Linux + Samba como PDC

Nesse artigo abordaremos como configurar o Samba como Primary Domain Controler (PDC), incluindo criação de scripts de logon, configuração de estações Windows e etc.

tomassoni

Por Rogério Tomassoni em 15/09/2006

Hits: 277.385 Categoria: Linux Subcategoria: Samba

Parte 5: Ajustes finos (usuários, grupos, máquinas)

Criando o diretório netlogon:

# mkdir -p /etc/samba/netlogon

Ajustando permissão:

# chmod 755 /etc/samba/netlogon

Criando contas de usuário:

Agora precisaremos criar as contas de usuários e de máquinas para que o objetivo seja atingido. Primeiramente cadastre o root no Samba:

# smbpasswd -a root

Criando localmente os usuários que utilizaram o Samba:

useradd -m -d < diretório de home real do usuário > -s /bin/false <nome do usuário>

Ex:

# useradd -m -d /home/homer -s /bin/false homer

O usuário não necessita ter permissão para logar localmente e nem de um shell, sendo assim aumentando a segurança.

Adicionando o usuário no Samba:

# smbpasswd -a homer

Para dar/obter permissão de administrador no domínio, é preciso criar um grupo e associá-lo ao grupo "Domain Admins", para isso basta executar o comando abaixo:

Primeiro crie um grupo, para isso execute:

# addgroup admin

Onde admin será o grupo a ser criado pelo comando "addgroup", podendo ser qualquer nome. O próximo passo e associar o grupo criado ao grupo do Unix, para isso execute:

# net groupmap modify ntgroup="Domain Admins" unixgroup=admin

Depois basta adicionar os usuários que terão permissão de administrador (permissão total) ao grupo admin. Para adicionar um usuário, no momento de sua criação basta colocar a flag "-g" seguido do grupo, assim:

# useradd -g admin -m -d /home/homer -s /bin/false homer

Criando conta de máquina

É necessário criar contas para as máquinas, os nomes devem ser os nomes reais das máquinas, encontrado em:

Iniciar > Configurações > Painel de Controle > Sistema > Nome do Computador

Como exemplo, supondo que a máquina a ser adicionada chame-se "depti01":

# useradd -d /dev/null -s /bin/false depti01$

Note que foi inserido o símbolo "$" na conta de máquina, isso é para aumentar a segurança. A fim de aumentar ainda mais a segurança trave à senha da conta:

# passwd -l depti01$

Adicionando a máquina no Samba: aqui não é necessário colocar o símbolo $, pois ela será identificada pela flag "-m" de machine.

# smbpasswd -a -m depti01

Pronto, se até aqui tudo correu bem, seu servidor está pronto para ser usado. Não se esqueça de reiniciar o Samba para que todas alterações sejam aplicadas e também coloque-o para iniciar junto com o sistema. Verifique como fazer isso na sua distribuição.

Páginas do artigo

   1. Introdução
   2. Baixando e instalando o Samba
   3. Entendendo a configuração do Samba
   4. Exemplo do smb.conf configurado
   5. Ajustes finos (usuários, grupos, máquinas)
   6. Criando script de logon
   7. Configurando as estações

Outros artigos deste autor

Openfire + Gateway + MSN

Introdução ao framework Mentawai

Squid e firewall em 5 minutos

Uma abordagem ao eGroupware como solução para agendamento

Leitura recomendada

Samba standalone server com antivírus

Configuração definitiva do Samba

Administrando seu servidor Samba com o User Manager

Samba e as "vulnerabilidades" encontradas

Samba: Implementando um domínio

Comentários

#1 Comentário enviado por xALEXANDRE em 15/09/2006 - 22:08h

Belo artigo... Parabéns!

#2 Comentário enviado por 52wz1h em 16/09/2006 - 21:54h

Parabéns pelo artigo. Gostaria de saber de uma coisa. Como fazer um cliente Linux logar neste PDC? Já vi algumas configurações no guia do hardware e fiquei espantado com tantas alterações que precisavam ser feitas em alguns arquivos, será que não existe algo mais simples utilizando samba? Obrigado.

#3 Comentário enviado por edimilson.gomes em 18/09/2006 - 13:32h

Fera... funciona mesmo....

#4 Comentário enviado por fernoliv em 18/09/2006 - 23:58h

Valeu mano, obrigado! Me livrou a cara ehehe!

Abraços,

Fernando.

#5 Comentário enviado por tomassoni em 19/09/2006 - 08:49h

Então ainda não fiz linux logar no PDC, vou ficar devendo essa .... :( assim que eu tiver tempo farei esse teste .... caso faça antes .... coloque ai ... :)

#6 Comentário enviado por kernel_sys em 19/09/2006 - 15:54h

Muito bom artigo

#7 Comentário enviado por angeloshimabuko em 26/09/2006 - 02:13h

Uma pequena correção: o NetBEUI (que foi criado pela IBM e não pela MS) é um protocolo que funciona entre as camadas 3 e 4 (rede e transporte) do modelo OSI, enquanto que SMB e CIFS são protocolos das camadas 6 e 7 (apresentação e aplicação) no mesmo modelo. Portanto, não podem ser equivalentes, como está no primeiro parágrafo.

#8 Comentário enviado por tomassoni em 26/09/2006 - 06:30h

Ok, valeu pela correção ! Eu tinha essa duvida mesmo, ta certo que não deveria ter postado se havia duvidas, porém sempre encontramos alguém para nós ajudar. Valeu pela atenção!

#9 Comentário enviado por decohab em 02/11/2006 - 03:02h

Depois de muito tempo apanhando com Samba o seu artigo me serviu de modelo...

Parabéns exelente artigo e obrigado por ajudar a mim e outros que estão estudando linux..

!!Valew!!

#10 Comentário enviado por edsinfo em 08/11/2006 - 20:01h

Muito bom, me ajudou muito! valew

#11 Comentário enviado por lammer em 15/01/2007 - 09:37h

aew...olha oq q aconteceu quando eu executei o comando ./configure --prefix=/etc/samba
eu fiz algo errado ????
eu so novo..naum intendo muito
eu quero entrar no dominio da empresa e poder imprimir no servidor de impressao
mi ajudem

ricardo@linux-Suse:~/Desktop/samba-3.0.23b/source> ./configure --prefix=/etc/samba
SAMBA VERSION: 3.0.23b
checking for -fPIE...
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.
ricardo@linux-Suse:~/Desktop/samba-3.0.23b/source>

#12 Comentário enviado por tomassoni em 29/01/2007 - 06:37h

lammer, vc nao deve ter o gcc isntaldo corretamente na maquina.....
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.
Olha só a mensagem....experimente instalar o gcc e suas dependencias....
Se nao der certo avise-nos....
Ate

#13 Comentário enviado por castanon em 25/07/2007 - 14:18h

Tomassoni, ótimo artigo.

Parabéns pela clareza e ricos detalhes das configurações.

#14 Comentário enviado por guimfonseca em 24/08/2007 - 09:08h

COmo fazer para mapear uma unidade com o comando net use com login e senha automaticos ???

#15 Comentário enviado por tomassoni em 28/08/2007 - 15:51h

Vc criou o arquivo com o conteudo, por exemplo
comando| letra da unidade | ip_servidor + dir | se e persistente
net use P: \\192.168.1.3\publico /yes
net use I: \\192.168.1.3\iso /yes

e la no smb.conf apontou pra ele?

[global]
workgroup = Exemplo
netbios name = exemplo
server string = exemplo
admin users = @admin
time server = yes
keepalive = 20
logon script = todos.bat
logon path =
logon drive = J:
domain logons = yes
os level = 100
prefered master = yes
character set = ISO8859-1
client code page = 850
domain master = yes
add user script = /usr/sbin/useradd -m %u
add machine script = /usr/sbin/adduser -g maquinas -d /dev/null -s /bin/false -M %u
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
null passwords = no
passwd program = /usr/bin/passwd %u
passwd chat = "*New*UNIX*password*" %n\n "*Retype*new*UNIX*password*" %n\n" *passwd:*all*authentication*tokens*updated*successfully*"
preserve case = no
short preserve case = no
veto files = /*.avi/*.mid/*.mpeg/*.mov/*.mp3/*.wma/*.wmv/*.src/*.mpg/*.bmp/*.{*}/;
delete veto files = yes

[netlogon]
comment = Servico de logon
path = /home/samba/netlogon <-- aqui !!!!!!
guest ok = yes
browseable = no

qualquer coisa manda ai ...

#16 Comentário enviado por emersonba em 06/09/2007 - 10:00h

gostei muito do artigo, amigo, e gostaria de uma ajuda sua, configurei o samba e quando executo o comando net groupmap modify ntgroup="Domain Admins" unixgroup=admin, retorna a mensagem

NT group Domain Admins doesnt exist in mapping DB

#17 Comentário enviado por tomassoni em 10/09/2007 - 14:55h

Este procedimento difere nas versões 2.x e 3.x do Samba. Sendo assim, se você não sabe a versão de seu Samba, execute o comando "smbd -v" para verificar esta informação. Tendo em posse a versão do Samba, basta seguir os passos apropriados:

-- Samba 2.x --
No Samba 2.x, basta acrescentar no smb.conf a seguinte linha:
Código:

domain admin group = god

Onde "god" é o nome de seu grupo Unix que foi criado no passo anterior. Detalhe: este parâmetro aceita somente grupos, não queira incluir um nome de usuário nesta diretiva!
Feita a alteração, é necessário reiniciar o serviço Samba. Para isto, você pode usar os comandos "service smb restart" ou "/etc/init.d/smb restart"

-- Samba 3.x --
Já no Samba 3.x, você deve executar o seguinte comando:
Código:

net groupmap modify ntgroup="Domain Admins" unixgroup=god

Isto associará o grupo "Domain Admins" (Administradores do Domínio) ao grupo Unix "god"

Caso ainda não consiga poste ai.

#18 Comentário enviado por emersonba em 10/09/2007 - 18:40h

a versao do samba é 3..0.24, o unixgroup = aqui coloca o nome do dominio que criei????

olha fiz esse smb.conf
[global]
netbios name = servidor
workgroup = assistech
security = user
domain master = yes
logon script = netlogon.bat
security = user
prefered master = yes
local master = yes
domain logons = yes
encrypt passwords = yes
os level = 99

[homes]
commnet = Home Directories
valid users = %S
create mask = 0700
directory mask = 0700
browseable = yes

[dados]
path = /dados
available = yes
browseable = yes
writable = yes
read only = no
public = yes
valid users = root, ecjinfo1, teste, emerson (fiz esses usuarios para testar)

qdo vou entrar no dominio no winxp da a mensagem que voce nao tem permissao para logar nesta estaçao.

#19 Comentário enviado por guidoms em 11/09/2007 - 19:35h

Na minha maquina nao tinha o ntgroup criado, fiquei me batendo ate encontrar a dica do kayer_4:

# net groupmap list

Exemplo da minha listagem:

Domain Admins (S-1-5-21-1826733997-2455195794-3424030029-512) -> root

1° - Caso para você não apareça nada então você vai ter que criar:

# net groupmap add ntgroup="Domain Admins" rid=512 unixgroup=root

2° - Caso já exista mas ele está apontando para outro grupo, então modifique:

# net groupmap modify ntgroup="Domain Admins" rid=512 unixgroup=root

Confira para ver se você fez certo:

# net groupmap list

Domain Admins (S-1-5-21-1826733997-2455195794-3424030029-512) -> root

Agora os usuários do grupo Root são administradores no Windows também!!!

#20 Comentário enviado por emersonba em 18/09/2007 - 20:48h

qdo executo o commando net groupmap modify ntgroup="Domain Admins" rid=512 unixgroup=root
da a mensagem,, Bad option: rid=512

qdo tento ingressar a maquina win2000 no dominio da a mensagem: nao foi possivel localizar o usuario.

#21 Comentário enviado por emersonba em 05/10/2007 - 14:35h

porque q quando tento ingressar no dominio, so da a mensagem: nao foi possivel localizar o usuario??????

#22 Comentário enviado por walterti em 30/12/2007 - 14:57h

As estações teão efetuando logon normalmente entretanto não consigo faze-las executar o script de logon automatico... são todas windows xp, existe alguma necessidade de modificação nelas????
segue abaixo meu smb.conf

a parte de perfil movel (sysvol) eu implementei usando o tutorial do hugoalvarez em http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7252

[global]
workgroup = olimpus
netbios name = prometeus
security = user
server string = Samba Server
logon script = \\prometeus\netlogon\mapear.bat
logon path = \\prometeus\sysvol\%U
logon drive = f:
domain logons = yes
os level = 100
prefered master = yes
domain master = yes
security = user
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
passwd program = /usr/bin/passwd %u
passwd chat = "*New*UNIX*password*" %n\n "*Retype*new*UNIX*password*" %n\n" *passwd:*all*authentication*tokens*updated*successfully*"
unix charset = iso8859-1
display charset = cp850

[Files]
comment = Diretorio Geral de Arquivos
path = /files
public = yes
read only = no
writeable = yes
create mask = 0777
guest ok = yes

[netlogon]
comment = Servico de logon
path = /etc/samba/netlogon
guest ok = yes
browseable = no
writable = yes

[sysvol]
comment = System Volume
path = /sysvol
guest ok = yes
writable = yes
share modes = no
browseable = no

#23 Comentário enviado por tomassoni em 03/01/2008 - 16:42h

Cara tenta deixar as barras assim:
logon script = \\prometeus\netlogon\mapear.bat
logon path = \\prometeus\sysvol\%U

deixa assim:
logon script = /prometeus/netlogon/mapear.bat
logon path = /prometeus/sysvol/%U

Veja se existe esses diretorios neh ;)

#24 Comentário enviado por tomassoni em 03/01/2008 - 16:45h

Cara tenta deixar as barras assim:
logon script = \\prometeus\netlogon\mapear.bat
logon path = \\prometeus\sysvol\%U

deixa assim
logon script = /prometeus/netlogon/mapear.bat
logon path = /prometeus/sysvol/%U

#25 Comentário enviado por thiago.campos em 07/01/2008 - 11:11h

?comentario=
Alguém já utilizou o parâmetro nt acl support? Estou tendo dificuldades para implementa-lo.

#26 Comentário enviado por tsanches em 21/06/2008 - 17:29h

Muito Bom artigo, explicou de forma excelente.
Valeu :-)
TSANCHES

#27 Comentário enviado por juninhosilva em 02/12/2008 - 09:29h

Ola amigo muito bom o artigo, porem ainda nunca montei um samaba com pdc vou levar seu artigo como base para meu primeiro mas fiquei com uma duvida, eu quero que tudo que for salvo no documentos e settings dos usuarios fique no meu servidor sendo assim nesse arquivo de conf seu o homes já faria isso?

Abraços

#28 Comentário enviado por jremerich em 11/12/2008 - 11:32h

Cara, seguinte....

Eu estou tentando montar um diretorio que está em uma máquina Windows 98. Este diretório está compartilhado para todos os usuários, logo não precisa de login.

Só que está dando um monte de erros:

smbclient -L XXX.XXX.XXX.XXX
session request to XXX.XXX.XXX.XXX failed (Called name not present)
session request to XXX failed (Called name not present)
session request to *SMBSERVER failed (Called name not present)
---
sudo mkdir /mnt/axs
sudo mount -t cifs -o guest //XXX.XXX.XXX.XXX/axs /mnt/
mount error 2 = No such file or directory
Refer to the mount.cifs(8) manual page (e.g.man mount.cifs)
---
sudo smbmount //XXX.XXX.XXX.XXX/axs /mnt -o guest
Warning: mapping 'guest' to 'guest,sec=none'
mount error 2 = No such file or directory
Refer to the mount.cifs(8) manual page (e.g.man mount.cifs)

Já tentei até criar link simbólico! hehehe

Mas o interessante é que se eu digitar no nautilus smb://XXX.XXX.XXX.XXX/axs ele acessa e monta! =/

Eu preciso que esse diretório seja montado automaticamente ao inicializar o sistema.

Agradeceria se ajudassem!

#29 Comentário enviado por gusfo_2 em 19/08/2009 - 17:16h

Caro colega....

Ao utilizar o comando net groupmap modify ntgroup="Domain Admins" unixgroup= admin
me a seguinte resposta:

Ignoring unknown parameter "hostname"
Can't map to an unknown group type

Qual a minha saida????

#30 Comentário enviado por tomassoni em 19/08/2009 - 19:19h

E ai beleza, cara eu nunca vi essa mensagem, mas faz o seguinte vamos por partes vou tentar ajudar.
Lista os seus grupos para ver se existe.

# net groupmap list
a saida deve ser algo como
Domain Admins (S-1-5-21-2547222302-1596225915-2414751004-512) -> domadmin
Domain Users (S-1-5-21-2547222302-1596225915-2414751004-513) -> domuser
Domain Guests (S-1-5-21-2547222302-1596225915-2414751004-514) -> domguest

Ai você com o comando assima estaria modificando o grupo Domain Admins, fazendo que ele aponte para o grupo que também deve existir no /etc/group certo?! existe?

Bom agora so por desencargo, veirifque o nome do seu host
# hostaname
E verifique o /etc/host

Caso não exista o grupo Domain Admins crio já realizando o mapeamento.

#net groupmap add ntgroup="Domain Admins" unixgroup=admin rid=512 type=d

o rid, é importantissímo, e type você pode ver na documentação oficial, de onde tirei os demais comandos acima, verifique a tabela.

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html

Bom posta ai o resultado.

#31 Comentário enviado por jonasvol em 20/12/2012 - 16:51h

Parabéns parceiro!
Artigo bastante esclarecedor.