Linux e Active Directory (Integrando COMPLETAMENTE sua estação Linux a um domínio MS Windows 2000/2003 Server)

Porque as redes de computadores são bastante heterogêneas e muitas vezes precisamos que nossa estação Linux interaja com as demais estações Windows em um ambiente de rede. Se você almeja isto, de uma forma bi-direcional, este artigo poderá lhe ser útil. Você irá precisar de um pouco de paciência, pois o artigo não é muito pequenininho. HAVE FUN!

[ Hits: 486.369 ]

Por: Kleber Vieira de Araujo em 24/04/2006 | Blog: http://www.slackware.com


OpenLDAP



O LDAP (Lightweight Directory Access Protocol) é um protocolo utilizado pelos servidores para concentrar informações em um repositório logicamente organizado. É graças a ele que informações comuns podem ser inseridas, alteradas, excluídas e consultadas de uma espécie de "banco de dados de informações". Ao se registrar um usuário no domínio, por exemplo, as informações referentes a esse usuário estarão armazenadas e disponíveis graças ao uso deste protocolo. Por sua vez, o OpenLDAP é uma implementação OpenSource do LDAP.

Apesar da extensão .tgz (geralmente utilizada por pacotes pré-compilados), os arquivos descarregados do site oficial do OpenLDAP estão em formato de código-fonte pronto para compilação. Se preferir, ao descarregá-lo, mude a sua extensão para .tar.gz (isso pode ajudar a evitar confusões). Não há mistério no processo de descompactação:

# tar zxvf openldap-stable-20051018.tar.gz

Feito isto, acessaremos o diretório onde se encontra o código-fonte do OpenLDAP a fim de compilá-lo. A seqüência de comandos é:

# cd openldap-3.2.11
# ./configure --prefix=/usr --enable-debug --enable-syslog --enable-cleartext --enable-crypt --enable-lmpasswd --enable-modules --enable-wrappers --with-threads


Durante este procedimento, ocorreu um erro no meu sistema, decorrente do ambiente que estou utilizando (versão do sistema operacional, componentes instalados, etc). Acredito que se você estiver utilizando outra distribuição ou outra versão do Slackware, pode ser que não se depare com este problema. Aparentemente é algo relacionado a incompatibilidade de versões do BarkeleyDB. A mensagem de erro foi:

checking for Berkeley DB version match... Berkeley DB version mismatch
        header: Sleepycat Software: Berkeley DB 3.3.11: (July 12, 2001)
        library: Sleepycat Software: Berkeley DB 4.2.52: (December  3, 2003)
no
configure: error: Berkeley DB version mismatch

Fui então verificar as versões instaladas e para minha surpresa havia mais de uma versão no sistema. Provavelmente fui descuidado durante a instalação do Linux e não observei este fato, ou não. Observe os pacotes que estavam instalados:

# ls /var/log/packages/db*
db3-3.3.11-i486-4
db31-3.1.17-i486-1
db4-4.2.52-i486-2

Verifiquei no site oficial e notei que uma versão mais nova estava disponível. Radicalmente removi os 3 pacotes, executando os comandos:

# removepkg /var/log/packages/db*
# mv /lib/libdb-4.2.so /tmp
# ldconfig


Efetuei o download da última versão e descompactei, compilei e instalei assim:

# tar zxvf db-4.4.20.tar.gz # cd db-4.4.20/build_unix # ../dist/configure --prefix=/usr # make # checkinstall

IMPORTANTE: Observe que para eliminar completamente a incompatibilidade, tive que mover o arquivo "libdb-4.2.so" para um outro diretório. Não tenho absoluta certeza de que ele é de fato desnecessário ao sistema, por isso sugiro que mantenha-o guardado em algum lugar caso, futuramente, a sua ausência venha a ocasionar algum tipo de problema.

Depois de instalada a nova versão do BerkeleyDB, retornei ao diretório do código fonte do OpenLDAP e executei novamente:

# ./configure --prefix=/usr --enable-debug --enable-syslog --enable-cleartext --enable-crypt --enable-lmpasswd --enable-modules --enable-wrappers --with-threads

Agora sim, podemos compilá-lo:

# make
# checkinstall
# ldconfig


Pronto: o LDAP está instalado em nossa máquina.

Página anterior     Próxima página

Páginas do artigo
   1. Por quê?
   2. Considerações iniciais
   3. O ambiente utilizado
   4. Obtendo os softwares necessários
   5. Kerberos
   6. OpenLDAP
   7. CUPS
   8. Samba
   9. Trabalhando em rede
   10. Script de controle
   11. Considerações finais
Outros artigos deste autor

Wildfire - Comunicação instantânea (Jabber) integrada ao Active Directory

Leitura recomendada

Inicialização do Linux

Compartilhamento do Samba autenticando no AD

Permissões do Samba usando chmod

Montando um compartilhamento com o smbmount

Montando um PDC com OpenBSD

  
Comentários
[1] Comentário enviado por cvs em 24/04/2006 - 10:54h

Olha só, o Klebão... huheue... Você por aqui, então... muito bom o seu artigo, agora só falta pagar a sinuca no gelim :P

[2] Comentário enviado por JefersonLopes em 24/04/2006 - 11:18h

Muito bom seu Artigo KL3B3R, ele nos trouxe LUZ onde havia TREVAS na configuração e integração do samba com ActiveDirectory, muito bem organizado e com esses shots ajudará e muito nós linuxers de plantão. Valeu mesmo.

[3] Comentário enviado por KL3B3R em 24/04/2006 - 11:30h

.

Agradeço os comentários recebidos e espero que o artigo lhes seja útil.

Revisando a publicação do Viva-O-Linux, percebi que pequenos mas notáveis detalhes foram omitidos e entrarei em contato com a equipe de publicação do VivaOLinux para alertar sobre as correções a serem feitas. Enquanto isto não ocorre, já as apontarei aqui para os leitores:

Especificamente na "Página 9", intitulada "Trabalhando com rede", no quadro de "configuração avançada" do smb.conf, provavelmente para adequar o HTML, foram removidas as "\" que separam o nome do domínio e o usuário ou grupo pertencente ao mesmo. Os valores corretos, seriam, por exemplo:

valid users=MICROSOFT\"DomainAdmins"

ao invés de:

valid users=MICROSOFT"DomainAdmins"

Acredito que em breve o material já esteja corrigido.

Um abraço a todos!

[4] Comentário enviado por removido em 24/04/2006 - 14:07h

Putz cara...
ja apanhei muito tentando fazer isso.
Ainda nao testei, mas farei isso muito em breve.

Valeu cara, parabéns pelo artigo.

[5] Comentário enviado por capitainkurn em 24/04/2006 - 15:21h

Excelente artigo!
Muito obrigado por compartilhar com a comunidade seu tempo e trabalho.
Além do mais achei muito didática e detalhada sua explanação.
Parabéns!

[6] Comentário enviado por douglas698 em 24/04/2006 - 15:35h

Parabéns, até que enfim achei um artigo sobre integração que valesse a pena no vol. Li muitos artigos sobre isso mas eram meio superficiais e faltavam detalhes...Neste, vc colocou até mesmo os erros que enfrentou, muito bom isso, pq quando fiz, deram exatamente esses erros hehe...

Eu uso o debian sarge 3.1 e consegui fazer rodar alterando apenas algumas linhas do smb.conf. Tá perfeito. Mas uma duvida de iniciante, como faço pra permitir que qualquer usuário acesse meus compartilhamentos sem a necessidade de fornecer senha?

Um grande abraço.

[7] Comentário enviado por KL3B3R em 24/04/2006 - 15:47h

.

Caro Douglas (douglas698),

No próprio artigo eu fiz um pequeno comentário sobre a superficialidade e dispersão das informações a respeito do assunto e foi exatamente este o motivo que me levou a escrever este artigo: tentar reunir em um só documento tudo aquilo (ou quase tudo) que fosse necessário para que um administrador pudesse implementar seu ambiente sem ter que ficar procurando por informações em diversos lugares pela Internet. Se eu tiver consegido isso, certamente meu objetivo terá sido alcançado e ficarei bastante satisfeito em ajudar a comunidade. Inclusive já fiquei bastante satisfeito em saber que você foi o primeiro usuário que conseguiu "portar" a documentação para outra distribuição. De certa forma você acabou contribuindo, e muito com a credibilidade do documento e só tenho a lhe agradecer.

Com relação à sua "dúvida de iniciante", o Active Directory existe exatamente para facilitar a vida do administrador, concentrando nele todas as informações e credenciais da rede, sem abrir mão da segurança. Ainda assim, se você quiser permitir que usuários sem autenticação do AD acessem algum recurso compartilhado, é algo simples de ser feito. No Linux, basta remover a opção "valid users" do compartilhamento, e no Windows basta remover todas as permissões de usuário no compartilhamento e adicionar o usuário "Everyone" ("Todos") com as permissões que você desejar (leitura, escrita, controle total, etc). A partir deste momento você poderá montar o diretório compartilhado sem especificar uma conta válida. Tome cuidado e veja até que ponto isso pode lhe ser interessante pois mesmo para uma "Pasta Pública" seria recomendado que apenas usuários autenticados tivessem acesso. Espero ter ajudado.

Um abraço,


Kleber.

.

[8] Comentário enviado por dedraks em 25/04/2006 - 00:56h

Olá,
Seu artigo está excelente.
Mas eu fiquei com uma dúvida:
Ao implementar essa solucão, vou poder logar nas máquinas linux com os usuários do AD?

[9] Comentário enviado por thelinux em 25/04/2006 - 10:18h

Kleber Vieira de Araujo - Cara parabéns! O caminho é a integração entre os sistemas. Estamos precisando de tutoriais assim. Sucesso.

[10] Comentário enviado por douglas698 em 25/04/2006 - 13:10h

outra pergunta, existe alguma forma de eu puxar todos os usuarios do ad automaticamente para usarem o samba ou trrei que adicionar um por um no linux. Não sei se fiz algo errado mas pelo menos o meu está assim....

Um abraço..

[11] Comentário enviado por KL3B3R em 25/04/2006 - 14:09h

Douglas, você não precisa adicionar usuário nenhum no Linux. O daemon winbindd é "o cara" quem vai fazer o samba autenticar os seus usuários do Active Directory. Se você tivesse que adicionar usuários no Linux (ou mesmo no Samba), pra nada serviria este documento. O intuito é exatamente unificar a base de usuários para que você crie as contas somente uma vez, no AD e possa autenticá-los nas estações Linux.

Observe que no artigo em momento algum eu adicionei um usuário no sistema.

Um abraço, Kleber

[12] Comentário enviado por douglas698 em 26/04/2006 - 15:31h

Alguém sabe me dizer pra que serve essa linha?
"passdb expand explicit = no"

toda vez que executo o testparm me retorna essa mensagem:

Load smb config files from /etc/samba/smb.conf
Unknown parameter encountered: "passdb expand explicit"
Ignoring unknown parameter "passdb expand explicit"
Processing section "[temp]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER



Obrigado.


[13] Comentário enviado por removido em 26/04/2006 - 20:46h

Um dos melhores trabalhos que já li aqui...

[14] Comentário enviado por dedraks em 26/04/2006 - 21:25h

Não estou conseguindo instalar o OpenLDAP.
Quando eu executo o ./configure .....
Aparece a mensagem:

configure: WARNING: Could not locate TLS/SSL package
configure: WARNING: TLS data protection not supported!
configure: error: LAN Manager password require OpenSSL.

Obviamente já instalei o openssl e o tls.

[15] Comentário enviado por dedraks em 26/04/2006 - 21:38h

Consegui resolver.
Instalei todos os pacotes que tinham ssl ou tls no nome.

[16] Comentário enviado por douglas698 em 11/05/2006 - 13:12h

consegui rodar esse tutorial 100% no debian sarge 3.1. Tinha alguns bugs que eu não sabia o que eram mas já resolvi. No debian é bem parecido, com excessão de alguns pacotes diferentes que devem ser instalados e alguns outros com nome diferente.

Já coloquei um serv linux como serv de arquivos em produção e até agora está tudo ok.

Lembrando que usei todos os pacotes stable.
Caso alguém queira saber mais a respeito ou mesmo quiser meu smb.conf me mande um email.

douglas698@terra.com.br

Um abraço a todos e parabéns pelo tutorial. Muitíssimo útil...

[17] Comentário enviado por marcfiorette em 23/05/2006 - 22:49h

Caro Kleber,

ao tentar me logar no ad recebi a seguinte mensagem de erro:

Cannot find KDC for requested realm while getting initial credentials

Como posso resolver este problema????


[18] Comentário enviado por fesky em 26/06/2006 - 16:32h

Oi Kleber... muito bom esta matéria... todos os testes que fiz mostraram q realmente está se comunicando com o AD, porém estou no dilema q vc estava tb.. mas no meu naum funcionou.... qdo tento ir pela rede no Windows... ele aparece pra digitar o usuario e senha... e mesmo colocando o usuario e senha não está se autenticando... fiz os passos q vc disse... porém não encontrei a libnss_winbind.so...o q eu faço??? muito obrigada

[19] Comentário enviado por daniellsn em 25/07/2006 - 13:07h

olá quando tento adicionar a maquina ao dominio usando o comando:

net ads join -U administrador

aparece o seguinte erro:

utils/net_ads.c:ads_startup(191)
ads_connect: Transport endpoint is not connected

alguém pode me ajudar?

[20] Comentário enviado por douglas698 em 25/07/2006 - 13:25h

Conseguiu conectar com o kerberos?

[21] Comentário enviado por daniellsn em 25/07/2006 - 14:08h

sim!

com o kerberos deu certo!

[22] Comentário enviado por piuquest em 23/08/2006 - 17:50h

E Kleber

cara estou no mesmo dilema da "fesky"...

"...não encontrei a libnss_winbind.so...o q eu faço???"

aguardamos!

[23] Comentário enviado por Cocota em 24/08/2006 - 22:08h

Caro Kleber,

Você foi o cara pra uma turma inteira.
Estamos aqui no fim de semestre da cadeira Administração de Sistemas Operacionais. Onde nossa última tarefa era integrar o Server2003 com o Slack 10.2
Tudo funcionou e provavelmente todo mundo vai passar. Um abraço e VIVA O LINUX!

[24] Comentário enviado por gersonraymond em 28/10/2006 - 23:36h

Meu caro Kleber, li todo seu artigo é muito bom ter pessoas como você que luta por um objetivo concreto. Este artigo contribuiu em muito com meu aprendizado, parabéns pelo seu empenho.

[25] Comentário enviado por fag_oliv em 01/11/2006 - 16:25h

ola kleber, muito bom seu artigo, mas estou um problema o mesmo problema de outros usuarios que postaram ai, por favor se voce souber de uma solucao, me passa um e-mail ... valew...


utils/net_ads.c:ads_startup(191)
ads_connect: Transport endpoint is not connected

[26] Comentário enviado por fag_oliv em 01/11/2006 - 16:26h

opa meu e-mail e fagnerpo@ibest.com.br ...

[27] Comentário enviado por nyberg_pvh em 17/11/2006 - 01:21h

Gostei do artigo, porem ainda tenho muita duvidas, quanto a uma aplicaçã ode " Active directoy" for open source, entendão, adoro linux, porme ainda não consegui não sei se por falte de procurar um pouco mas ou por prequisa, pois gostaria de saber como me livrar da micro$soft, como controlador de dominio, e claro, que não gostaria de perder,as facilidade que tenho hj, como por exemplo deixar o usuário, absolutamento em minhas mãos, com as restriçãoes, obrigado gostaria de ajuda se possivel, me indicassem algum assunto.

Alexandre Nyberg
Porto Velho - RO
Debian -CDD

[28] Comentário enviado por luiz_kim em 26/11/2006 - 14:11h

Tenho uma dúvida. Tenho um servidor Windows 2003 e gostaria de saber se é possível utilizar o Linux como terminais utilizando profile remoto do windows (somente os arquivos do profile, desktop e e-mails), também montando a pasta meus documentos dentro do diretório home e o desktop do Windows no desktop do Linmux. Assim os usuários da minha rede, podem logar-se em qualquer máquina da empresa, e visualizar seus documentos e a-mails.

Se alguém puder mandar um tutorial ou link, ou pelo menos souber se é possível eu agradeço.

Obrigado.

[29] Comentário enviado por otanerop em 16/01/2007 - 10:58h

Pessoal,
Tb estava tendo o mesmo problema para encontrar o arquivo libnss_winbind.so, e fiz o seguinte para resolver isso:
Rodei o comando:

# ./configure --prefix=/usr --enable-debug --enable-krb5developer --enable-cups --with-smbwrapper --with-ldap --with-ads --with-krb5=/usr --with-automount --with-smbmount --with-syslog --with-quotas --with-acl-support --with-winbind

Depois rodei o:

# ./configure

Ae depois foi soh instalar normalmente... Nem precisei copiar o arquivo, funcionou direto...

Não sei o pq, soh sei q assim funcionou.

Abçs.

[30] Comentário enviado por marcelomprates em 30/01/2007 - 10:52h

Bom Dia Kleber muito boa sua matéria estou tentando fazer más da erro no kerberos quando dou o comando abaixo.
Sabe o que pode ser???

[root@localhost src]# ./configure --prefix=/usr --enable-dns-for-realm --enable-thread-support
configure: loading cache ./config.cache
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH
See `config.log' for more details.

Abraço, Marcelo

[31] Comentário enviado por otanerop em 01/02/2007 - 13:47h

Cara, qual a distro q vc esta usando?
Tenta ae instalar o G++, deve resolver....
# apt-get install g++

[32] Comentário enviado por deveras em 14/02/2007 - 10:29h

estou tendo o seguinte problema

Quando digito o comando:

net ads join -U Administrator

aparece o seguinte

1-
[root@Suporte deveras]# net ads join -U Administrator
Administrator's password:

Tenho a seguinte menssagem de erro

2-
[2007/02/14 10:10:03, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Erro de entrada/saída

1- Qual é a senha que devo digitar ao executar o comando?

2- Por que este erro ocorre?

Estou usando o Mandriva 2007 Free.

Obrigado...

Deveras

[33] Comentário enviado por rideick em 23/02/2007 - 13:40h

Galera, se houver algum problena ao instalar o kerberos, dê um apt-get install ncurses*

[34] Comentário enviado por rideick em 23/02/2007 - 14:05h

Outro problema que pode ocorrer instalando o kerberos no Debian é a falta do byacc, entao é só executar apt-get install byacc

espero te ajudado :-)

[35] Comentário enviado por angrasbss em 26/03/2007 - 10:56h

É o seguinte, quando dou um testparm, aparece isso:

Unknown parameter encountered: "realm"
Ignoring unknown parameter "realm"

No /etc/krb5.com, está configurado assim:
[libdefaults]
ticket_lifetime = 24000
default_realm = DOCENTES.DCCE.UFS.BR
dns_lookup_realm = false
dns_lookup_kdc = false
clockskew = 300
kdc_timesync = 1

[realms]
DOCENTES.DCCE.UFS.BR = {
kdc = 172.20.2.2
}

No Samba está assim:
realm = DOCENTES.DCCE.UFS.BR

Por que aparece essa mensagem de erro?


[36] Comentário enviado por rfreire em 05/04/2007 - 08:05h

Bom dia amigo.

Tem como eu instalar um impressora de rede TCP/IP no cups?
Fiz alguns teste e vi que o cups não registra o número de páginas impressas, tem como fazer isso?

Desde já agradeço...

[37] Comentário enviado por fernando_rst em 14/05/2007 - 09:14h

Kleber, Parabéns !!

Veja se pode me dar um help ou mesmo alguém da Lista.

Consegui ingressar o meu servidor Samba no AD, ele até mesmo criou a conta no AD. No meu server eu listo todos os usuários do AD através do wbinfo -u e menos g para os grupos.

Porém se dou um getent passwd não aparece os usuários do dominio somente os do Linux.

Será que alguém pode me dar um help ?

Grato !
Fernando

[38] Comentário enviado por mcaju em 22/05/2007 - 22:34h

Parabéns pelo artigo.

Vou simular num P4 com 512MB, acho que com duas estações deve rodar legal.

Valeu mesmo pelo artigo, muito bom!

[39] Comentário enviado por wesleysantos em 21/06/2007 - 11:37h

Parabéns Kleber!!!!
Seu trabalho ficou ótimo!!!

Estou com o mesmo problema do Fernando, se alguém puder dar uma ajuda.

Abraço,
Wesley

[40] Comentário enviado por wesleysantos em 21/06/2007 - 15:47h

Fernando apenas adicionei no meu smb.conf o seguinte:
idmap uid = 30000-40000
idmap gid = 30000-40000

[41] Comentário enviado por ribasmo em 22/06/2007 - 11:39h

Parabéns Cleber pelo artigo...

[42] Comentário enviado por jorge.januario em 13/07/2007 - 23:36h

Boa Noite Cleber,

Primeiramente adorei o artigo, muito bom mais estou tendo um problema ao tentar acessar o servidor através de uma estão linux com Suse, eu já configurei a placa de rede pra usar dchp, consigo acessar a internet com proxy configurado, consigo até enxergar a rede do trabalho, mias quan tendo acessar aclgum micro ou servidor aparece a seguinte mensagem de erro:

An error occurred while loading smb://d_sede/10.3.17.51/produtos$:

Abraço,
JorgeBoa Noite Cleber,

Primeiramente adorei o artigo, muito bom mais estou tendo um problema ao tentar acessar o servidor através de uma estão linux com Suse, eu já configurei a placa de rede pra usar dchp, consigo acessar a internet com proxy configurado, consigo até enxergar a rede do trabalho, mias quan tendo acessar aclgum micro ou servidor aparece a seguinte mensagem de erro:

An error occurred while loading smb://d_sede/10.3.17.51/produtos$:

Abraço,
Jorge

[43] Comentário enviado por diegocorp em 18/07/2007 - 16:33h

kleber estou com os seguinte erros! oq pode ser?
Jul 18 16:28:10 storage nmbd[17949]: [2007/07/18 16:28:10, 0] nmbd/nmbd.c:terminate(58)
Jul 18 16:28:11 storage nmbd[17949]: Got SIGTERM: going down...
Jul 18 16:28:11 storage winbindd[17854]: [2007/07/18 16:28:11, 0] nsswitch/idmap.c:idmap_alloc_init(679)
Jul 18 16:28:11 storage winbindd[17854]: ERROR: Initialization failed for alloc backend, deferred!
Jul 18 16:28:11 storage smbd[18059]: [2007/07/18 16:28:11, 0] auth/auth_util.c:create_builtin_administrators(792)
Jul 18 16:28:11 storage smbd[18059]: create_builtin_administrators: Failed to create Administrators
Jul 18 16:28:11 storage winbindd[17854]: [2007/07/18 16:28:11, 0] nsswitch/idmap.c:idmap_alloc_init(679)
Jul 18 16:28:11 storage winbindd[17854]: ERROR: Initialization failed for alloc backend, deferred!
Jul 18 16:28:11 storage smbd[18059]: [2007/07/18 16:28:11, 0] auth/auth_util.c:create_builtin_users(758)
Jul 18 16:28:11 storage smbd[18059]: create_builtin_users: Failed to create Users
Jul 18 16:28:11 storage smbd[18059]: [2007/07/18 16:28:11, 0] printing/nt_printing.c:nt_printing_init(650)
Jul 18 16:28:11 storage smbd[18059]: nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
Jul 18 16:28:11 storage winbindd[17854]: [2007/07/18 16:28:11, 0] nsswitch/idmap.c:idmap_alloc_init(679)
Jul 18 16:28:11 storage winbindd[17854]: ERROR: Initialization failed for alloc backend, deferred!
Jul 18 16:28:11 storage smbd[18059]: [2007/07/18 16:28:11, 0] auth/auth_util.c:create_builtin_administrators(792)
Jul 18 16:28:11 storage smbd[18059]: create_builtin_administrators: Failed to create Administrators
Jul 18 16:28:11 storage winbindd[17854]: [2007/07/18 16:28:11, 0] nsswitch/idmap.c:idmap_alloc_init(679)
Jul 18 16:28:11 storage winbindd[17854]: ERROR: Initialization failed for alloc backend, deferred!
Jul 18 16:28:11 storage smbd[18059]: [2007/07/18 16:28:11, 0] auth/auth_util.c:create_builtin_users(758)
Jul 18 16:28:11 storage smbd[18059]: create_builtin_users: Failed to create Users

[44] Comentário enviado por dastyler em 22/07/2007 - 21:29h

Olá!!
Parabens pelo artigo!! Muito bom!
Mas gostaria de lembrar que hoje temos alternativas bem faceis para integrar um terminal LInux com rede com dominio MS.
Eu mesmo utilizo o smb4k no modo grafico e consigo acessar tranquilamente compartilhamentos de rede no dominio mediante minha senha cadastrada pelo sysadm.
E basta configurar o samba como servidor na mesma maquina e e vocetme um compartilhamento funcional!
Abs...>)

[45] Comentário enviado por balani em 20/08/2007 - 10:08h

Excelente artigo, parabens!!!

[46] Comentário enviado por lipecys em 30/08/2007 - 14:38h

Muito bom o artigo.
Valew.

[47] Comentário enviado por winckler em 11/09/2007 - 09:27h

Bom dia !

Kleber, preciso de um help aqui.

Estou com tudo, a principio "ok", ai quando dei o comando :

# net ads join -U Administrador
Administrador's password:

COLOQUEI A SENHA E ME RETORNOU ISTO:

Using short domain name -- SERVICOOP2
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'ARCH' in realm 'SERVICOOP2'
Failed to join domain: Type or value exists

E AGORA... o que tá rolando aqui ? tem concerto ?

acredito que seja pelo mesmo motivo que não consigo acessar o linux no ambiente de rede. Quando clico no meu linux no ambiente de rede do meu Win2k Server, ele retorna:

"\\Arch não acessível
O banco de dados de segurança do servidor não tem uma conta de computador para a relação de confiança desta estação de trabalho."

provavelmente é por isto né... tem solução ?

[48] Comentário enviado por winckler em 11/09/2007 - 10:06h

DESCOBRI A SOLUÇÃO:

é só incluir em "/etc/hosts" a linha
<ip do linux> <linux>.<DOMINIO> <linux>
Ex.:(meu caso)
10.0.0.71 ARCH.SERVICOOP2 ARCH

pronto:

# net ads join -U Administrador
Administrador's password:
Using short domain name -- SERVICOOP2
Joined 'ARCH' to realm 'SERVICOOP2'

resolvido :)

[49] Comentário enviado por lucaslessa em 17/09/2007 - 22:07h

Cara não consegui com esta solução sua de incluir o ip no hosts poderia me ajudar ainda dá esta mensagem que vc informou também

[50] Comentário enviado por rafaelspen em 23/10/2007 - 15:58h

Ótimo artigo!
Parabéns, Kleber.

[51] Comentário enviado por marlokko em 23/11/2007 - 18:42h

Ah... se a autenticação inválidar persistir, reinicie o servidor que pode funcionar!

Comigo foi assim, mesmo criando o alias, não funcionou a autenticação das estações para o Linux, depois que reiniciou, ficou tudo lindo!

E obrigado pelo artigo!

[52] Comentário enviado por acgiulianetti em 17/12/2007 - 16:08h

Também não consegui autenticação das estações xp para o linux. Já verifiquei a biblioteca libnss_winbind, já reiniciei, já instalei outra versão do samba, já instalei o source e também não resolveu.
O net join, wbinfo -u, wbinfo -g funcionam normalmente, mas quando vou mapear a unidade no xp pede autenticação e nada que coloco faz funcionar.
Alguém tem uma outra dica ? Uso fedora 6 com samba 3.0.24-11

Obrigada

[53] Comentário enviado por gil-lima em 23/12/2007 - 01:14h

Kleber, primeiramente quero lhe parabenizar por este artigo
Simulei adicionar estações linux em windows server 2000 e tudo funcionou perfeitamente. Adicionei diferentes distros, como: Fedora 7, Slackware 12 e Arch Linux. O Fedora 7 inclusive adicionei com o samba e kerberos que tem nos repositorios.
Parabéns cara.
Estou procurando formas do usuário do AD logar na shell.

Abraços

[54] Comentário enviado por gil-lima em 23/12/2007 - 01:17h

Mais uma coisa.
Quanto ao problema de difrença de hora, basta instalar um serviço ntp, pois o Active Directory é um servidor de hora.
Abraços

[55] Comentário enviado por gil-lima em 23/12/2007 - 19:03h

acgiulianetti,
Verifica no resolv.conf o servidor DNS, se não de certo, confere o smb.conf.

[56] Comentário enviado por anunakin em 11/01/2008 - 09:46h

Galera, estou tentando fazer um servidor de impressão em Linux que autentique no AD, o problema é que os usuários só autenticão se estiverem no /etc/passwd .... alguém sabe como contornar isso?

[57] Comentário enviado por and_pl em 12/02/2008 - 10:06h

Galera, fiz todas as configurações de acordo com o artigo, todos os testes e tudo ok...so que eu nao consigo acessar a pasta compartilhada com o usuario cadastrado no AD...alguem sabe o que pode estar acontecendo?

Obrigado.

[58] Comentário enviado por danyleidy em 14/02/2008 - 15:56h

?comentario=Alguem poderia me ajudar estou tentando configurar o servidor mas quando cheguei na parte trabalhando em rede quando dou o comando
# net ads join -U danyleidy
danyleidy's password: *******
Essa msg é exibida e nao faço a minima ideia de como resolver
Failed to join domain: Operations error

espero que alguem possa me ajudar
Obrigado

[59] Comentário enviado por hcfgnr em 25/02/2008 - 18:22h

Caro Kléber,
fiz as configurações de acordo com o seu passo-a-passo, e acabei parando no Kerberos. Na hora da conexão com o AD, acontece o seguinte erro:

[root@samba /]# kinit server
Password for server@samba.com.br:
kinit(v5): Clock skew too great while getting initial credentials

Como vi que havia colocado uma referência a esse tipo de mensagem de erro, fui logo tentar arrumar. Acabei também procurando a solução em outros lugares, mas o que acontece é que a data e hora do meu sistema linux e do meu servidor AD estão iguais, e as configurações de fuso horário também.

[root@samba /]# clock
Seg 25 Fev 2008 18:11:23 BRT -0.000470 seconds

[root@samba /]# date
Seg Fev 25 17:11:26 BRT 2008

Arquivo krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = SAMBA.COM.BR
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24000
clockskew = 300
kdc_timesync = 1

[realms]
SAMBA.COM.BR = {
kdc = 10.10.1.29
}

Mais, e ae??? O que devo fazer?
Desde já, grato!

[60] Comentário enviado por and_pl em 27/02/2008 - 11:09h

hfgnr, desmarque a opção "ajustar horario de verão automaticamente" do seu server 2003.

Flw

[61] Comentário enviado por and_pl em 27/02/2008 - 11:12h

danyleidy, cadastre o seu linux no /etc/hosts.

formato:
IPdoLinux NomeDoLinux.DOMINIO NomeDoLinux

ex:
192.168.5.1 SLACK.SEUDOMINIO.COM.BR SLACK


[62] Comentário enviado por danyleidy em 27/02/2008 - 12:53h

já tinha cadastrado o meu linux no /etc/hosts e continuava dando problema então resolvi começar tudo de novo, foi então que veio a luz, não deu mas nenhum erro, mas muito obrigado pelo comentário and_pl . Valeu

[63] Comentário enviado por danyleidy em 27/02/2008 - 13:34h

Primeiramente queira parabenizar o Kl3b3r pelo artigo....

Consegui implementa-lo no Debian, mas agora me bateu um probleminha:
como inserir as estações Linux (Ubuntu) e fazer com que elas autentiquem? ou seja como fazer com que as estações sejam membros do domínio e que seja possível logar através delas?

espero que alguém possa me ajudar
Obrigada

[64] Comentário enviado por hcfgnr em 27/02/2008 - 18:38h

Obrigado pela ajuda and_pl. Funcionou.
Agora não estou conseguindo fazer com que minhas máquinas windows acessem os diretórios no linux usando user e senha do AD. Quando tento acessar os diretórios, é me pedido user e senha e não passa. O que fazer?

smb.conf

[teste]
comment = Diretório teste para arrmazenamento de arquivos
path = /teste
valid users = SAMBATeste
read only = No

[comum_ad]
comment = Diretório comum para o AD
path = /comum_ad
valid users = SAMBA "Domain Admins"
read only = No

[root@hcf /]# ll /lib/ | grep libnss_winbind.so
-rwxr-xr-x 1 root root 18588 Fev 26 12:51 libnss_winbind.so
lrwxrwxrwx 1 root root 22 Fev 27 17:25 libnss_winbind.so.2 -> /lib/libnss_w inbind.so

[65] Comentário enviado por and_pl em 28/02/2008 - 10:36h

hcfgnr estou com o mesmo problema que voce, porem o seu parece ser outra coisa.

1. valid users
O correto seria (valid users = SAMBA\"Domain Admins"

2. Verifique se realmente existe o grupo Domain Admins, se for 2003 server portugues é provavel que não exista

eu to apanhando pra isso tb....faço todos os testes ok + não consigo acessar a pasta via windows....se conseguir mande a dica para nós...vlw

[66] Comentário enviado por brunoarantes em 07/03/2008 - 10:09h

amigo estou com o mesmo problema, o linux está logando no ad sem problemas, só que os usuarios do ad não conseguem acesso a pasta compartinhada no linux, fica pedindo user e senha e não passa. tem como me ajudar. exemplo do compartilhamento:
[DTI]
comment = Departamento de Tecnologia da Informacao
path = /publica1/DTI
browseable = yes
write list = MEUDOMINIO\bruno
valid users = MEUDOMINIO\bruno
create mask = 0775
directory mask = 0775

Desde já agradeço

[67] Comentário enviado por rayane em 10/03/2008 - 11:43h

Bom dia.

Estou com problemas na hora de colocar a máquina no domínio. Revisei todas as alterações realizadas e estão todas corretas, entretando a mesma mensagem continua sendo reportada.
Estou utilizando Kubuntu e o AD roda no NT 2000.
Você sugere alguma alteração? Veja a mensagem:

________________________________________________________________
administrador@autenticaad:/etc/samba$ net ads join -S PBSRVADCG1 -w PB.SEBRAE.CORP -U rayane
[2008/03/10 11:18:11, 0] passdb/secrets.c:secrets_init(66)
Failed to open /var/lib/samba/secrets.tdb
Invalid configuration. Exiting....
Failed to join domain: Access denied
_________________________________________________________________

Os hosts são todos ruiondows, sendo o PDC AD rodando no NT 2000, como já citei; porém a intenção é migrar as estações para linux-ubuntu, sendo que necessito de loga-lás no Active Directory.

Aguardo respostas e desde já agradeço.
jcyane@gmail.com

Rayane S. Souza.

[68] Comentário enviado por and_pl em 10/03/2008 - 15:30h

Rayane, o kerberos conecta normal?
ja tentou usar o comando net ads join -U administrador
-----------------------------------------------------------------------------
Nos teste que fiz aqui tive problemas com outros usuarios, mesmo eles sendo adm.....

tks

[69] Comentário enviado por rayane em 11/03/2008 - 09:32h

Olá and_pl,

o kerberos conecta normal sim.
Quanto a o comando: net ads join -U administrador, já tentei sim. Utilizei o outro, porque antes estava usando um outro tutorial: http://renatoxavier.wordpress.com/2008/01/17/ubuntu-autenticando-no-ad/

e estava conseguindo inserir a máquina no domínio, com esse comando e com meu usuário.


[70] Comentário enviado por rayane em 11/03/2008 - 10:12h

Galera,
consegui resolver(graças a Deus :) ).
O problema era o usuário - rayane - que estava s/ permissão de administrador.

Valeu.

[71] Comentário enviado por k4mus em 11/03/2008 - 23:44h

Parabens Amigo, ja ta add nos favoritos faz tempo. Vou implementalo la no trabalho.. :)


Abraço
Fica com Deus!

[72] Comentário enviado por and_pl em 14/03/2008 - 09:47h

Galera, estou com um probleminha.
-----------------------------------------------------
A integração está ok
Consigo negar e autorizar acesso a pasta por usuario, mas o mesmo não acontece com grupos. Não consigo liberar acesso de um grupo, o que pode estar errado? qual tipo de grupo tenho que criar? como devo relacionar o mesmo no smb.conf? obrigado.

[73] Comentário enviado por anunakin em 14/03/2008 - 15:21h

Aqui resolvi tudim... descobri o motivo do meu problema com o AD... como nossa rede é uma floresta com mais de 40 arvores, sendo que na nossa arvore há 1400 usuários... o que ocorre é que o winbindd ao tentar listar os usuários cai em timeout... e como o samba não possui uma diretiva para restringir a busca a um AD somentte, assim os usuários só logavam se eu cria-se no /etc/passwd ... foi o que fiz criei um script PHP-CLI que roda via cron todo dia e adiciona e remove usuários do AD, sincronizando... o script usa o arquivo /etc/samba/smb.conf para carregar os dados necessários... e sincronizar as contas...

Os grupos é a mesma coisa tem de cria-los no /etc/group ... dai coloque os usuários nos grupos pelo AD, aqui funcionou assim.... creio que numa rede menor o winbindd deva funcionar sem problemas...

Finalmente meu servidor de impressão autentica no AD, serve drivers e tudo mais....

[74] Comentário enviado por and_pl em 17/03/2008 - 14:40h

Minha rede atualmente tem 190 usuarios e se eu digitar só o nome do usuario tudo funciona ok: valid users = DOMINIO\usuario .....dessa forma o usuario ja autentica tranquilamente. Para grupo eu estou fazendo da seguinte forma valid users = DOMINIO\"grupo" e não consegui autenticar. O que estou fazendo errado? alguem ja passou por isso? muito obrigado pela ajuda.

[75] Comentário enviado por anunakin em 17/03/2008 - 15:36h

Como sua rede é pequena basta usar o arquivo /etc/nsswitch.conf essas tres linhas no arquivo têm de estar assim:

passwd: compat winbind
shadow: compat
group: compat winbind

No smb.conf tem de ter isso aqui também:
winbind enum users = yes
winbind enum groups = yes


[76] Comentário enviado por and_pl em 17/03/2008 - 16:17h

anunakin muito obrigado pela disposição. Minha configuração ja estava assim e não estava funcionando. Abri pesquisa no site oficial do samba e depois de duas horas e meia de pesquisa consegui descobrir. O grupo tem que ser colocado da seguinte forma:
valid users = @"DOMINIO\grupo"

[77] Comentário enviado por henrique_1502 em 25/03/2008 - 11:07h

root@sol:/tmp/krb5-1.6.3/src# ./configure --prefix=/usr --enable-dns-for-realm --enable-thread-support
configure: loading cache ./config.cache
checking for gcc... no
checking for cc... no
checking for cc... no
checking for cl... no
configure: error: no acceptable C compiler found in $PATH

Estou usando Slackware 12
See `config.log' for more details.


[78] Comentário enviado por rayane em 27/03/2008 - 10:44h

Bom dia galera.
Estou com problemas na hora da
autenticação. A máquina Linux(estou na plataforma Xubuntu 6.06), busca a base de usuários no AD(roda 2000) - e a propósito, é necessário para
que isso ocorra, se logar na máquina localmente , testar a conexão do kerberos com KINIT USER, e reiniciar o samba - e quando digito a senha, resulta em falha no logon. Observando seus comentários, penso que seja o ntp, e então revi a configuração, que está ok, e ainda pesquisei para ver se era necessário implementar algo mais. Na tentativa, a instalei o serviço ntp, e setei, assim como no /etc/default/ntpdate, o server AD2000, e em e no
/etc/default/ntp deixei as opção, que já veio no arquivo de instalação NTPD_OPTS='-g', e acrescentei '-4', que de acordo com o que pesquisei, força o DNS a resolver o nome dos hosts. Verifiquei o formato da hora,
localmente, deixando DD-MM-AA, e o log do sistema retorna:
_______________________________________________________________________

Mar 27 09:45:36 autenticaad winbindd[5558]: [2008/03/27 09:45:36, 0]
lib/util_sid.c:string_to_sid(242)
Mar 27 09:45:36 autenticaad winbindd[5558]: string_to_sid: Sid S-0-0
is not in a valid format.
______________________________________________________________________

além de retornar:

_____________________________________________________________________

Mar 27 09:43:11 autenticaad nmbd[6674]: Unable to find the Domain
Master Browser name GRUPO<1b> for the workgroup GRUPO.
Mar 27 09:43:11 autenticaad nmbd[6674]: Unable to sync browse lists in
this workgroup.

____________________________________________________________________

Já alterei o nome do workgroup pelo nome do domínio, entretanto nada de autenticação.
Reli os comentários presentes no seu artigo, além de buscar na net
possível resolução, e ainda não consegui resolver o problema.
Se tiverem alguma sugestão, respondam-me, por favor.
Atenciosamente,


Rayane S. Souza.(jcyane@gmail.com)

[79] Comentário enviado por rayane em 27/03/2008 - 11:31h

Galera,
mais uma coisa:
quando tento, via modo gráfico, configurar o relógio para ele receber automaticamente a hora do AD - setando ipAD.domínio, é retornado:
______________________________________________
Habilite o contato com o servidor de domínio.
______________________________________________

Alguém sabe como? Tendo em vista que a máquina já está no domínio, sendo vista pelo AD. Isso também é requisitado nos logs:
_______________________________________________
Mar 27 11:14:15 autenticaad nmbd[9685]: *****
Mar 27 11:14:15 autenticaad nmbd[9685]: [2008/03/27 11:14:15, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(351)
Mar 27 11:14:15 autenticaad nmbd[9685]: find_domain_master_name_query_fail:
Mar 27 11:14:15 autenticaad nmbd[9685]: Unable to find the Domain Master Browser name PB-SEBRAE<1b> for the workgroup GRUPO
Mar 27 11:14:15 autenticaad nmbd[9685]: Unable to sync browse lists in this workgroup.
Mar 27 11:14:15 autenticaad nmbd[9685]: [2008/03/27 11:14:15, 0] nmbd/nmbd_browsesync.c:find_domain_master_name_query_fail(351)
Mar 27 11:14:15 autenticaad nmbd[9685]: find_domain_master_name_query_fail:
Mar 27 11:14:15 autenticaad nmbd[9685]: Unable to find the Domain Master Browser name GRUPO for the workgroup GRUPO
Mar 27 11:14:15 autenticaad nmbd[9685]: Unable to sync browse lists in this workgroup.
___________________________________________________________

Agradeço, desde já quem puder contribuir comigo, na peleja pela LIBERDADE!

jcyane@gmail.com
Rayane S. Souza.

[80] Comentário enviado por and_pl em 27/03/2008 - 11:57h

henrique_1502 ele está falando que está sem o gcc e g++
instale o slackpkg para facilitar sua vida:
http://www.guiadohardware.net/artigos/slackpkg/

boa sorte.

[81] Comentário enviado por cesar em 27/03/2008 - 16:14h

Parabéns,

Show de Bola este artigo,
Vou tentar criar um ambiente igual o seu para fazer o teste.

Abraço!

[82] Comentário enviado por huntter em 28/03/2008 - 02:16h

Esta de parabens pela publicaçao bem completa...com muitos detalhes...mas nao entendi uma coisa...para que serviu a instalação do openldap e do database do openldap...afinal foi o kerberos que permitiu a autenticação junto com o samba no dominio nao foi ? o seu howtoo parece que funciona sem o openldap nao ?

[83] Comentário enviado por anunakin em 28/03/2008 - 23:25h

Puxa "and_pl" desculpa ai... pensei que você soubesse isso... do "@" pois no arquivo smb.conf.example tem isso!!! e no man do samba tbm!!! nem citei isso...

[84] Comentário enviado por and_pl em 31/03/2008 - 09:03h

"anunakin" na verdade eu ja tinha grupos no samba trabalhando dessa forma "@" + segui o manual a risca e não atentei a esse detalhe. Mais foi bom, nessa pesquisa aprendi varias coisas que não sabia, obrigado pela atenção.

[85] Comentário enviado por lipecys em 17/04/2008 - 14:44h

Ainda não tive tempo para ler tudo, mas pelo que parece, está completíssimo, hehe, valeu, foi para os favoritos.

[86] Comentário enviado por jcyane em 18/04/2008 - 11:28h

Bom dia galera.
Já escrevi para o "and_pb" e para outros mais, mas como não obtive resposta venho novamente solocitar ajuda para um humilde iniciante :)

É o seguinte:
Tudo o que o Kleber aconselha em seu artigo segui direitinho, além de acrescentar alguma coisa necessário - como a instalação do ntp para fazer o sincronismo com o AD2000 - tendo em vista que aqui roda AD2000 na plataforma Xubuntu.

Consigo acessar via comando e modo gráfico, os compartilhamentos do servidor, visualizar a lista de usuários pelo comando "wbinfo - u" e os grupos "wbinfo -g", testo conexáo do kerberos e tudo beleza.

Quando faço logoff para entra com um usuário do domínio, o client busca no AD2000 a base de dados e mostra-os como se fossem usuários locais, porém quando digito a senha de vários usuários, tendo a proeza de autenticação o resultado é "falha no logon".

Nos logs do sistema são retornados:

____________________________________________________________
Apr 18 11:01:38 autenticaad nmbd[6387]: Unable to find the Domain Master Brows er name DOMINIO<1b> for the workgroup DOMINIO.
Apr 18 11:01:38 autenticaad nmbd[6387]: Unable to sync browse lists in this wo rkgroup.
Apr 18 11:02:44 autenticaad winbindd[6466]: [2008/04/18 11:02:44, 0] libsmb/cred entials.c:creds_client_check(324)
Apr 18 11:02:44 autenticaad winbindd[6466]: creds_client_check: credentials ch eck failed.
Apr 18 11:02:44 autenticaad winbindd[6466]: [2008/04/18 11:02:44, 0] rpc_client/ cli_netlogon.c:rpccli_netlogon_sam_network_logon(1019)
Apr 18 11:02:44 autenticaad winbindd[6466]: rpccli_netlogon_sam_network_logon: credentials chain check failed

_____________________________________________________________

e isso mesmo a host tendo sido adicionado com exito no domínio.

Alguém por favor poderia me sugerir possível resoluçao, pois já pesquisei e nada resolve meu probela, ate agora.

Antecipadamente agradeço.


Rayane S. Souza
jcyane@gmail.com

[87] Comentário enviado por mesaque em 01/08/2008 - 17:35h

Caros colegas,

Cumpri quase todos passos do Artigo, até incluir meu linux no domínio. Ele reconhece os usuários, entretanto, ao compartilhar uma pasta no linux e acessar de um cliente windows xp ele pede a senha. No artigo, o Kleber fala para procurar uma biblioteca do samba source /nsswitch/libnss_winbind.so e copiar para a pasta /lib e criar um link simbólico para /lib/libnss_winbind.so2, mas nem encontro esta biblioteca na pasta indicada. Fiz instalação em um servidor Ubuntu 8.04 via apt-get. Não compilei nada.

Na pasta lib já tem um libnss_winbind.so2

Alguém pode me ajudar?

[88] Comentário enviado por mesaque em 01/08/2008 - 18:36h

Corrigido!

valid users=MICROSOFT\DomainAdmins
Faltava a barra como o Kleber falou.

Caro Kleber! Excelente artigo. Perfeito!
Só gostaria de saber como fazer para usar um grupo. Neste caso seria "valid users" como no exemplo acima?

Abraço

[89] Comentário enviado por anunakin em 01/08/2008 - 20:21h

Coloca um arroba antes dos nomes de grupos!!!

valid users=@DomainAdmins

[90] Comentário enviado por edupopov em 18/08/2008 - 21:15h

Realmente, sua didatica é excelente.

Vou tentar os passos do artigo, e se tudo der certo (acredito que de), volto a comentar.

Obrigado.

[91] Comentário enviado por gokden em 18/09/2008 - 19:11h

Cara....
PARABENS...... artigo mto mto mto bom...
funcionou certim aqui. =D
salvou minha vida =D

mais a unica coisa que eu gostaria de saber... é se tem jeito de visualizar os compartilhamentos dos computadores que estão do dominio
graficamente... pelo nautilus por exmplo..

vlw cara... e VIVA O LINUX =X

[92] Comentário enviado por djgoulart em 21/01/2009 - 10:54h

Alguém ai conseguiu implementar essa maravilha no Debian Etch ?

O que muda ?
Sou novato no linux, mas achei esse tutorial tão fenomenela que gostaria de fazer isso no debian.

Na verdade eu baixei uma ISO do Slackware mas ela não dá boot ... ( nem sei porque :[ )

Os programas necessários são os mesmos?
Eu encontro eles nos repositórios?
Muda alguma coisa na configuração ?

Se alguem puder me ajudar eu ficaria muito grato.

[93] Comentário enviado por Atreta em 23/01/2009 - 13:44h

Muito bom o artigo,
Estava com um probleminha aqui para adicionar a maquina na rede, mas consegui adicionando o nome do dominio ao comando net join
aqui ficou assim: net join ads dominio.local -U administrador
Espero que isso ajude alguem.
Abraço e parabens pelo artigo.

edit: Não estou conseguindo autenticar no linux com os usuários do meu domínio, do linux pro AD eu consigo conectar se eu der o comando smbclient -L computador_no_ad -U usuario_no_ad
O que pode ter de errado?
Obrigado.

[94] Comentário enviado por brunoeduribeiro em 24/06/2009 - 16:41h

Olá pessoal, tudo bem... Muito Show esse artigo... Parabéns Kl3b3r.

Eu estou implementando essa solução no Debian etch e fiquei com uma duvida pq recebei um warning quando rodei esse comando referente a instalação do samba:

# ./configure --prefix=/usr --enable-debug --enable-krb5developer --enable-cups --with-smbwrapper --with-ldap --with-ads --with-krb5=/usr --with-automount --with-smbmount --with-syslog --with-quotas --with-acl-support --with-winbind

o warning foi o seguinte:

configure: WARNING: unrecognized options: --with-smbwrapper, --with-smbmount

gostaria de saber se rolou isso com alguem e como se resolve, pesquisei e ainda não achei o problema.

Muito Obrigado a todos.

[95] Comentário enviado por L!N5X em 04/08/2009 - 08:25h

Olá a todos, bem após muitas pesquisas não conseguir um conteúdo com essa qualidade sei qtambém que para elaborar um tutorial deste nível leva tempo mas nada como compartilhar nossos conhecimentos pois como diz o ditado é vivendo e aprendendo. A minha sugestão é a seguinte todos que querem implementar esta solução fazermos um tuto e mandassermos para analise e no final juntaremos todas as contribuição em uma única solução para não ficar tão vazado as info como sou novato no mundo opensource ainda não conseguir implementar devido a não saber compilar um kernel e algumas outras coisas que ainda não estou familiarizado devido a esta dificuldade e acreditando que muitos como eu encontra-se nessa mesma situação sugiro que vcs elabore um tuto mais detalhada evitando assim nós levarmos uma surra de uma coisa que na primeira vista parece ser tão fácil.

No mais agradeço a todos que colaboram e em especial ao KLEBER pela iniciativa e conhecimento.


OBRIGADO.

[96] Comentário enviado por engatina em 25/08/2009 - 16:58h

olah Kleber!

estou enfrentando estes problemas na implementação, quando executei o comando testparm reportou a segunte msg:

Unknown parameter encountered: "max log size"
Ignoring unknown parameter "max log size"
Unknown parameter encountered: "load printers"
Ignoring unknown parameter "load printers"
Unknown parameter encountered: "domain master"
Ignoring unknown parameter "domain master"
Unknown parameter encountered: "passdb expand explicit"
Ignoring unknown parameter "passdb expand explicit"
Unknown parameter encountered: "ldap ssl"
Ignoring unknown parameter "ldap ssl"
Unknown enumerated value 'ads' for 'security'
params.c:pm_process() - Failed. Error returned from params.c:parse().
pm_process() returned No
Loaded smb config files from /etc/samba/smb.conf
lp_load: refreshing parameters from /etc/samba/smb.conf
Unknown parameter encountered: "max log size"
Ignoring unknown parameter "max log size"
Unknown parameter encountered: "load printers"
Ignoring unknown parameter "load printers"
Unknown parameter encountered: "domain master"
Ignoring unknown parameter "domain master"
Unknown parameter encountered: "passdb expand explicit"
Ignoring unknown parameter "passdb expand explicit"
Unknown parameter encountered: "ldap ssl"
Ignoring unknown parameter "ldap ssl"
Unknown enumerated value 'ads' for 'security'
params.c:pm_process() - Failed. Error returned from params.c:parse().
Error loading services.

o que sera que fiz de errado?

obrigado.

[97] Comentário enviado por ederpardeiro em 15/10/2009 - 10:59h

Bom dia pessoal,

Não entendo nada de Linux, sou administrador de redes windows e surgiu uma dúvida agora lendo este artigo...

Isso tudo permite que uma estação com linux ingresse em um domínio gerenciado pelo Windows Server?

Fico no aguardo,

[98] Comentário enviado por winckler em 15/10/2009 - 12:45h

Exatamente !

[99] Comentário enviado por INEM em 27/04/2010 - 07:58h

Olá,

Gostaria de colocar uma dúvida, eu segui o tutorial na medida do possível, mas no final quando vou integrar a máquina linux no AD do windows server 2003 ele dá o seguinte erro:

Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.

Ao realizar o teste para ver se o usuário se consegue autenticar com a conta dele no AD com o comando kinit ele não dá erro nenhum e de seguida com o comando klist ele apresenta o ticket com sucesso, agora este erro não estou a conseguir ultrapassar, alguém me ajuda??

Obrigado

[100] Comentário enviado por feliperl em 15/05/2010 - 00:35h

Muito bom o material! Muito bem escrito e esclarecedor.
Em termos de "Guia", acho que é o melhor que tem na NET referente ao assunto.

Dei uma lida rápida. Vou executar esses testes num Servidor Debian Lenny 5.04 e posto os resultados aqui.
Obrigado!

[101] Comentário enviado por feliperl em 27/05/2010 - 17:29h

Grande Kleber,

Estou com um problema. A hora do meu controlador de Domínio está rigorosamente igual a do meu Servidor Debian e ainda me vejo em meio a esse erro: "kinit(v5): Clock skew too great while getting initial credentials".

Já coloquei ambos com o mesmo fuso horário e sem ajustes automático do horário de verão. Você tem idéia do que pode está causando isso?

Abraços

[EDIT]

Consegui resolver. É simples!
Instalei o ntpdate para sincronizar a hora do Debian com a do WIN2k3 Server.
#apt-get install ntpdate
#ntp 192.168.0.250 //(ip do servidor)
Após isso, sincronizado!

[102] Comentário enviado por removido em 11/08/2010 - 10:17h

Parabens Kleber ...

Como nunca fiz essa integração, talvez minha pergunta seja estúpida (afinal, ninguém fez), no seu artigo você manda instalar o OpenLdap, ok ...

Porem nao necessita de nenhuma configuração alem das solicitadas durante sua instalação ?

Eu consigo colocar a maquina no dominio, o Kerberos autentica o usuario administrador, porem ele nao puxa os usuarios do AD.

Sera que isso nao tem a ver com o OPENLDAP ?

Abracos;

[103] Comentário enviado por xirux em 02/10/2010 - 22:24h

Parabéns Kl3b3r, muito bom teu guia. assim é que se constrói a mudança!!

[104] Comentário enviado por mago_dos_chats em 29/12/2010 - 15:11h

mto bom o artigo cara, so que pra configurar o samba não deu certo, sugiro utilizar configurações descritas em outro arquivo aqui no VOL : http://wiki.ubuntu-br.org/AutenticandoAD .
E so uma dica galera, pra quem receber o erro DNS update faile, crie no seu servidor de AD (windows) uma entrada de dns do tipo (A) para a estação linux que esta inserindo.

vlw...

[105] Comentário enviado por Paulo.detarcio em 03/11/2011 - 16:43h

Olá Kleber estou tentando faz algum tempo colocar o Ubuntu no dominio Windows server 2003 ambos em uma maquina virtual para teste, pesquisando pela net achei o link do seu artigo, mas como é de 2006 achei uma diferenca em um dos links dos softwares necessarios que é o do BerkeleyDB que já não está mais neste link a Oracle deve ter comprado...o endereço redireciona para o novo site mas creio que é uma boa uma atualização, voltando ao assunto principal, estou começando a por em pratica seu artigo agora e não tenho muito a dizer (por enquanto) mas ja percebi que está muito bem mais completo dos qual ví por ai.

Abraço.

[106] Comentário enviado por khayo em 28/03/2012 - 13:31h

Para instalar o BerkeleyDB procurar pelo pacote libdb
No Ubuntu

"apt-cache search libdb"

e ver qual o pacote melhor se encaixa para você

Quanto ao artigo está ótimo! Briguei um pouco aqui com a compilação dos pacotes mas consegui compilar todos, e nesse exato momento estou tentando acertar um parâmetro obsoleto (idmap)

[107] Comentário enviado por snowblack85 em 22/06/2013 - 01:18h

Olá Kleber.

Seu artigo está muito bom, deu par dar uma esclarecida muito boa, tava com muitas duvidas, nesse assunto, mais fazendo os passos descritos por você, fazendo algumas alterações, conseguir chegar até:

"net ads join -U Administrador."
Using short domain name -- DOMINIO
Joined 'PROXYVM2' to realm 'dominio.local'

No DNS domain configured for "srvproxy". Unable to perform dns update
DNS update failed!


o que pode ser.?

[108] Comentário enviado por evanf em 21/06/2016 - 12:59h

Bom dia, estou tentando colocar um pc linux no ad "net ads join -U Administrador"
e esta retornando a mensagem abaixo.
Failed to join domain: failed to find DC for domain VILARICACENTER.LOCAL

alguém já passou por isso ?
os outros testes passaram ok

att,
Evandro


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts