Samba, parte 3: Usando o Samba como PDC

Criado 11/dez/2007 s 10h12 por Carlos E. Morimoto

7 ANTERIOR: AJUSTANDO AS PERMISSES LOCAIS

Logando clientes Linux no domnio

PRXIMO: USANDO O PDC PARA AUTENTICAO LOCAL NO LINUX

Logando clientes Linux no domnio

Embora a configurao seja um pouco mais complexa, possvel tambm logar clientes Linux no domnio, j que o Samba pode ser usado como cliente de um PDC Samba (ou de um PDC Windows). Isso permite que a estao Linux acesse os recursos do domnio normalmente e utilize o PDC como um servidor de autenticao na hora de compartilhar arquivos com a rede, da mesma forma que as mquinas Windows. Com isso, voc elimina a necessidade de cadastrar os logins de usurios em todas as mquinas Linux que precisarem compartilhar arquivos, j que todo o processo de autenticao centralizado no servidor. O primeiro passo cadastrar o nome da mquina no servidor PDC, usando os trs comandos que j vimos:

# useradd -d /dev/null -s /bin/false nome$ # passwd -l nome$ # smbpasswd -a -m nome

No caso dos clientes Linux, vale o nome definido durante a instalao do sistema, que fica armazenado dentro do arquivo "/etc/hostname". Esta a nica configurao que precisa ser feita no servidor. Os passos seguintes so feitos no prprio cliente. Comece fazendo uma instalao normal do Samba, instalando os pacotes "samba" e "sambaclient" (ou smbclient) atravs do gerenciador de pacotes, da mesma forma que faria ao instalar um servidor Samba para a rede. necessrio cadastrar pelo menos uma conta de usurio no Samba (da estao), com a mesma senha definida no sistema, usando o comando smbpasswd, como em:

# smbpasswd -a joao

Com o Samba instalado, edite o arquivo smb.conf, deixando-o como este modelo:

[global] netbios name = M5 workgroup = Dominio security = domain encrypt passwords = yes password server = 192.168.1.254 username map = /etc/samba/smbusermap [arquivos] path = /home/arquivos writable = yes

A seo global deve conter as linhas "security = domain" (como citei anteriormente, este o nvel de segurana que permite que o Samba atue como cliente de um PDC), "encrypt passwords = yes" e a linha "password server =" que indica o endereo IP (ou o nome netbios) do servidor PDC. importante tambm que a linha "workgroup" inclua o nome correto do domnio e a linha "netbios name" contenha o nome da mquina (cliente), como cadastrado no servidor e salvo no arquivo "/etc/hostname". Voc pode incluir tambm os compartilhamentos de arquivos e impressoras desejados, como no caso do compartilhamento [arquivos] que inclu no exemplo. Depois de salvar o arquivo e reiniciar o servio, hora de adicionar a mquina ao domnio, o que feito usando o comando abaixo (executado na estao):

# net join -U root

Password: Joined domain DOMINIO.

A senha de root solicitada a senha de root cadastrada no servidor, que checada ao cadastrar a estao como uma forma de provar que voc o administrador da rede. Voc pode tambm criar um usurio administrativo com poderes para adicionar as mquinas ao domnio (evitando assim o uso da conta de root), dando a ela o privilgio "SeMachineAccountPrivilege", como vimos no tpico anterior. Se o comando exibir a mensagem "Joined domain DOMINIO." sem solicitar a senha, rode-o novamente, pois isso acontece quando (por qualquer motivo) ele no conseguiu contactar o servidor. Se ele reclamar que a senha est incorreta, ou exibir um erro de permisso, verifique a configurao do servidor. Isso acontece, por exemplo, quando a linha "invalid users = root" est presente na configurao. Uma vez inserida no domnio, a instncia do Samba rodando na estao passar a encaminhar todos os pedidos de autenticao para o servidor. Se o servidor autoriza o acesso, ento o servidor Samba local permite o acesso ao compartilhamento. Com isso, um novo usurio cadastrado no servidor PDC, ganha acesso tambm aos compartilhamentos do estao, sem que voc precise cadastr-lo duas vezes.

Para que isso funcione, necessrio duas coisas. Em primeiro lugar, necessrio especificar o endereo IP ou nome do servidor, para que a estao consiga contact-lo, o que e feito atravs da opo "password server", como j vimos. O segundo passo criar um arquivo com um mapa dos usurios na estao. O arquivo pode ser armazenado em qualquer pasta, mas voc precisa especificar sua localizao corretamente na opo "username map" do smb.conf, como em:

username map = /etc/samba/smbusermap

Este arquivo relaciona os logins cadastrados no servidor PDC com a conta cadastrada no servidor Samba local, explicando a ele como acessar os arquivos no sistema depois que o acesso autorizado pelo PDC. Sem isso, o sistema bloqueia o acesso, j que as contas cadastradas no PDC no existem localmente. O arquivo com o username map segue uma estrutura muito simples, onde voc especifica uma conta por linha, sempre seguindo a sintaxe "conta_local = nome_do_dominioconta_no_dominio", como em:

joao joao joao joao

= = = =

DOMINIOgdh DOMINIOmaria DOMINIOjose DOMINIOisac

Basta criar um arquivo de texto usando qualquer editor e salv-lo, prestando ateno no uso de barras invertidas. Quando qualquer usurio especificado no arquivo autorizado pelo PDC, o servidor Samba local realiza a leitura no sistema de arquivos utilizando a conta "joao", que a nica cadastrada localmente. Com isso, voc precisa apenas manter o arquivo atualizado, sem se preocupar com com senhas. Ao administrar uma rede com vrias estaes, interessante manter o SSH ativo em todas as mquinas, de forma que voc possa atualizar o arquivo remotamente, quando necessrio. Ao serem acessados atravs do ambiente de rede, os compartilhamentos das estaes de trabalho Linux ficam disponveis para as demais mquinas do domnio sem necessidade de autenticao adicional, j que a autenticao centralizada no PDC. Aqui temos um exemplo de mquina Linux, configurada como cliente do PDC, que est compartilhando uma pasta com a rede:

Concluindo, caso voc deseje mais tarde remover a mquina Linux do domnio, basta alterar novamente o smb.conf (na estao), mudando a linha "workgroup = ", para que ela passe a indicar o nome do grupo de trabalho (e no mais do domnio) e alterar a linha "security = domain" para "security = user", como em:

[global] workgroup = grupo netbios name = M5 security = user encrypt passwords = yes

Depois de reiniciar o Samba (ou aguardar o tempo de atualizao aps a mudana no arquivo), a estao deixa o domnio e volta a fazer parte do grupo de trabalho. A principal limitao dessa configurao que ela permite centralizar apenas a autenticao dos compartilhamentos de rede, mas no resolve o problema da autenticao local nas estaes Linux, que continua sendo feita da forma tradicional. Isso nos leva ao tpico seguinte: