Nesse artigo quero expôr detalhadamente um caso de sucesso em um cliente onde eu e outro amigo tivemos que colocar o Linux (Ubuntu Server 8.04 LTS) para autenticar no AD do Windows 2003 Server e rodar nele o LTSP 5, pegando do DHCP do 2003. Espero que gostem, pois deu muito trabalho fazer isso, mas ficou muito show!
Após feito, vamos conferir se o SSH esta configurado conforme necessário.
Precisamos que a diretiva "X11Forwarding yes" esteja setada no arquivo a seguir:
# vim /etc/ssh/sshd_config
# Package generated configuration file # See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22 # Use these options to restrict which interfaces/protocols sshd will bind to #ListenAddress :: #ListenAddress 0.0.0.0
Protocol 2 # HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key #Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes # For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no # similar for protocol version 2
HostbasedAuthentication no # Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication #IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with # some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords #PasswordAuthentication yes
# Kerberos options #KerberosAuthentication no #KerberosGetAFSToken no #KerberosOrLocalPasswd yes #KerberosTicketCleanup yes
# GSSAPI options #GSSAPIAuthentication no #GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes #UseLogin no
#MaxStartups 10:30:60 #Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Configurando ambiente para terminais
Instalando o ambiente para os terminais:
# ltsp-build-client
Se o ambiente não for instalado com sucesso, tem que remover o diretório "/opt/ltsp/" e rodar de novo o comando.
# rm -rf /opt/ltsp
# ltsp-build-client
Configurando DHCP do Windows 2003 para o LTSP
Para fazer isso acontecer basta marcar as opções de configuração do DHCP do Windows:
17 Root Path - 192.168.1.5:/opt/ltsp/i386
66 Boot Server Host Name - 192.168.1.5
67 Bootfile Name- /ltsp/i386/pxelinux.0
Após feitas as configurações é só colocar as máquinas para dar boot pela rede e pronto, o LTSP já é para esta funcionando corretamente.
Concluímos assim a nossa primeira parte do tutorial. O nosso próximo passo é fazer com que os usuários que irão utilizar o LTSP sejam autenticados no Active Directory, vamos lá.
[4] Comentário enviado por davirodrigues em 12/01/2009 - 09:54h
Pois é galera.... os Responsáveis da empresa que fizemos esse serviço, ficaram boquiabertos, simplesmente deslumbrados, realmente foi um serviço muito trabalhoso e muito gratificante....
[5] Comentário enviado por edson_nasilva em 19/03/2009 - 11:56h
Olá davirodrigues
Eu li o seu tutorial que é muito bom, mas estou tendo um problema na empresa onde eu trabalho.
Quando eu executo o comando "net ads join -U usuárioadministrador", me retorna um erro que é: Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Disabled account for 'nomedamaquina' in realm 'dominio'.
[6] Comentário enviado por davirodrigues em 20/03/2009 - 10:47h
Opa......
olha só pelo erro que vc postou, eu tenho 2 sugestões para lhe dar..., primeiro olhar se o DNS esta configurado corretamente(se o DNS for windows, ver os logs de alerta), e segundo verificar se a hora esta sincronizada com o servidor AD, tenta isso e posta aew....
[8] Comentário enviado por swmxavier em 07/10/2009 - 21:32h
Olá, gostei do tuto mas tenho algumas dúvidas. Tenho ltsp instalado em um ubuntu 8.04, e com alguns terminais já funcionando.
Só que eu queria que todos os usuários tivessem um login e senha únicos, o que já acontece com outros micros(com windows) que estão conectados a uma rede com o win 2003 server, pois eles são autenticados no AD.
Logo, encontrei que a solução seria utilizar o winbind para a autenticação.
Minha rede encontra-se da seguinte forma. O LTSP(rodando DHCP 3) tem 2 interfaces de rede. uma está com um IP fixo(eth1) que faz a conexão com os Thin Clients(pegam o IP do DHCP do LTSP). A outra está configurada para obter o IP através do DHCP da rede.
Minhas dúvidas:
1ª Tenho que conectar os Thin clients na mesma rede onde estão os micros com o windows?
2ª Meu LTSP também tem de ser conectado a esta rede, mas ele precisa ter um IP fixo?
3ª Aquele IP 192.198.1.5 no seu tuto se refere ao IP do LTSP?
Por enquanto eh só.
Depois que os terminais estiverrem bootando através do DHCP do windows volto com mais duvidas com certeza. Obrigado.
Desculpe o detalhamento, sei que vcs entendem muito bem do assunto, mas queria deixar bem clara minha situação.
[11] Comentário enviado por swmxavier em 17/11/2009 - 19:21h
OK.
Obrigado pela resposta Davi.
Já consegui fazer a autenticação e me logar através de uma estação cliente do LTSP.
Mas tenho uma dúvida ainda.
Tenho máquinas windows na rede, que autenticam no AD, todas estas máquinas possuem restrições de acesso a determinados locais da rede e a determinados recursos do sistema, como: painel de controle, executar, trocar o papel de parede e daí por diante. Todas estas estações fazem logon com o mesmo nome de usuário e senha. Porém quando faço login em um thin client com este usuário e senha, eu posso alterar papel de parede, e tenho acesso a todos os painéis de controle possíveis. Gostaria de saber como faço para que as GPO's do AD sejam aplicadas ao usuário quando ele está logado em uma máquina linux.
[12] Comentário enviado por davirodrigues em 18/11/2009 - 11:13h
Ai é que esta o seu problema GPO não funciona no linux, você vai ter que fazer a configuração do servidor de LTSP mesmo...
achei isto na internet sobre o assunto veja:
De: Rafael Santos <rafa.assun@gmail.com>
Para: linux-br@bazar2.conectiva.com.br
Assunto: Re: (linux-br)Perfil único p/ usuarios
Data: Sat, 24 Dec 2005 12:54:37 -0200
Você poderá facilmente resolver o problema de logar com o mesmo
usuário em todas as máquinas use o conjunto NIS/NFS, é fácil e eficaz.
Procure no Google Linux que você achará muita informação sobre isso.
Para criar um perfil padrão, eu fiz o seguinte:
1 - Criei um usuário;
2 - Mudei o perfil dele da maneira que eu achei mais adequada;
3 - Copiei a pasta .kde e Desktop desse usuário para /etc/skel do
servidor NIS/NFS.
Pronto, todos os usuários que você criar terão essa configuração de perfil.
E para proibir o usuário de alterar o perfil você pode usar o Kiosk, é
um aplicativo para o KDE que você proibe/libera o usuário de alterar o
perfil, inclusive alterar papel de parede caso você queira.
Mais dúvidas pergunte.
Falou
Rafael Santos
=====
tem o email do cara que postou acho que se tiver alguma dúvida com relação a sugestão, vc pode mandar um email para ele, e qualquer outra dúvida me fala aew que eu te ajudo....blz..?
[13] Comentário enviado por thiagomdr27 em 10/05/2017 - 11:22h
Bom dia, estou em um projeto e para colocar em produção em uma grande quantidade de maquinas em uma instituição. O LTSP já está rodando mas foi solicitado que o servidor LTSP fosse autenticado no AD. Todos os clientes que se logassem no LTSP se autenticasse no AD, é possível?
Parabéns pelo artigo, ficou muito bom (ainda não implementei)