[gentoo-docs-it] Aggiornamenti

[Enrico Morelli <morelli@cerm.unifi.it>]

[-- Attachment #1: Type: text/plain, Size: 713 bytes --]

doc			ver		rev
---------------------------------------------
ldap-howto		0.22		1.32
ati-faq			1.0.16		1.35
hb-portage-divertree	1.4		1.10

-- 
-------------------------------------------------------------------
       (o_
(o_    //\  Coltivate Linux che tanto Windows si pianta da solo.
(/)_   V_/_
+------------------------------------------------------------------+
|     ENRICO MORELLI         |  email: morelli@CERM.UNIFI.IT       |
| *     *       *       *    |  phone: +39 055 4574269             |
|  University of Florence    |  fax  : +39 055 4574253             |
|  CERM - via Sacconi, 6 -  50019 Sesto Fiorentino (FI) - ITALY    |
+------------------------------------------------------------------+

[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #2: ati-faq.xml --]
[-- Type: text/xml; name=ati-faq.xml, Size: 6195 bytes --]

<?xml version='1.0' encoding="UTF-8"?>
<!DOCTYPE guide SYSTEM "../dtd/guide.dtd">

<guide link="/doc/it/ati-faq.xml" lang="it">
<title>Gentoo Linux ATi FAQ</title>
<author title="Autore"><mail link="lu_zero@gentoo.org">
	Luca Barbato</mail>
</author>
<author title="Editore"><mail link="peesh@gentoo.org">
	Jorge Paulo</mail>
</author>
<author title="Editore"><mail link="blubber@gentoo.org">
	Tiemo Kieft</mail>
</author>
<author title="Traduttore"><mail link="myzelf@omnidea.it">
	Gilberto De Faveri</mail>
</author>
<author title="Traduttore"><mail link="gentoo-dev@gentoo.it">
	Enrico Morelli</mail>
</author>

<abstract>Questa FAQ dovrebbe aiutare gli utenti a risolvere i più comuni problemi di installazione
e configurazione relativi a DRI e X11 per le schede ATI.</abstract>

	 	
 	 	
 	 <!-- The content of this document is licensed under the CC-BY-SA license -->	
 	 <!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
<license/>

<version>1.0.16</version>
<date>9 Settembre 2005</date>

<chapter>
<title>Hardware Supportato</title>
<section>
<title>È supportata la mia scheda ATI?</title>
<body>
<p><uri link="http://www.freedesktop.org/Software/xorg">xorg-x11</uri> supporta quasi ogni scheda ATI,
almeno per quanto riguarda l'accelerazione delle funzioni 2D. Il supporto 3D è offerto sia dal
<uri link="http://dri.sf.net">progetto DRI</uri>, che fa parte di xorg-x11 o dei
driver closed source
<uri link="http://mirror.ati.com/support/drivers/linux/radeon-linux.html">forniti</uri> da ATI.
</p>

<table>
	<tr>
		<th>GPU</th>
		<th>Nome Commerciale</th>
		<th>Supportato da</th>
	</tr>
	<tr>
		<ti>Rage128</ti>
		<ti>Rage128</ti>
		<ti>xorg DRI</ti>
	</tr>
	<tr>
		<ti>R100</ti>
		<ti>Radeon7xxx, Radeon64</ti>
		<ti>xorg DRI</ti>
	</tr>
	<tr>
		<ti>R200,R250,R280</ti>
		<ti>Radeon8500, Radeon9000, Radeon9200</ti>
		<ti>xorg DRI, ATI DRI</ti>
	</tr>
	<tr>
		<ti>R300, R400, R500</ti>
		<ti>Radeon 9500 - x800</ti>
		<ti>xorg 2D, ATI DRI</ti>
	</tr>
</table>

</body>
</section>

<section>
<title>Ho una scheda All-In-Wonder/Vivo. Sono supportate le caratteristiche multimediali?</title>
<body>
<p>Le caratteristiche multimediali sono per ora supportate dal
<uri link="http://gatos.sf.net">progetto GATOS</uri>. Questi driver saranno
integrati direttamente in xorg.</p>
</body>
</section>

<section>
<title>Non utilizzo una macchina basata su architettura x86. Cosa posso fare?</title>
<body>
<p>

Il supporto X11 su piattaforme PPC o Alpha è molto simile al supporto per x86. 
Comunque, i driver ATI non sono supportati su PPC o Alpha, per questo non è possibile usare le caratteristiche 3D degli R300 Graphics Processing Unit (GPU).
Se si possiede una scheda con queste GPU e si vuole che sia supportata da X11,
contattare <uri link="http://www.ati.com">ATI</uri> e chiedere di rilasciare
le specifiche per la propria GPU.
I sorgenti per AMD64 sono stati rilasciati. Utenti amd64 possono usarli come utenti x86.
</p>
	 <impo>	
        Per abilitare l'agpgart per certi chipset AMD64 occorre disabilitare il supporto K8 IOMMU.
 	 </impo>	
 	 
</body>
</section>

<section>
<title>Ho un portatile. Il mio modello ATI "mobility" è supportato?</title>
<body>
<p>Dovrebbe esserlo, ma potresti avere qualche problema a causa del PCI id OEM che il
chip potrebbe avere. Nella maggior parte dei casi dovrai editare a mano il tuo file di configurazione
o utilizzare l'utility <c>xorgconfig</c>.
</p>

</body>
</section>

</chapter>

<chapter>
<title>Installazione</title>

<section>
<title>Pacchetti</title>
<body>
<p>
<ul>
 <li>L'ebuild di <c>xorg-x11</c> fornisce l'implementazione di X11 . </li>
  	 
 <li>Per un kernel 2.6 i moduli DRI possono essere inclusi col kernel o
essere forniti dall'ebuild <c>x11-drm</c></li>.
  	 
 <li>Per un kernel 2.4 si deve usare l'ebuild <c>x11-drm</c> </li>
  	 
  <li>L'ebuild <c>ati-drivers</c> fornisce i driver ATI per X e i moduli per il kernel, sia per la serie 2.4 che per la 2.6.
  	</li> 
  	 </ul>
</p>
<p>
Se si vuole usare il supporto agpgart <e>interno</e> agli ATI driver invece
del supporto nel kernel, il driver agpgart e il driver specifico per il chipset (nella configurazione del kernel) devono essere compilati come moduli o non inclusi.
</p>
<pre caption="Installazione driver">
<comment>Per installare solo i driver ed i moduli Rage 128 con x11
</comment>
# <i>VIDEO_CARDS="rage128" emerge x11-drm</i>
<comment>Per avere solo il supporto Radeon</comment>
<comment>(R100, R200, R250, R280 but not R300 yet)</comment>
# <i>VIDEO_CARDS="radeon" emerge x11-drm</i>
<comment>Per installare i driver ATI closed source</comment>
<comment>(R200,R250, R280 and R300 only)</comment>
# <i>emerge ati-drivers</i>
<comment>Per installare solo X11 senza moduli del kernel</comment>
# <i>emerge xorg-x11</i>
</pre>
</body>
</section>

<section>
<title>Configurazione</title>
<body>
<p>È consigliabile utilizzare <c>xorgcfg</c> o <c>xorgconfig</c> per generare
il file di configurazione <path>xorg.conf</path>. Alternativamente, si può usare 
l'opzione di autoconfigurazione di Xorg:
</p>
<pre caption="Configurazione automatica di X">
# <i>X -configure</i>
</pre>
<p>
Per maggiori informazioni su come creare un file di configurazione <c>xorg.conf</c> minimo,
è possibile consultare la
<uri link="/doc/it/xorg-config.xml">Desktop Configuration Guide</uri>.</p>
<note> Gli utilizzatori degli ati-drivers possono usare anche <c>fglrxconfig</c> se si sono installati gli <c>ati-drivers</c>.</note>
<impo>Gli utenti PPC dovrebbero usare l'utility di configurazione <c>Xorgautoconfig</c>,
emergendo l'ebuild <c>Xorgautoconfig</c>.</impo>
</body>
</section>


</chapter>
	 <chapter>
  	 <title>Altre risorse</title>
  	 <section>
  	 <body>
  	 
  	 <p>
Maggiori informazioni su Gentoo Linux e i driver binari ATI Radeon possono essere trovati su 
  	 <uri
  	 link="http://odin.prohosting.com/wedge01/gentoo-radeon-faq.html">Wedge
  	 Unofficial Gentoo ATI Radeon FAQ</uri>.
  	 </p>
  	 
  	 </body>
  	 </section>
  	 </chapter>
</guide>

[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #3: ldap-howto.xml --]
[-- Type: text/xml; name=ldap-howto.xml, Size: 19215 bytes --]

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE guide SYSTEM "../dtd/guide.dtd">

<guide link="/doc/it/ldap-howto.xml">
<title>Gentoo Guide all'autenticazione OpenLDAP </title>

<author title="Autore">
  <mail link="sj7trunks@pendulus.net">Benjamin Coles</mail>
</author>

<author title="Revisore">
  <mail link="swift@gentoo.org">Sven Vermeulen</mail>
</author>

<author title="Revisore">
  <mail link="tseng@gentoo.org">Brandon Hale</mail>
</author>
<author title="Revisore">
  <mail link="bennyc@gentoo.org">Benny Chuang</mail>
</author>
 	 
<author title="Traduttore">
    <mail link="emorelli@gentoo.it">Enrico Morelli</mail>
</author>

<author title="Traduttore">Team Italiano</author>

<abstract>
    Questa guida introduce le basi di LDAP e mostra come configurare
    OpenLDAP allo scopo di autenticare un gruppo di computer Gentoo.
</abstract>

 <!-- The content of this document is licensed under the CC-BY-SA license -->
  	 <!-- See http://creativecommons.org/licenses/by-sa/2.5 -->
<license />

<version>0.22</version>
<date>21 Ottobre 2005</date>

<chapter>
<title>Iniziare con OpenLDAP</title>
<section>
    <title>Cos'è LDAP?</title>
        <body>
	 
            <p>
                LDAP è l'acronimo di <e>Lightweight Directory Access Protocol</e>.
                Basato su X.500, comprende molte delle sue funzioni primarie,
                ma non include molte delle funzioni esoteriche che X.500 possiede.
                Ma cos'è questo X.500 e cosa centra con LDAP?
            </p>

            <p>
                Nel concetto OSI, l'X.500 è un modello per i Directory Service.
                Contiene le definizioni per i namespace ed i protocolli
                per la ricerca e l'aggiornamento delle directory.
                Comunque, X.500 è stato trovato essere eccessivo in molte
                situazioni. Entriamo in LDAP. Come l'X.500, provvede
                un modello data/namespace per le directory ed anche un protocollo.
                Comunque, LDAP è progettato per essere eseguito direttamente 
                al di sopra dello stack TCP/IP. Si pensi a LDAP come una
                versione più snella di X.500.
            </p>

        </body>
    </section>

    <section>
    <title>Cos'è una directory</title>
        <body>

            <p>
                Una directory è un database specializzato progettato
                per frequenti richieste ma infrequenti aggiornamenti.
                Al contrario di database generali, non contiene
                il supporto per transazioni o funzionalità di roll-back.

                Le directory sono facilmente replicabili per incrementarne
                la disponibilità e l'affidabilità. Quando le directory vengono
                replicate, sono permesse inconsistenze temporanee finché 
                non divengono eventualmente sincronizzate.
            </p>

        </body>
    </section>

    <section>
    <title>Come sono strutturate le informazioni</title>
        <body>
            <p>
                Tutte le informazioni all'interno di una directory
                sono strutturate gerarchicamente. Inoltre, se si vogliono
                inserire dati dentro una directory, la directory
                deve sapere come memorizzare questi dati all'interno
                di un albero. Si veda l'esempio di una finta compagnia
                e ad un albero stile Internet:
            </p>

<pre caption = "Struttura organizzativa di GenFic, una compagnia finta di Gentoo">
dc:         com
             |
dc:        genfic         <comment>(Organisation)</comment>
          /      \
ou:   people   servers    <comment>(Organisational Units)</comment>
      /    \     ..     
uid: ..   jhon            <comment>(OU-specific data)</comment>
</pre>

        <p>
            Dato che non sono stati introdotti dati nel database in questo
            schema ascii, ogni nodo di questo albero deve essere definito.
            Per dare un nome ad ogni nodo, LDAP usa un naming scheme.
            Molte distribuzioni LDAP (incluso OpenLDAP) contengono già
            un certo numero di schemi predefiniti (generalmente approvati),
            come inetorgperson, uno schema frequentemente usato
            per definire utenti.
        </p>

        <p>
            Utenti interessati sono incoraggiati a leggere la
            <uri link="http://www.openldap.org/doc/admin21/">OpenLDAP Admin Guide</uri>.
        </p>

    </body>
    </section>
    	 <section>
  	 <title>Per cosa si usa LDAP</title>
  	 <body>
  	 
  	 <p>
	 LDAP può essere usato per vari scopi. Questo documento si focalizza
	 sulla gestione centralizzata degli utenti, mantenendo tutti gli
	 account utente in una singola collocazione LDAP (il che non significa
	 che sia alloggiato su un singolo server, LDAP supporta scalabilità e
	 ridondanza), sono comunque raggiungibili anche altri obiettivi usando LDAP.
  	 </p>
  	 
  	 <ul>
  	   <li>Infrastruttura per chiavi pubbliche</li>
  	   <li>Calendari condivisi</li>
  	   <li>Rubriche condivise</li>
  	   <li>Depositi per DHCP, DNS, ...</li>
  	   <li>
	     Direttive di classe per la configurazione di sistemi (tenendo traccia
	     delle configurazioni di vari server)
  	   </li>
  	   <li>...</li>
  	 </ul>
  	 
  	 </body>
  	 </section>
    
</chapter>

<chapter>
    <title>Configurazione di OpenLDAP</title>
    <section>
        <title>Configurazione iniziale</title>
        <body>

        <note>
            In questo documento si userà l'indirizzo genfic.com come
            esempio. Si dovrà naturalmente cambiarlo per adattarlo allo scopo da raggiungere.
             Comunque, ci si assicuri che il nodo iniziale sia il top level di un dominio
            ufficiale (net, com, cc, be, it, ...).
        </note>

        <p> 
            Prima di tutto occorre installare tutti i componenti necessari
            sul proprio server:
        </p>

<pre caption="Installazione di OpenLDAP">
# <i>emerge openldap pam_ldap nss_ldap migrationtools</i>
# <i>chown ldap:ldap /var/lib/openldap-ldbm /var/lib/openldap-data /var/lib/openldap-slurp</i>

</pre>

        <p>
            Editare <path>/etc/openldap/slapd.conf</path>  e aggiungere
            ciò che segue a destra di <c>core.schema</c>:
        </p>

<pre caption="/etc/openldap/slapd.conf">
<comment># Includere i data schemes necessari</comment>
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema

<comment># Usare md5 per fare l'hash delle password</comment>
password-hash {md5}

<comment># Definire le proprietà SSL e TLS  (opzionale)</comment>
TLSCertificateFile /etc/ssl/ldap.pem
TLSCertificateKeyFile /etc/openldap/ssl/ldap.pem
TLSCACertificateFile /etc/ssl/ldap.pem

<comment>Più avanti nel file...</comment>

database        ldbm
suffix          "dc=genfic,dc=com"
rootdn          "cn=Manager,dc=genfic,dc=com"
rootpw          <i>{MD5}Xr4ilOzQ4PCOq3aQ0qbuaQ==</i>
directory       /var/lib/openldap-ldbm
index           objectClass     eq

<comment>
Si può avere una password cryptata come quella sopra, con slappasswd -h {Md5}</comment>
</pre>

            <p>
                Editare il file di configurazione di LDAP:
            </p>

<pre caption="/etc/openldap/ldap.conf">
# <i>nano -w /etc/openldap/ldap.conf</i>
<comment>Aggiungere...</comment>

BASE    dc=genfic, dc=com
URI     ldaps://auth.genfic.com:636/
TLS_REQCERT  allow
</pre>


            <p>
                Si generi ora un certificato SSL per rendere
                sicura la directory. Occorre rispondere alle domande che si ricevono
                nel miglior modo possibile. Alla richiesta del <e>Common Name</e>, si inserisca
                il nome che i client useranno quando contatteranno il server.
                Di solito è il domainname completo del server (p.e. <path>auth.genfic.com</path>).
            </p>
<pre caption="Generazione di un certificato SSL">
# <i>cd /etc/ssl</i>
# <i>openssl req -config /etc/ssl/openssl.cnf -new -x509 -nodes -out \
ldap.pem -keyout /etc/openldap/ssl/ldap.pem -days 999999</i>
 # <i>chown ldap:ldap /etc/openldap/ssl/ldap.pem</i>
</pre>

            
            
            <p>
                Editare ora <path>/etc/conf.d/slapd</path> e aggiungere ciò che
                segue, scommentando le linee esistenti:
            </p>
<pre caption="/etc/conf.d/slapd">
OPTS="-h 'ldaps:// ldapi://%2fvar%2frun%2fopenldap%2fslapd.sock'"
</pre>

            <p>
                Far partire slapd:
            </p>
 <pre caption = "Avvio di SLAPd">
# <i>/etc/init.d/slapd start</i>
</pre>
           
           <p>
                Si può fare un test col seguente comando:
            </p>

 <pre caption = "Testare il demone SLAPd">
# <i>ldapsearch -D "cn=Manager,dc=genfic,dc=com" -W</i>
</pre>
           <p>
                Se si riceve un errore, provare ad aggiungere <c>-d 255</c>
                per incermentare la verbosità  e risolvere il problema.
            </p>

        </body>
    </section>
</chapter>





<chapter>
    <title>Migrare dati esistenti</title>
    <section>
        <title>Migrare account utente</title>
        <body>
            <p>
                Si migreranno ora gli account utente. Aprire
                <path>/usr/share/migrationtools/migrate_common.ph</path> 
                ed editare ciò che segue:
            </p>
 <pre caption="/usr/share/migrationtools/migrate_common.ph">
$DEFAULT_BASE = "dc=genfic,dc=com";
$EXTENDED_SCHEMA = 1;
<comment># Commentate queste linee a meno che non abbiate un mail sheme caricato</comment>
<comment>#$DEFAULT_MAIL_DOMAIN = "genfic.com";</comment>
<comment>#$DEFAULT_MAIL_HOST = "mail.genfic.com";</comment>
</pre>

           
            <p>
                Eseguire quindi gli script per la migrazione:
            </p>

  <pre caption="Esecuzione dei migration script">
# <i>export ETC_SHADOW=/etc/shadow</i>
# <i>cd /usr/share/migrationtools</i>
# <i>./migrate_base.pl > /tmp/base.ldif</i>
# <i>./migrate_group.pl /etc/group /tmp/group.ldif</i>
# <i>./migrate_hosts.pl /etc/hosts /tmp/hosts.ldif</i>
# <i>./migrate_passwd.pl /etc/passwd /tmp/passwd.ldif</i>
</pre>
          <p>
            Questi ultimi passi migrano i file specificati nei file ldif
            letti da LDAP. Aggiungere quindi i file alla  directory:
            </p>

<pre caption="Importare i dati nella directory">
# <i>ldapadd -D "cn=Manager,dc=gentoo,dc=org" -W -f /tmp/base.ldif</i>
# <i>ldapadd -D "cn=Manager,dc=gentoo,dc=org" -W -f /tmp/group.ldif</i>
# <i>ldapadd -D "cn=Manager,dc=gentoo,dc=org" -W -f /tmp/passwd.ldif</i>
# <i>ldapadd -D "cn=Manager,dc=gentoo,dc=org" -W -f /tmp/hosts.ldif</i>
</pre>
	 <p>
	 Se si raggiunge un errore nei file ldif, si può riprendere da dove
	 si è terminato usando <c>ldapadd -c</c>.
  	 </p>
        
        </body>
    </section>




</chapter>

<chapter>
    <title>Configurazione del client</title>
    <section>
        <title>Configurazione di PAM</title>
        <body>
            <p>

	Il primo passo è di configurare PAM per permettere l'autorizzazione
	LDAP. Installare
	 <c>sys-auth/pam_ldap</c> per fornire il supporto dell'autorizzazione
	 LDAP a PAM e 
  	 <c>sys-auth/nss_ldap</c> in modo tale che il sistema
	 possa far fronte ai server LDAP per informazioni aggiuntive
         (usate da <path>nsswitch.conf</path>).
  	 </p>
  	 
  	 <pre caption="Installare pam_ldap e nss_ldap">
  	 # <i>emerge pam_ldap nss_ldap</i>
  	 </pre>
  	 
  	 <p>
  	 Editare  <path>/etc/pam.d/system-auth</path> in modo tale che assomigli a quello che segue:

            </p>

 <pre caption="/etc/pam.d/system-auth">
auth    required    pam_env.so
auth    sufficient  pam_unix.so likeauth nullok shadow
auth    sufficient  pam_ldap.so use_first_pass
auth    required    pam_deny.so 
account requisite   pam_unix.so
account sufficient  pam_localuser.so
account required    pam_ldap.so
password required   pam_cracklib.so retry=3
password sufficient pam_unix.so nullok use_authtok shadow md5
password sufficient pam_ldap.so use_authtok use_first_pass
password    required pam_deny.so
session required    pam_limits.so
session required    pam_unix.so
session required    pam_mkhomedir.so skel=/etc/skel/ umask=0066
session optional    pam_ldap.so
</pre>
	 <!--  Questo dovrebbe funzionare, vedere #87930
	 <note>	
        Se il login su questi sistemi usando ssh non funziona, provare a interscambiare
        le due righe <c>auth sufficient</c>. Comunque, con  questo interscambio, alcuni tool come <c>su</c> si
rifiuteranno di funzionare correttamente.
 	 </note>
-->

            <p>
                Cambiare  <path>/etc/ldap.conf</path> in modo da avere:
            </p>
<pre caption="/etc/ldap.conf">
<comment>#host 127.0.0.1</comment>
<comment>#base dc=padl,dc=com</comment>

ssl start_tls
ssl on
suffix          "dc=genfic,dc=com"
<comment>#rootbinddn uid=root,ou=People,dc=genfic,dc=com</comment>

uri ldaps://auth.genfic.com/
pam_password exop

ldap_version 3
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
nss_base_passwd ou=People,dc=genfic,dc=com
nss_base_shadow ou=People,dc=genfic,dc=com
nss_base_group  ou=Group,dc=genfic,dc=com
nss_base_hosts  ou=Hosts,dc=genfic,dc=com

scope one
</pre>

        <p>
Copiare quindi il file <path>ldap.conf</path> dal server ai client in modo che siano consapevoli dell'ambiente LDAP:
  	 </p>
  	 
  	 <pre caption="Copiare l'OpenLDAP ldap.conf">
  	 <comment>(Sostituire a ldap-server il nome del proprio LDAP )</comment>
  	 # <i>scp ldap-server:/etc/openldap/ldap.conf /etc/openldap</i>
  	 </pre>
  	 
            <p>
                Si configurino infine i propri  client in modo che
                controllino il LDAP per gli account di sistema:
            </p>

 <pre caption="/etc/nsswitch.conf">
passwd:         files ldap
group:          files ldap
shadow:         files ldap
</pre>

            <p>
                Per testare le modifiche, digitare:
            </p>

<pre caption="Test LDAP Auth">
# <i>getent passwd|grep 0:0</i>

<comment>Si dovrebbero ricevere due righe di risposta:</comment>
root:x:0:0:root:/root:/bin/bash 
root:x:0:0:root:/root:/bin/bash
</pre>

            <p>
                Se si nota che una delle linee poste nel proprio
                <path>/etc/ldap.conf</path> era commentata
                (la linea <c>rootbinddn</c>), non c'è da preoccuparsi, non ce n'è
                 bisogno a meno che non si voglia cambiare la 
                password degli utenti come superuser. In questo caso c'è
                bisogno di mettere in chiaro la password di root
                in <path>/etc/ldap.secret</path>. Questo è 
                <brite>PERICOLOSO</brite> e si dovrebbe cambiare l'accesso
                del file in 600. Quello che faccio io è di lasciare questo
                file in bianco e quando ho bisogno di cambiare la password
                a qualcuno che è sia in ldap che in <path>/etc/passwd</path>,
                metto la password di root nel file suddetto per 10 secondi mentre
                cambio la password dell'utente e quindi la rimuovo subito
                dopo che ho terminato.
            </p>
        </body>
    </section>
 </chapter>
  	 
  	 <chapter>
  	 <title>Configurazioni per LDAP Server Security</title>
    <section>
        <title>Permessi OpenLDAP</title>
        <body>

            <p> 
                Se si dà un'occhiata a <path>/etc/openldap/slapd.conf</path>
                si può notare che è possibile specificare le ACL (o permessi)
                di quali dati gli utenti possono leggere e/o scrivere:
            </p>
<pre caption="/etc/openldap/slapd.conf">
access to attrs="userPassword"
 by dn="uid=root,ou=people,dc=genfic,dc=com" write
 by dn="uid=John, ou=People,dc=genfic,dc=com" write
 by anonymous auth
 by self write
 by * none

access to *
 by dn="uid=root,ou=People,dc=genfic,dc=com" write
</pre>

            <p>
                Questo dà l'accesso a tutto ciò che un utente può modificare. 
                Se questa è un'informazione proprietaria, se ne ha l'accesso in scrittura; se l'informazione
                è di un altro utente, la si può leggere; utenti anonimi devono
                inviare login e password per avere l'accesso. Ci sono
                quattro livelli, partendo dal più basso al più alto:
                <c>auth search read write</c>.
            </p>


            <p>
                La prossima ACL è leggermente più sicura, blocca infatti
                ad un utente normale la lettura delle password shadow
                di altri utenti:
            </p>
 <pre caption="/etc/openldap/slapd.conf">
access to dn=".*,dc=genfic,dc=com" attr="userPassword"
  by dn="uid=root,ou=people,dc=genfic,dc=com" write
  by dn="uid=John, ou=People,dc=genfic,dc=com" write
  by anonymous auth
  by self write
  by * search
  
access to *
  by dn="uid=root,ou=People,dc=genfic,dc=com" write
  by * search
</pre>

            <p>
                Questo esempio dà a root e John l'accesso in
                lettura/scrittura/ricerca in tutto l'albero
                sotto <path>dc=genfic,dc=com</path>.
                Questo permette agli utenti di cambiare le proprie
                <path>userPassword</path>. Così per come finisce
                la dichiarazione del filtro ognuno ha la possibilità 
                di ricercare ma non di leggere i risultati di tale ricerca.
                Si possono avere acl multiple ma le regole vengono processate
                dal basso verso l'alto, così quelle iniziali dovrebbero essere
                quelle più restrittive.
            </p>
        </body>
    </section>
</chapter>

<chapter>
    <title>Lavorare con OpenLDAP</title>
    <section>
        <title>Manutenzione delle directory</title>
        <body>
            <p>
                Si può iniziare ad usare le directory per autenticare gli utenti
                in apache/proftpd/qmail/samba. Si possono amministrare con Webmin,
                che provvede un'interfaccia veramente facile. Si può anche
                usare gq o directory_administrator.
            </p>
        </body>
    </section>
</chapter>

<chapter>
    <title>Riconoscimenti</title>
    <section>   
        <body>
            <p>
                Si ringrazia Matt Heler per averci prestato il
                suo computer per gli scopi di questa guida. Grazie anche
                agli amici in #ldap @ irc.freenode.net
            </p>

        </body>
    </section>
</chapter>
</guide>

[-- Warning: decoded text below may be mangled, UTF-8 assumed --]
[-- Attachment #4: hb-portage-diverttree.xml --]
[-- Type: text/xml; name=hb-portage-diverttree.xml, Size: 4426 bytes --]

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE sections SYSTEM "../../dtd/book.dtd">

<!-- The content of this document is licensed under the CC-BY-SA license -->
<!-- See http://creativecommons.org/licenses/by-sa/2.0 -->

<!-- $Header: /var/www/www.gentoo.org/raw_cvs/gentoo/xml/htdocs/doc/en/handbook/hb-portage-diverttree.xml,v 1.3 2004/11/15 12:47:47 swift Exp $ -->

<sections>

<version>1.4</version>
<date>25 Novembre 2005</date>

<section>
<title>Usare un Portage Tree Subset</title>
<subsection>
<title>Escludere pacchetti e/o categorie</title>
<body>

<p>
Si possono selettivamente aggiornare certe categorie/pacchetti ed ignorarne
altre/i facendo in modo che <c>rsync</c> escluda
categorie/pacchetti durante la fase di <c>emerge --sync</c>.
</p>

<p>
Occorre definire il nome del file che contiene i pacchetti o le categorie da escludere nella
variabile <c>RSYNC_EXCLUDEFROM</c> in <path>/etc/make.conf</path>.
</p>
<pre caption="Definizione del file di esclusione in /etc/make.conf">	
 RSYNC_EXCLUDEFROM=/etc/portage/rsync_excludes	
</pre>	
 	 	
<pre caption="Escludere tutti i giochi in /etc/portage/rsync_excludes">	
games-*/*	
</pre>

<p>
Si noti comunque che questo può portare ad avere problemi di dipendenze nuove,
aggiornando pacchetti che potrebbero dipendere da pacchetti nuovi ma esclusi.
</p>

</body>
</subsection>
</section>
<section>
<title>Aggiungere ebuild non ufficiali</title>
<subsection>
<title>Definizione di una propria directory Portage</title>
<body>

<p>
Il Portage può usare ebuild che non sono disponibili attraverso l'albero ufficiale. Per far questo, si può creare una nuova directory (per esempio
<path>/usr/local/portage</path>) entro la quale memorizzare gli ebuild di terze parti usando la stessa struttura delle directory dell'albero del Portage.
</p>

<p>
Si definisce quindi la variabile PORTDIR_OVERLAY in <path>/etc/make.conf</path> affinché punti alla directory creata precedentemente. Usando Portage dopo
queste modifiche, si potranno usare questi nuovi ebuild senza che vengano
rimossi o sovrascritti da un nuovo <c>emerge --sync</c>.
</p>

</body>
</subsection>
<subsection>	
 	 <title>Lavorare con diversi overlay</title>	
 	 <body>	
 	 	
 	 <p>	
        Per  gli utenti che sviluppano su diversi strati, testano pacchetti
prima di porli nell'albero di Portage o vogliono semplicemente usare ebuild non ufficiali
di varie sorgenti, il pacchetto 
 	 <c>app-portage/gentoolkit-dev</c> fornisce	
 	 <c>gensync</c>, uno strumento che aiuta a mantenere aggiornati gli
overlay repository.
 	 </p>	
 	 	
 	 <p>	
        Con <c>gensync</c> si possono aggiornate tutti i repository in una volta sola o selezionare solo alcuni di essi. Ogni repository dovrebbe avere un 
file
 	 <path>.syncsource</path> nella directory di configurazione <path>/etc/gensync/</path> che contiene l'ubicazione del repository, il nome, l'ID, ecc.
 	 </p>	
 	 	
 	 <p>	
        Si supponga di avere due repository aggiuntivi chiamati <c>java</c>
        ( per lo sviluppo di ebuild java) e <c>entapps</c> (per le applicazioni
sviluppate per la propria azienda), si potranno aggiornare nel seguente modo:
 	 </p>	
 	 	
 	 <pre caption="Usare gensync per aggiornare alcuni repository">	
 	 # <i>gensync java entapps</i>	
 	 </pre>	
 	 	
 	 </body>	
</subsection>
</section>
<section>
<title>Software non mantenuto dal Portage</title>
<subsection>
<title>Usare il Portage con software proprietario</title>
<body>

<p>
In alcuni casi si può voler configurare, installare e manutenere software
proprietario senza dover automatizzare il processo del Portage anche se
Portage può provvedere il titolo software. Casi conosciuti sono sorgenti
del kernel e driver nvidia. Si può configurare Portage in modo tale che 
sappia che certi pacchetti sono stati installati manualmente nel sistema.
Questo processo è chiamato <e>injecting</e> ed è supportato dal Portage
attraverso il file
<path>/etc/portage/profile/package.provided</path>.
</p>

<p>
Per esempio, per informare il Portage che 
<c>vanilla-sources-2.6.11.6</c> è stato installato manualmente, aggiungere
la seguente linea a
<path>/etc/portage/profile/package.provided</path>:
</p>

<pre caption="Esempio di linea per package.provided">
vanilla-sources-2.6.11.6
</pre>

</body>
</subsection>
</section>
</sections>