Installare pGina per l’autenticazione LDAP su Windows

Una modalità alternativa per eseguire l’autenticazione di una macchina client Windows con il fuss-server è utilizzare pGina, che consente di autenticarsi direttamente, senza la necessità di eseguire una join al dominio (problematica sulle versioni più recenti).

A partire dalla versione 12.0.48 i file necessari saranno disponibili sul server nella directory /var/www/fuss-data-conf già accessibile via web, anche come condivisione (con accesso anonimo, ed in sola lettura) per i client Windows nella rete interna. Vi si potrà accedere direttamente scrivendo \\nomedelfussserver\fuss-data-conf nella barra di ricerca del pannello del client Windows, ottenendo:

Dalla finestra si provveda a copiare i file nomeserver-cert.pem e pGinaSetup-N.N.N.N sul desktop, e, assicurandosi di essere collegati con un utente con privilegi amministrativi, si faccia partire l’installer di pGina e lo si autorizzi a modificare il sistema:

Una volta partito l’installer si prosegua con l’installazione:

si accetti la licenza:

si confermi la directory di installazione:

si confermi la posizione sul menu:

si crei una icona sul desktop:

si dia la conferma finale all’installazione:

si confermi la richiesta di installazione delle dipendenze

../_images/pGina-installer-MSC-download.png

e si attenda l’installazione ed al suo completamento si concluda l’installazione:

A questo punto si passi ad eseguire il programma dall’icona sul desktop per la configurazione; si dovrà riconfermare l’autorizzazione a modificare il sistema; una volta in esecuzione nella schermata principale si scelga la linguetta «Plugin Selection»:

e si verrà portati nella schermata di selezione dei plugin di autenticazione da utilizzare:

In questa schermata si abilitino tutte le spunte del plugin LDAP, e si prosegua nella configurazione premendo il sottostante bottone «Configure», questo porterà nella successiva schermata di configurazione principale dei dati di LDAP:

In questa schermata si inserisca nel campo «LDAP Host(s)» il nome del proprio fuss-server con il relativo dominio locale. Nel campo «LDAP Port» si inserisca il numero 636 per LDAPs. Si abiliti la spunta «Use SSL» e quella «Validate Server Certificate» ed infine premendo su «Browse» si selezioni il file del certificato del server, precedentemente copiato sul desktop.

Si ricordi di inserire i corretti Pattern nella voce «Group DN Pattern» e nella sottostante voce «User DN Pattern», secondo lo schema usato dal fuss-server, usando i corrispondenti Distinguished Name con le unità operative «Users» e «Groups». Pertanto se il dominio usato sul fuss-server è fusslab.blz, detti valori dovranno essere rispettivamente:

uid=%u,ou=Users,dc=fusslab,dc=blz

per gli utenti e:

cn=%g,ou=Groups,dc=fusslab,dc=blz

per i gruppi.

Infine se si possono rimappare automaticamente gli utenti di un gruppo LDAP su un gruppo locale, questo consente ad esempio di far inserire automaticamente gli utenti del gruppo LDAP tecnici nel gruppo locale Administrators, in modo che questi possano eseguire compiti amministrativi sul client.

Per questo occorre cliccare sulla linguetta «Gateway» per ottenere la relativa schermata di configurazione:

Qui si deve inserire nella casella «If member of LDAP group» il gruppo da rimappare (tecnici) e nella casella «add to local group» quello in cui i relativi utenti devono essere inseriti (Administrators), premendo «Add Rule», ottenendo l’aggiunta della regola di rimappatura:

../_images/pGina-conf-ldap-addedadmin.png

Una volta fatto questo la configurazione del plugin è completata e la si dovrà salvare con il pulsante «Save».

Perché quest’ultima configurazione funzioni però è necessario che il plugin LDAP sia utilizzato prima di quello di default («Local machine») altrimenti i membri del gruppo LDAP non saranno aggiunti al gruppo locale, per questo il passo successivo è quello modificare l’ordine di utilizzo dei plugin dalla schermata di configurazione principale, cliccando sulla linguetta «Plugin Order» per accedere alla omonima sezione:

../_images/pGina-conf-ldap-pluginorder.png

Qui si dovrà spostare nelle sezioni «Authentication» e «Gateway» il plugin LDAP in testa alla lista, utilizzando le frecce, in modo che questo venga eseguito prima di quello ordinario («Local machine»).

Una volta completate tutte queste configurazioni le si attivino con il pulsante «Apply» nella parte bassa della schermata di configurazione principale.

Fatto questo si potrà eseguire un test della configurazione andando sulla linguetta «Simulation», inserendo delle credenziali valide del fuss-server nella sezione «Simulated LogonUI»:

Se la configurazione è corretta una volta premuto sul pulsante di «Play» si otterrà un accesso confermato col plugin LDAP e, se l’utente scelto ne deve far parte, la notifica della sua aggiunta al gruppo Administrators:

Si tenga presente però che l’aggiunta ai gruppi locali funziona soltanto se l’utente scelto fa parte del gruppo LDAP indicato: questo significa che deve essere citato negli attributi memberUid del gruppo stesso. Se detto gruppo è stato impostato come gruppo primario non è detto che questo sia vero, e si dovrà eventualmente aggiungere esplicitamente da Octonet l’utente al gruppo rimappato.

Come ultimo passo si salvi tutto uscendo dal programma premendo sul pulsante «Save & Close»; poi sarà necessario riavviare la macchina ed a questo punto si potrà accedere al client con le credenziali del fuss-server:

tenendo conto che la prima volta dovrà «preparare» l’utente:

Si ricordi che per l’accesso ad Internet, che molti applicativi eseguiti di default nel desktop di Windows richiedono, si dovranno dare le proprie credenziali per ottenere l’autorizzazione da parte del proxy.