Política de segurança com o Samba

Esse artigo descreve os procedimentos para configurar um Política de Segurança no Samba, não da mesma forma que é feita no AD com as GPOs, mas funciona com semelhança, pois esse método no Samba utiliza o registro do próprio Windows, da mesma forma que o GPO faz por baixo dos panos.

[ Hits: 53.940 ]

Por: Breny Ricardo Martins Coelho em 20/06/2008


Configurando o Samba



Esse artigo é um complemento do artigo:
O conteúdo abaixo deve ser salvo com o nome de arquivo igual ao nome do usuário que você deseja aplicar essas configurações seguido da extensão .bat, ou seja, se quero aplicar para o usuário que possui o login joao no meu servidor de domínio, então preciso colocar o conteúdo no arquivo chamado joao.bat e salvar esse arquivo no compartilhamento netlogon, que no nosso caso está localizado em /home/netlogon.

Acessar o arquivo smb.conf e vá até o compartilhamento [netlogon] e adicione esse parâmetro logo abaixo:

write list = administrador

Esse parâmetro informa ao Samba que somente o administrador irá alterar o conteúdo do diretório netlogon, incluindo os arquivos que estão dentro dele.

Necessário alterar a permissão do diretório /home/netlogon para que o usuário e grupo administrador possuam todas as permissões e os outros usuários somente consigam ler e executar os arquivos, para isso execute:

# cd /home
# chown -R administrador.administrador netlogon/
# chmod -R 775 netlogon/


O comando chown configura o usuário e o dono do diretório. O comando chmod altera as permissões para os mesmos nesse diretório, no caso 775.

Se esse arquivo for criado diretamente dentro do Linux, ou seja, sem utilizar o bloco de notas do Windows, é necessário executar o comando unix2dos no mesmo, dessa forma:

# unix2dos joao.bat

O comando unix2dos altera o marcador de final de linha, convertendo para o formato do DOS (Windows), caso isso não seja feito, ao abrir esse arquivo no Windows você vai perceber que as linhas não estão corretas, como sempre esbarramos na falta de padrão da Microsoft, que adora reinventar a roda.

    Próxima página

Páginas do artigo
   1. Configurando o Samba
   2. Criando o script com a política de segurança
Outros artigos deste autor

OpenLDAP e Samba (redundância)

Configurando uma OpenVPN com o BRMA

Implementando um servidor de domínio

Instalando Oracle 10G

Criando disquetes de inicialização

Leitura recomendada

Linux autenticando no AD e rodando LTSP com DHCP (Windows 2003)

Implementando um servidor de domínio

Compartilhamento do Samba autenticando no AD

Proteção contra vírus usando Samba + ClamAV + Samba-vscan no Fedora Core 3

Configurando servidor Samba como Workgroup no Slackware

  
Comentários
[1] Comentário enviado por janio.barros em 20/06/2008 - 11:57h

cara excelente seu artigo, assim que poder vou coloca-la em prática.!
Parabéns.
Mas agora vai pro favoritos.

[2] Comentário enviado por edupersoft em 20/06/2008 - 12:57h

Gostei muito do artigo, será de grande proveito.

Sempre achei o AD o salvador da pátria nos servidores Windows, porque não via como fazer o que é proposto neste artigo sem o AD.

Utilizando LPDA e sofisticando esta bath, fazendo com que determinadas regras sejam habilitadas ou desabilitadas dependendo do usuário e sofisticando um pouco mais, desenvolvendo uma interface produtiva, para identificarmos o que cada usuário pode fazer, qual a funcionalidade prática fornecidas pelo AD que não poderia ser atendida com esta solução? Em outras palavras, o que o AD teria a mais?




[3] Comentário enviado por tiagodib em 20/06/2008 - 15:10h

Muito bom o artigo, mas acho que ainda falta no samba uma ferramenta gráfica para auxiliar esses bloqueios, pois sempre que implemento um servidor desse tipo em uma empresa, a pessoa do cpd que normalmente não mexe muito com linux ela fica amarrada, e tudo que vai fazer tem que ficar me ligando, pois não consegue decorar as linhas de comando... Quanto as ferramentas existentes no mercado para configurar o samba já testei várias mas nenhuma agradou. A facilidade do AD. deixa o usuario mais a vontade para mexer no seu próprio servidor sem depender muito do técnico. Mas como o Edupersoft disse, se complementarmos esse script com permissoes definidas por usuário, mapeamentos automaticos de impressoras, por grupo de usuário vai ajudar muito.. Outra opção seria de colocar perfis móveis dentro do script, assim poderiamos usar esse script como parte integrante de servidores samba com pdc... Mas meus parabéns mesmo ao artigo, vejo que com isso já é um passo para se igualarmos ainda mais ao AD. Que na minha umilde opinião é a unica coisa no windows que funciona melhor que no linux.

Abraços

Tiago Dib.

[4] Comentário enviado por genixsky em 20/06/2008 - 15:47h

Boa tarde edupersoft.

Já trabalhei um bom tempo com o AD da Microsoft, ele fornece bastante funcionalidade e facilidades que o Samba ainda não fornece, mas vai fornecer com o tempo, tenho certeza disso, uma funcionalidade básica e muito útil tenho q admitir é que no AD podemos controlar todas as configurações, políticas de acesso, execução de programas, quando esses estão também disponibilizados pelo Terminal Service, políticas de utilização e integração do Exchange, coisas do gênero que os programadores da Microsoft tiverem muito tempo para aperfeiçoar, o Samba é uma ótima ferramenta, mas ainda falta essas facilidades, coisa que não é impossível. Os administradores do Samba dependem muito de scripts para realizar certas configurações, não conheço até o momento nenhuma ferramenta gráfica que realizar todas as configurações possiveis com o Samba, juntando o fato que estou falando somente do Samba que no seu propósito básico de funcionamento é utilizado para compartilhar arquivos, quando somamos isso com a tarefa de gerenciar autenticação de usuários, recursos de hardwares compartilhados, como por exemplo, impressoras com certeza precisamos utilizar o LDAP, mas estou a seis meses pesquisando uma forma de integrar o Samba, LDAP, CUPS, NIS em um único produto gráfico que consiga dessa formar diminuir as distâncias com o pessoal da Microsoft.

Concordo com o que o tiagodib escreveu, esse é um ponto que será sanado ao longo do tempo, mas no momento também não conheço uma ferramenta.
Uma grande dificuldade que eu encontro com o Linux e Samba e no meu ponto de vista é um "ponto falho" no Linux é a maneira como ele trata as permissões de arquivos, ou seja, ele oferece três níveis de permissão, dono, grupo e outros, ou seja, 777 juntando com a mascara de permissão do sistema, esse funcionamento me deixa um pouco preso com o que posso deixar como permissão para os arquivos e já enfreitei bastantes problemas ao compartilhar arquivos, mas como sempre no Linux conseguimos burlar essas limitações, mas seria ótimo contar com mais níveis de permissões, como por exemplo, os níveis de permissão que existem no Novell, posso estar enganado, mas já utilizo Linux dede 1997, mas até agora foi o único "ponto falho" que encontrei.

[5] Comentário enviado por phelipe em 20/06/2008 - 21:15h

Ótimo artigo... PARABÉNS!!

[6] Comentário enviado por eduardofraga em 20/06/2008 - 23:52h

Ótimo artigo, eu estou vendo um Front-end para configurar o samba + OpenLDAP e cheguei ao kya panel


http://www.jeguepanel.net/


Ainda estou vendo as funcionalidades dele...


Eduardo

[7] Comentário enviado por marcosmiras em 21/06/2008 - 23:24h

Lindo artigo... + favoritos...

[]'s
Marcos Miras
atmsystem.com.br

[8] Comentário enviado por tsanches em 22/06/2008 - 15:34h

Excelente artigo
Valeu ;-)
TSANCHES

[9] Comentário enviado por asrocha em 23/06/2008 - 14:24h

Artigo muito bom, mais do que usar o script, abriu caminho para novas configurações, utilizei-o e junto com isso utilizei a funcionalidade de perfis móveis. Adicionei mais algumas configurações da mesma linha e tive um resultado muito bom que agradou muito. Enquanto a migração total para linux não acontece por aki os 50% que ainda utilizam o windão vão trabalhando de forma mais eficiente.

[10] Comentário enviado por joaomc em 23/06/2008 - 16:33h

Para quem não sabe, o Samba 4 terá compatibilidade com Active Directory, terá servidor LDAP integrado (ou seja, acabaram todos aqueles processos de instalar LDAP e integrar com o Samba), e, pelo que vi, terá administração web.

[11] Comentário enviado por genixsky em 24/06/2008 - 10:30h

Bom dia asrocha é possível utilizar o perfil móvel, apesar de não utilizar nos sites, pois costuma deixar a rede lenta e o processo de logon de usuário mais demorado, ainda não consegui descobrir uma maneira de ativar o perfil móvel somente para alguns usuários, ai seria ideal para mim, pois nem todos precisam usar.

[12] Comentário enviado por coffani em 25/06/2008 - 00:05h

Ótimo artigo... se alguém saber como resolver a dúvida do amigo genixsky, por favor compartilhem, tb preciso dessa solução..

[13] Comentário enviado por AllanC em 25/06/2008 - 14:59h

Qual linha eu adiciona no script pra restringir a instalação de novos programas pelo usuário e "esconder" o drive C:?

[14] Comentário enviado por genixsky em 27/06/2008 - 10:20h

Bom dia AllanC.
Os procedimentos de alterar o Windows através do registro funciona com esse procedimento descrito aqui, mas é preciso pesquisar na net quais são as linhas necessárias para cada tarefa.

[15] Comentário enviado por othelo em 10/07/2008 - 14:53h

Parabens pelo material, achei otimo, para uso em rede onde nao utilizamos um AD ou um police nos terminais, vistoque desta forma travamos todos atraves do script.
Mas acredito que o ideal seria ter uma politica individual utilizando um tweak ou police para dar seguranca aos terminais, pois podemos ter configuracoes individualizadas alem de diversas versoes de sistemas.

[16] Comentário enviado por wagnerluis1982 em 19/07/2008 - 13:19h

genixsky:

As permissões no Linux podem ser incrementadas com ACLs no sistema de arquivos.

Veja esse artigo antigo: http://br-linux.org/artigos/dicas_acl.htm

Lembrando que o sistema de arquivos tem que estar montado com acl, mais informações, man mount e man acl ;P

[17] Comentário enviado por meison em 24/07/2008 - 17:28h

UM OTIMO ARTIGO, MAS É IMPORTANTE SABER QUE PARA FUNCIONAR UM SCRIPT DE LOGON QUE GRAVE INFORMAÇÕES NA CHAVE HKEY_LOCAL_MACHINE, ESSE USUARIO DEVER SER ADMINISTRADOR LOCAL E QUALQUER USUARIO CRIADO NO SAMBA É SIMPLESMENTE UM USUARIO LIMITADO, PELO TEMPO QUE TRABALHO COM IMPLEMENTAÇÃO DE SERVIDORES, NÃO CONSEGUIR ACHAR UMA FERRAMENTA QUE FAÇA ISSO PRO MUNDO LINUX.

[18] Comentário enviado por genixsky em 25/07/2008 - 20:15h

Boa noite meison.

Realmente isso é verdade, mas todos os usuários na minha rede são administradores da estação de trabalho, não é uma boa idéia mante-los como tal, mas as linhas que eu utilizo nos scripts bloqueiam os mesmos para realizar alterações nas estações e desse modo se comportam como usuários normais.
Criei um script no Linux que se conecta em cada estação na rede em horários estipulados e verifica os logs das mesmas e se houve alterações no Windows das estações, reportando qualquer alteração para o meu e-mail e caso encontre arquivos proíbidos como mp3, vídeos e outros estipulados sou alertado tambem.
Estou desenvolvendo um outro script que levanta o inventário das estações, como hardware de cada uma, software instalados, mas ta um pouco enrolado, pois a Microsoft não libera certas informações que eu preciso, entao estou atras de programas de engenharia reversa para tentar descobrir como que o Windows se comporta em certas situações.
Assim que o mesmo estiver pronto e validado eu posto no VOL.

[19] Comentário enviado por frajolitzz em 07/01/2009 - 10:35h

Bom dia, genixsky.
Muito bom artigo, parabéns. Mas estou com um problema ... o que nosso amigo meison citou. Quando o usuário faz logon e começa a executar o escript, ele da "Acesso Negado". Pode me dar uma dica de como mudar o perfil dos meus usuários samba para administrador?

Desde já agradeço a atenção.
[]'s

[20] Comentário enviado por removido em 25/10/2009 - 17:43h

Olá frajolitzz,

Você não precisa (não recomendo) mudar os perfis dos usuarios para administradores. Dessa forma, qualquer usuário pode sair instalando qualquer coisa na estação, inclusive. Quando o usuário é apenas usuário, ele não mexe nas coisas do sistema (arquivos do sistema).
Já me deparei com esse problema e encontrei a solução utilizando no samba, o mesmo modelo de GPO's utilizado no windows. Uma política em GPO utiliza "espelhamento de registro", ou seja, usa os valores do registro que estão na GPO (temporariamente em cada sessão) e dessa forma o registro da estação permanece limpo e intacto. Sem contar que essa política é implementada pelo próprio sistema e não pelo usuário.

Caso queira, mando um tutorial.

Espero ter contribuido de qualquer forma.

Grato,

João Sales

[21] Comentário enviado por frajolitzz em 26/10/2009 - 09:22h

Oi João,

Se puder cara, me passa o link do tutorial que vou estudar um pouco.
Muito obrigado.

Abraço.

Frederico Oliveira

[22] Comentário enviado por coffani em 26/10/2009 - 12:45h

Eai joaosalless ..

Posta o tutorial aki no vol, ou um link para que possamos baixá-lo, isto também me interessa..

Abraço

[23] Comentário enviado por genixsky em 26/10/2009 - 16:47h

Boa tarde pessoal.
Espero que esse artigo esteja conseguindo ajudar vocês. Abraços.

[24] Comentário enviado por renetf77 em 28/10/2009 - 15:26h

Joaosalles,

Por favor disponibiliza este tutorial, vai ser de grande ajuda para mim.

Grande Abraço e obrigado pela iniciativa.

[25] Comentário enviado por dritoh em 20/04/2010 - 11:45h

Muito bom seu material.

;D

[26] Comentário enviado por valterrezendeeng em 11/08/2010 - 16:18h

Caro Colega genixsky

Li o seu comentário de " genixsky em 20/06/2008 - 15:47h:1"

Já pesquisou sobre ACL, no sistema de arquivos?

Não é uma facilidade do Samba e sim do sistema de Arquivos, este recurso resolveu meus problemas de permissão, pois no final fica muito parecido com o do windows mas sempre respeitando o modo Linux do chmod.

Abraço

[27] Comentário enviado por valterrezendeeng em 11/08/2010 - 16:21h

Parabens

Muito bom seu artigo


Abraço

[28] Comentário enviado por maumauns em 13/09/2010 - 17:45h

Alguem sabe como colocar para a aparencia do windows sempre fique com a aparencia do windows 98??? Ja procurei mais nao consegui achar ...

[29] Comentário enviado por genixsky em 26/06/2011 - 18:59h

Pessoal, estou realizando a publicação também eu meu blog: http://genixsky.blogspot.com pois lá eu consigo manter os documentos atualizados.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts