentyal.org/server/

>
> Trovo molto interessante questa soluzione:
>
>
> http://www.linuxschools.com/forum/index-main.php

L'avevo adocchiata tempo addietro, ma mai provata..

>
> Saluti
>
> Roberto Bergonzini

Ciao

Daniele

[Davide Malandrino]

Una domanda sul cambio password degli utenti:

Esiste un modo o, meglio ancora, una semplice interfaccia grafica per permettere ad un docente il cambio della password di un utente alunno che l'ha dimenticata/persa?

Conosco webmin, ma da lì si gestisce tutto il server. Oppure selservicepassword, ma consente solo di cambiare psw a chi conosce quella vecchia o comunque di farsi inviare una mail, ma una sessione devi averla già avviata.

Meglio un tool grafico per solo ldap.

Grazie

[Roberto Bergonzini]

Ciao Daniele,

Trovo la tua soluzione estremamente interessante.

Hai per caso creato una guida passo passo per implementarla?

Potresti condividerla in lista, magari insieme agli script che utilizzi?

Saluti a tutti

Roberto Bergonzini

--
Se cerchi informazioni o vuoi vedere se qualcuno le ha già trattate prova ad iniziare da qui:
https://groups.google.com/forum/#!topic/wii_libera_la_lavagna/3wtcDt9IUhA
---
Hai ricevuto questo messaggio perché sei iscritto al gruppo "wii_libera_la_lavagna" di Google Gruppi.

Per annullare l'iscrizione a questo gruppo e non ricevere più le sue email, invia un'email a wii_libera_la_lavagna+unsub...@googlegroups.com.

[Daniele Piccoli]

Il 05/02/2018 07:56, Davide Malandrino ha scritto:
> Una domanda sul cambio password degli utenti:
> Esiste un modo o, meglio ancora, una semplice interfaccia grafica per
> permettere ad un docente il cambio della password di un utente alunno
> che l'ha dimenticata/persa?

Per Linux non conosco nulla di simile, sarebbe comunque interessante
trovare una soluzione..

Io ho risolto il problema alla radice, impostando password random di 8
caratteri ad ogni studente, e non richiedendone il cambio.

> Conosco webmin <http://www.webmin.com/>, ma da lì si gestisce tutto il
> server. Oppure selservicepassword
> <https://ltb-project.org/documentation/self-service-password>, ma

> consente solo di cambiare psw a chi conosce quella vecchia o comunque di
> farsi inviare una mail, ma una sessione devi averla già avviata.
> Meglio un tool grafico per solo ldap.
>
> Grazie

Ciao

Daniele

[Daniele Piccoli]

Il 05/02/2018 10:37, Roberto Bergonzini ha scritto:
> Ciao Daniele,
> Trovo la tua soluzione estremamente interessante.
> Hai per caso creato una guida passo passo per implementarla?
> Potresti condividerla in lista, magari insieme agli script che utilizzi?

Non ho ancora creato nessuna guida, al momento me ne manca il tempo,
purtroppo!

Per gli script sto vendendo di sistemarli un attimo, per poi renderli
disponibili pubblicamente.

Tu da che basi parti? Hai già una centralizzazione degli utenti, che sia
W$ o Samba?

> Saluti a tutti
>
> Roberto Bergonzini
>

Ciao

Daniele

[Elena ``of Valhalla'']

On 2018-02-08 at 18:12:54 +0100, Daniele Piccoli wrote:
> Io ho risolto il problema alla radice, impostando password random di 8
> caratteri ad ogni studente, e non richiedendone il cambio.

come si suol dire: “obligatory xkcd: https://www.xkcd.com/936/”

(sì, la password totalmente casuale è messa meglio di quella
dell'esempio, ma è anche molto più difficile da ricordare)

--
Elena ``of Valhalla''

[Marco Ciampa]

Ed in ogni caso tu _sai_ la password dell'utente (cosa che io non vorrei
mai) ... non proprio una condizione ideale...

[Marco Gaiarin]

Mandi! Davide Malandrino
In chel di` si favelave...

> Esiste un modo o, meglio ancora, una semplice interfaccia grafica per
> permettere ad un docente il cambio della password di un utente alunno che
> l'ha dimenticata/persa?

In modo scripted il modo a mio avviso più corretto è di impostare una
password ''base'' (uguale alla login, ad esempio[1]) con il comando:

samba-tool user setpassword <utente> --newpassword=<password> --must-change-at-next-login

Di modo che al logon successivo sia costretto a cambirsela.

Sicuramente la cosa è fattibile anche in LDAP, quindi via interfaccia web,
ma non conosco nulla di già pronto.


[1]: occhio che se imposti le policy di complessita delle password, si
applicano e quindi se hai l'utente 'gaio' non riuscirai ad impostargli la
password 'gaio' se hai messo 'almeno 8 carattei'.

--
Ubuntu in Zulu significa "Non so usare Debian".
(cit. CtRiX)

[Davide Malandrino]

l'idea è di far cambiare la password degli alunni al docente in maniera semplice ma senza dare eccessivi permessi a quell'utente.

Capita di frequente che gli utenti la dimentichino e non è possibile essere sempre presente per cambiarla.

Oltre webmin non ho trovato altro. Altri strumenti, come self-service-password, funzionano solo se la password la conosci e vuoi cambiarla.

Esiste anche Ldap Account Manager (se non sbaglio riutilizzato in Kattive), ma non so se ci farei metter mano ad un insegnante.

[Marco Gaiarin]

Mandi! Davide Malandrino
In chel di` si favelave...

> l'idea è di far cambiare la password degli alunni al docente in maniera
> semplice ma senza dare eccessivi permessi a quell'utente.

Confermo che non conosco nulla del genere, ma visto che è alla fin fine LDAP
dovrebbe essere possibile ''scriversi'' qualcosa in un qualche linguaggio
per il web...

Se lo fai, sono interessato. ;-)

--
Il computer è come la morosa:
meno ci mettono mano gli altri e meglio è! ;-)
(Enrico)

[Davide Malandrino]

purtroppo non sono un grande programmatore :(