Passo a passo: Fedora autenticando usuários no Active Directory
Autenticar o Linux no Active Directory me tomou dias e dias de pesquisa e testes, mas no final acabou se mostrando uma tarefa mais simples do que eu poderia esperar (pelo menos no Fedora e no CentOS). Neste artigo mostro passo a passo como realizar essa configuração.
[ Hits: 87.900 ]
Por: Davidson Rodrigues Paulo em 09/10/2007 | Blog: http://davidsonpaulo.com/
Configurando o Linux: nss_ldap
Agora, edite o arquivo /etc/ldap.conf e acrescente as seguintes linhas:
Nesse exemplo, UsuarioBind é um usuário do Active Directory com permissões para acessar as informações de todos os usuários. Sem ter uma conta de usuário com tais permissões não é possível acessar o servidor LDAP do Active Directory. Se você quiser apenas fazer testes, pode usar a conta de administrador (geralmente Administrador ou Administrator, nas versões em inglês).
Salve o arquivo e feche-o. Está pronto. Verifique se o usuário que você modificou no Active Directory, adicionando os atributos Unix, está disponível:
$ id usuarioteste
uid=713(usuarioteste) gid=501(grupoteste) grupos=501(usuarioteste)
Se ocorrer algum erro, execute novamente authconfig-tui e revise o arquivo /etc/ldap.conf. Se estiver tudo correto, certifique-se de que o usuário em questão está corretamente configurado no servidor Active Directory, com todos os atributos Unix ajustados corretamente.
binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind
scope sub
nss_base_passwd dc=dominio,dc=com
nss_base_shadow dc=dominio,dc=com
nss_base_group dc=dominio,dc=com
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
bindpw senhadousuariobind
scope sub
nss_base_passwd dc=dominio,dc=com
nss_base_shadow dc=dominio,dc=com
nss_base_group dc=dominio,dc=com
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
Nesse exemplo, UsuarioBind é um usuário do Active Directory com permissões para acessar as informações de todos os usuários. Sem ter uma conta de usuário com tais permissões não é possível acessar o servidor LDAP do Active Directory. Se você quiser apenas fazer testes, pode usar a conta de administrador (geralmente Administrador ou Administrator, nas versões em inglês).
Salve o arquivo e feche-o. Está pronto. Verifique se o usuário que você modificou no Active Directory, adicionando os atributos Unix, está disponível:
$ id usuarioteste
uid=713(usuarioteste) gid=501(grupoteste) grupos=501(usuarioteste)
Se ocorrer algum erro, execute novamente authconfig-tui e revise o arquivo /etc/ldap.conf. Se estiver tudo correto, certifique-se de que o usuário em questão está corretamente configurado no servidor Active Directory, com todos os atributos Unix ajustados corretamente.
Páginas do artigo
1. Configurando o Windows Server2. Configurando o Linux: authconfig
3. Configurando o Linux: nss_ldap
4. Criação automática dos diretórios pessoais
Outros artigos deste autor
Zenwalk Core: Para quem só quer o essencial
Debian-BR CDD: Mais um excelente trabalho brazuca
Resolvendo dependências no Slackware com slackpkg
Fundamentos do sistema Linux - Gerenciadores de inicialização
Xen: Criando dom0 e domU no Fedora
Leitura recomendada
Configurando bspwm e dois monitores
Instalando o driver de placas Nvidia no Fedora 11 Leonidas
Instalando e configurando o PostgreSQL
Batalha Apache, PHP e MySQL com vestígios de versão antiga
Comentários
[2] Comentário enviado por michel5670 em 09/10/2007 - 14:18h
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
[3] Comentário enviado por foxrox em 09/10/2007 - 15:26h
Excelente artigo.
Testing on Debian
Depois posto resultado !!
Excelente artigo.
Testing on Debian
Depois posto resultado !!
[4] Comentário enviado por madurinho em 09/10/2007 - 15:54h
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
[5] Comentário enviado por carlosands em 10/10/2007 - 08:41h
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
[7] Comentário enviado por nemphilis em 10/10/2007 - 23:37h
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
[8] Comentário enviado por dfsantos em 18/10/2007 - 09:03h
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
[9] Comentário enviado por dalben em 19/10/2007 - 13:01h
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
[10] Comentário enviado por davidsonpaulo em 19/10/2007 - 13:14h
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
[11] Comentário enviado por dalben em 19/10/2007 - 13:25h
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
[12] Comentário enviado por deuz em 24/10/2007 - 12:18h
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
[13] Comentário enviado por marcoafv em 17/06/2009 - 21:27h
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
[14] Comentário enviado por fabianorebelo em 09/09/2009 - 10:37h
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
[15] Comentário enviado por fabianorebelo em 09/09/2009 - 10:52h
Pessol deu certo! Era um parametro no ldap.conf ...
Pessol deu certo! Era um parametro no ldap.conf ...
[16] Comentário enviado por mhiratasup em 17/12/2014 - 10:25h
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Excluir banco de dados no xampp (1)
phpmyadmin não abre no xampp (2)
Top 10 do mês
-
Xerxes
1° lugar - 63.370 pts -
Fábio Berbert de Paula
2° lugar - 49.335 pts -
Buckminster
3° lugar - 17.125 pts -
Mauricio Ferrari
4° lugar - 14.877 pts -
Alberto Federman Neto.
5° lugar - 13.358 pts -
Diego Mendes Rodrigues
6° lugar - 13.182 pts -
Daniel Lara Souza
7° lugar - 12.638 pts -
Andre (pinduvoz)
8° lugar - 10.030 pts -
edps
9° lugar - 9.962 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 9.797 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
