Академический Документы
Профессиональный Документы
Культура Документы
As configuraes apresentadas foram testadas no CentOS 5.6 e no Ubuntu 8.04. 1. Pacotes necessrios:
2. Instalao e configurao dos pacotes 2.1. Samba Instalao no CentOS: # yum install samba3x.x86_64 Instalao no Ubuntu: # apt-get install samba Segue arquivo de configurao do Samba apenas para integrao ao domnio, neste caso no foi configurado um servidor de arquivos, mas caso seja necessrio basta adicionar os compartilhamentos ao final do mesmo. Os parmetros que precisam ser alterados possuem comentrios ao final da linha identificando o que necessrio, os demais recebem as configuraes padro do servio. # vim /etc/samba/smb.conf [global] workgroup = teste // nome do grupo de trabalho/domnio server string = Teste de integrao com domnio netbios name = linux realm = TESTE.COM.BR // domnio completo log file = /var/log/samba/samba.log os level = 2 preferred master = no max log size = 50 debug level = 1 security = ads encrypt passwords = yes socket options = SO_KEEPALIVE TCP_NODELAY password server = 192.168.1.1 // ip do servidor de autenticao allow trusted domains = yes idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes hosts allow = 192.168. // faixa de ips liberados para acesso ao servidor Aps a configurao do smb.conf, necessrio associar a mquina ao domnio. Dependendo da verso do SO pode ser necessrio um comando mais "completo", segue dois exemplos com a mesma finalidade, em ambos os casos ser solicitada a senha do usurio:
Ex.: # net rpc join TESTE -U master 2.2. Kerberos Instalao no CentOS: # yum install krb5-clients krb5-users Instalao no Ubuntu: # apt-get install krb5-clients krb5-users Segue arquivo de configurao do kerberos. Os parmetros que precisam ser alterados possuem comentrios ao final da linha identificando o que necessrio, os demais recebem as configuraes padro do servio. # vim /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TESTE.COM.BR // domnio completo dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TESTE.COM.BR = { //domnio completo kdc = kerberos.teste.com.br:88 // FQDN do servidor de autenticacao admin_server = kerberos.teste.com.br:749 // FQDN do servidor de autenticacao default_domain = teste.com.br //domnio completo } [domain_realm] .teste.com.br = TESTE.COM.BR //domnio completo teste.com.br = TESTE.COM.BR // domnio completo [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 2.3. Winbind Instalao no CentOS: # yum install winbind Instalao no Ubuntu: # apt-get install winbind No winbind s precisamos alterar as trs linhas seguintes, as demais devem permanecer com os parmetros originais. # vim /etc/nsswitch.conf
2.4. Configurar os servios para iniciar automaticamente CentOS: # chkconfig smb on # chkconfig winbind on Ubuntu: # update-rc.d samba multiuser # update-rc.d winbind multiuser 2.5. Iniciar/reiniciar os servios para iniciar automaticamente CentOS: # service smb {start|stop|restart|reload|status|condrestart} # service winbind {start|stop|restart|reload|status|condrestart} Ubuntu: # /etc/init.d/samba {start|stop|reload|restart|force-reload|status} # /etc/init.d/winbind {start|stop|restart|force-reload}
2 maneira
Introduo e Instalao Introduo
Vamos falar de Interoperabilidade. notrio, que o Sistema Operacional GNU/Linux extremamente vantajoso e que seria timo manter todos os Servidores e Servios rodando na plataforma Linux. Entretanto, sabemos que isso um pouco utpico, ademais, o servio de Active Directory da Microsoft, possui sim seus mritos, alm de ser o mais utilizado para controle de objetos ativos nas corporaes. Este tutorial tem por objetivo, mostrar os passos para integrao de estaes Linux Desktop com AD do Windows, permitindo assim, que os mesmos usurios do domnio possam efetuar Logon autenticado no domnio. J abordei em outra postagem, a interoperabilidade entre um Servidor Linux Samba e base de usurios do Active Directory. No obstante, este artigo mostrar como criar um perfil padro, para que usurios que acessarem as estaes Linux, tenham um perfil padro, e o mesmo seja carregado com todas as configuraes pr-definidas para a conta. Requisitos e escopo da instalao:
No ser abordada a instalao do ambiente Windows, sendo que ele ter como requisito, o Domnio instalado (Dcpromo) com uma conta de usurio Administrador do domnio.
Para testar se a mquina foi corretamente adicionada, faa os seguintes testes, entre com o comando: # adinfo E o mesmo reportar a seguinte tela, com informaes referentes ao domnio:
Agora, v no seu Servidor Windows e abra o Active Directory (executar: das.msc) e verifique se a mquina foi adicionada corretamente ao domnio, conforme mostra a figura a baixo:
O sistema GDM (LighDM) ser automaticamente reiniciado e na Tela de Login, vai aparecer a opo de inserir novos usurios 'Iniciar sesso', como na figura abaixo. Mas, no entre ainda com nenhum usurio.
* Caso necessite de retirar uma estao do domnio por determinado motivo, como por exemplo, a criao de uma imagem (clone de instalao) para ser replicada em vrios computadores, ser necessrio depois de restaurada esta imagem, que sejam alteradas as configuraes de rede e nome da mquina. E tambm, ser necessrio remover a estao do domnio e ingress-la novamente com o seguinte comando: $ sudo adleave u Administrador A resposta esperada para o comando acima, o mostrada na figura abaixo:
Concluso
Com esta configurao, conforme esperado e de maneira descomplicada, mquinas Linux autenticando no domnio Windows, alm de iniciarem com um perfil padro. Tal configurao de perfil padro muito til para que no seja necessria a configurao manual de papel de parede e configuraes de Proxy, dentre outros.
Referncias
http://pt.scribd.com http://davidmburke.com - Lnux and Active Directory http://www.ubuntugeek.com http://davidmburke.com - Ubuntu Deployment with Active Directory
3 maneira
Kerberos um protocolo usado para autenticao de servios e/ou usurios em servios de rede, como o Active
Directory. Ele usado para identificao e autenticao em tempo real, utilizando um sistema seguro e criptografado.
O Active Directory faz uso deste servio para autenticao em rede, logo, as mquinas clientes tero que ter informaes do KDC para autenticar-se no Active Directory. O Samba at a verso 3, que a que ser usada para ingressar a mquina cliente no domnio, um servio cuja principal funo disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas pode ser usado para autenticao de usurios no servidor onde est rodando, ou em outro servidor. O mesmo faz uso de dois servios para este trabalho, so NMB e SMB. O servio NMB tem a principal finalidade de resoluo de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras mquinas. Ento, este servio permite a navegao pela rede, usando os hostnames das mquinas e o acesso s mesmas em rede. O servio SMB permite compartilhar tais recursos e autenticar os usurios no servidor Samba local, ou repassa as solicitaes de autenticao para outro computador, como um servidor controlador de domnio com o Active Directory.
E o Winbind um daemon usado pelo Samba e que no fornece servios para computadores remotos como faz o SMB e NMB, mas permite fazer a interface entre o PDC e o computador cliente rodando o servio Winbind, ingressando a mquina no domnio e autenticando os usurios no PDC.
Domnio mistoli.net Servidor DNS primrio 192.168.215.3 Servidor DNS Secundrio 192.168.215.4 Servidor DHCP 192.168.215.4 Servidor controlador de domnio 192.168.215.1 winactive.mistoli.net
Como os clientes sero configurados pelo servio DHCP, s especificarei o nome da mquina cliente:
127.0.0.1 192.168.215.1
mintvirt.mistoli.net winactive
localhost
mintvirt
Observe que "winactive" nome do controlador de domnio usado no artigo, troque pelo nome do controlador de domnio de sua rede. Execute o comando abaixo para ver o nome da mquina completo, ou seja, o hostname com o nome do domnio da mquina cliente: # hostname -f
# apt-get install krb5-user krb5-config winbind samba samba-comon smbclient cifs-utils libpamkrb5 Durante a instalao do kerberos, vai ser apresentado algumas telas com perguntas referentes ao KDC, mas pode d um ENTER e seguir com a instalao dos pacotes, pois a configurao do kerberos ser abordada mais a frente.
O ambiente proposto pelo artigo, existe um servidor DHCP, ento, no necessrio configurar o DNS, j que esse trabalho feito pelo servio DHCP. No entanto, se no estiver usando um servio DHCP, edite o arquivo /etc/resolv.conf indicando os endereos dos servidores de nome, como mostrado abaixo: # vim /etc/resolv.conf search mistoli.net nameserver 192.168.215.3 nameserver 192.168.215.4 Substitua os endereos acima e o nome do domnio informado pelos endereos de seus servidores DNS e o nome do seu domnio na rede onde est configurando a mquina cliente.
kerberos
Para um usurio ou servio autenticar-se no Active Directory, necessrio editar o arquivo /etc/krb5.conf e incluir informaes sobre o servidor KDC (controlador de domnio kerberos). Nesse caso, o controlador de domnio com o Active Directory possui um KDC. Use o Vim para editar o arquivo e inclua as seguintes linhas no arquivo: # vim /etc/krb5.conf Contedo acrescentado: [libdefaults] default_realm = MISTOLI.NET [realms]
MISTOLI.NET = { kdc = winactive.mistoli.net default_domain = MISTOLI.NET admin_server = winactive.mistoli.net } [domain_realm] .mistoli.net = MISTOLI.NET
Explicao da configurao
Este arquivo organizado em sees. As sees inclusas para autenticao no domnio so listadas abaixo junto com suas sub-sees:
[libdefaults] Seo que contm valores padro para o Kerberos V5, nessa seo s deixei uma nica sub-seo, explicada a seguir. default_realm Esta sub-seo identifica o domnio padro a ser usado pelo cliente kerberos. [realms] O kerberos divide a rede em domnios seguros, chamados de "realms", ento esta seo contm sub-sees informando nomes de "realms" do Kerberos, informando onde encontrar os servidores Kerberos para domnios seguros especficos e outras informaes.
Neste caso, criei uma sub-seo chamada de "MISTOLI.NET", que referente ao domnio seguro no qual a mquina ir ingressar. E dentro, criei as seguintes sub-sees:
kdc Aqui se configura o nome da mquina que est executando o controlador de domnio do kerberos mestre, como o controlador de domnio rodando o Active Directory est executando o KDC, ento inclui o nome completo da mquina aqui.
admin_server Esta sub-seo identifica o host onde o servidor que faz administrao do kerberos est sendo executado.
Depois de configurar o kerberos, vamos testar a comunicao entre o servidor e desktop. Execute o comando abaixo, no exemplo estou usando o nome "mint", que um usurio do domnio criado, mas substitua pelo nome do usurio que estiver cadastrado no servidor. # kinit mint Se o comando no retornar nenhuma sada, porque a comunicao est sendo realizada com sucesso. Agora vamos listar o ticket obtido nessa comunicao usando o comando: # klist O comando klist dever retornar uma sada como a que est abaixo:
Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: mint@MISTOLI.NET Valid starting Expires 13-11-2012 15:48:35 14-11-2012 krbtgt/MISTOLI.NET@MISTOLI.NET renew until 16-11-2012 15:48:35 Service 01:49:08 principal
salve as alteraes e reinicie os servios do Samba e Winbind. # service winbind restart # service samba restart No Ubuntu, reinicie da seguinte forma: # service winbind restart # restart smbd # restart nmbd
Arquivo nsswitch.conf
Depois ingressar a mquina no domnio, vamos configurar o arquivo /etc/nsswitch.conf para que o sistema possa saber onde buscar informaes de login dos usurios que esto se autenticando. neste arquivo que iremos comunicar ao sistema que ele deve procurar nossas informaes de login usando o Winbind. Edite o arquivo usando o Vim e deixando as linhas abaixo como demonstrado. Em seguida, salve as alteraes: # vim /etc/nsswitch.conf Contedo alterado: passwd: compat winbind group: compat winbind shadow: compat winbind Veja que, como estamos lidando com usurios, grupos e senhas, apenas alteramos as linhas que correspondem aos mesmos, estamos informando ao sistema que ele deve procurar nossas informaes de login usando o Winbind nas linhas:
"passwd: compat" para user "group: compat" para group "shadow: compat" para senha
Muitos howtos encontrados na Internet mostram configuraes adicionais desnecessrias, fazendo alteraes em vrios arquivos de autenticao do PAM. Mas a maioria destas configuraes no so necessrias, pois ao instalar os pacotes Winbind e o pacote que contm as bibliotecas do kerberos, o prprio sistema se encarrega de alterar os arquivos sem qualquer interveno dos usurios, com exceo de um arquivo. O nico arquivo que se faz necessrio a interveno do usurio o /etc/pam.d/common-session (em distros Debian like). Ento, edite o arquivo /etc/pam.d/common-session e aps linha abaixo: session required pam_unix.so Inclua esta: session required pam_mkhomedir.so umask=0022 skel=/etc/skel A linha mencionada anteriormente faz o diretrio home de cada usurio ser criado automaticamente no inicio de cada sesso aps a autenticao do usurio, setando as permisses para os arquivos e diretrios com a "umask 0022" e obtendo do diretrio /etc/skel seus sub-diretrios e arquivos padres. Caso esta linha no esteja adicionada, provavelmente ser apresentado a seguinte mensagem aps o login:
A soluo para poder alterar senha quando solicitada e autenticar-se, editar o arquivo /etc/pam.d/commonaccount alterando as duas linhas abaixo: account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so Deixando-as assim: account[sucess=2new_authtok_reqd=donedefault=ignore]pam_winbind.so account[sucess=1new_authtok_reqd=donedefault=ignore]pam_unix.so Veja que somente inverti a ordem dos mdulos, colocando o mdulo "pam_winbind.so" antes do mdulo "pam_unix.so". Assim, aps a alterao da senha e confirmao da autenticao, a classe de mdulos "account" ir primeiro consultar o mdulo "pam_winbind.so", permitindo o acesso e no dando o erro de antes. Veja nas imagens abaixo como fica a solicitao de alterao de senha. Digitando nome de usurio senha atual:
Depois de todas estas etapas, reinicie a mquina e ao logar, use somente o nome do usurio cadastrado no domnio. Este detalhe interessante por causa da configurao usada no arquivo /etc/samba/smb.conf, no necessrio colocar o nome do domnio junto com o nome do usurio que ir logar no domnio, coloque somente o nome de usurio e informe a senha.
Referncias
AutenticandoAD - Ubuntu Brazil wiki.ubuntu-br.org O Kerberos no um cachorro de 3 cabeas! [Artigo] Ubuntu 12.04 - Ingressando no AD pela Tela de Login [Dica]