Implementando um servidor de domínio
Esse artigo descreve passo a passo os procedimentos para levantar um servidor de domínio em sua rede Linux/Windows, esses procedimentos foram testados e está em produção em 5 sites, utilizado o sistema CentOS 4 com Samba 3. Estou realizando testes com LDAP Master e Slave e assim que terminar estarei publicando.
[ Hits: 116.992 ]
Por: Breny Ricardo Martins Coelho em 17/06/2008
Criando o grupo para o administrador
Com a linha a seguir criaremos o grupo administrador no Linux para que em seguida possamos adicionar os usuários com poder de administração das máquinas Windows.
# groupadd administrador
Adicionando os usuários com poder de administração ao grupo dos administradores no Linux.
Com a linha a seguir iremos adicionar os usuários com poder de administração no Windows ao grupo criado no Linux com esse propósito. Eu costumo criar os usuários com direitos de criar e acessar o diretório /home e com um shell de login, muitos administradores preferem não fazer desse jeito, pois caso seja criado um shell de login e um home para o usuário o mesmo poderá acessar diretamente o Linux, por exemplo, através do ssh.
Fica a escolha do propósito a ser utilizado.
Abaixo está a linha correta para adicionar o usuário ao Linux com essas possibilidades e logo em seguida uma linha que não permite que o usuário tenha esse tipo de acesso com o Linux.
# useradd -g administrador -s /bin/bash -d /home/administrador administrador
# useradd -g administrador -s /bin/false -d /dev/null administrador
Essa linha informa ao Samba que o usuário administrador que você criou no Linux terá poderes de administração sobre o Samba, e com isso, será possível adiante, adicionar maquinas Windows ao domínio do Linux.
Esse usuário está fazendo referência ao usuário administrador do Windows, caso o Windows seja em inglês será necessário efetuar a criação do usuário administrator, seguindo os mesmos procedimentos que foram realizados para criar o usuário administrador, somente não será necessário criar um novo grupo para esse usuário, pois já criamos um grupo chamado administrador e poderemos adicionar esse usuário a este grupo.
Observação:
Depois de realizar o procedimento para criar o grupo "administrador" e adicionar os usuários administrador e administrator, o Samba não permitiu que eu adicionasse a máquina ao domínio, realizei alguns testes e descobri que isso está ocorrendo porque no arquivo smbusers continha a linha que igualava o usuário root com o usuário administrador, pelo o que eu percebi, nesse arquivo existe a seguinte linha:
O arquivo smbusers é utilizado pelo Samba para fazer referências entre usuários Windows e usuários Linux cadastrados na base de autenticação do Linux e percebi que isso poderia ser um perigo de segurança para o Linux, pois estava indicando que o usuário administrador do Windows teria os mesmos poderes que o usuário root no Linux.
Com isso eu alterei essa linha para:
No próprio arquivo smb.conf existe uma referência, indicando qual é o administrador do Samba, mas mesmo assim não consegui adicionar máquinas ao domínio e ao adicionar a linha acima no arquivo smbusers, foi possível a integração com as máquinas Windows. Após realizar o procedimento no Windows para integrar a máquina ao domínio o mesmo solicita que faça o boot do sistema e após o boot a tela de login mudou e consegui autenticar o sistema no domínio Samba.
# groupadd administrador
Adicionando os usuários com poder de administração ao grupo dos administradores no Linux.
Com a linha a seguir iremos adicionar os usuários com poder de administração no Windows ao grupo criado no Linux com esse propósito. Eu costumo criar os usuários com direitos de criar e acessar o diretório /home e com um shell de login, muitos administradores preferem não fazer desse jeito, pois caso seja criado um shell de login e um home para o usuário o mesmo poderá acessar diretamente o Linux, por exemplo, através do ssh.
Fica a escolha do propósito a ser utilizado.
Abaixo está a linha correta para adicionar o usuário ao Linux com essas possibilidades e logo em seguida uma linha que não permite que o usuário tenha esse tipo de acesso com o Linux.
# useradd -g administrador -s /bin/bash -d /home/administrador administrador
# useradd -g administrador -s /bin/false -d /dev/null administrador
Informando ao Samba que o usuário administrador terá poderes de administração
É necessário adicionar no smb.conf, na seção [global], a seguinte linha:
admin users = administrador
Essa linha informa ao Samba que o usuário administrador que você criou no Linux terá poderes de administração sobre o Samba, e com isso, será possível adiante, adicionar maquinas Windows ao domínio do Linux.
Esse usuário está fazendo referência ao usuário administrador do Windows, caso o Windows seja em inglês será necessário efetuar a criação do usuário administrator, seguindo os mesmos procedimentos que foram realizados para criar o usuário administrador, somente não será necessário criar um novo grupo para esse usuário, pois já criamos um grupo chamado administrador e poderemos adicionar esse usuário a este grupo.
Observação:
Depois de realizar o procedimento para criar o grupo "administrador" e adicionar os usuários administrador e administrator, o Samba não permitiu que eu adicionasse a máquina ao domínio, realizei alguns testes e descobri que isso está ocorrendo porque no arquivo smbusers continha a linha que igualava o usuário root com o usuário administrador, pelo o que eu percebi, nesse arquivo existe a seguinte linha:
root = administrator admin administrador
O arquivo smbusers é utilizado pelo Samba para fazer referências entre usuários Windows e usuários Linux cadastrados na base de autenticação do Linux e percebi que isso poderia ser um perigo de segurança para o Linux, pois estava indicando que o usuário administrador do Windows teria os mesmos poderes que o usuário root no Linux.
Com isso eu alterei essa linha para:
administrador = administrador administrator
No próprio arquivo smb.conf existe uma referência, indicando qual é o administrador do Samba, mas mesmo assim não consegui adicionar máquinas ao domínio e ao adicionar a linha acima no arquivo smbusers, foi possível a integração com as máquinas Windows. Após realizar o procedimento no Windows para integrar a máquina ao domínio o mesmo solicita que faça o boot do sistema e após o boot a tela de login mudou e consegui autenticar o sistema no domínio Samba.
Páginas do artigo
1. Implementando servidor de arquivos e autenticação - Samba DC2. Criando o grupo para o administrador
3. Adicionando o usuário administrador no Samba
4. Configurando o Windows para o domínio com o Samba
5. Criando compartilhamentos e suas permissões
6. Desabilitando o Home Profile
Outros artigos deste autor
OpenLDAP e Samba (redundância)
Política de segurança com o Samba
Configurando uma OpenVPN com o BRMA
Criando um banco de dados para obter ajuda do sistema
Leitura recomendada
Integrando o Debian-BR-CDD ao domínio Active Directory
Integrando Servidores Linux no Active Directory com Samba
Autenticando cliente Linux Ubuntu 8.10 no PDC Samba com perfil móvel
Samba + Windows XP (perfil móvel)
Servidor Samba com autenticação no Windows XP e troca de senha automática
Comentários
[2] Comentário enviado por genetico em 18/06/2008 - 00:38h
Gostei muito do seu artigo, ele é simples e objetivo, muito bom mesmo.
Não sou muito bom em samba, talvez minha pergunta seja uma bobeira, porem gostaria de saber se tem como eu conseguir fazer igual ao ad onde posso setar diretivas para as maquinas dos clientes como:
Setar o wallpaper padrão, impedir o usuário de instalar programas (essas coisas), impedir de determinado perfil ou usuário executar algum programa ou recurso do windows (acho que o nome perfil mandatorio) ?
Vlw, seu artigo foi muito bom.
Gostei muito do seu artigo, ele é simples e objetivo, muito bom mesmo.
Não sou muito bom em samba, talvez minha pergunta seja uma bobeira, porem gostaria de saber se tem como eu conseguir fazer igual ao ad onde posso setar diretivas para as maquinas dos clientes como:
Setar o wallpaper padrão, impedir o usuário de instalar programas (essas coisas), impedir de determinado perfil ou usuário executar algum programa ou recurso do windows (acho que o nome perfil mandatorio) ?
Vlw, seu artigo foi muito bom.
[3] Comentário enviado por lord_roxton em 18/06/2008 - 11:08h
No SAMBA não tem como aplicar diretivas de segurança (GPO) como em um servidor AD. Basicamente o SAMBA funciona como um autenticador para os clientes Windows e também como servidor de arquivos!
William
No SAMBA não tem como aplicar diretivas de segurança (GPO) como em um servidor AD. Basicamente o SAMBA funciona como um autenticador para os clientes Windows e também como servidor de arquivos!
William
[4] Comentário enviado por maran em 18/06/2008 - 12:49h
Bom o artigo em si, esta legal, Samba é uma solução que eu gosto muito, da pra faze muita coisa.
Faltou ou não vi, se for isso me desculpe, você demostrar como pode ser feito a criação automatica das contas usando o admin user, pois digamos que minha rede tem 500 micro, eu preciso cria 500 contas na mão, lógico que não para isso existe o parâmetro
add machine script = useradd - g pdc -c "Máquina de Domínio" -s /bin/false -d /dev/null %u
Simples não é?
A conta será criada assim que a máquina engressar no domínio.
Mas os clientes teram de ingressar a máquina usando a conta do administrador de domínio.
Outra coisa que vale lembrar:
Nas versões do Samba anteriores a 3 o parâmetro add machine script deve ser substituido po add user script.
Bom com isso diantamos bem o nosso lado em...
Bom ai você usa a conta do admin, mas ingressa rapidamente as máquinas, feito isso é so mudar o usuario admin, para não ter problemas.
Vlw, um abraço
Bom o artigo em si, esta legal, Samba é uma solução que eu gosto muito, da pra faze muita coisa.
Faltou ou não vi, se for isso me desculpe, você demostrar como pode ser feito a criação automatica das contas usando o admin user, pois digamos que minha rede tem 500 micro, eu preciso cria 500 contas na mão, lógico que não para isso existe o parâmetro
add machine script = useradd - g pdc -c "Máquina de Domínio" -s /bin/false -d /dev/null %u
Simples não é?
A conta será criada assim que a máquina engressar no domínio.
Mas os clientes teram de ingressar a máquina usando a conta do administrador de domínio.
Outra coisa que vale lembrar:
Nas versões do Samba anteriores a 3 o parâmetro add machine script deve ser substituido po add user script.
Bom com isso diantamos bem o nosso lado em...
Bom ai você usa a conta do admin, mas ingressa rapidamente as máquinas, feito isso é so mudar o usuario admin, para não ter problemas.
Vlw, um abraço
[5] Comentário enviado por genixsky em 18/06/2008 - 14:32h
Bom dia a todos.
Maran.
É realmente possível configurar o Samba para que ele mesmo cadastre a estação, mas não costumo realizar esse procedimento nos sites, pois realizo o controle manual das máquinas que eu quero no domínio e as que devem ficar de fora.
Genetico.
O que o lord_roxton disse, em parte esta certo, o Samba não trabalho com GPO como conhecemos no AD, mas realizo a administração de algumas tarefas dos usuários através do Windows, utilizando o Samba como um ajudante, por exemplo, eu utilizo o netlogon para configurar os papeis de parede, Internet Explorer, WSUS, registro de Dlls para um sistema utilizado na minha rede, onde todos os usuários precisam ter acesso.
Foi bom você ter tocado nesse assunto, pois vou documentar esse procedimento com o netlogon para administração das estações.
Bom dia a todos.
Maran.
É realmente possível configurar o Samba para que ele mesmo cadastre a estação, mas não costumo realizar esse procedimento nos sites, pois realizo o controle manual das máquinas que eu quero no domínio e as que devem ficar de fora.
Genetico.
O que o lord_roxton disse, em parte esta certo, o Samba não trabalho com GPO como conhecemos no AD, mas realizo a administração de algumas tarefas dos usuários através do Windows, utilizando o Samba como um ajudante, por exemplo, eu utilizo o netlogon para configurar os papeis de parede, Internet Explorer, WSUS, registro de Dlls para um sistema utilizado na minha rede, onde todos os usuários precisam ter acesso.
Foi bom você ter tocado nesse assunto, pois vou documentar esse procedimento com o netlogon para administração das estações.
[6] Comentário enviado por genixsky em 18/06/2008 - 17:09h
Acabei de colocar o conteudo sobre política no Samba e estou no aguardo da aprovação pelo pessoal da VOL
Acabei de colocar o conteudo sobre política no Samba e estou no aguardo da aprovação pelo pessoal da VOL
[7] Comentário enviado por genetico em 18/06/2008 - 23:26h
Quando você fala em netlogon seria aquela [netlogon] do samba ou seria o via scripts BAT ou os dois ? (como já disse não sou muito bom em SAMBA, me desculpe qualquer besteira que tenha falado)
E o LDAP ? também serviria pra fazer isso ou estou enganado ?
Legal, você lançar um novo artigo dedicado a isso.
Você, pode dizer qual o nome do próximo artigo pra gente acompanhar.
Quando você fala em netlogon seria aquela [netlogon] do samba ou seria o via scripts BAT ou os dois ? (como já disse não sou muito bom em SAMBA, me desculpe qualquer besteira que tenha falado)
E o LDAP ? também serviria pra fazer isso ou estou enganado ?
Legal, você lançar um novo artigo dedicado a isso.
Você, pode dizer qual o nome do próximo artigo pra gente acompanhar.
[8] Comentário enviado por genixsky em 19/06/2008 - 12:52h
Bom dia Genetico, então estava me referindo ao compartilhamento do Samba chamado de netlogon, essa idéia de netlogon vem do Windows, pois esse conceito existe também no AD, a idéia é o seguinde o Samba já possui uma configuração padrão que já esta em seu arquivo smb.conf referente ao [netlogon] esse compartilhamento é buscado automaticamente pelas estações WIndows, quando as mesmas fazem parte de um domínio, e elas verificam se existe um script dentro desse compartilhamento com o nome do usuário que esta tentando realizar o logon, caso ela encontre, esse script é executado automaticamente pelo Windows.
Um dos problemas que eu encontro com o Samba é o fato do mesmo não fornecer uma forma de redundância, ou seja, se o meu único servidor Samba que é o autenticado do domínio parar o pessoal na rede não vai conseguir acessar os arquivos que estão dentro das unidades mapeadas pelo Samba e isso se torna um caos na rede, existe formas, que eu chamo de WA (Work Around) um conceito muito utilizado aqui em Santos-SP, que é possível através do RSYNC e alguns outros macetes deixar o Samba redundante, mas não é 100% confiável e eu não gosto muito dessa idéia.
O LDAP é um serviço que o pessoal utiliza para centralizar todos os logins e informações de usuários e utilizam o Samba para consultá-lo, a grande vantagem disso é que o código do LDAP foi criado para trabalhar com redundância, ou seja, posso ter dois, três ou mais servidores LDAP, todos replicando as informações dos usuários e caso o principal pare o Samba realiza a busca para autenticar os usuários em outros servidores LDAP, parece uma coisa simples de configurar, mas já estou trabalhando a seis meses nesse ambiente com o LDAP e posso dizer que estou nos 60% de concluir, assim que terminar, vou publicar aqui.
Não sei se você sabe mais o AD da Microsoft utiliza o protocolo LDAP o mesmo que pretendo integrar com o Samba, só que o AD já esta bastante maduro, o meu objetivo é deixar o Samba de igual para igual com o AD, estou aguardando o Samba versão 4 ficar estavel, pois conversei com o time do Samba e nessa versão parece que ele vai oferecer mais suporte a características que o AD possuí.
Bom dia Genetico, então estava me referindo ao compartilhamento do Samba chamado de netlogon, essa idéia de netlogon vem do Windows, pois esse conceito existe também no AD, a idéia é o seguinde o Samba já possui uma configuração padrão que já esta em seu arquivo smb.conf referente ao [netlogon] esse compartilhamento é buscado automaticamente pelas estações WIndows, quando as mesmas fazem parte de um domínio, e elas verificam se existe um script dentro desse compartilhamento com o nome do usuário que esta tentando realizar o logon, caso ela encontre, esse script é executado automaticamente pelo Windows.
Um dos problemas que eu encontro com o Samba é o fato do mesmo não fornecer uma forma de redundância, ou seja, se o meu único servidor Samba que é o autenticado do domínio parar o pessoal na rede não vai conseguir acessar os arquivos que estão dentro das unidades mapeadas pelo Samba e isso se torna um caos na rede, existe formas, que eu chamo de WA (Work Around) um conceito muito utilizado aqui em Santos-SP, que é possível através do RSYNC e alguns outros macetes deixar o Samba redundante, mas não é 100% confiável e eu não gosto muito dessa idéia.
O LDAP é um serviço que o pessoal utiliza para centralizar todos os logins e informações de usuários e utilizam o Samba para consultá-lo, a grande vantagem disso é que o código do LDAP foi criado para trabalhar com redundância, ou seja, posso ter dois, três ou mais servidores LDAP, todos replicando as informações dos usuários e caso o principal pare o Samba realiza a busca para autenticar os usuários em outros servidores LDAP, parece uma coisa simples de configurar, mas já estou trabalhando a seis meses nesse ambiente com o LDAP e posso dizer que estou nos 60% de concluir, assim que terminar, vou publicar aqui.
Não sei se você sabe mais o AD da Microsoft utiliza o protocolo LDAP o mesmo que pretendo integrar com o Samba, só que o AD já esta bastante maduro, o meu objetivo é deixar o Samba de igual para igual com o AD, estou aguardando o Samba versão 4 ficar estavel, pois conversei com o time do Samba e nessa versão parece que ele vai oferecer mais suporte a características que o AD possuí.
[9] Comentário enviado por genixsky em 21/06/2008 - 05:40h
Pessoal, segue o link do VOL que complementa esse artigo:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=8378
Pessoal, segue o link do VOL que complementa esse artigo:
http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=8378
[11] Comentário enviado por santosflau em 21/02/2009 - 20:18h
Excelente artigo, esta bem aprecido com meu samba, porem vc tem o mesmo problema de que as estações win 2003, não conseguem puxar a lista de usuarios do sistema?
E por isso no win 2003 eu trabalho com grupo de trabalho.
Excelente artigo, esta bem aprecido com meu samba, porem vc tem o mesmo problema de que as estações win 2003, não conseguem puxar a lista de usuarios do sistema?
E por isso no win 2003 eu trabalho com grupo de trabalho.
[13] Comentário enviado por emarone em 25/06/2009 - 14:37h
As máquinas da minha rede não estão encontrando o controlador de domínio, esta aparecendo a mensagem que o servidor não pode ser encontrado e foi de repente que isso aconteceu. Será que alguém tem alguma solução para isso.
Desde já obrigado
As máquinas da minha rede não estão encontrando o controlador de domínio, esta aparecendo a mensagem que o servidor não pode ser encontrado e foi de repente que isso aconteceu. Será que alguém tem alguma solução para isso.
Desde já obrigado
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
Tem como instalar o gerenciador AMD Adrenalin no Ubuntu 24.04? (6)
Top 10 do mês
-
Xerxes
1° lugar - 66.694 pts -
Fábio Berbert de Paula
2° lugar - 49.419 pts -
Renato Michnik de Carvalho
3° lugar - 27.309 pts -
Buckminster
4° lugar - 17.031 pts -
Mauricio Ferrari
5° lugar - 14.810 pts -
Alberto Federman Neto.
6° lugar - 14.060 pts -
Diego Mendes Rodrigues
7° lugar - 13.498 pts -
Daniel Lara Souza
8° lugar - 13.376 pts -
edps
9° lugar - 11.344 pts -
Andre (pinduvoz)
10° lugar - 11.148 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
