Ingressar desktop GNU/Linux no domínio Active Directory do Windows Server 2008

O objetivo do artigo é mostrar como ingressar um desktop com as distribuições Debian, LMDB e Ubuntu 12.04 LTS no domínio Active Directory do Windows Server 2008. No artigo irei mostrar como fazer o trabalho usando o prompt de comando e entender qual é a finalidade de cada pré-requisito usado para este trabalho.

[ Hits: 265.219 ]

Por: Perfil removido em 21/11/2012


Pré-requisitos e entendendo a finalidade de cada



As distribuições GNU/Linux estão cada vez mais populares no mundo corporativo e usadas em algumas empresas não só em servidores, mas também em desktops, substituindo sistemas operacionais que necessitam pagar por sua licença para poder fazer uso do sistema. Vários são os motivos que podem levar a essa migração.

É comum, em empresas, fazer uso de servidores rodando serviço de rede para centralizar, gerenciar recursos e autenticar usuários para poderem fazer uso do recursos da mesma. Estes servidores são denominados de Controladores de Domínio.

Muitos profissionais ainda não conseguem fazer uma máquina rodando um sistema GNU/Linux ingressar no domínio. Então, nesse artigo, trato de mostrar como fazer este trabalho em distros Debian e Debian like.

Ingressar uma máquina com sistema GNU/Linux no domínio pode ser uma tarefa trabalhosa ou simples, dependendo da forma como é feita. Se for usar um programa como Likewise Open, pode ser bem simples como instalar o programa e executá-lo, para então, ter a máquina ingressada no domínio Active Directory. Mas no artigo, abordarei a forma mais trabalhosa, pois todo o trabalho é feito pela linha de comando.

Fazendo uso da Internet, podemos encontrar tutoriais que mostram como o trabalho é feito, no entanto, não explicam a finalidade de usar tal pacote, serviço ou porque adicionar tais opções nos arquivos de configuração; e inclusive, incluindo configurações desnecessárias para o trabalho, e a maioria são obsoletas.

Obs.: Todo o trabalho técnico apresentado neste artigo foi testado nas distros:
  • Debian 7
  • Linux Mint Debian Edition (LMDE)
  • Ubuntu 12.04 e 14.04

Pré-requisitos e finalidade de cada um para o trabalho

Antes de começar a trabalhar, é necessário saber quais são os serviços que o desktop com o sistema GNU/Linux precisa ter rodando para ingressar no domínio. Abaixo descrevo os serviços:
  • Kerberos
  • Winbind
  • Samba

Kerberos é um protocolo de rede usado para autenticação de usuários e/ou serviços de rede, como o Active Directory. utilizando um sistema criptografado, permitindo comunicações seguras e identificadas em redes, fazendo uso de tickets (chaves criptografadas).

O Active Directory faz uso deste serviço para autenticação em rede, logo, as máquinas clientes terão que ter informações do KDC (Centro de Distribuição de Chaves) para autenticar-se no Active Directory.

O Winbind é um daemon usado pelo PAM, NSSWITCH, Samba e podendo ser usado por outros serviços de rede e/ou sistema, fazendo a interface entre o PDC e o computador cliente rodando o serviço Winbindd, permitindo que máquinas com o sistema GNU/Linux comuniquem-se com DC Active Directory.

O Samba até a versão 3, que é a que será usada nesse artigo, é um serviço cuja principal função é disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas será usado para autenticação de usuários no servidor onde está rodando devido o winbind depender do mesmo.

O mesmo faz uso de dois serviços, são NMB e SMB.

O serviço NMB tem a principal finalidade de resolução de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras máquinas. Então, este serviço permite a navegação pela rede, usando os hostnames das máquinas e o acesso às mesmas em rede.

O serviço SMB permite compartilhar tais recursos e autenticar os usuários no servidor Samba local, ou repassa as solicitações de autenticação para outro computador, como um servidor controlador de domínio com o Active Directory.

Considerações de ambiente de rede

No ambiente proposto no artigo, já existem os servidores DNS em execução na rede, pois, para a autenticação ser feita, é necessário o uso do DNS e o servidor com Active Directory configurado como controlador de domínio principal já instalado e funcionando.

Veja a disposição dos servidores na rede para explicação do artigo:
  • Domínio → mistoli.net
  • Servidor DNS primário → 192.168.215.3
  • Servidor DNS Secundário → 192.168.215.4
  • Servidor DHCP → 192.168.215.4
  • Servidor controlador de domínio → 192.168.215.1 winactive.mistoli.net

Como os clientes serão configurados pelo serviço DHCP, só especificarei o nome da máquina cliente:
  • Desktop cliente → mintvirt

Nas próximas páginas, será abordada a parte técnica do trabalho.

    Próxima página

Páginas do artigo
   1. Pré-requisitos e entendendo a finalidade de cada
   2. Arquivo /etc/hosts, instalação de pré-requisitos e Kerberos
   3. Configurando Samba, ingressando máquina no domínio e arquivo /etc/nsswitch.conf
   4. Concluindo o trabalho
Outros artigos deste autor

Migrando para Linux sem medo (parte 2)

Por que a interface Unity é melhor que as interfaces do Windows 7 e MacOS X

Por que existem mais games para Windows do que para Linux?

Lançamento do GFP Open (Gerenciador Financeiro Pessoal) versão 0.0.1.2

Resumo do documentário Revolution OS

Leitura recomendada

Configurando o Asterisk com autenticação LDAP

Aprimoramento de Desempenho da Instalação Debian (parte 2)

Integrando Nagios com Asterisk

Servidor Geplanes no Ubuntu - Instalação e utilização

Permissão de Execução a Arquivo (script ou binário) no GNU/Linux - Abordagem Sistemática

  
Comentários
[1] Comentário enviado por markintux em 21/11/2012 - 15:13h

Excelente artigo! Parabéns!

[2] Comentário enviado por removido em 23/11/2012 - 02:25h

Obrigado pelo comentário amigo markintux !

[3] Comentário enviado por Tiago_Rc2 em 25/11/2012 - 00:07h

Amigo, ótimo artigo. Como sou iniciante do piguim, me reponda uma coisa:

É possivel fazer um servidor linux ser servidor de arquivos em um Dominio Windows? ou seja, posso dar permissão a determinados grupos do AD no servidor linux?

Abraço!

[4] Comentário enviado por removido em 25/11/2012 - 00:29h


[3] Comentário enviado por Tiago_Rc2 em 25/11/2012 - 00:07h:

Amigo, ótimo artigo. Como sou iniciante do piguim, me reponda uma coisa:

É possivel fazer um servidor linux ser servidor de arquivos em um Dominio Windows? ou seja, posso dar permissão a determinados grupos do AD no servidor linux?

Abraço!


Obrigado por comentar. as resposta das pergunta está de acordo com o meu entendimento. resposta da pergunta:

R. Pode sim. após colocar a máquina no domínio windows pode usar os usuários/grupos cadastrados no controlador de domínio para setar permissões em compartilhamentos. pois mesmo após ingressar a máquina no domínio, você não conseguirá fazer alterações no sistema, tais como instalar programas por exemplo, sem ser o usuário root do sistema GNU/Linux.

Conseguirá fazer alterações somente nos diretórios em que os usuários sem poderes administrativos (não root) tem autorização, como por exemplo os diretórios que ficam dentro do diretório /home de cada usuário, ou seja, as permissões locais continuam prevalecendo, diferentemente de uma máquina windows. de forma que se quiser permitir o acesso a outros diretórios para usuários e grupos do active directory para escrita ou alterar permissõespor exemplo, terá que usar o root para setar as permissões. se é isso que quer saber.

[5] Comentário enviado por pedrohaa em 16/12/2012 - 21:07h

Depois de todas as configurações ao reiniciar o UBUNTU (cliente) o mesmo dá senha errada pra todos os usuários, até mesmo colocando o login no formato DOMINIO\usuario. O que pode ser?
A máquina linux já aparece no AD. Estou logando em um domínio com Windows 2003 server.

[6] Comentário enviado por removido em 16/12/2012 - 21:23h


[5] Comentário enviado por pedrohaa em 16/12/2012 - 21:07h:

Depois de todas as configurações ao reiniciar o UBUNTU (cliente) o mesmo dá senha errada pra todos os usuários, até mesmo colocando o login no formato DOMINIO\usuario. O que pode ser?
A máquina linux já aparece no AD. Estou logando em um domínio com Windows 2003 server.



Como o trabalho é longo, detalhado e trabalhoso, a melhor coisa a fazer é logar com um usuário do sistema local, e em seguida verificar se todos os passos foram feitos corretamente. Certifique-se que todos os serviços usados pela máquina cliente estão em execução. tipo: verifique se o samba (smb), winbind, kerberos estão em execução. verifique também se o horário está sincronizado, caso nenhum desses serviços estejam em execução ou o horário não esteja sincronizado com o controlador de domínio não poderá logar no domínio.

retorna ai.

[7] Comentário enviado por mikeitaly em 26/01/2013 - 22:03h

parabens!!!!!
parceiro eu precizo saber urgente se tem como eu add o ubuntu no dominio SAMBA4..
eu tenhu instalado no CentOS 6.3 o SAMBA4 como AD e jah consegui add um cliente WIN XP e WIN 7 no dominio Samba4.. grato!!!!

[8] Comentário enviado por removido em 26/01/2013 - 22:51h

Primeiramente obrigado pelo comentário !

Amigo até o momento não adicionei nenhum desktop rodando uma distro GNU/Linux em um domínio samba 4. Mas como o samba 4 tem um active directory integrado a sua estrutura, então acho muito provável que o mesmo método utilizado neste artigo faça com que a máquina rodando o ubuntu ingresse no domínio do samba 4 (com active directory). tenta fazer como explicado no artigo, por uma máquina virtual, caso não consiga retorne os erros apresentados durante o trabalho feito.

Abraço.

[9] Comentário enviado por mikeitaly em 28/01/2013 - 09:44h

ok parceiro! vou efetuar meus testes aqui e depois passo os meus erros e acertos aqui! vlw pela atenção!

[10] Comentário enviado por mikeitaly em 29/01/2013 - 20:24h

ae parceiro! consegui add um client ubuntu 12.04 no Dominio SAMBA 4 (que simula um windows server 2003)!
100% proveitoso sua Documentação aqui no VOL!
Parábens!!!
:wq!
;]

[11] Comentário enviado por removido em 29/01/2013 - 23:42h

Por nada amigo mikeitaly, e esse seu comentário foi ótimo, pois tira as dúvidas de um monte de gente.

[12] Comentário enviado por arasouza em 26/06/2013 - 09:50h

Amigo segui passo a passo a documentação porém quando vou inserir o debian no ad, com o comando: net ads join -U administrador, ele dá o seguinte erro:
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: This operation is only allowed for the PDC of the domain.

o que posso está fazendo errado? agradeço sua atenção.

[13] Comentário enviado por removido em 01/07/2013 - 09:13h

é por conta da configuração do seu smb.conf.

[14] Comentário enviado por arasouza em 01/07/2013 - 09:28h


[13] Comentário enviado por eabreu em 01/07/2013 - 09:13h:

é por conta da configuração do seu smb.conf.

oK eabreu, vou refazer o smb.conf. obrigado.

[15] Comentário enviado por Polnoraref em 14/07/2013 - 15:33h

O melhor deste artigo é que além de fornecer o que fazer ele nos diz porque fazer. Isso foi ótimo... favoritado Parabéns ao autor :)


Uma dúvida apenas, ao usar o likewise-open esse processo todo não sera necessário fazer?

Se sim, qual a vantagem de fazer esse método? Qual a desvantagem do likewise-open?

Se puder responder ficarei agradecido :)

[16] Comentário enviado por removido em 14/07/2013 - 19:17h

Obrigado pelo comentário.

Acredito que todo esse processo não é necessário fazer após usar o likewise-open, pois o mesmo tem o objetivo de migrar máquinas GNU/Linux (principalmente o ubuntu) em uma domínio. agora saber qual é vantagem e desvantagem de um para o outro, só posso responder com precisão se conhecer o likewise-open, e não o conheço.

Mas acredito que usando o método usado no artigo é melhor, pois você sabe o que está fazendo e pra que está fazendo apesar de ser trabalhoso.


[17] Comentário enviado por Polnoraref em 18/07/2013 - 19:16h

Didaticamente esse método é melhor com certeza.... Vlw por responder testarei o likewise-open e tirarei minhas conclusões :)

[18] Comentário enviado por lanzao em 03/09/2013 - 15:46h

Boa tarde eabreu,

Fiz as configurações está tudo ok,

mas em vez de gerar localmente os uids e gids, preciso que busque no AD.

Já está habilitado no AD os atributox unix, tentei comentar o range de UID e GID no smb.conf e não fucionou, como posso fazer?

[19] Comentário enviado por garcaman em 27/09/2013 - 13:14h

otimo cara parabens

[20] Comentário enviado por removido em 22/11/2013 - 13:00h


[18] Comentário enviado por lanzao em 03/09/2013 - 15:46h:

Boa tarde eabreu,

Fiz as configurações está tudo ok,

mas em vez de gerar localmente os uids e gids, preciso que busque no AD.

Já está habilitado no AD os atributox unix, tentei comentar o range de UID e GID no smb.conf e não fucionou, como posso fazer?


Não sei amigo... caso consiga poste aqui apenas para contribuir.

[21] Comentário enviado por nemerious007 em 28/11/2013 - 14:48h

opa, tudo beleza? foi muito bem detalhado muito obrigado, tenho 2 duvidas, fiz o tutorial ontem e quando foi

1: hoje ele não tava no dominio, dei uma olhada naquele klist, se eu colocar hoje a maquina do dominio, ele me diz q a data pra expirar é hoje as 23:40, entao todo eu teria que colocar ela no dominio correto?

2: ele ta dando uma mensagem de erro quando eu digito net ads join -U usuario " DNS Update for failed: dominio.local ERROR DNS_UPDATE FAILED DNS update failed!"

Alguem pode me ajudar?

[22] Comentário enviado por removido em 28/11/2013 - 18:18h


[21] Comentário enviado por nemerious007 em 28/11/2013 - 14:48h:

opa, tudo beleza? foi muito bem detalhado muito obrigado, tenho 2 duvidas, fiz o tutorial ontem e quando foi

1: hoje ele não tava no dominio, dei uma olhada naquele klist, se eu colocar hoje a maquina do dominio, ele me diz q a data pra expirar é hoje as 23:40, entao todo eu teria que colocar ela no dominio correto?

2: ele ta dando uma mensagem de erro quando eu digito net ads join -U usuario " DNS Update for failed: dominio.local ERROR DNS_UPDATE FAILED DNS update failed!"

Alguem pode me ajudar?


Poderia ser mais claro para que possa tentar ajudar ?

[23] Comentário enviado por erickbarros311 em 07/01/2014 - 08:27h

eabreu Parabéns cara. Excelente post. Agora vou trabalhar num Programa em Shell para mapear as pastas de acordo com o usuário logado. Abraços e sucesso.

Aos demais: Testei utilizando LikeWise Open e acredito que o mesmo já está antigo, sendo que funciona bem para redes WinSrv 2003. Para redes Win2008R2 o melhor mesmo é configurar com este artigo do colega eabreu que explica tudo direitinho. Recomendo também que leiam o artigo: Kerberos não é um cachorro de três cabeças.

* Removemos os proxy ForeFront, colocando todos Squid3, com autenticação dos usuários pelo AD.

* Agora estamos migrando várias estações.

[] a todos.

[24] Comentário enviado por birak em 25/02/2014 - 12:12h

não consigo fazer a conexão do krb5.conf.. olha como fica:

root@debian01:/home/administrador# kinit usuario@dominio.local
Password for usuario@dominio.local: [digito a senha do usuario]
kinit: KDC reply did not match expectations while getting initial credentials

[25] Comentário enviado por removido em 26/02/2014 - 15:01h


[24] Comentário enviado por birak em 25/02/2014 - 12:12h:

não consigo fazer a conexão do krb5.conf.. olha como fica:

root@debian01:/home/administrador# kinit usuario@dominio.local
Password for usuario@dominio.local: [digito a senha do usuario]
kinit: KDC reply did not match expectations while getting initial credentials


O conteúdo do krb5.conf pode ser deixado de forma resumida, como está descrita no artigo (página 2). detalhe o horário deve está sicronizado com o servidor kerberos.

[26] Comentário enviado por marceloeng em 05/05/2014 - 02:05h

Olá,

Segui o artigo e quase tudo funcionou da forma esperada, mas não consigo logar com o novo usuário, pois sempre informa que a senha vai expirar em x dias.

Já coloquei a possível solução apresentada no artigo (Solucionando o problema ao trocar senhas durante o login no Ubuntu), mas não funcionou.

Minha estação é Xubuntu 14.04.


Agradeço quem puder ajudar.

Abraços,
Marcelo

[27] Comentário enviado por removido em 05/05/2014 - 09:06h


[26] Comentário enviado por marceloeng em 05/05/2014 - 02:05h:

Olá,

Segui o artigo e quase tudo funcionou da forma esperada, mas não consigo logar com o novo usuário, pois sempre informa que a senha vai expirar em x dias.

Já coloquei a possível solução apresentada no artigo (Solucionando o problema ao trocar senhas durante o login no Ubuntu), mas não funcionou.

Minha estação é Xubuntu 14.04.


Agradeço quem puder ajudar.

Abraços,
Marcelo


BOm dia...

Amigo se este aviso é dado por que dentro de x dias a senha de tal usuário terá de ser alterada.

[28] Comentário enviado por marceloeng em 07/05/2014 - 14:59h

Na estação Linux, o sistema não pede para alterar a senha. Ele somente informa que a senha vai expirar em x dias. (Your password will expire in x days).

Já alterei o servidor do AD (na verdade é samba4), mas continua dando o mesmo erro.

Obs: Essa mensagem (Your password will expire in x days) também ocorre quando faço um "kinit usuário_do_AD".

Minha configuração do common-account:

# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so

# here's the fallback if no module succeeds
account requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so

# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config


#account sufficient pam_ldap.so
#account required pam_unix.so




Caso eu coloque a linha "account [sucess=2 new_authtok_reqd=done default=ignore] pam_winbind.so", não loga nada, nem meu usuário local.


Realmente não consigo identificar onde está o problema.


Abraço,
Marcelo

[29] Comentário enviado por removido em 07/05/2014 - 23:56h


[28] Comentário enviado por marceloeng em 07/05/2014 - 14:59h:

Na estação Linux, o sistema não pede para alterar a senha. Ele somente informa que a senha vai expirar em x dias. (Your password will expire in x days).

Já alterei o servidor do AD (na verdade é samba4), mas continua dando o mesmo erro.

Obs: Essa mensagem (Your password will expire in x days) também ocorre quando faço um "kinit usuário_do_AD".

Minha configuração do common-account:

# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so

# here's the fallback if no module succeeds
account requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so

# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config


#account sufficient pam_ldap.so
#account required pam_unix.so




Caso eu coloque a linha "account [sucess=2 new_authtok_reqd=done default=ignore] pam_winbind.so", não loga nada, nem meu usuário local.


Realmente não consigo identificar onde está o problema.


Abraço,
Marcelo


É só o xubuntu e ubuntu 14.04 ? As distros debian e linux mint debian apresentam também esse erro ? desculpe mas ainda não deu tempo para analisar aprofundadamente.

[30] Comentário enviado por marceloeng em 08/05/2014 - 01:05h

Obrigado pela resposta...


Imaginei que fosse algo relativo a versão do Ubuntu, pois é muito recente. Caso eu encontre alguma coisa, posto aqui.


Abraço,
Marcelo

[31] Comentário enviado por removido em 08/05/2014 - 09:16h

Mas veja bem... eu perguntei, não afirmei que o problema de não logar tal máquina no domínio e apresentar essa mensagem era nas novas versões do ubuntu (13.10 ou 14.04).

Mas visitando o projeto do samba, na página http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO tem uma informação superficial sobre essa mensagem. antes de poder analisar tal problema, veja os logs do servidor rodando o samba4, os registros sempre são importantes, verifique no computador rodando o xubuntu 14.04 se a data e hora esta sicronizada com servidor, se o serviço do winbind está rodando e veja a configuração do PAM também, pois se não está logando pode ser algo relacionado ao pam.

Quando tiver um tempo eu tentarei ajudar de forma bem mais eficaz.

Abraço.

[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h

Obrigado pela ajuda.

Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.

Abraço,
Marcelo

[33] Comentário enviado por removido em 13/05/2014 - 20:46h


[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h:

Obrigado pela ajuda.

Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.

Abraço,
Marcelo


A nível de informação... esse mesmo erro é apresentado depois que ingressa um computador com o sistema debian e ou linux minte debian no domínio?

[34] Comentário enviado por marceloeng em 15/05/2014 - 17:49h


[33] Comentário enviado por eabreu em 13/05/2014 - 20:46h:


[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h:

Obrigado pela ajuda.

Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.

Abraço,
Marcelo

A nível de informação... esse mesmo erro é apresentado depois que ingressa um computador com o sistema debian e ou linux minte debian no domínio?



Meu sistema é um Xubuntu 14.04. Consigo conectar ao AD com o "net ads join -U Administrador", mas não consigo logar com um usuário do AD. Dá o erro de senha vai expirar em x dias e não consigo fazer nada.

Meu /etc/pam.d/common-account:
# here are the per-package modules (the "Primary" block)

account [success=3 new_authtok_reqd=done default=ignore] pam_winbind.so
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so

# here's the fallback if no module succeeds
account requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so

# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config


#account sufficient pam_ldap.so
#account required pam_unix.so

[35] Comentário enviado por removido em 15/05/2014 - 21:11h


[34] Comentário enviado por marceloeng em 15/05/2014 - 17:49h:


[33] Comentário enviado por eabreu em 13/05/2014 - 20:46h:


[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h:

Obrigado pela ajuda.

Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.

Abraço,
Marcelo

A nível de informação... esse mesmo erro é apresentado depois que ingressa um computador com o sistema debian e ou linux minte debian no domínio?


Meu sistema é um Xubuntu 14.04. Consigo conectar ao AD com o "net ads join -U Administrador", mas não consigo logar com um usuário do AD. Dá o erro de senha vai expirar em x dias e não consigo fazer nada.

Meu /etc/pam.d/common-account:
# here are the per-package modules (the "Primary" block)

account [success=3 new_authtok_reqd=done default=ignore] pam_winbind.so
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 default=ignore] pam_ldap.so

# here's the fallback if no module succeeds
account requisite pam_deny.so

# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so

# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config


#account sufficient pam_ldap.so
#account required pam_unix.so


Marcelo... isso você já tinha dito no primeiro comentário postado por você sobre o artigo... quis saber se testou com outra distro, entendeu ?

[36] Comentário enviado por marceloeng em 16/05/2014 - 14:28h

Oi Edson,

Não testei não...

Mandei common-account, pois o reinstalei e algumas configurações ficaram diferentes.




[37] Comentário enviado por denistux em 16/07/2014 - 12:20h

Olá Edson!!

Cara, melhor artigo de todos disponíveis na net!! Ou melhor, o único 100% funcional e explicativo! Parabéns!!! Testei no Ubuntu 12.04 e 14.04, em ambos funcionou perfeitamente.
Bati muito a cabeça com outros tutoriais e nenhum deles atendia com precisão as necessidades... muito superficiais.
Pra ficar ainda mais completo, só faltou abordar o perfil móvel.

Meus parabéns mais uma vez e obrigado, me ajudou muito!!!

Forte abraço!

[38] Comentário enviado por tiagobsi em 30/07/2014 - 11:02h

Como diria o Paulo Bonfá... "Totalmente excelente!"


[39] Comentário enviado por brekler em 12/08/2014 - 13:41h

Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:

Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.

Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?

[40] Comentário enviado por removido em 12/08/2014 - 14:42h


[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:

Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:

Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.

Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?


A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:


[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = ti-bilu.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = ti-bilu.bilualimentos.local
}

[domain_realm]
.mistoli.net = BILUALIMENTOS.LOCAL

E teste... deve ser alguma configuração no arquivo krb5.conf.

[41] Comentário enviado por brekler em 12/08/2014 - 16:19h


[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:


[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:

Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:

Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.

Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?


A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:


[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = ti-bilu.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = ti-bilu.bilualimentos.local
}

[domain_realm]
.mistoli.net = BILUALIMENTOS.LOCAL

E teste... deve ser alguma configuração no arquivo krb5.conf.


Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.

Segue abaixo o exemplo do arquivo meu:

[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = servidor.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = servidor.bilualimentos.local
}

[domain_realm]
.bilualimentos.local = BILUALIMENTOS.LOCAL


só se for algum defeito com meu controlador de domínio, mas atualmente ele funciona normal com estações windows.

[42] Comentário enviado por removido em 12/08/2014 - 19:56h


[41] Comentário enviado por brekler em 12/08/2014 - 16:19h:


[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:


[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:

Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:

Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.

Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?


A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:


[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = ti-bilu.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = ti-bilu.bilualimentos.local
}

[domain_realm]
.mistoli.net = BILUALIMENTOS.LOCAL

E teste... deve ser alguma configuração no arquivo krb5.conf.

Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.

Segue abaixo o exemplo do arquivo meu:

[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = servidor.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = servidor.bilualimentos.local
}

[domain_realm]
.bilualimentos.local = BILUALIMENTOS.LOCAL


só se for algum defeito com meu controlador de domínio, mas atualmente ele funciona normal com estações windows.


Isso mesmo no lugar de ti-bilu tem que usar o nome do servidor(desculpe). verifique também a data e hora.

[43] Comentário enviado por brekler em 13/08/2014 - 07:38h


[42] Comentário enviado por eabreu em 12/08/2014 - 19:56h:


[41] Comentário enviado por brekler em 12/08/2014 - 16:19h:


[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:


[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:

Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:

Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.

Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?


A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:


[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = ti-bilu.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = ti-bilu.bilualimentos.local
}

[domain_realm]
.mistoli.net = BILUALIMENTOS.LOCAL

E teste... deve ser alguma configuração no arquivo krb5.conf.

Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.

Segue abaixo o exemplo do arquivo meu:

[libdefaults]
default_realm = BILUALIMENTOS.LOCAL
[realms]
BILUALIMENTOS.LOCAL = {
kdc = servidor.bilualimentos.local
default_domain = BILUALIMENTOS.LOCAL
admin_server = servidor.bilualimentos.local
}

[domain_realm]
.bilualimentos.local = BILUALIMENTOS.LOCAL


só se for algum defeito com meu controlador de domínio, mas atualmente ele funciona normal com estações windows.


Isso mesmo no lugar de ti-bilu tem que usar o nome do servidor(desculpe). verifique também a data e hora.


Foi o que eu fiz... olhe o meu arquivo ali como ele esta....
a data e hora esta certa, até coloquei o negócio do NTP, e mesmo assim ajustei a primeira vez manualmente e esta identico... sinceramente não sei mais o que fazer.

[44] Comentário enviado por removido em 13/08/2014 - 08:54h

Amigão abre um tópico... aqui no VOL. Mas antes de abrir diz ai... você consegui pelo menos pingar para o DC do windows 2003 ?

[45] Comentário enviado por brekler em 13/08/2014 - 08:56h

Ping ? ping simples ? Se for isso sim... meu controlador de domínio tem vários arquivos nele que eu acesso no Linux, ele só não comunica com o meu DC mesmo...

[46] Comentário enviado por BrunoDarli em 26/08/2014 - 13:24h

estou com o seguinte problema quando tento usar o comando klist

root@bruno-Digitron:/etc/samba# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@bruno-Digitron:/etc/samba#

Alguém poderia me ajudar??
Obrigado

[47] Comentário enviado por roggaioso em 29/08/2014 - 15:07h

BrunoDaril,

passei por este problema agora há pouco, e resolvi com o seguinte commando:

sudo net rpc getsid -S <servidor-kerberos>

[48] Comentário enviado por roggaioso em 29/08/2014 - 15:14h

Passei pelo problema acima, mas parei na hora de inserir a máquina no domínio. Ao rodar o comando

# net ads join -U minha-conta-no-AD

é solicitada a senha desta conta (até aí, tudo bem), mas em seguida é pedida a senha da máquina , como pode ser visto abaixo

rog@GO100212186 ~ $ sudo net join ads -U admgo -S wadcgo01v.meudominio.com.br
Enter admgo's password:
Enter GO100212186$'s password:
Could not connect to server wadcgo01v.meudominio.com.br
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Unable to join domain MEUDOMINIO.
rog@GO100212186 ~ $

Tentei inserir a senha do usuário local da máquina, mas não aceitou.
O que devo fazer?

[49] Comentário enviado por BrunoDarli em 01/09/2014 - 12:28h

Agora meu problema é outro, pode me ajudar tambem ?
Desde ja obrigado.

root@bruno-Digitron:/etc/samba# net ads join -U bsilva
Enter bsilva's password:
Failed to open /var/lib/samba/private/secrets.tdb
Failed to join domain: Unable to open secrets database
root@bruno-Digitron:/etc/samba#

[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h

eabreu, meu irmão, valeu muuiito! Ótimo tutorial.

Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.

Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.

Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.

Alguma sugestão?

Grato

[51] Comentário enviado por removido em 02/09/2014 - 21:55h


[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h:

eabreu, meu irmão, valeu muuiito! Ótimo tutorial.

Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.

Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.

Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.

Alguma sugestão?

Grato


Obrigado pelo comentário. faz mais ou menos 2 ou 3 meses que fiz algumas atualizações neste artigo, para inclusive ingressar o ubuntu LTS 14.04, e não tive nenhum tipo de problema com: debian versões 6 e 7 e ubuntu versões 12.04 e 14.04.

Então você instalou todos os pacotes, fez todas as configurações.

[52] Comentário enviado por wtcosta em 04/09/2014 - 01:19h


[51] Comentário enviado por eabreu em 02/09/2014 - 21:55h:


[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h:

eabreu, meu irmão, valeu muuiito! Ótimo tutorial.

Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.

Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.

Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.

Alguma sugestão?

Grato

Obrigado pelo comentário. faz mais ou menos 2 ou 3 meses que fiz algumas atualizações neste artigo, para inclusive ingressar o ubuntu LTS 14.04, e não tive nenhum tipo de problema com: debian versões 6 e 7 e ubuntu versões 12.04 e 14.04.

Então você instalou todos os pacotes, fez todas as configurações.


Vou fazer os testes em outra distro. Posto se deu certo.


[53] Comentário enviado por BrunoDarli em 15/09/2014 - 15:25h

Olá amigo, documento muito bem detalhado e explicado ta de parabéns, resolveu meus problemas, ou quase todos, nao consigo me autenticar no ad, ja tentei todo tipo de formato para login, mas nao consigo, sempre me retorna a mensagem de usuário e senha incorreta, ja olhei todos os meus arquivos de configurações e nao encontrei nenhum erro.
Será que poderia me ajudar?

[54] Comentário enviado por removido em 15/09/2014 - 15:51h


[53] Comentário enviado por BrunoDarli em 15/09/2014 - 15:25h:

Olá amigo, documento muito bem detalhado e explicado ta de parabéns, resolveu meus problemas, ou quase todos, nao consigo me autenticar no ad, ja tentei todo tipo de formato para login, mas nao consigo, sempre me retorna a mensagem de usuário e senha incorreta, ja olhei todos os meus arquivos de configurações e nao encontrei nenhum erro.
Será que poderia me ajudar?


Bruno qual é a distro e versão da mesma que está usando ? instalou todos os pacotes conforme descrito no artigo ? está com alguns meses que atualizei o artigo, e me deparei com um problema de não conseguir me autenticar na versão 14.04 do ubuntu para desktop, porém instalei os pacotes libpam-winbind e libnss-winbind e o problema não voltou a ocorrer.

[55] Comentário enviado por maurj em 19/09/2014 - 10:43h

Bom dia senhores, sou novo no fórum e novato no linux (curioso, digamos assim) então...segui o passo a passo utilizando o ubuntu 14.04 deram varios erros, porem com minha persistencia consegui resolver todos procurando em outros foruns pequenos detalhes que no ubuntu 14 faz toda a diferença... o primeiro problema que encontrei foi trocar a posição dessas informações conforme citada no forum
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so
account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so

invertida seria

account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so

porem, atente-se a um detalhe no codigo na parte pam_winbind.so mudou o valor [sucess=1new_authtok ....] para [sucess=2new_authtok ....] na segunda parte quando é invertida, por isso travava !!

Segundo,

Ao incluir as informações no arquivo lightdm.conf depois que reiniciava o ubuntu o dito cujo dava erro de video e nao carregava mais !!

ate que atentei um detalhe em um site https://wiki.ubuntu.com/LightDM

faltou uma simples linha ao criar o codigo no ubuntu

o original esta assim

allow-guest=false
greeter-show-manual-login=true
greeter-hide-users=true


o correto é

[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true
greeter-hide-users=true


sim, isso mesmo ! é SeatDefaults mesmo o nome, coloquei isso e Voilá !!! estou no dominio com tudo certinho graças ao tópico !!!

so peço por gentileza para atualizarem essa informação para quem usa ubuntu 14.04 pois senão vai acontecer o mesmo que aconteceu comigo, e reinstalei 3x ate descobrir isso !!

Obrigado

Bom dia !




[56] Comentário enviado por removido em 19/09/2014 - 12:27h


[55] Comentário enviado por maurj em 19/09/2014 - 10:43h:

Bom dia senhores, sou novo no fórum e novato no linux (curioso, digamos assim) então...segui o passo a passo utilizando o ubuntu 14.04 deram varios erros, porem com minha persistencia consegui resolver todos procurando em outros foruns pequenos detalhes que no ubuntu 14 faz toda a diferença... o primeiro problema que encontrei foi trocar a posição dessas informações conforme citada no forum
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so
account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so

invertida seria

account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so

porem, atente-se a um detalhe no codigo na parte pam_winbind.so mudou o valor [sucess=1new_authtok ....] para [sucess=2new_authtok ....] na segunda parte quando é invertida, por isso travava !!

Segundo,

Ao incluir as informações no arquivo lightdm.conf depois que reiniciava o ubuntu o dito cujo dava erro de video e nao carregava mais !!

ate que atentei um detalhe em um site https://wiki.ubuntu.com/LightDM

faltou uma simples linha ao criar o codigo no ubuntu

o original esta assim

allow-guest=false
greeter-show-manual-login=true
greeter-hide-users=true


o correto é

[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true
greeter-hide-users=true


sim, isso mesmo ! é SeatDefaults mesmo o nome, coloquei isso e Voilá !!! estou no dominio com tudo certinho graças ao tópico !!!

so peço por gentileza para atualizarem essa informação para quem usa ubuntu 14.04 pois senão vai acontecer o mesmo que aconteceu comigo, e reinstalei 3x ate descobrir isso !!

Obrigado

Bom dia !



Amigo obrigado por comentar.

1º - Deixo bem claro no artigo, página 4, que, essa alteração no arquivo de configuração do pam é para o ubuntu versão 12.04.

2º - Deixo claro também que alteração feita no arquivo de configuração do lightdm, devem ser inclusas, por tanto não vejo necessidade de especificar a sessão SeatDefaults do arquivo de configuração.

No entanto vou atualizar apenas para deixar mais claro, pois no artigo descrevo claramente as informações e não necessita de correções citadas no seu comentário.

[57] Comentário enviado por guilhermecosta em 26/09/2014 - 17:28h

Deu tudo certo, porém quando tento logar com o usuário do domínio aparece o seguinte erro:

Could not update ICEauthority file /home/nombre_dominio/usuario/.ICEauthority:

E simplemente não entra o usuário.

Alguma ideia de como resolver?

[58] Comentário enviado por removido em 26/09/2014 - 18:07h


[57] Comentário enviado por guilhermecosta em 26/09/2014 - 17:28h:

Deu tudo certo, porém quando tento logar com o usuário do domínio aparece o seguinte erro:

Could not update ICEauthority file /home/nombre_dominio/usuario/.ICEauthority:

E simplemente não entra o usuário.

Alguma ideia de como resolver?


Verifique se o arquivo existe, caso exista, mude as permissões para seu usuário ser dono.

[59] Comentário enviado por guilhermecosta em 29/09/2014 - 08:33h


[58] Comentário enviado por eabreu em 26/09/2014 - 18:07h:


[57] Comentário enviado por guilhermecosta em 26/09/2014 - 17:28h:

Deu tudo certo, porém quando tento logar com o usuário do domínio aparece o seguinte erro:

Could not update ICEauthority file /home/nombre_dominio/usuario/.ICEauthority:

E simplemente não entra o usuário.

Alguma ideia de como resolver?

Verifique se o arquivo existe, caso exista, mude as permissões para seu usuário ser dono.


O arquivo não existe ainda. No caso era para ser criado automáticamente na hora que o usuário do domínio logasse.

[60] Comentário enviado por ilsbr em 17/10/2014 - 01:09h

Faz o seguinte, tenta criar o diretório com o comando:
#mkdir /home/NOME_DO_DOMINIO

[61] Comentário enviado por cybercoke em 17/10/2014 - 16:17h

Boa Tarde, parabéns pelo tutorial. Tudo funcionou bem aqui até reiniciar o micro para efetuar login no domínio: Acontece que aparece uma tela de aviso "The system is running in low-graphics mode" e não consigo mais logar no ubuntu. Alguma dica ?

Obrigado.

[62] Comentário enviado por removido em 17/10/2014 - 16:57h


[61] Comentário enviado por cybercoke em 17/10/2014 - 16:17h:

Boa Tarde, parabéns pelo tutorial. Tudo funcionou bem aqui até reiniciar o micro para efetuar login no domínio: Acontece que aparece uma tela de aviso "The system is running in low-graphics mode" e não consigo mais logar no ubuntu. Alguma dica ?

Obrigado.


Já aconteceu com ubuntu versão 14.04, mas após atualizar o problema foi sanado. outra dica é seguir o tutorial do link a seguir http://www.vivaolinux.com.br/dica/The-system-is-running-in-low-graphics-mode-Resolvido

Percebi que o problema ocorreu quando alterei alguns arquivos dentro do diretório /usr/share/lightdm/lightdm.conf.d, pois o ubuntu 14.04 não contém o arquivo de configuração do lightdm dentro do diretório /etc/lightdm.

OBS:. A dica sobre a tela de login do ubuntu não é obrigatória.

[63] Comentário enviado por Hugo_cn7 em 02/11/2014 - 09:34h

Amigo parabéns pelo artigo a máquina Linux já está no AD todos os testes foram um sucesso, me responda uma coisa como faço para mapear as pastas compartilhadas do samba3 com o GPO no windows Server 2008 para toda a rede???

[64] Comentário enviado por removido em 02/11/2014 - 22:32h


[63] Comentário enviado por Hugo_cn7 em 02/11/2014 - 09:34h:

Amigo parabéns pelo artigo a máquina Linux já está no AD todos os testes foram um sucesso, me responda uma coisa como faço para mapear as pastas compartilhadas do samba3 com o GPO no windows Server 2008 para toda a rede???


Boa noite e obrigado pelo comentário.

Se já tem os compartilhamentos criados no servidor samba, basta organizar as GPO de compartilhamento de diretórios por grupos ou unidades organizacionais( para clientes windows é claro), caso os clientes sejam linux terá que bolar outra forma para mapear os compartilhamentos. abaixo segue um link de como fazer mapeamentos para clientes windows.

http://www.youtube.com/watch?v=PMAyqT-anbY


[65] Comentário enviado por Frank_Supremo em 08/05/2015 - 11:46h

Olá bom dia!

Parceiro quando usei os seguintes paramentos abaixo:
Observe que nem todos os parâmetros são necessários para ingressar a máquina no domínio. Depois de editar, salve as alterações e reinicie os serviços do Samba e Winbind.

# service winbind restart
# service samba restart

No Ubuntu, reinicie da seguinte forma:

# service winbind restart
# restart smbd
# restart nmbd

Apresentar o seguinte erro abaixo:

Desligando os serviços Winbind = FALHOU
Iniciando os serviços Winbind = ok

restart = Unknown job= nmbd
restart = Unknown job= smbd

ao ultilizar service samba restart
/etc/init.d/samba: line 16 = ./etc/init.d/functions: permission denied
/etc/init.d/samba: line 18 = syntax error near unexpected token 'then'
/etc/init.d/samba: line 18 = 'if[-f/etc/sysconfig//samba4];then'

Preciso de ajuda pois estou tentando, ja faz um tempo e nao estou conseguindo.

[66] Comentário enviado por claudio.maciel em 19/07/2015 - 13:24h

Parabens pelo artigo, muito bom mesmo... um dos melhores que já vi falando sobre este assunto. Obrigado!

É o seguinte, tudo funcionou perfeitamente... porem preciso ingressar agora máquinas debian 8.1 no domínio mas não tá rolando. Não da nenhuma mensagem mais específica na hora do login, apenas uma mensagem de que o login não funcionou e que é pra tentar novamente.
Poderia nos dar alguma luz neste sentido??

Valeu abraço

[67] Comentário enviado por removido em 22/07/2015 - 21:36h

Boa noite,
Claudio,

É o seguinte se conseguiu ingressar o computador no AD DC e o problema é só no momento do login. entre com um usuário local e em seguida veja os registros do arquivo /var/log/auth.log para os usuários do domínio que com que tentou autenticar-se, se possível poste aqui, assim o troubleshooting poderá ser mais objetivo.

[68] Comentário enviado por weldersilva em 06/04/2016 - 15:30h

Boa tarde.
Passando para agradecer pelo artigo. Graças a ele, consegui inserir meu debian 8 no domínio da empresa. Tive o tal problema "Cannot contact any KDC for realm 'xxx.xxx' while getting initial credentials." mas depois de muito reler e pesquisar, verifiquei que o problema estava nas configurações do arquivo krb5.conf que inseri erroneamente.

Obrigado.

[69] Comentário enviado por thiagobezerra em 19/04/2017 - 16:23h

Boa tarde ao executa o comando kinit deu o seguinte erro(Cannot contact any KDC for realm 'rcenter.local' while getting initial credentials

)

eexecutando tambem o comando klist deu o seguinte erro(
Credentials cache file '/tmp/krb5cc_0' not found)

como resolvo isso?


[70] Comentário enviado por removido em 19/04/2017 - 19:21h


[69] Comentário enviado por thiagobezerra em 19/04/2017 - 16:23h

Boa tarde ao executa o comando kinit deu o seguinte erro(Cannot contact any KDC for realm 'rcenter.local' while getting initial credentials

)

eexecutando tambem o comando klist deu o seguinte erro(
Credentials cache file '/tmp/krb5cc_0' not found)

como resolvo isso?




Olá.

Esse erro se dá por que não está conseguindo encontrar um KDC(Key Distribution Center). Então faça as seguintes verificações:

O computador que está tentanto ingressar no domínio está conectado a rede;
O endereço DNS dos controladores de domínio estão definidos em /etc/resolv.conf;
Existe alguma regra de firewall no host que está tentando ingressar no domínio ou no proprio controlador de domínio que restringe a comunicação entre ambos, caso exista adicione uma exceção;
Refaça todas as etapas se tudo que foi mencionado anteriormente estiver funcionando e/ou correto;

[71] Comentário enviado por jjfnetoo em 19/05/2017 - 16:42h

Olá,

Fiz todo o procedimento, deu tudo certo, ele listou os usuários e grupos do AD, a máquina ingressou no domínio, porém, quando vou logar no Ubuntu, ele aparece senha inválida para qualquer usuário.

Sabe o que pode ser? Agradeço desde já...

[72] Comentário enviado por removido em 20/05/2017 - 13:17h


[71] Comentário enviado por jjfnetoo em 19/05/2017 - 16:42h

Olá,

Fiz todo o procedimento, deu tudo certo, ele listou os usuários e grupos do AD, a máquina ingressou no domínio, porém, quando vou logar no Ubuntu, ele aparece senha inválida para qualquer usuário.

Sabe o que pode ser? Agradeço desde já...


A configuração do PAM, reveja e teste. analise os logs /var/log/auth.log de acesso também e poste a saída aqui se não encontrar uma solução.

[73] Comentário enviado por leonardojardim em 17/10/2017 - 12:04h

Gente estou enfrentando esse problema na hora de colocar a maquina no dominio, depois do comando net ads join -U Administrador ele pede a senha e depois disso da o erro, Failed to join domain: failed to lookup DC info for domain 'DOMINIO.LOCAL' over rpc: Undetermined error , alguem pode me ajudar??

[74] Comentário enviado por dzamberlan em 02/03/2018 - 16:41h

minha maquina não loga mais no AD (server 2008), acredito que seja falha de confiança?? como ingresso novamente?? qual seria o passo-a-passo??

obrigado..

[75] Comentário enviado por eliezertradutor em 19/03/2018 - 18:33h

Rapaz, aqui deu certo com Win 2003 e Linux Mint 13. Vou tentar com outras distros. Obrigado pelo tutorial.

[76] Comentário enviado por mancadawill em 24/10/2018 - 14:52h

Segui todos os passos, aparentemente não teve nenhum erro, consigo listar os usuários e grupos do dominio, na tela de login reconhece meu login e senha do dominio, porém quando começar a iniciar a volta para a tela de login. Alguém sabe oque pode estar acontecendo?

[77] Comentário enviado por mancadawill em 24/10/2018 - 15:29h


[76] Comentário enviado por mancadawill em 24/10/2018 - 14:52h

Segui todos os passos, aparentemente não teve nenhum erro, consigo listar os usuários e grupos do dominio, na tela de login reconhece meu login e senha do dominio, porém quando começar a iniciar a volta para a tela de login. Alguém sabe oque pode estar acontecendo?


Esqueci de falar que estou usando mint 19

[78] Comentário enviado por heraldoaranda em 30/11/2018 - 08:07h

Olá pessoal!
Eu fiz todos os passos e deu tudo certo, porém percebi que quando executo o comando wbinfo -i usuario_da_rede, ele até traz as informações do usuário, mas estas informações vem sem o nome completo do usuário. Deve estar faltando alguma configuração neste procedimento. Fiz o teste no Linux Mint 19.
Acho que está faltando alguma configuração porque quando ingressei a máquina no domínio utilizando a ferramenta CID (https://www.linuxnaweb.com/ingressando-ubuntu-no-dominio/) deu certo, inclusive o comando wbinfo -i usuario_da_rede, que passou a retornar o entre as informações o nome completo do usuário.

[79] Comentário enviado por fabiooliveira em 17/07/2021 - 16:49h

quais os pacotes correspondentes inserir maquina fedora no dominio? tem como?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts