Configuração "automágica" de servidor Linux PDC Samba

araujo_silva

Apresentamos uma configuração de servidor Linux Samba com autenticação centralizada (PDC) por meio de um programa configurável escrito em shell script. Aplicamos algumas restrições de segurança e procuramos estabelecer padrões de configuração passíveis de serem modificados, de acordo com as necessidades dos administradores.

[ Hits: 35.932 ]

Por: lourival araujo da silva em 18/09/2008

0 0

Denuncie Favoritos Indicar Impressora

Script resultante

#!/bin/bash
gerencia = " amaro alberto amanda "
vendas = " belarmino bento batista "
compras = " carlos camargo "
marketing = " daniel demostenes dante "
noticias = " emmanuel eduardo "
maquinas = " ibm1 ibm2 intel1 intel2 "

mkdir -p /var/empresa
chmod 777 /var/empresa
mkdir -p /var/empresa/{gerencia,vendas,compras,marketing,noticias,publico}
chmod -R 2770 /dados/{s1,s2,s3,s4}
chmod -R 0775 /dados/bi
chmod -R 1777 /dados/publico

groupadd gerencia
groupadd vendas
groupadd compras
groupadd marketing
groupadd noticias
groupadd maquinas

chgrp -R gerencia /var/empresa/gerencia
chgrp -R vendas /var/empresa/vendas
chgrp -R compras /var/empresa/compras
chgrp -R marketing /var/empresa/marketing
chgrp -R noticias /var/empresa/noticias

for i in $gerencia;do
   useradd -s /bin/bash -d /home/$i -g gerencia $i
   mkdir -p /home/$i/profile.pds
   chown -R $i. /home/$i/profile.pds
done

for i in $vendas;do
   useradd -s /bin/bash -d /home/$i -g vendas $i
   mkdir -p /home/$i/profile.pds
   chown -R $i. /home/$i/profile.pds
done

for i in $compras;do
   useradd -s /bin/bash -d /home/$i -g compras $i
   mkdir -p /home/$i/profile.pds
   chown -R $i. /home/$i/profile.pds
done

for i in $marketing;do
   useradd -s /bin/bash -d /home/$i -g marketing $i
   mkdir -p /home/$i/profile.pds
   chown -R $i. /home/$i/profile.pds
done

for i in $noticias;do
   useradd -s /bin/bash -d /home/$i -g noticias $i
   mkdir -p /home/$i/profile.pds
   chown -R $i. /home/$i/profile.pds
done

for i in $maquinas;do
   useradd -s /bin/false -d /dev/null -g maquinas $i
   passwd -l $i$
   smbpasswd -a -m $i
done

mkdir -p /var/profiles
chmod 1777 /var/profiles

mkdir -p /var/samba/netlogon
chmod 775 /var/samba/netlogon

smbpasswd -a root

Página anterior Próxima página

Páginas do artigo

   1. Considerações iniciais
   2. Construção do servidor
   3. Ações interativas
   4. Script resultante
   5. Operação salvamento

Outros artigos deste autor

Servidor Samba "Autoservice"

Cliente Linux no servidor LDAP

Autenticação via hardware: o módulo pam_blue

Cliente "automágico" Linux logando no domínio NT/Samba

Mudança de hábito: autenticando usuários em base de dados MySQL

Leitura recomendada

PortSentry: Melhorando a segurança do seu Linux

Apache2 + PHP5 com ModSecurity no Debian Squeeze

Analisando arquivos de registro (log)

Implementação de WAF mod_security e integração com Graylog utilizando Filebeat e Logstash

Squid 3 - Instalação no Debian/Ubuntu

Comentários

[1] Comentário enviado por lbruni em 18/09/2008 - 13:30h

Tava precisando de algo assim para criar um PDC e fazer as máquinas windows logarem nele... o problema é q as máquinas windows XP não estão aceitando o PDC linux como domínio... como eu faço isso? Já ví arquivos .reg para executar nessas máquinas mas nunca deu certo... me dá uma luz nisso também???

Valeu!

0 0

[2] Comentário enviado por araujo_silva em 18/09/2008 - 23:20h

Caro lbruni,

Existem duas formas para contornar esse problema (não sei a versão do service pack instalado):
a) alterar: painel de controle > sistema > nome da maquina > (workgroup || dominio). Em alguns casos incluir a opção workgroup funciona nas maquinas WinXP.
b) teste no servidor: $ testparm (verificar a coerencia do arquivo smb.conf); $ smbstatus (verifica os clientes e maquinas logados no servidor); $ smbclient -L localhost -U usuariowindows%senha (verifica os compartilhamentos visiveis para o usuario considerado);
teste em um cliente Linux: $ smbmount //servidor/publico /mnt/publico -o username=usuariowindows,password=senhadowindows (testa se o usuario do dominio consegue realizar montagens).
Verifique os logs, e reporte as falhas.
Abraços,
Lourival

0 0

[3] Comentário enviado por metall em 21/09/2008 - 22:45h

Gostaria de saber se tem como fazer o linux ligar no PDC ?
estou precisando com urgencia... se alguem souber da um toque...

Abraço.

0 0

[4] Comentário enviado por araujo_silva em 22/09/2008 - 10:00h

Caro metall

Existem algumas formas. Estaremos disponibilizando um programa interativo para operar com cliente e usuário de domínio com o samba.
As operações envolvem juntar o seu Linux ao domínio (primeiro verifique se está no domínio):
$ net rpc testjoin seudominio
$ net rpc join -S server -U admin
$ wbinfo -u
$ wbinfo -g
Existem vários arquivos (/etc/pam.d) a serem editados, verifique o arquivo que configura o programa login (/etc/pam.d/login). Deve existir pelo menos duas linhas com o módulo winbind:
auth sufficient pam_winbind.so
auth required pam_unix.so use_first_pass

account sufficient pam_winbind.so
account required pam_unix.so use_first_pass

session optional pam_mkhomedir.so skel=/etc/skel umask=0022
session optional pam_limits.so

password sufficient pam_winbind.so
password required pam_unix.so try_first_pass

(Nesta configuração o sistema priorizará a autenticação no domínio, somente se falhar buscará autenticação local).
Não esqueça de consultar o arquivo de seleção de base de autenticação (/etc/nsswitch.conf), ao menos três linhas têm que possuir a base NT (modulo winbind) como referência:

passwd: compat winbind
group: compat winbind
shadow: compat winbind

Leia os arquivos de log (/var/log/auth.log) eles ajudam a corrigir as falhas.

Abraços,

Lourival

0 0