OpenLDAP e Samba (redundância)
Esse documento destina-se a realizar a configuração necessária para o funcionamento do LDAP (Master e Slave) como base para autenticação dos sistemas Linux, Samba (Master e Slave).
[ Hits: 45.478 ]
Por: Breny Ricardo Martins Coelho em 05/05/2011
Conceito
Quando utilizamos vários sistemas operacionais em uma rede, com aplicativos ou serviços instalados sobre esses sistemas, como por exemplo, sistemas de e-mail, sistemas integrado de gerenciamento da empresa, ao longo do tempo começamos a notar a dificuldade que existe em gerenciar as informações como: logins, senhas, endereço de e-mail espalhados entre esses sistemas.
Visando simplificar a forma de gerenciamento dessas informações, em 1993 foi desenvolvido o protocolo LDAP pela Universidade do Michigan para substituir o já existente protocolo DAP, que possui o mesmo objetivo, mas voltado para o modelo de rede OSI, sendo mais pesado que o LDAP atual.
A pronuncia para o nome do protocolo LDAP é "eldap".
A ideia é centralizar todas as informações e permitir que os outros sistemas em uma rede utilize essas informações para autenticar os usuários do serviço em questão. Esse documento trata o processo necessário para que o Servidor de Arquivos Linux (Samba) utilize o LDAP para realizar a autenticação dos usuários em uma rede de computadores.
Observação:
1) Notar que esse documento refere-se ao LDAP Master como o servidor LDAP Principal que será o responsável pela autenticação e o LDAP Slave que será o LDAP de redundância. A mesma configuração aplica-se aos servidores Samba, a diferença deste, é que os dois não podem funcionar ao mesmo tempo, devido a conflitos com o mesmo nome de domínio. No caso do Samba, o Samba Slave deve ser iniciado quando o Samba Master, por algum motivo ficar inoperante.
2) Notar que nesse documento é definido como Linux Master o Linux onde encontra-se instalado o LDAP Master e o Linux Slave onde encontra-se o LDAP Slave.
3) Observar que estou mantendo dois servidores Samba rodando ao mesmo tempo, mas com IPs diferentes. Dentro do arquivo de configuração dos Samba notar que a configuração do parâmetro os level deve sempre ser maior para o Samba principal (Master), não deixe com o mesmo numero para o parâmetro "os level", pois senão oi dois Samba ficarão disputando para quem vencerá a disputa LAM é como são iguais, isso ficara ad eterno, gerando conflitos e carga de rede. Os nomes Netbios deve ser diferente entre eles, para não gerar conflito de nomes entre eles.
4) Criei esse documento para registrar todos os passos e problemas encontrados por mim para implementar esse projeto na minha empresa e devido a isso toda vez que encontrar a palavra domínio em negrito, substitua pelo nome da sua empresa.
5) Toda vez que for mencionado LDAP tenha em mente que estou me referindo ao OpenLDAP.
Visando simplificar a forma de gerenciamento dessas informações, em 1993 foi desenvolvido o protocolo LDAP pela Universidade do Michigan para substituir o já existente protocolo DAP, que possui o mesmo objetivo, mas voltado para o modelo de rede OSI, sendo mais pesado que o LDAP atual.
A pronuncia para o nome do protocolo LDAP é "eldap".
A ideia é centralizar todas as informações e permitir que os outros sistemas em uma rede utilize essas informações para autenticar os usuários do serviço em questão. Esse documento trata o processo necessário para que o Servidor de Arquivos Linux (Samba) utilize o LDAP para realizar a autenticação dos usuários em uma rede de computadores.
Observação:
1) Notar que esse documento refere-se ao LDAP Master como o servidor LDAP Principal que será o responsável pela autenticação e o LDAP Slave que será o LDAP de redundância. A mesma configuração aplica-se aos servidores Samba, a diferença deste, é que os dois não podem funcionar ao mesmo tempo, devido a conflitos com o mesmo nome de domínio. No caso do Samba, o Samba Slave deve ser iniciado quando o Samba Master, por algum motivo ficar inoperante.
2) Notar que nesse documento é definido como Linux Master o Linux onde encontra-se instalado o LDAP Master e o Linux Slave onde encontra-se o LDAP Slave.
3) Observar que estou mantendo dois servidores Samba rodando ao mesmo tempo, mas com IPs diferentes. Dentro do arquivo de configuração dos Samba notar que a configuração do parâmetro os level deve sempre ser maior para o Samba principal (Master), não deixe com o mesmo numero para o parâmetro "os level", pois senão oi dois Samba ficarão disputando para quem vencerá a disputa LAM é como são iguais, isso ficara ad eterno, gerando conflitos e carga de rede. Os nomes Netbios deve ser diferente entre eles, para não gerar conflito de nomes entre eles.
4) Criei esse documento para registrar todos os passos e problemas encontrados por mim para implementar esse projeto na minha empresa e devido a isso toda vez que encontrar a palavra domínio em negrito, substitua pelo nome da sua empresa.
5) Toda vez que for mencionado LDAP tenha em mente que estou me referindo ao OpenLDAP.
Páginas do artigo
1. Conceito2. Configurando Samba e LDAP
Outros artigos deste autor
Política de segurança com o Samba
Criando disquetes de inicialização
Configurando uma OpenVPN com o BRMA
Implementando um servidor de domínio
Leitura recomendada
Configurando servidor Samba como Workgroup no Slackware
Configurando o Samba no Red Hat
Samba com autenticação simples e lixeira
Inserindo o recurso de LIXEIRA nos compartilhamentos Samba
Comentários
[1] Comentário enviado por fernandoborges em 05/05/2011 - 21:20h
Assunto complexo e longo, bem abordado. Parabéns pelo artigo!
Assunto complexo e longo, bem abordado. Parabéns pelo artigo!
[2] Comentário enviado por ricardoolonca em 06/05/2011 - 11:43h
Ótimo artigo. Bem completo e de fácil entendimento. Vou gravá-lo em meus favoritos, pois pretendo usá-lo em breve.
Parabéns.
Ótimo artigo. Bem completo e de fácil entendimento. Vou gravá-lo em meus favoritos, pois pretendo usá-lo em breve.
Parabéns.
[3] Comentário enviado por nunonaweb em 07/05/2011 - 03:50h
Parabéns vou testar semana que vem em vm´s.
Abraço
Parabéns vou testar semana que vem em vm´s.
Abraço
[4] Comentário enviado por alexandre27 em 06/07/2011 - 18:59h
Artigo muito bom!!!!
Eu queria utilizar esse tutorial numa máquina rodando Ubuntu (é para um pequeno projeto da escola e é com o ubuntu que estou mais acostumado) e gostava de saber se os pacotes são os mesmos ou se tenho que achar as versões deb deles. Ou então se me recomenda utilizar o red hat enterprise mesmo.
Se tudo funcionar pode contar com um agradecimento (sei que não vale muito...) no inicio da apresentação pelo fantástico tutorial. :)
Obrigado...abraço.
Artigo muito bom!!!!
Eu queria utilizar esse tutorial numa máquina rodando Ubuntu (é para um pequeno projeto da escola e é com o ubuntu que estou mais acostumado) e gostava de saber se os pacotes são os mesmos ou se tenho que achar as versões deb deles. Ou então se me recomenda utilizar o red hat enterprise mesmo.
Se tudo funcionar pode contar com um agradecimento (sei que não vale muito...) no inicio da apresentação pelo fantástico tutorial. :)
Obrigado...abraço.
[5] Comentário enviado por genixsky em 06/07/2011 - 20:43h
Boa noite Alexandre27.
Então não testei com o Debian ou Ubuntu, mas em tese, deve funcionar sim, você precisa utilizar as versões iguais ou maiores das que eu utilizei, porque independente da distribuição Linux que utilizamos, todos os pacotes, tanto base Debian (Ubuntu) como base Red Hat (Centos) são criados do mesmo código fonte, a final somos livres!! Recomendo você utilizar a distribuição que você mais gosta e que se sinta confortável com ela. Você pode me dar uma ajuda divulgando os meus sites:
http://genixsky.blogspot.com/
http://sites.google.com/site/genixsky/
O meu twitter: @brenyricardo
Mantenho tambem um grupo no Google, procure por: Linux_Oracle_TI
Já uso Distribuições Red Hat desde 1997, mas o Ubuntu também é uma ótima distribuição, só não estou acostumado com a mesma.
Todos os meus documentos publicados aqui no VOL estão lá, em versões mais atuais, erros que encontro e por ai vai ...
Boa noite Alexandre27.
Então não testei com o Debian ou Ubuntu, mas em tese, deve funcionar sim, você precisa utilizar as versões iguais ou maiores das que eu utilizei, porque independente da distribuição Linux que utilizamos, todos os pacotes, tanto base Debian (Ubuntu) como base Red Hat (Centos) são criados do mesmo código fonte, a final somos livres!! Recomendo você utilizar a distribuição que você mais gosta e que se sinta confortável com ela. Você pode me dar uma ajuda divulgando os meus sites:
http://genixsky.blogspot.com/
http://sites.google.com/site/genixsky/
O meu twitter: @brenyricardo
Mantenho tambem um grupo no Google, procure por: Linux_Oracle_TI
Já uso Distribuições Red Hat desde 1997, mas o Ubuntu também é uma ótima distribuição, só não estou acostumado com a mesma.
Todos os meus documentos publicados aqui no VOL estão lá, em versões mais atuais, erros que encontro e por ai vai ...
[6] Comentário enviado por alexandre27 em 12/07/2011 - 19:29h
Já consegui configurar o servidor mas na hora de adicionar máquinas windows ao dominio ele pede para alterar a pass do utilizador...
Estou usando a conta administrator que tem no ldap para adicionar máquinas (tem permissões para isso).
Eu usei um comando que tem na net:
ldappasswd -A -x -D "cn=admin,dc=dominio,dc=ldap" -w "pass do admin" -S administrator
mas ele me dá um erro na sintaxe do dn...será que me pode ajudar a corrigir o comando para poder alterar a pass?
Já falei do seu site para os meus amigos e deu um jeitaço para alguns que precisavam de ideias para os seus trabalhos...
Continue com o bom trabalho e obrigado por partilhar os seus conhecimentos!! :)
Já consegui configurar o servidor mas na hora de adicionar máquinas windows ao dominio ele pede para alterar a pass do utilizador...
Estou usando a conta administrator que tem no ldap para adicionar máquinas (tem permissões para isso).
Eu usei um comando que tem na net:
ldappasswd -A -x -D "cn=admin,dc=dominio,dc=ldap" -w "pass do admin" -S administrator
mas ele me dá um erro na sintaxe do dn...será que me pode ajudar a corrigir o comando para poder alterar a pass?
Já falei do seu site para os meus amigos e deu um jeitaço para alguns que precisavam de ideias para os seus trabalhos...
Continue com o bom trabalho e obrigado por partilhar os seus conhecimentos!! :)
[7] Comentário enviado por genixsky em 12/07/2011 - 20:04h
Boa noite alexandre27
Se você executar o comando:
ldapsearch -x -b "dc=dominio,dc=com,dc=br"
O LDAP traz informações das contas existentes no Linux e as quais foram importadas?
Pode ser que o Samba não saiba da senha do admin do LDAP, execute o comando abaixo para informar ao Samba quem é o administrador e qual é a senha dele:
smbpasswd –w (Senha do rootdn)
execute o comando:
tail -f -n150 /var/log/messages e em outro bash execute o procedimento que você esta tentando para ver se o Linux fala alguma coisa e envie o log para o meu grupo: linux_oracle_ti@googlegroups.com
Outra duvida, você criou a conta do micro que você esta tentando adicionar dentro do LDAP executando o comando abaixo?
smbldap-useradd -w username (troque a palavra username pelo o nome netbios do micro)
Na configuração de rede do micro, aponte como servidor wins o ip do equipamento que esta com o Samba
Não é necessario alterar a senha do administrador do LDAP, caso você a altere, será necessário informar isso para o Samba.
Boa noite alexandre27
Se você executar o comando:
ldapsearch -x -b "dc=dominio,dc=com,dc=br"
O LDAP traz informações das contas existentes no Linux e as quais foram importadas?
Pode ser que o Samba não saiba da senha do admin do LDAP, execute o comando abaixo para informar ao Samba quem é o administrador e qual é a senha dele:
smbpasswd –w (Senha do rootdn)
execute o comando:
tail -f -n150 /var/log/messages e em outro bash execute o procedimento que você esta tentando para ver se o Linux fala alguma coisa e envie o log para o meu grupo: linux_oracle_ti@googlegroups.com
Outra duvida, você criou a conta do micro que você esta tentando adicionar dentro do LDAP executando o comando abaixo?
smbldap-useradd -w username (troque a palavra username pelo o nome netbios do micro)
Na configuração de rede do micro, aponte como servidor wins o ip do equipamento que esta com o Samba
Não é necessario alterar a senha do administrador do LDAP, caso você a altere, será necessário informar isso para o Samba.
[8] Comentário enviado por alexandre27 em 13/07/2011 - 19:56h
O comando que necessitava era o smbpasswd...já não tem o problema da pass só que na hora de adicionar o computador ao dominio ele diz que "o nome de rede especificado não está mais disponível"
Eu tou usando o vmware e gostaria que me ajudasse a descobrir se esse erro tem a ver com a configuração do servidor ou é mais provável ser um problema com a rede do vmware. Nos testes no servidor nunca tive problema por isso achar que seja um problema da rede.
Obrigado.
O comando que necessitava era o smbpasswd...já não tem o problema da pass só que na hora de adicionar o computador ao dominio ele diz que "o nome de rede especificado não está mais disponível"
Eu tou usando o vmware e gostaria que me ajudasse a descobrir se esse erro tem a ver com a configuração do servidor ou é mais provável ser um problema com a rede do vmware. Nos testes no servidor nunca tive problema por isso achar que seja um problema da rede.
Obrigado.
[9] Comentário enviado por genixsky em 14/07/2011 - 09:11h
Bom dia alexandre27. O micro windows que vc tem virtualizado consegue pingar normalmente o servidor? Provavelmente sim.
No ambiente de rede com o Windows, você consegue navegar e encontrar o dominio ou até mesmo o controlador?
O Windows esta apresentando problemas de navegação na rede netbios, verifique isso acima para ver se o mesmo consegue localizar, caso ele não consiga, então realmente tem alguma coisa haver com a nomeação netbios da sua estação Windows.
Bom dia alexandre27. O micro windows que vc tem virtualizado consegue pingar normalmente o servidor? Provavelmente sim.
No ambiente de rede com o Windows, você consegue navegar e encontrar o dominio ou até mesmo o controlador?
O Windows esta apresentando problemas de navegação na rede netbios, verifique isso acima para ver se o mesmo consegue localizar, caso ele não consiga, então realmente tem alguma coisa haver com a nomeação netbios da sua estação Windows.
[10] Comentário enviado por alexandre27 em 14/07/2011 - 19:45h
Ao fazer o ping as máquinas comunicam e como o windows já está no mesmo workgroup do servidor ele mostra na parte dos computadores em rede o samba pdc (acho que serve para aceder apenas aos ficheiros em vez de fazer o login no micro) mas depois de introduzir as credenciais dá me o mesmo erro...o nome do windows está pc1 não sei se é esse o problema
Ao fazer o ping as máquinas comunicam e como o windows já está no mesmo workgroup do servidor ele mostra na parte dos computadores em rede o samba pdc (acho que serve para aceder apenas aos ficheiros em vez de fazer o login no micro) mas depois de introduzir as credenciais dá me o mesmo erro...o nome do windows está pc1 não sei se é esse o problema
[11] Comentário enviado por genixsky em 15/07/2011 - 10:05h
Bom dia Alexandre27.
Execute o comando abaixo enquanto realizar os testes para verificar o que o Linux loga enquanto você executa os procedimentos abaixo, envie essas linhas de log para o meu grupo: linux_oracle_ti@googlegroups.com
Realize a verificação e alteração se necessário:
1.) Você cadastrou a conta da máquina Windows no LDAP, caso não tenha feito, execute o comando abaixo:
smbldap-useradd -w nome_do_micro_windows_que_você_esta_integrando
2.) Esse passo não esta documentado, vou documentar!
Você adicionou o administrador do LDAP no grupo de Administradores do Samba, execute o comando abaixo para realizar esse procedimento:
smbldap-usermod administrador -g administrador -G "Domain Admins"
Bom dia Alexandre27.
Execute o comando abaixo enquanto realizar os testes para verificar o que o Linux loga enquanto você executa os procedimentos abaixo, envie essas linhas de log para o meu grupo: linux_oracle_ti@googlegroups.com
Realize a verificação e alteração se necessário:
1.) Você cadastrou a conta da máquina Windows no LDAP, caso não tenha feito, execute o comando abaixo:
smbldap-useradd -w nome_do_micro_windows_que_você_esta_integrando
2.) Esse passo não esta documentado, vou documentar!
Você adicionou o administrador do LDAP no grupo de Administradores do Samba, execute o comando abaixo para realizar esse procedimento:
smbldap-usermod administrador -g administrador -G "Domain Admins"
[12] Comentário enviado por m4sk4r4 em 17/10/2011 - 15:03h
Parabéns pelo artigo!!!
Veja se você pode me ajudar, eu consigo rodar um script bat no logon dos usuários, consigo alterar papel de parade, mas não consigo alterar as chaves referentes a bloquear painel de controle, opções do internet explorer e bloquear o USB.
Eu recebo a mensagem:
Error: Acesso negado.
Tentei alterar direto pelo regedit, com a conta do próprio usuário, e também não consegui!
Você teria alguma ideia?
Eu uso Samba + OpenLdap
Abraço,
Parabéns pelo artigo!!!
Veja se você pode me ajudar, eu consigo rodar um script bat no logon dos usuários, consigo alterar papel de parade, mas não consigo alterar as chaves referentes a bloquear painel de controle, opções do internet explorer e bloquear o USB.
Eu recebo a mensagem:
Error: Acesso negado.
Tentei alterar direto pelo regedit, com a conta do próprio usuário, e também não consegui!
Você teria alguma ideia?
Eu uso Samba + OpenLdap
Abraço,
[13] Comentário enviado por cramoslack em 02/11/2011 - 12:45h
Amigos desculpe a ignorância mas estou tentando instalar o openldap no Centos06, mas pq que toda vez que vou adicionar alguma base ldif o mesmo apresenta a seguinte mensagem: ldap_bind: Invalid credentials (49)
já criei outra senha e nada,
A principio pensei que fosse o selinux ou alguma coisa do iptables.....
será que alguem pode me ajudar, estou nessa a um tempão e ainda não consegui uma solução.
Amigos desculpe a ignorância mas estou tentando instalar o openldap no Centos06, mas pq que toda vez que vou adicionar alguma base ldif o mesmo apresenta a seguinte mensagem: ldap_bind: Invalid credentials (49)
já criei outra senha e nada,
A principio pensei que fosse o selinux ou alguma coisa do iptables.....
será que alguem pode me ajudar, estou nessa a um tempão e ainda não consegui uma solução.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.088 pts -
Fábio Berbert de Paula
2° lugar - 48.473 pts -
Buckminster
3° lugar - 18.390 pts -
Mauricio Ferrari
4° lugar - 14.585 pts -
Alberto Federman Neto.
5° lugar - 13.312 pts -
Diego Mendes Rodrigues
6° lugar - 12.662 pts -
Daniel Lara Souza
7° lugar - 12.520 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.866 pts -
Andre (pinduvoz)
9° lugar - 10.691 pts -
edps
10° lugar - 10.304 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
