Autenticare Bacula Bweb su Active Directory

• 17 Ottobre 2013
• by: admin
• in: backup
• note: no comments

Bweb è il programma ufficiale di gestione via web di una infrastruttura di backup basata su Bacula e Bacula Enterprise. E’ un programma in Perl che permette di gestire facilmente tutte le operazioni di ordinaria manutenzione: controllare l’esito dei backup, eseguire backup al volo, etichettare nuovi nastri/dischi o riciclarli, ottenere molte statistiche come il tempo impiegato per i backup, la loro dimensione, il numero di file ecc e come questi parametri si sono evoluti nel tempo, effettuare restore.

Il tutto in modo molto semplice, senza bisogno di comandi in console.

L’accesso a Bweb può essere ristretto tramite file htaccess ad utenti che forniscano password “statiche”; in reti basate su Active Directory è molto utile basare l’autenticazione di Bweb su AD, in modo che la password non sia statica ma possa essere cambiata dall’utente in modo autonomo, semplice ed una sola volta. Molto più sicuro e veloce.

Per far autenticare Bweb installato su distruzione RedHat/Centos su AD, prima installate il modulo di autenticazione richiesto:

yum install mod_authz_ldap

Create il file /etc/httpd/conf.d/bweb.conf (oppure modifica il file di apache che contiene la configurazione di bweb) inserendo queste righe:

<Directory /var/www/cgi-bin/bweb>

       Options ExecCGI -MultiViews +SymLinksIfOwnerMatch

       AuthType Basic

       AuthBasicProvider ldap

       AuthName “Area Riservata”

       AuthLDAPUrl ldap://hostname_o_ip_del_domain_controller_ad:3268/?userPrincipalName?sub

       AuthLDAPBindDN “cn=Administrator,ou=Utenti,dc=dominio,dc=com”

       AuthLDAPBindPassword “lapassword_di_administrator”

       AuthLDAPGroupAttributeIsDN on

       Require ldap-group CN=Operatori Backup, OU=Gruppi, DC=dominio, DC=com

       AllowOverride None

</Directory>

Alias /bweb/fv /var/spool/bweb

<Directory “/var/spool/bweb”>

    Options None

    AllowOverride AuthConfig

    Order allow,deny

    Allow from all

</Directory>

Personalizzate i campi AuthLDAPBindDN, AuthLDAPBindPassword e Require ldap-group per fare in modo che rispecchino la vostra struttura Active Directory, se avete problemi ad ottenere i nomi esatti di tale struttura, utilizzate il tool “ad explorer” di Microsoft.

Nell’esempio sopra citato ho creato il gruppo AD “Operatori Backup”, tutti gli appartenenti a tale gruppo potranno accedere a bweb.

Quindi salvate il file e riavviate apache:

service httpd restart

Ora collegatevi all’url di Bweb ed autenticatevi con le vostre credenziali di dominio.