Política de segurança com o Samba

cara excelente seu artigo, assim que poder vou coloca-la em prática.!
Parabéns.
Mas agora vai pro favoritos.

Gostei muito do artigo, será de grande proveito.

Sempre achei o AD o salvador da pátria nos servidores Windows, porque não via como fazer o que é proposto neste artigo sem o AD.

Utilizando LPDA e sofisticando esta bath, fazendo com que determinadas regras sejam habilitadas ou desabilitadas dependendo do usuário e sofisticando um pouco mais, desenvolvendo uma interface produtiva, para identificarmos o que cada usuário pode fazer, qual a funcionalidade prática fornecidas pelo AD que não poderia ser atendida com esta solução? Em outras palavras, o que o AD teria a mais?

Muito bom o artigo, mas acho que ainda falta no samba uma ferramenta gráfica para auxiliar esses bloqueios, pois sempre que implemento um servidor desse tipo em uma empresa, a pessoa do cpd que normalmente não mexe muito com linux ela fica amarrada, e tudo que vai fazer tem que ficar me ligando, pois não consegue decorar as linhas de comando... Quanto as ferramentas existentes no mercado para configurar o samba já testei várias mas nenhuma agradou. A facilidade do AD. deixa o usuario mais a vontade para mexer no seu próprio servidor sem depender muito do técnico. Mas como o Edupersoft disse, se complementarmos esse script com permissoes definidas por usuário, mapeamentos automaticos de impressoras, por grupo de usuário vai ajudar muito.. Outra opção seria de colocar perfis móveis dentro do script, assim poderiamos usar esse script como parte integrante de servidores samba com pdc... Mas meus parabéns mesmo ao artigo, vejo que com isso já é um passo para se igualarmos ainda mais ao AD. Que na minha umilde opinião é a unica coisa no windows que funciona melhor que no linux.

Abraços

Tiago Dib.

Boa tarde edupersoft.

Já trabalhei um bom tempo com o AD da Microsoft, ele fornece bastante funcionalidade e facilidades que o Samba ainda não fornece, mas vai fornecer com o tempo, tenho certeza disso, uma funcionalidade básica e muito útil tenho q admitir é que no AD podemos controlar todas as configurações, políticas de acesso, execução de programas, quando esses estão também disponibilizados pelo Terminal Service, políticas de utilização e integração do Exchange, coisas do gênero que os programadores da Microsoft tiverem muito tempo para aperfeiçoar, o Samba é uma ótima ferramenta, mas ainda falta essas facilidades, coisa que não é impossível. Os administradores do Samba dependem muito de scripts para realizar certas configurações, não conheço até o momento nenhuma ferramenta gráfica que realizar todas as configurações possiveis com o Samba, juntando o fato que estou falando somente do Samba que no seu propósito básico de funcionamento é utilizado para compartilhar arquivos, quando somamos isso com a tarefa de gerenciar autenticação de usuários, recursos de hardwares compartilhados, como por exemplo, impressoras com certeza precisamos utilizar o LDAP, mas estou a seis meses pesquisando uma forma de integrar o Samba, LDAP, CUPS, NIS em um único produto gráfico que consiga dessa formar diminuir as distâncias com o pessoal da Microsoft.

Concordo com o que o tiagodib escreveu, esse é um ponto que será sanado ao longo do tempo, mas no momento também não conheço uma ferramenta.
Uma grande dificuldade que eu encontro com o Linux e Samba e no meu ponto de vista é um "ponto falho" no Linux é a maneira como ele trata as permissões de arquivos, ou seja, ele oferece três níveis de permissão, dono, grupo e outros, ou seja, 777 juntando com a mascara de permissão do sistema, esse funcionamento me deixa um pouco preso com o que posso deixar como permissão para os arquivos e já enfreitei bastantes problemas ao compartilhar arquivos, mas como sempre no Linux conseguimos burlar essas limitações, mas seria ótimo contar com mais níveis de permissões, como por exemplo, os níveis de permissão que existem no Novell, posso estar enganado, mas já utilizo Linux dede 1997, mas até agora foi o único "ponto falho" que encontrei.

Ótimo artigo... PARABÉNS!!

Ótimo artigo, eu estou vendo um Front-end para configurar o samba + OpenLDAP e cheguei ao kya panel


http://www.jeguepanel.net/


Ainda estou vendo as funcionalidades dele...


Eduardo

Lindo artigo... + favoritos...

[]'s
Marcos Miras
atmsystem.com.br

Excelente artigo
Valeu ;-)
TSANCHES

Artigo muito bom, mais do que usar o script, abriu caminho para novas configurações, utilizei-o e junto com isso utilizei a funcionalidade de perfis móveis. Adicionei mais algumas configurações da mesma linha e tive um resultado muito bom que agradou muito. Enquanto a migração total para linux não acontece por aki os 50% que ainda utilizam o windão vão trabalhando de forma mais eficiente.

Para quem não sabe, o Samba 4 terá compatibilidade com Active Directory, terá servidor LDAP integrado (ou seja, acabaram todos aqueles processos de instalar LDAP e integrar com o Samba), e, pelo que vi, terá administração web.

Bom dia asrocha é possível utilizar o perfil móvel, apesar de não utilizar nos sites, pois costuma deixar a rede lenta e o processo de logon de usuário mais demorado, ainda não consegui descobrir uma maneira de ativar o perfil móvel somente para alguns usuários, ai seria ideal para mim, pois nem todos precisam usar.

Ótimo artigo... se alguém saber como resolver a dúvida do amigo genixsky, por favor compartilhem, tb preciso dessa solução..

Qual linha eu adiciona no script pra restringir a instalação de novos programas pelo usuário e "esconder" o drive C:?

Bom dia AllanC.
Os procedimentos de alterar o Windows através do registro funciona com esse procedimento descrito aqui, mas é preciso pesquisar na net quais são as linhas necessárias para cada tarefa.

Parabens pelo material, achei otimo, para uso em rede onde nao utilizamos um AD ou um police nos terminais, vistoque desta forma travamos todos atraves do script.
Mas acredito que o ideal seria ter uma politica individual utilizando um tweak ou police para dar seguranca aos terminais, pois podemos ter configuracoes individualizadas alem de diversas versoes de sistemas.

genixsky:

As permissões no Linux podem ser incrementadas com ACLs no sistema de arquivos.

Veja esse artigo antigo: http://br-linux.org/artigos/dicas_acl.htm

Lembrando que o sistema de arquivos tem que estar montado com acl, mais informações, man mount e man acl ;P

UM OTIMO ARTIGO, MAS É IMPORTANTE SABER QUE PARA FUNCIONAR UM SCRIPT DE LOGON QUE GRAVE INFORMAÇÕES NA CHAVE HKEY_LOCAL_MACHINE, ESSE USUARIO DEVER SER ADMINISTRADOR LOCAL E QUALQUER USUARIO CRIADO NO SAMBA É SIMPLESMENTE UM USUARIO LIMITADO, PELO TEMPO QUE TRABALHO COM IMPLEMENTAÇÃO DE SERVIDORES, NÃO CONSEGUIR ACHAR UMA FERRAMENTA QUE FAÇA ISSO PRO MUNDO LINUX.

Boa noite meison.

Realmente isso é verdade, mas todos os usuários na minha rede são administradores da estação de trabalho, não é uma boa idéia mante-los como tal, mas as linhas que eu utilizo nos scripts bloqueiam os mesmos para realizar alterações nas estações e desse modo se comportam como usuários normais.
Criei um script no Linux que se conecta em cada estação na rede em horários estipulados e verifica os logs das mesmas e se houve alterações no Windows das estações, reportando qualquer alteração para o meu e-mail e caso encontre arquivos proíbidos como mp3, vídeos e outros estipulados sou alertado tambem.
Estou desenvolvendo um outro script que levanta o inventário das estações, como hardware de cada uma, software instalados, mas ta um pouco enrolado, pois a Microsoft não libera certas informações que eu preciso, entao estou atras de programas de engenharia reversa para tentar descobrir como que o Windows se comporta em certas situações.
Assim que o mesmo estiver pronto e validado eu posto no VOL.

Bom dia, genixsky.
Muito bom artigo, parabéns. Mas estou com um problema ... o que nosso amigo meison citou. Quando o usuário faz logon e começa a executar o escript, ele da "Acesso Negado". Pode me dar uma dica de como mudar o perfil dos meus usuários samba para administrador?

Desde já agradeço a atenção.
[]'s

Olá frajolitzz,

Você não precisa (não recomendo) mudar os perfis dos usuarios para administradores. Dessa forma, qualquer usuário pode sair instalando qualquer coisa na estação, inclusive. Quando o usuário é apenas usuário, ele não mexe nas coisas do sistema (arquivos do sistema).
Já me deparei com esse problema e encontrei a solução utilizando no samba, o mesmo modelo de GPO's utilizado no windows. Uma política em GPO utiliza "espelhamento de registro", ou seja, usa os valores do registro que estão na GPO (temporariamente em cada sessão) e dessa forma o registro da estação permanece limpo e intacto. Sem contar que essa política é implementada pelo próprio sistema e não pelo usuário.

Caso queira, mando um tutorial.

Espero ter contribuido de qualquer forma.

Grato,

João Sales

Oi João,

Se puder cara, me passa o link do tutorial que vou estudar um pouco.
Muito obrigado.

Abraço.

Frederico Oliveira

Eai joaosalless ..

Posta o tutorial aki no vol, ou um link para que possamos baixá-lo, isto também me interessa..

Abraço

Boa tarde pessoal.
Espero que esse artigo esteja conseguindo ajudar vocês. Abraços.

Joaosalles,

Por favor disponibiliza este tutorial, vai ser de grande ajuda para mim.

Grande Abraço e obrigado pela iniciativa.

Muito bom seu material.

;D

Caro Colega genixsky

Li o seu comentário de " genixsky em 20/06/2008 - 15:47h:1"

Já pesquisou sobre ACL, no sistema de arquivos?

Não é uma facilidade do Samba e sim do sistema de Arquivos, este recurso resolveu meus problemas de permissão, pois no final fica muito parecido com o do windows mas sempre respeitando o modo Linux do chmod.

Abraço

Parabens

Muito bom seu artigo


Abraço

Alguem sabe como colocar para a aparencia do windows sempre fique com a aparencia do windows 98??? Ja procurei mais nao consegui achar ...

Pessoal, estou realizando a publicação também eu meu blog: http://genixsky.blogspot.com pois lá eu consigo manter os documentos atualizados.