Академический Документы
Профессиональный Документы
Культура Документы
DOCUMENTAO DA INSTALAO
DO SISTEMA DE
COMPARTILHAMENTO DE ARQUIVOS
E
CONTROLADOR DE DOMNIO
- Objetivo Proposto
Integrar a estrutura de servidores bem como compartilhar toda a hierarquia
de diretrios, permisses de acesso a INTERNET.
Montar tambm diante da estrutura da INTRANET entre minha matriz e as
demais filiais um sistema nico de logon de domnio de rede.
Fazer com que o sistema Linux assuma definitivamente o papel do Windows
2003 Professional Server, na questo de Controlador de Domnio + Controlador de
requisies de acessos a INTERNET.
- Estrutura da Implementao
Essa implementao esta diretamente ligada as necessidades da empresa
bem como os softwares que existem na INTERNET para a homologao dessa
soluo.
- Estrutura de Rede.
Para a surpresa de muitos, hoje nossa estrutura de rede esta bem ampla,
onde possuimos uma srie de solues em Linux integradas na Rede, como por
exemplo: VPN (Virtual Private Network) entre a filial de Paranagu, e com a filial de
So Jos dos Pinhais possumos um Link com a Brasil Telecom.
A disponibilidade dos servios de nossa INTRANET, esta sendo controlada
inteiramente pela DMZ da Matriz, onde possumos praticamente 4 servidores Linux
e 1 servidor Windows 2003 rodando o cliente de Terminal Server.
Processador
Memria
[root@srv05-cwb root]#
MemTotal:
4018228
MemFree:
323912
Buffers:
119452
Cached:
3092260
SwapCached:
0
Active:
1062896
Inactive:
2278740
HighTotal:
3145536
HighFree:
262016
LowTotal:
872692
LowFree:
61896
SwapTotal:
819272
SwapFree:
707116
Dirty:
148
Writeback:
0
Mapped:
244204
Slab:
335148
Committed_AS: 1164316
PageTables:
5120
VmallocTotal:
114680
VmallocUsed:
9844
VmallocChunk:
104736
HugePages_Total:
0
HugePages_Free:
0
Hugepagesize:
4096
cat /proc/meminfo
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
kB
Disco
Start
1
11
1286
2561
2561
6385
6487
End
Blocks
10
80293+
1285
10241437+
2560
10241437+
17849
122808892+
6384
30716248+
6486
819283+
17849
91273266
Id System
83 Linux
83 Linux
83 Linux
f W95 Ext'd (LBA)
83 Linux
82 Linux swap
83 Linux
Start
1
10000
End
4864
17849
Blocks
Id System
39070048+ 83 Linux
63055125
83 Linux
Montado em
/
/boot
/opt
/usr
/home
/cnp
172.21.0.5
255.255.0.0
172.21.0.254
srv05-cwb
metrosul.intranet
METROSUL.intranet
cn=informatica,dc=metrosul,dc=intranet
dc=metrosul,dc=intranet
Aps a configurao desse arquivo do apt- get, voc precisar fazer o update
e tambm ajustar todas as tabelas do apt- get de forma que ele atualize toda a sua
estrutura mediante a nossa necessidade na aplicao.
Lidersul Comrcio de Veculos Ltda
Responsvel Tcnico: Fbio Prando Bortolotto
Data: 10 de Maro de 2005
Comandos:
[root@srv05-cwb root]# apt-get updates
Get:1 ftp://ftp.unicamp.br 10/i386 release [1881B]
Get:2 ftp://ftp.unicamp.br 10/i386 release [685B]
Get:3 ftp://ftp.polinux.upv.es i386 release [10,1kB]
Get:4 ftp://ftp.conectiva.com 10/i386 release [1881B]
Obtidos 14,6kB em 12s (1126B/s)
Hit ftp://ftp.unicamp.br 10/i386/all pkglist
Hit ftp://ftp.unicamp.br 10/i386/all release
Hit ftp://ftp.polinux.upv.es i386/all pkglist
Hit ftp://ftp.unicamp.br 10/i386/all srclist
Hit ftp://ftp.unicamp.br 10/i386/updates pkglist
Hit ftp://ftp.polinux.upv.es i386/all release
Hit ftp://ftp.unicamp.br 10/i386/updates release
Hit ftp://ftp.unicamp.br 10/i386/updates srclist
Hit ftp://ftp.conectiva.com 10/i386/all pkglist
Hit ftp://ftp.conectiva.com 10/i386/all release
Hit ftp://ftp.conectiva.com 10/i386/all srclist
Lendo Listas de Pacotes... Feito
Construindo rvore de Dependncias... Feito
- Configurando o OPENLDAP.
Vamos seguir a lgica de nossa documentao e atendar no detalhe de que
precisamos de um escape para gerarmos os log's de tudo o que esta acontecendo
com o aplicativo openldap.
1. Inserir a seguinte linha no arquivo /etc/syslog.conf:
local4.*
/var/log/ldap
idletimeout
30
checkpoint
1024 5
cachesize
10000
# ---- Estruturas de Index. ---index objectClass
eq
index cn
pres,sub,eq
index sn
pres,sub,eq
index uid
pres,sub,eq
index displayName
pres,sub,eq
index uidNumber
eq
index gidNumber
eq
index memberUID
eq
index sambaSID
eq
index sambaPrimaryGroupSID eq
index sambaDomainName
eq
index default
sub
# ---- Atributos de Acesso a Base. ---access to dn.base=""
by self write
by * auth
access to attr=userPassword
by self write
by * auth
access to attr=shadowLastChange
by self write
by * read
access to *
by * read
by anonymous auth
# ---- Fim. ----
Onde esta linha que ele gera, voc precisar copi- la da mesma maneira que
esta na sua tela para o campo de onde ele requer a senha que no nosso caso o
campo rootpw.
Caso queira maiores detalhes sobre cada funoreferente ao processo do
openldap, voc pode acessar o sites seguintes sites:
http://www.openldap.orgouhttp://www.ldap.org.br
Em questo voc precisar rodar as configuraes mediante a sua
necessidade em relao a infra- estrutura na qual voc, dispem. No meu caso eu
estou utilizando: cn=informatica,dc=metrosul,dc=intranet
Um outro detalhe IMPRESSINDVEL e de suma IMPORTNCIA, que voc
precisa ter todas as bibliotecas schema dispostas do diretrio
/etc /openldap/schema, para que sua aplicao funcione corretamente.
Caso voc no tenha a principal que seria a que seria a samba.schema, voc
pode procurar dentro da instalao do seu aplicativo samba mesmo.
[root@srv05-cwb root]# updatedb
[root@srv05-cwb root]# locate samba.schema
Agora voc s precisa copiar essa biblioteca para o diretrio corrente do ldap
/etc/openldap/schema .
Caso voc no encontre ela em seu sistema operacional, procure em algum
site na INTERNET, ou no prprio http:/ / www.google.com.br . Um local onde voc ir
encontrar essa schema no prprio site do samba http:/ / www.samba.org ou no
prprio site da comunidade LDAP Brasil http:/ / www.ldap.org na sesso schemas.
3. Configurar agora o Cliente do ldap: /etc/ldap.conf
# ---- Configuraes LDAP. ---# ---- Data: 10 de maro de 2005. ---# ---- Autor: Fbio Prando Bortolotto. ---# ---- E-mail: zordybr@hotmail.com
host 127.0.0.1
base dc=metrosul,dc=intranet
#
binddn cn=informatica,dc=metrosul,dc=intranet
bindpw MINHA_SENHA
#
timelimit 50
bind_timelimit 50
bind_policy hard
idle_timelimit 3600
pam_password exop
ssl off
#
nss_base_passwd
ou=Usuarios,dc=metrosul,dc=intranet?one
nss_base_shadow
ou=Usuarios,dc=metrosul,dc=intranet?one
nss_base_group
ou=Grupos,dc=metrosul,dc=intranet?one
# - Fim.
files ldap
files ldap
files ldap
files dns wins
session optional
/lib/security/pam_console.so
Esses erros apresentados quando inicia- se pela primeira vez o ldap porque
voc no possui nenhuma base configurada e instalada, ento ele apresenta esse
erros de chown e chgrp, mas isso no tem problema algum, e necessariamente isso
faz parte da soluo. Caso voc rode novamente o comando para resetar o servio
voc ver que ele no apresenta mais o erro.
[root@srv05-cwb root]# service ldap restart
Agora caso ele no possua esse arquivo para vc ficar analisando o log do
servio do ldap, voc dever seguir os seguintes procedimentos:
[root@srv05-cwb root]# touch /var/log/ldap
[root@srv05-cwb root]# service syslog restart
Com isso agora voc poder ver os log's normalmente do servio ldap de
maneira tranquila e simples. E basta apenas digitar as teclas CRTL+Z para sair do
arquivo de log.
Vimos na configurao do /etc/openldap/slapd.conf que ele aponta para um
diretrio chamado /var /lib / openldap- data , onde nesse diretrio ter toda a
estrutura do LDAP mencionado para a base que iremos criar diante da estrutura da
rede.
Pronto!! Caso voc tenha lido e seguido todos os passos certinho seu LDAP
esta 100%. Parabns!!
Bem s para voc que esta lendo essa documentao eu na verdade estou
escrevendo toda essa documentao vendo um amigo meu aqui indo fazer os
comandos que estou colocando na documentao onde vou capturando as telas
dele e colocando aqui. At os erros que fui colocando eu fui inserindo na
documentao para que a mesma ficasse show de bola.!!!
Escrevi isso apenas para descontrair. Nada srio.!!
isso precisamos que ele esteja desligado ou seja, que o servio samba esteja fora
do ar. Voc ter que digitar a linha service smb stop at aparecer as seguintes
linhas.
[root@srv05-cwb root]# service smb stop
Interrompendo SMB services (smbd):
Interrompendo NMB services (nmbd):
[FALHOU]
[FALHOU]
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
[printers]
comment = SMB Print Spool
path = /var/spool/samba
guest ok = Yes
printable = Yes
browseable = No
[netlogon]
comment = Network Logon Service
path = /opt/samba/netlogon
guest ok = Yes
locking = No
[profiles]
comment = Profile Share
path = /home/%U/profiles
read only = No
profile acls = Yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
browseable = yes
guest ok = no
read only = yes
write list = root
Aps ele parar nessa tela pressionamos a tecla ENTER, onde ir aparecer toda
a configurao que fizemos do smb.conf.
Agora precisamos de uma maneira simples e eficaz deletar alguns arquivos
de base de senhas e tambm de log do samba.
Lidersul Comrcio de Veculos Ltda
Responsvel Tcnico: Fbio Prando Bortolotto
Data: 10 de Maro de 2005
Pronto, o que precisamos agora gerar a senha nova para o samba. Lembra
aquela senha que criamos l no ldap que depois utilizamos o comando slappasswd,
ento agora voc ter que criar a mesma senha para o samba, com o seguinte
comando:
[root@srv05-cwb samba]# smbpasswd -w MINHA_SENHA
Com todas essas configuraes e tambm detalhes que tivemos que seguir
vamos iniciar o servio do samba na rede.
[root@srv05-cwb samba]# service smb status
smbd est parado
nmbd est parado
[root@srv05-cwb samba]# service smb start
Iniciando SMB services (smbd):
[ OK ]
Iniciando NMB services (nmbd):
[ OK ]
Type
----
accounts
Comment
------Disk
Accounting Files
service
Disk
pidata
Disk
netlogon
profiles
profdata
Disk
Disk
Disk
print$
Disk
Printer Drivers
IPC$
IPC
ADMIN$
IPC
Comment
------Samba 3.0.10
Master
---------
-------
METROSUL
[ OK ]
[ OK ]
Aconselho a remover essa instalao pois esse pacote que vem junto com o
Conectiva 10 no esta confivel, pois eu executei alguns testes com o pacote
smbldap- tools- 0.8.7 e o mesmo apresentou maior estabilidade e tambm atendeu
muito melhor minhas necessidades.
Ento voc deve acessar o site http:/ / samba.idealx.org /dist / e fazer um
download do pacote smbldap- tools- 0.8.7.tgz. Claro que voc poder estar lendo
essa documentao e ter uma nova atualizao do pacote, mas eu digo que nessa
nessas circunstncias esta se apresentando muito estvel.
Feito isso descompacte em uma rea aonde voc pode trabalhar com os
arquivos de maneira tranquila. Eu no caso utilizarei como exemplo o diretrio /
opt/smbldap - tools- 0.8.7 .
[root@srv05-cwb root]# cd /opt
[root@srv05-cwb opt]# tar xzvf /root/Backup/smbldap-tools-0.8.7.tgz
smbldap-tools-0.8.7/
smbldap-tools-0.8.7/FILES
smbldap-tools-0.8.7/smbldap.conf
smbldap-tools-0.8.7/TODO
smbldap-tools-0.8.7/smbldap-populate
smbldap-tools-0.8.7/configure.pl
smbldap-tools-0.8.7/smbldap-userdel
smbldap-tools-0.8.7/Makefile
smbldap-tools-0.8.7/smbldap_bind.conf
smbldap-tools-0.8.7/smbldap-usershow
smbldap-tools-0.8.7/README
smbldap-tools-0.8.7/CONTRIBUTORS
smbldap-tools-0.8.7/smbldap-passwd
smbldap-tools-0.8.7/smbldap-usermod
smbldap-tools-0.8.7/COPYING
smbldap-tools-0.8.7/doc/
smbldap-tools-0.8.7/doc/html/
smbldap-tools-0.8.7/doc/html/smbldap-tools003.html
smbldap-tools-0.8.7/doc/html/previous_motif.gif
smbldap-tools-0.8.7/doc/html/smbldap-tools005.html
smbldap-tools-0.8.7/doc/html/smbldap-tools004.html
smbldap-tools-0.8.7/doc/html/smbldap-tools001.html
smbldap-tools-0.8.7/doc/html/smbldap-tools007.html
smbldap-tools-0.8.7/doc/html/index.html
smbldap-tools-0.8.7/doc/html/smbldap-tools006.html
smbldap-tools-0.8.7/doc/html/smbldap-tools.html
smbldap-tools-0.8.7/doc/html/smbldap-tools008.html
smbldap-tools-0.8.7/doc/html/smbldap-tools002.html
smbldap-tools-0.8.7/doc/html/smbldap-tools009.html
smbldap-tools-0.8.7/doc/html/contents_motif.gif
smbldap-tools-0.8.7/doc/html/next_motif.gif
smbldap-tools-0.8.7/doc/html/smbldap-tools010.html
smbldap-tools-0.8.7/doc/smbldap-migrate-groups
smbldap-tools-0.8.7/doc/smbldap-tools.pdf
smbldap-tools-0.8.7/doc/smbldap-migrate-unix-groups
smbldap-tools-0.8.7/doc/smbldap-migrate-unix-accounts
smbldap-tools-0.8.7/doc/smbldap-migrate-accounts
smbldap-tools-0.8.7/smb.conf
smbldap-tools-0.8.7/INSTALL
smbldap-tools-0.8.7/smbldap-groupmod
smbldap-tools-0.8.7/smbldap_tools.pm
smbldap-tools-0.8.7/ChangeLog
smbldap-tools-0.8.7/smbldap-useradd
smbldap-tools-0.8.7/smbldap-userinfo
smbldap-tools-0.8.7/INFRA
smbldap-tools-0.8.7/smbldap-groupdel
smbldap-tools-0.8.7/smbldap-groupshow
smbldap-tools-0.8.7/smbldap-groupadd
my $smbldap_conf="/etc/smbldap-tools/smbldap.conf";
my $smbldap_bind_conf="/etc/smbldap-tools/smbldap_bind.conf";
. logon drive: local path to which the home directory will be connected (for NT Workstations).
Ex: 'H:'
logon drive [X:] > H:
Essa opo far com que o diretrio do usurio seja acessado diretamente
atravs do sistema de arquivos do controlador de domnio, como ns informamos
Lidersul Comrcio de Veculos Ltda
Responsvel Tcnico: Fbio Prando Bortolotto
Data: 10 de Maro de 2005
Essa opo para voc indicar onde ser o diretrio de logon da rede. Eu
deixei o diretrio corrente do usurio, tendo um profiles para cada um especfico.
. home directory prefix (use %U as username) [/home/%U] >
. default user netlogon script (use %U as username) [%U.cmd] > %U.bat
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value in scalar chomp at ./configure.pl line 138, <STDIN> line 17.
Use of uninitialized value in hash element at ./configure.pl line 140, <STDIN> line 17.
Use of uninitialized value in concatenation (.) or string at ./configure.pl line 144, <STDIN> line
17.
Use of uninitialized value in string at ./configure.pl line 145, <STDIN> line 17.
ldap master server [] > 127.0.0.1
Voc tambm deve criar a estrutura slave caso voc no tenha um servidor
LDAP secundrio. Essa estrutura slave voc pode apontar diretamente para o
servidor master.
. ldap slave port [389] >
Aqui ele verifica o SID que deve ser o mesmo apresentado quando voc digia
net getlocalsid e gera o SID da mquina em questo.
. unix password encryption: encryption used for unix passwords
unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >
.
.
.
.
Informe o domnio que seus usurios iro utilizar para envio e recebimento
de E-mail, onde voc poder criar uma estrutura tanto para comunicar E-mail
apenas pela INTRANET ou tambm para a INTERNET. No meu caso estou
mencionando o domnio da INTERNET para que o mesmo seja controlado tanto
internamente quando externamente.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
backup old configuration files:
/etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old
/etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
/etc/smbldap-tools/smbldap.conf done.
/etc/smbldap-tools/smbldap_bind.conf done.
pode se utilizar tambm pois eu criar das duas maneiras, porm a mais simples e
eficaz para quem quer despejar a soluo completa seria essa. O site seria:
http://us2.samba.org/samba/docs/man/Samba-Guide/happy.html#ch6-bigacct
O script que cria a base dos usuaios no LDAP o smbldap- populate, ele
vem junto com o pacote do smbldap- tools- 0.8.7.tgz
Ns iremos enconrar dentro do diretrio /usr /local/sbin o arquivo
smbldap- populate, onde se algum quiser se arriscar a criar a base de usurios
personalizadas em portugus mediante a estrutura, basta apenas editar o arquivo e
mudar a estrutura de criao dos diretrios.
Irei nessa documentao informar as linhas que se deve Alterar:
[root@srv05-cwb sbin]# vi /usr/local/sbin/smbldap-populate
Agora ele criou toda a estrutura que iremos utilizar para o controle da base e
do controlador de domnio que estamos criando.
Temos tambm que tomar nota de que o aviso que ele informa no momento
em que ele cria a base devemos executar tambm.
Lidersul Comrcio de Veculos Ltda
Responsvel Tcnico: Fbio Prando Bortolotto
Data: 10 de Maro de 2005
Isso
quer dizer que no arquivo smbldap.conf dentro do diretrio
/etc /smbldap- tools teremos que alterar a linha sambaUnixIdPooldn para a
nova regra criada pelos script's.
[root@srv05-cwb root]# vi /etc/smbldap-tools/smbldap.conf
dn: ou=Grupos,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Grupos
structuralObjectClass: organizationalUnit
entryUUID: 721dbc90-26a1-1029-8ca1-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174756Z
entryCSN: 2005031117:47:56Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174756Z
dn: ou=Computadores,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Computadores
structuralObjectClass: organizationalUnit
entryUUID: 723e06c6-26a1-1029-8ca2-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174756Z
entryCSN: 2005031117:47:56Z#0x0003#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174756Z
dn: ou=Idmap,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Idmap
structuralObjectClass: organizationalUnit
entryUUID: 725d8a78-26a1-1029-8ca3-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174757Z
entryCSN: 2005031117:47:57Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174757Z
dn: sambaDomainName=METROSUL,dc=metrosul,dc=intranet
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaDomainName: METROSUL
sambaSID: S-1-5-21-2857088929-2129263254-937994244
uidNumber: 1000
gidNumber: 1000
structuralObjectClass: sambaDomain
entryUUID: 72949a72-26a1-1029-8ca4-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174757Z
entryCSN: 2005031117:47:57Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174757Z
dn: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranet
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 998
homeDirectory: /home/Administrator
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\Administrator\profiles\
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaLMPassword: XXX
sambaNTPassword: XXX
sambaAcctFlags: [U
]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
structuralObjectClass: inetOrgPerson
entryUUID: 731da63c-26a1-1029-8ca5-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174758Z
entryCSN: 2005031117:47:58Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174758Z
dn: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranet
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\nobody\profiles
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU
]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998
loginShell: /bin/false
structuralObjectClass: inetOrgPerson
entryUUID: 739f9e1c-26a1-1029-8ca6-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
entryCSN: 2005031117:47:59Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
entryCSN: 2005031117:47:59Z#0x0005#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administradores
description: Netbios Domain Members can fully administer the computer/sambaDom
ainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administradores
structuralObjectClass: posixGroup
entryUUID: 7427448e-26a1-1029-8cab-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Operadores Impressao
description: Netbios Domain Operadores Impressao
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Operadores Impressao
structuralObjectClass: posixGroup
entryUUID: 7436fcd0-26a1-1029-8cac-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Operadores Backup
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Operadores Backup
structuralObjectClass: posixGroup
entryUUID: 74497db0-26a1-1029-8cad-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0003#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicadores
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicadores
structuralObjectClass: posixGroup
entryUUID: 745a2566-26a1-1029-8cae-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0004#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
Esse seria o resultado que o comando slapcat, dever informa para voc.
Lgico que seu SID ser praticamente diferente do que esta no exemplo. No caso
todos os SID's que ele ir gerar sero especficos da sua mquina.
Temos que saber tambm se foi criado o repositrio idmap
[root@srv05-cwb root]# slapcat | grep -i idmap
dn: ou=Idmap,dc=metrosul,dc=intranet
ou: Idmap
# extended LDIF
#
# LDAPv3
# base <dc=metrosul,dc=intranet> with scope sub
# filter: (ObjectClass=*)
# requesting: ALL
#
# metrosul.intranet
dn: dc=metrosul,dc=intranet
objectClass: dcObject
objectClass: organization
o: metrosul
dc: metrosul
# Usuarios, metrosul.intranet
dn: ou=Usuarios,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Usuarios
# Grupos, metrosul.intranet
dn: ou=Grupos,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Grupos
# Computadores, metrosul.intranet
dn: ou=Computadores,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Computadores
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\nobody\profiles
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU
]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998
loginShell: /bin/false
# Administradores Dominio, Grupos, metrosul.intranet
dn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Administradores Dominio
memberUid: Administrator
description: Netbios Domain Administradores
sambaSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaGroupType: 2
displayName: Administradores Dominio
# Usuarios Dominio, Grupos, metrosul.intranet
dn: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Usuarios Dominio
description: Netbios Usuarios Dominio
sambaSID: S-1-5-21-2857088929-2129263254-937994244-513
sambaGroupType: 2
displayName: Usuarios Dominio
# Convidados Dominio, Grupos, metrosul.intranet
dn: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Convidados Dominio
description: Netbios Convidados Dominio Users
sambaSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaGroupType: 2
displayName: Convidados Dominio
# Computadores Dominio, Grupos, metrosul.intranet
dn: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 515
cn: Computadores Dominio
description: Netbios Computadores Dominio accounts
sambaSID: S-1-5-21-2857088929-2129263254-937994244-515
sambaGroupType: 2
displayName: Computadores Dominio
# Administradores, Grupos, metrosul.intranet
dn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administradores
description: Netbios Domain Members can fully administer the computer/sambaDom
ainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administradores
# Operadores Impressao, Grupos, metrosul.intranet
dn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Operadores Impressao
description: Netbios Domain Operadores Impressao
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Operadores Impressao
# Operadores Backup, Grupos, metrosul.intranet
dn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Operadores Backup
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Operadores Backup
# Replicadores, Grupos, metrosul.intranet
dn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicadores
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicadores
# search result
search: 2
result: 0 Success
# numResponses: 17
# numEntries: 16
Esse o repositrio que geramos no LDAP. Isso significa que se voc chegou
at aqui.... PARABNS!!!
Voc mandou muitoooo bem...!!
Vamos fazer outros testes agora com a base de usurios e grupos.
[root@srv05-cwb root]# getent passwd | grep Domain
Administrator:x:998:512:Netbios Domain Administrator:/home/Administrator:/bin/false
Administradores Dominio:x:512:Administrator
Usuarios Dominio:x:513:
Convidados Dominio:x:514:
Computadores Dominio:x:515:
gente essa minha interface de trabalho. Coloquei isso aqui apenas para
descontrarir nessa documentao tambm. Agora vamos ao que interessa!
Usurios
Andr Nogueira,
Marcos Oliveira,
Claudia Morales,
Fbio Bortolotto
Comercial
Fernando Veloso,
Marcos Freitas.
Oficina
Carlos Motta,
Rodrigo Vicente.
Atacado
Moises Cardoso,
Jos Frederico.
Departamentos
Peas
Usurios
Marta Lima.
Com isso ns criamos nossa estrutura dos grupos que iremos utilizar.
Agora iremos visualizar os grupos criados, com o seguinte comando:
Comercial
Oficina
Atacado
Peas
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
[root@srv05-cwb
Usurios
Grupo
Andre Nogueira,
Usuarios Dominio
Marcos Oliveira,
Usuarios Dominio
Claudia Morales,
Convidados Dominio
Fabio Bortolotto
Administradores Dominio
Fernando Veloso,
Usuarios Dominio
Marcos Freitas.
Usuarios Dominio
Carlos Motta,
Usuarios Dominio
Rodrigo Vicente.
Usuarios Dominio
Moises Cardoso,
Usuarios Dominio
Jose Frederico.
Usuarios Dominio
Marta Lima.
Usuarios Domnio
usurio entre .
-a
- O nome do usurio a ser criado.
Ns temos tambm os script's smbldap- usermod, smbldap- usershow e
smbldap- userdel que seria interessante voc dar uma olhada para saber
administratar totalmente com as ferramentas via texto. Irei comentar um pouco
sobre esses script's mas seria muito interessante voc mesmo aprender a lidar com
os mesmos, pois administrar via prompt de comando para mim muito mais
simples e eficaz do que qualquer ferramenta WEB ou GUI, no caso grfica.
Falando dos script's de administrao dos usurios do LDAP + SAMBA.
smbldap- usermod
smbldap- tools, onde realmente eles so mais eficazes e melhores para voc
gerenciar esses usurios do sistema.
Vamos os que interessa:
Primeiramente baixar o pacotes do phpldapadmin.
http://phpldapadmin.sourceforge.net/download.php
Aps isso vamos primeiramente dar uma revisada nos pacotes necessrios
para o phpldapadmin diante do servidor WEB.
apache-htpasswd-2.0.49-61251U10_2cl
apache-2.0.49-61251U10_2cl
php4-ldap-4.3.10-72720U10_5cl
php4-4.3.10-72720U10_5cl
Feita essas alteraes necessrias voc pode dar mais uma olhada no seu
arquivos e aps todas essas modificao voc s ir precisar iniciar o servio do
APACHE.
[root@srv254-cwb root]# service httpd restart
Stopping httpd:
[ OK ]
Starting httpd:
[ OK ]
Agora vamos nos preocupar com o SQUID para terminar essa nossa
integrao e depois falaremos das estaes de trabalho Windows XP, 2000 e 2003.
Arquivos de log's.
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
Essa duas linhas abaixo devem estar setadas em uma nica linha.
E ela que ir fazer as requisies de autenticao no LDAP da REDE.
auth_param basic program /usr/lib/squid/squid_ldap_auth -b
ou=Usuarios,dc=metrosul,dc=intranet srv05-cwb.metrosul.intranet 389
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
#
# ---- Sistemas de CACHE. ----
Informaes do CACHE.
refresh_pattern ^ftp:
1440 20%
10080
refresh_pattern ^gopher:
1440 0%
1440
refresh_pattern .
0
20%
4320
#
# ---- Definies Gerais. ---negative_ttl 5 minutes
connect_timeout 2 minutes
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
half_closed_clients on
pconn_timeout 120 seconds
#
# ---- Configuraes Gerais de ACL. ---#
acl password proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
Essa linha abaixo informa que toda e qualquer URL setada, toda a empresa
poder acessar bem como consultar sem usurio ou senha a serem requeridos.
acl total.urls dst "/etc/squid/totalacesso/urls.txt"
J esta linha abaixo informa que, todo e qualquer site inserido nesse arquivo
deixar o site com acesso a todos os usurios e mquinas da rede. Ou seja, o sites
que voc colocar nessa lista Ex: .metrosul.com.br todos que esto dentro da rede
podero ter acesso total ao contedo desse SITE.
Uma coisa muito importante que se o SITE apontar para outro SITE um
LINK, o mesmo ser bloqueado a no ser que voc tambm coloque o LINK do
respectivo SITE tambm nessa tabela.
acl total.sites dstdomain "/etc/squid/totalacesso/sites.txt"
"/etc/squid/dptos/adm/usuarios.txt"
"/etc/squid/dptos/adm/sites.txt"
#
acl comercial.usuarios proxy_auth /etc/squid/dptos/comercial/usuarios.txt
acl comercial.sites dstdomain
/etc/squid/dptos/comercial/sites.txt
#
acl oficina.usuarios proxy_auth
/etc/squid/dptos/oficina/usuarios.txt
acl oficina.sites
dstdomain
/etc/squid/dptos/oficina/sites.txt
#
acl atacado.usuarios proxy_auth
/etc/squid/dptos/atacado/usuarios.txt
acl atacado.sites
dstdomain
/etc/squid/dptos/atacado/sites.txt
#
acl pecas.usuarios proxy_auth
/etc/squid/dptos/pecas/usuarios.txt
acl pecas.sites
dstdomain
/etc/squid/dptos/pecas/sites.txt
#
# -------------------------------------------------# ---- Liberando sistema de Acesso ao Proxy. ---# -------------------------------------------------#
# ---- Regras de acesso HTTP_ACCESS. ---#
# ---- Regras dos Sites padres da Empresa. ----
maquinas
totalacesso.urls
totalacesso.sites
SSL_ports
Chevrolet_Port
Acpr_Port
Https_Port
Camera_Port
MSN
adm.usuarios
adm.sites
comercial.usuarios comercial.sites
oficina.usuarios
oficina.sites
atacado.usuarios
atacado.sites
pecas.usuarios
pecas.sites
estticas. ----
Pronto
feito
isso
e essas
alterao
no
arquivo
do
PROXY
/etc /squid /squid.conf, precisamos agora criar aquela estrutura de arquivos dos
dpto's bem como os arquivos. OUTRO DETALHE IMPORTANTE QUE OS ARQUIVOS
NO PODEM ESTAR VAZIOS DE MANEIRA NENHUMA, OU SEJA, OS ARQUIVOS DEVEM
CONTER PELO MENOS UM CARACTR DENTRO DELES, MESMO QUE ESSE CARACTR
NO FAA DIFERENA.
Executar os seguintes comandos:
[root@srv254-cwb root]# cd /etc/squid/
[root@srv254-cwb squid]# mkdir dptos
[root@srv254-cwb squid]# cd dptos/
[root@srv254-cwb dptos]# mkdir adm comercial oficina atacado pecas totalacesso
[root@srv254-cwb dptos]# vi usuarios.txt
(Dentro do arquivo:)
informatica
OBS: esse usurio pode estar criado dentro do LDAP mas no necessrio
apenas para o arquivo ter algo como comentamos anteriormente.
[root@srv254-cwb dptos]#vi sites.txt
200.184.79.12
(Dentro desse arquivo os IP's das mquinas que tero acesso TOTAL:)
172.21.10.50
172.21.25.13
172.23.11.14
Portanto agora nossa estrutura do PROXY esta pronta para testarmos. Digite
o seguinte comando.
[root@srv254-cwb squid]# squid -z
Se aparecer esse resultado: 2005/03/17 20:56:49| Creating Swap Directories
E voltar para prompt de comando porque suas regras do PROXY esto 100%. se
der algo errado voc ter que ver o erro e tentar descobrir qual a linha que esta
dando erro. Nessas circunstncias digo a voc para ler certinho o log do erro e
tentar descobrir com as prprias mos o erro do SQUID.
Agora se aparecer certinho essa linha para voc voc s precisa ativar o
servio do PROXY digitando o seguinte comando:
[root@srv254-cwb squid]# service squid start
Starting squid: .
[ OK ]
Prontinho agora seu SQUID tambm esta autenticando com a sesso LDAP.
Voc s precisa configurar uma estao WINDOWS XP, 2000 ou 2003 para finalizar
o processo dessa documentao.
Que no bastasse ns colocamos 3 servios fantsticos rodando em nossa
rede e agora tambm podemos gerar vrios relatrios e resultados perante esses
servios que esto rodando na REDE. Existe um aplicado muito legal chamado
SARG, desenvolvido por um brasileiro mesmo sarg.sourceforge.net/maillist.php
que realmente uma ferramenta muito bacana.
Com isso ele dar uma msg no Linux informando que voc deve reinici- lo
para que as alteraes do domnio tenham efeito. Com isso eu digo PARABNS,
voc colocou uma mquina no domnio criado.
Se voc tiver interesse voc pode acessar o diretrio /var/log /samba, ou no
diretrio onde voc colcou os log's do servidor samba e ver que ele criou alguns
arquivos e um deles o nome da mquina que voc criou e nesse arquivo voc
pode monitorar tudo o que esta acontecendo com a mquina no domnio.
Uma outra coisa interessante voc acessar o site do phpldapadmin do seu
servidor e verificar no item Computadores que tem uma mquina com o
respectivo nome criado.
Portanto agora basta voc saber administradar direitinho esse servidor que
criaomos.
Cuidados e juzo muito importante e no importe quantas vezes voc teve
que ler essa documentao para dar certo. Lembre- se de que voc conseguiu e foi
capaz.
Parabns e Sucesso!!
Por:Fbio Prando Bortolotto
Analise de Sistema de Segurana de Redes
E-mail: zordybr@hotmail.com
UIN: 22422202
Counter Linux: 131252