Política de segurança com o Samba
Esse artigo descreve os procedimentos para configurar um Política de Segurança no Samba, não da mesma forma que é feita no AD com as GPOs, mas funciona com semelhança, pois esse método no Samba utiliza o registro do próprio Windows, da mesma forma que o GPO faz por baixo dos panos.
[ Hits: 53.937 ]
Por: Breny Ricardo Martins Coelho em 20/06/2008
Criando o script com a política de segurança
Agora que as configurações necessárias para que o script seja executado estão feitas, vamos começar a entender o seu conteúdo, é importante saber que qualquer parâmetro configurado para o registro do Windows pode ser aplicado nesse script, sendo necessário realizar uma pesquisa na net a fim de descobrir as configurações que podem ser aplicadas através do registro do Windows. Tenham cuidado ao aplicar essas linhas, verifique se as mesmas condizem com o registro do Windows em questão e sejam cautelosos.
rem O net use é utilizado para mapear os compartilhamentos do servidor na estação em forma de letra de unidades:
net use f: \\smbpdc\administrador
rem O net time faz com que ao logar na estação, a mesma sincronize o horário com o Samba e para esse comando funcionar é necessário que você configure o parâmetro "time server = yes" no smb.conf, dessa forma ao alterar a hora no servidor os computadores irão aplicar essa hora. Tome cuidado com o localtime e horário de verão, nesse período do ano podem ocorrer horários incorretos por causa do nosso horário de verão, mas algo simples de ser solucionado se acontecer.
net time \\smbpdc /set /yes
rem Nesse ponto eu estou utilizando o programa do Windows chamado de servidor de registro de dlls, normalmente conhecido como REGSVR32, eu utilizo o mesmo para registrar as dlls de um programa integrado escrito em VB e utilizado na empresa, ainda não entendi por que os programadores precisam que essas dlls sejam sempre registradas quando acontece alguma mudança no código, coisas de programador. Por curiosidade, o parâmetro /s no final é para não ser exibida qualquer mensagem.
C:\WINDOWS\system32\REGSVR32 c:\asctrls.ocx /s
rem Caso queira comentar a linha, no Linux utilizamos o "#" e no dos utilizamos "rem".
rem
rem DESATIVA O PAINEL DE CONTROLE DO WINDOWS.
rem Para ativar ou desativar essa o efeito dessa linha é necessário colocar 1 para bloquear (ativar) ou 0 para liberar
rem (desativar), # trocando o último caractere do parâmetro REG_DWORD de:
rem REG_DWORD /d 00000001/f para REG_DWORD /d 00000000 /f, esse procedimento é utilizado nos parâmetros
rem seguintes, só irei colocar daqui em diante o que significa o 0 e o 1.
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REG_DWORD /d 00000000 /f
rem DESATIVA PENDRIVE E DISPOSITIVO DE ARMAZENAMENTO USB 4=Bloqueia 0=Libera
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t REG_DWORD /d 00000000 /f
rem CONFIGURA WSUS NAS ESTAÇÕES
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate" /v WUServer /t REG_SZ /d http://wsuspanda /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d http://wsuspanda /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 00000004 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v AutoInstallMinorUpdates /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v DetectionFrequency /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v DetectionFrequencyEnabled /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 00000000 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v RescheduleWaitTime /t REG_DWORD /d 000000012 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v RescheduleWaitTimeEnabled /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 00000000 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 000000014 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 00000001 /f
rem BLOQUEIA A ALTERAÇÃO DO PAPEL DE PAREDE NA ÁREA DE TRABALHO
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDesktopCleanupWizard /t REG_DWORD /d 0x00000000 /f
rem DESATIVA A LIMPEZA DOS ÍCONES NÃO UTILIZADOS NA ÁREA DE TRABALHO
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDesktopCleanupWizard /t REG_DWORD /d 0x00000000 /f
rem REMOVE MENUS PERSONALIZADOS
rem 1=Desativa 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v Intellimenus /t REG_DWORD /d 0x00000000 /f
rem BLOQUEIA A BARRA DE TAREFAS DO WINDOWS
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v LockTaskbar /t REG_DWORD /d 0x00000000 /f
rem CONFIGURA O MENU INICIAR COM O ESTILO CLÁSSICO, ESTILO WINDOWS 98
rem ESTILO CLÁSSICO = 1
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSimpleStartMenu /t REG_DWORD /d 0x00000001 /f
rem
rem ACELERA O MENU INICIAR
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v MenuShowDelay /t REG_SZ /d 0 /f
reg add "HKEY_USERS\.DEFAULT\Control Panel\Desktop" /v MenuShowDelay /t REG_SZ /d 0 /f
rem DESATIVA A NOTIFICAÇÃO DE ANTIVÍRUS DESATUALIZADO
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA A NOTIFICAÇÃO DE FIREWALL DESATIVADO
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v FirewallDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA A NOTIFICAÇÃO DE ATUALIZAÇÃO AUTOMÁTICA
rem 1=Desativa 0=Ativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v UpdatesDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA O MSN
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Messenger\Client" /v PreventRun /t REG_DWORD /d 0x00000001 /f
rem DESATIVA O FIREWALL DO WINDOWS
rem 1=Ativa 0=Desativa
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v EnableFirewall /t REG_DWORD /d 0x00000000 /f
rem LIMPA OS ARQUIVOS TEMPORÁRIOS DO INTERNET EXPLORER
rem 0=Ativa 1=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache" /v Persistent /t REG_DWORD /d 0x00000000 /f
rem ESCONDE A PÁGINA PARA CONFIGURAÇÃO DE TEMAS
rem 1=Ativa 0=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoThemesTab /t REG_DWORD /d 0x00000000 /f
rem NÃO PERMITE QUE O USUÁRIO DELETE AS IMPRESSORAS
rem 1=Ativa 0=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDeletePrinter /t REG_DWORD /d 0x00000000 /f
rem EXIBE O BOTÃO LOGOFF NO MENU INICIAR
rem 1=Exibe 0=N�o exibe
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v ForceStartMenuLogoff /t REG_DWORD /d 0x00000001 /f
rem EXIBE ARQUIVOS OCULTOS NO WINDOWS EXPLORER E MEU COMPUTADOR
rem Exibir Arquivos=1 | Ocultar Arquivos=0
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t REG_DWORD /d 0x00000001 /f
rem DEFINE A PÁGINA INICIAL DO INTERNET EXPLORER
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "www.minhapagina.com.br" /f
rem BLOQUEIA ALTERAÇÃO DA PÁGINA INICIAL
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer"
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel"
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v homepage /t REG_DWORD /d 0x00000001 /f
rem DEFINE O PAPEL DE PAREDE DA ÁREA DE TRABALHO, essa configuração pode ser utilizada, copiando o arquivo de imagem para o diretório netlogon, onde todos possuem acesso e apontando essa configuração para esse diretório.
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ConvertedWallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v OriginalWallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
net use f: \\smbpdc\administrador
rem O net time faz com que ao logar na estação, a mesma sincronize o horário com o Samba e para esse comando funcionar é necessário que você configure o parâmetro "time server = yes" no smb.conf, dessa forma ao alterar a hora no servidor os computadores irão aplicar essa hora. Tome cuidado com o localtime e horário de verão, nesse período do ano podem ocorrer horários incorretos por causa do nosso horário de verão, mas algo simples de ser solucionado se acontecer.
net time \\smbpdc /set /yes
rem Nesse ponto eu estou utilizando o programa do Windows chamado de servidor de registro de dlls, normalmente conhecido como REGSVR32, eu utilizo o mesmo para registrar as dlls de um programa integrado escrito em VB e utilizado na empresa, ainda não entendi por que os programadores precisam que essas dlls sejam sempre registradas quando acontece alguma mudança no código, coisas de programador. Por curiosidade, o parâmetro /s no final é para não ser exibida qualquer mensagem.
C:\WINDOWS\system32\REGSVR32 c:\asctrls.ocx /s
rem Caso queira comentar a linha, no Linux utilizamos o "#" e no dos utilizamos "rem".
rem
rem DESATIVA O PAINEL DE CONTROLE DO WINDOWS.
rem Para ativar ou desativar essa o efeito dessa linha é necessário colocar 1 para bloquear (ativar) ou 0 para liberar
rem (desativar), # trocando o último caractere do parâmetro REG_DWORD de:
rem REG_DWORD /d 00000001/f para REG_DWORD /d 00000000 /f, esse procedimento é utilizado nos parâmetros
rem seguintes, só irei colocar daqui em diante o que significa o 0 e o 1.
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoControlPanel /t REG_DWORD /d 00000000 /f
rem DESATIVA PENDRIVE E DISPOSITIVO DE ARMAZENAMENTO USB 4=Bloqueia 0=Libera
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR" /v Start /t REG_DWORD /d 00000000 /f
rem CONFIGURA WSUS NAS ESTAÇÕES
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate" /v WUServer /t REG_SZ /d http://wsuspanda /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate" /v WUStatusServer /t REG_SZ /d http://wsuspanda /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v AUOptions /t REG_DWORD /d 00000004 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v AutoInstallMinorUpdates /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v DetectionFrequency /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v DetectionFrequencyEnabled /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v NoAutoRebootWithLoggedOnUsers /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v NoAutoUpdate /t REG_DWORD /d 00000000 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v RescheduleWaitTime /t REG_DWORD /d 000000012 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v RescheduleWaitTimeEnabled /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v ScheduledInstallDay /t REG_DWORD /d 00000000 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v ScheduledInstallTime /t REG_DWORD /d 000000014 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\WindowsUpdate\AU" /v UseWUServer /t REG_DWORD /d 00000001 /f
rem BLOQUEIA A ALTERAÇÃO DO PAPEL DE PAREDE NA ÁREA DE TRABALHO
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDesktopCleanupWizard /t REG_DWORD /d 0x00000000 /f
rem DESATIVA A LIMPEZA DOS ÍCONES NÃO UTILIZADOS NA ÁREA DE TRABALHO
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDesktopCleanupWizard /t REG_DWORD /d 0x00000000 /f
rem REMOVE MENUS PERSONALIZADOS
rem 1=Desativa 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v Intellimenus /t REG_DWORD /d 0x00000000 /f
rem BLOQUEIA A BARRA DE TAREFAS DO WINDOWS
rem 1=Bloqueia 0=Libera
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v LockTaskbar /t REG_DWORD /d 0x00000000 /f
rem CONFIGURA O MENU INICIAR COM O ESTILO CLÁSSICO, ESTILO WINDOWS 98
rem ESTILO CLÁSSICO = 1
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoSimpleStartMenu /t REG_DWORD /d 0x00000001 /f
rem
rem ACELERA O MENU INICIAR
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v MenuShowDelay /t REG_SZ /d 0 /f
reg add "HKEY_USERS\.DEFAULT\Control Panel\Desktop" /v MenuShowDelay /t REG_SZ /d 0 /f
rem DESATIVA A NOTIFICAÇÃO DE ANTIVÍRUS DESATUALIZADO
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v AntiVirusDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA A NOTIFICAÇÃO DE FIREWALL DESATIVADO
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v FirewallDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA A NOTIFICAÇÃO DE ATUALIZAÇÃO AUTOMÁTICA
rem 1=Desativa 0=Ativa
reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center" /v UpdatesDisableNotify /t REG_DWORD /d 0x00000001 /f
rem DESATIVA O MSN
rem 0=Ativa 1=Desativa
reg add "HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Messenger\Client" /v PreventRun /t REG_DWORD /d 0x00000001 /f
rem DESATIVA O FIREWALL DO WINDOWS
rem 1=Ativa 0=Desativa
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v EnableFirewall /t REG_DWORD /d 0x00000000 /f
rem LIMPA OS ARQUIVOS TEMPORÁRIOS DO INTERNET EXPLORER
rem 0=Ativa 1=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Cache" /v Persistent /t REG_DWORD /d 0x00000000 /f
rem ESCONDE A PÁGINA PARA CONFIGURAÇÃO DE TEMAS
rem 1=Ativa 0=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoThemesTab /t REG_DWORD /d 0x00000000 /f
rem NÃO PERMITE QUE O USUÁRIO DELETE AS IMPRESSORAS
rem 1=Ativa 0=Desativa
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDeletePrinter /t REG_DWORD /d 0x00000000 /f
rem EXIBE O BOTÃO LOGOFF NO MENU INICIAR
rem 1=Exibe 0=N�o exibe
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v ForceStartMenuLogoff /t REG_DWORD /d 0x00000001 /f
rem EXIBE ARQUIVOS OCULTOS NO WINDOWS EXPLORER E MEU COMPUTADOR
rem Exibir Arquivos=1 | Ocultar Arquivos=0
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /t REG_DWORD /d 0x00000001 /f
rem DEFINE A PÁGINA INICIAL DO INTERNET EXPLORER
reg add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d "www.minhapagina.com.br" /f
rem BLOQUEIA ALTERAÇÃO DA PÁGINA INICIAL
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer"
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel"
reg add "HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v homepage /t REG_DWORD /d 0x00000001 /f
rem DEFINE O PAPEL DE PAREDE DA ÁREA DE TRABALHO, essa configuração pode ser utilizada, copiando o arquivo de imagem para o diretório netlogon, onde todos possuem acesso e apontando essa configuração para esse diretório.
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v ConvertedWallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v OriginalWallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v Wallpaper /t REG_SZ /d "\\meupdc\netlogon\parede.bmp" /f
Páginas do artigo
1. Configurando o Samba 2. Criando o script com a política de segurança
Outros artigos deste autor
Implementando um servidor de domínio
Criando disquetes de inicialização
Criando um banco de dados para obter ajuda do sistema
OpenLDAP e Samba (redundância)
Leitura recomendada
Integrando Servidores Linux no Active Directory com Samba
Instalando e Configurando o SAMBA3 no FreeBSD 8.1 Release
Samba 4 (Active Directory) no Debian/Ubuntu Server
Proteção contra vírus usando Samba + ClamAV + Samba-vscan no Fedora Core 3
Slackware como controlador de domínio
Comentários
[1] Comentário enviado por janio.barros em 20/06/2008 - 11:57h
cara excelente seu artigo, assim que poder vou coloca-la em prática.!
Parabéns.
Mas agora vai pro favoritos.
cara excelente seu artigo, assim que poder vou coloca-la em prática.!
Parabéns.
Mas agora vai pro favoritos.
[2] Comentário enviado por edupersoft em 20/06/2008 - 12:57h
Gostei muito do artigo, será de grande proveito.
Sempre achei o AD o salvador da pátria nos servidores Windows, porque não via como fazer o que é proposto neste artigo sem o AD.
Utilizando LPDA e sofisticando esta bath, fazendo com que determinadas regras sejam habilitadas ou desabilitadas dependendo do usuário e sofisticando um pouco mais, desenvolvendo uma interface produtiva, para identificarmos o que cada usuário pode fazer, qual a funcionalidade prática fornecidas pelo AD que não poderia ser atendida com esta solução? Em outras palavras, o que o AD teria a mais?
Gostei muito do artigo, será de grande proveito.
Sempre achei o AD o salvador da pátria nos servidores Windows, porque não via como fazer o que é proposto neste artigo sem o AD.
Utilizando LPDA e sofisticando esta bath, fazendo com que determinadas regras sejam habilitadas ou desabilitadas dependendo do usuário e sofisticando um pouco mais, desenvolvendo uma interface produtiva, para identificarmos o que cada usuário pode fazer, qual a funcionalidade prática fornecidas pelo AD que não poderia ser atendida com esta solução? Em outras palavras, o que o AD teria a mais?
[3] Comentário enviado por tiagodib em 20/06/2008 - 15:10h
Muito bom o artigo, mas acho que ainda falta no samba uma ferramenta gráfica para auxiliar esses bloqueios, pois sempre que implemento um servidor desse tipo em uma empresa, a pessoa do cpd que normalmente não mexe muito com linux ela fica amarrada, e tudo que vai fazer tem que ficar me ligando, pois não consegue decorar as linhas de comando... Quanto as ferramentas existentes no mercado para configurar o samba já testei várias mas nenhuma agradou. A facilidade do AD. deixa o usuario mais a vontade para mexer no seu próprio servidor sem depender muito do técnico. Mas como o Edupersoft disse, se complementarmos esse script com permissoes definidas por usuário, mapeamentos automaticos de impressoras, por grupo de usuário vai ajudar muito.. Outra opção seria de colocar perfis móveis dentro do script, assim poderiamos usar esse script como parte integrante de servidores samba com pdc... Mas meus parabéns mesmo ao artigo, vejo que com isso já é um passo para se igualarmos ainda mais ao AD. Que na minha umilde opinião é a unica coisa no windows que funciona melhor que no linux.
Abraços
Tiago Dib.
Muito bom o artigo, mas acho que ainda falta no samba uma ferramenta gráfica para auxiliar esses bloqueios, pois sempre que implemento um servidor desse tipo em uma empresa, a pessoa do cpd que normalmente não mexe muito com linux ela fica amarrada, e tudo que vai fazer tem que ficar me ligando, pois não consegue decorar as linhas de comando... Quanto as ferramentas existentes no mercado para configurar o samba já testei várias mas nenhuma agradou. A facilidade do AD. deixa o usuario mais a vontade para mexer no seu próprio servidor sem depender muito do técnico. Mas como o Edupersoft disse, se complementarmos esse script com permissoes definidas por usuário, mapeamentos automaticos de impressoras, por grupo de usuário vai ajudar muito.. Outra opção seria de colocar perfis móveis dentro do script, assim poderiamos usar esse script como parte integrante de servidores samba com pdc... Mas meus parabéns mesmo ao artigo, vejo que com isso já é um passo para se igualarmos ainda mais ao AD. Que na minha umilde opinião é a unica coisa no windows que funciona melhor que no linux.
Abraços
Tiago Dib.
[4] Comentário enviado por genixsky em 20/06/2008 - 15:47h
Boa tarde edupersoft.
Já trabalhei um bom tempo com o AD da Microsoft, ele fornece bastante funcionalidade e facilidades que o Samba ainda não fornece, mas vai fornecer com o tempo, tenho certeza disso, uma funcionalidade básica e muito útil tenho q admitir é que no AD podemos controlar todas as configurações, políticas de acesso, execução de programas, quando esses estão também disponibilizados pelo Terminal Service, políticas de utilização e integração do Exchange, coisas do gênero que os programadores da Microsoft tiverem muito tempo para aperfeiçoar, o Samba é uma ótima ferramenta, mas ainda falta essas facilidades, coisa que não é impossível. Os administradores do Samba dependem muito de scripts para realizar certas configurações, não conheço até o momento nenhuma ferramenta gráfica que realizar todas as configurações possiveis com o Samba, juntando o fato que estou falando somente do Samba que no seu propósito básico de funcionamento é utilizado para compartilhar arquivos, quando somamos isso com a tarefa de gerenciar autenticação de usuários, recursos de hardwares compartilhados, como por exemplo, impressoras com certeza precisamos utilizar o LDAP, mas estou a seis meses pesquisando uma forma de integrar o Samba, LDAP, CUPS, NIS em um único produto gráfico que consiga dessa formar diminuir as distâncias com o pessoal da Microsoft.
Concordo com o que o tiagodib escreveu, esse é um ponto que será sanado ao longo do tempo, mas no momento também não conheço uma ferramenta.
Uma grande dificuldade que eu encontro com o Linux e Samba e no meu ponto de vista é um "ponto falho" no Linux é a maneira como ele trata as permissões de arquivos, ou seja, ele oferece três níveis de permissão, dono, grupo e outros, ou seja, 777 juntando com a mascara de permissão do sistema, esse funcionamento me deixa um pouco preso com o que posso deixar como permissão para os arquivos e já enfreitei bastantes problemas ao compartilhar arquivos, mas como sempre no Linux conseguimos burlar essas limitações, mas seria ótimo contar com mais níveis de permissões, como por exemplo, os níveis de permissão que existem no Novell, posso estar enganado, mas já utilizo Linux dede 1997, mas até agora foi o único "ponto falho" que encontrei.
Boa tarde edupersoft.
Já trabalhei um bom tempo com o AD da Microsoft, ele fornece bastante funcionalidade e facilidades que o Samba ainda não fornece, mas vai fornecer com o tempo, tenho certeza disso, uma funcionalidade básica e muito útil tenho q admitir é que no AD podemos controlar todas as configurações, políticas de acesso, execução de programas, quando esses estão também disponibilizados pelo Terminal Service, políticas de utilização e integração do Exchange, coisas do gênero que os programadores da Microsoft tiverem muito tempo para aperfeiçoar, o Samba é uma ótima ferramenta, mas ainda falta essas facilidades, coisa que não é impossível. Os administradores do Samba dependem muito de scripts para realizar certas configurações, não conheço até o momento nenhuma ferramenta gráfica que realizar todas as configurações possiveis com o Samba, juntando o fato que estou falando somente do Samba que no seu propósito básico de funcionamento é utilizado para compartilhar arquivos, quando somamos isso com a tarefa de gerenciar autenticação de usuários, recursos de hardwares compartilhados, como por exemplo, impressoras com certeza precisamos utilizar o LDAP, mas estou a seis meses pesquisando uma forma de integrar o Samba, LDAP, CUPS, NIS em um único produto gráfico que consiga dessa formar diminuir as distâncias com o pessoal da Microsoft.
Concordo com o que o tiagodib escreveu, esse é um ponto que será sanado ao longo do tempo, mas no momento também não conheço uma ferramenta.
Uma grande dificuldade que eu encontro com o Linux e Samba e no meu ponto de vista é um "ponto falho" no Linux é a maneira como ele trata as permissões de arquivos, ou seja, ele oferece três níveis de permissão, dono, grupo e outros, ou seja, 777 juntando com a mascara de permissão do sistema, esse funcionamento me deixa um pouco preso com o que posso deixar como permissão para os arquivos e já enfreitei bastantes problemas ao compartilhar arquivos, mas como sempre no Linux conseguimos burlar essas limitações, mas seria ótimo contar com mais níveis de permissões, como por exemplo, os níveis de permissão que existem no Novell, posso estar enganado, mas já utilizo Linux dede 1997, mas até agora foi o único "ponto falho" que encontrei.
[6] Comentário enviado por eduardofraga em 20/06/2008 - 23:52h
Ótimo artigo, eu estou vendo um Front-end para configurar o samba + OpenLDAP e cheguei ao kya panel
http://www.jeguepanel.net/
Ainda estou vendo as funcionalidades dele...
Eduardo
Ótimo artigo, eu estou vendo um Front-end para configurar o samba + OpenLDAP e cheguei ao kya panel
http://www.jeguepanel.net/
Ainda estou vendo as funcionalidades dele...
Eduardo
[7] Comentário enviado por marcosmiras em 21/06/2008 - 23:24h
Lindo artigo... + favoritos...
[]'s
Marcos Miras
atmsystem.com.br
Lindo artigo... + favoritos...
[]'s
Marcos Miras
atmsystem.com.br
[9] Comentário enviado por asrocha em 23/06/2008 - 14:24h
Artigo muito bom, mais do que usar o script, abriu caminho para novas configurações, utilizei-o e junto com isso utilizei a funcionalidade de perfis móveis. Adicionei mais algumas configurações da mesma linha e tive um resultado muito bom que agradou muito. Enquanto a migração total para linux não acontece por aki os 50% que ainda utilizam o windão vão trabalhando de forma mais eficiente.
Artigo muito bom, mais do que usar o script, abriu caminho para novas configurações, utilizei-o e junto com isso utilizei a funcionalidade de perfis móveis. Adicionei mais algumas configurações da mesma linha e tive um resultado muito bom que agradou muito. Enquanto a migração total para linux não acontece por aki os 50% que ainda utilizam o windão vão trabalhando de forma mais eficiente.
[10] Comentário enviado por joaomc em 23/06/2008 - 16:33h
Para quem não sabe, o Samba 4 terá compatibilidade com Active Directory, terá servidor LDAP integrado (ou seja, acabaram todos aqueles processos de instalar LDAP e integrar com o Samba), e, pelo que vi, terá administração web.
Para quem não sabe, o Samba 4 terá compatibilidade com Active Directory, terá servidor LDAP integrado (ou seja, acabaram todos aqueles processos de instalar LDAP e integrar com o Samba), e, pelo que vi, terá administração web.
[11] Comentário enviado por genixsky em 24/06/2008 - 10:30h
Bom dia asrocha é possível utilizar o perfil móvel, apesar de não utilizar nos sites, pois costuma deixar a rede lenta e o processo de logon de usuário mais demorado, ainda não consegui descobrir uma maneira de ativar o perfil móvel somente para alguns usuários, ai seria ideal para mim, pois nem todos precisam usar.
Bom dia asrocha é possível utilizar o perfil móvel, apesar de não utilizar nos sites, pois costuma deixar a rede lenta e o processo de logon de usuário mais demorado, ainda não consegui descobrir uma maneira de ativar o perfil móvel somente para alguns usuários, ai seria ideal para mim, pois nem todos precisam usar.
[12] Comentário enviado por coffani em 25/06/2008 - 00:05h
Ótimo artigo... se alguém saber como resolver a dúvida do amigo genixsky, por favor compartilhem, tb preciso dessa solução..
Ótimo artigo... se alguém saber como resolver a dúvida do amigo genixsky, por favor compartilhem, tb preciso dessa solução..
[13] Comentário enviado por AllanC em 25/06/2008 - 14:59h
Qual linha eu adiciona no script pra restringir a instalação de novos programas pelo usuário e "esconder" o drive C:?
Qual linha eu adiciona no script pra restringir a instalação de novos programas pelo usuário e "esconder" o drive C:?
[14] Comentário enviado por genixsky em 27/06/2008 - 10:20h
Bom dia AllanC.
Os procedimentos de alterar o Windows através do registro funciona com esse procedimento descrito aqui, mas é preciso pesquisar na net quais são as linhas necessárias para cada tarefa.
Bom dia AllanC.
Os procedimentos de alterar o Windows através do registro funciona com esse procedimento descrito aqui, mas é preciso pesquisar na net quais são as linhas necessárias para cada tarefa.
[15] Comentário enviado por othelo em 10/07/2008 - 14:53h
Parabens pelo material, achei otimo, para uso em rede onde nao utilizamos um AD ou um police nos terminais, vistoque desta forma travamos todos atraves do script.
Mas acredito que o ideal seria ter uma politica individual utilizando um tweak ou police para dar seguranca aos terminais, pois podemos ter configuracoes individualizadas alem de diversas versoes de sistemas.
Parabens pelo material, achei otimo, para uso em rede onde nao utilizamos um AD ou um police nos terminais, vistoque desta forma travamos todos atraves do script.
Mas acredito que o ideal seria ter uma politica individual utilizando um tweak ou police para dar seguranca aos terminais, pois podemos ter configuracoes individualizadas alem de diversas versoes de sistemas.
[16] Comentário enviado por wagnerluis1982 em 19/07/2008 - 13:19h
genixsky:
As permissões no Linux podem ser incrementadas com ACLs no sistema de arquivos.
Veja esse artigo antigo: http://br-linux.org/artigos/dicas_acl.htm
Lembrando que o sistema de arquivos tem que estar montado com acl, mais informações, man mount e man acl ;P
genixsky:
As permissões no Linux podem ser incrementadas com ACLs no sistema de arquivos.
Veja esse artigo antigo: http://br-linux.org/artigos/dicas_acl.htm
Lembrando que o sistema de arquivos tem que estar montado com acl, mais informações, man mount e man acl ;P
[17] Comentário enviado por meison em 24/07/2008 - 17:28h
UM OTIMO ARTIGO, MAS É IMPORTANTE SABER QUE PARA FUNCIONAR UM SCRIPT DE LOGON QUE GRAVE INFORMAÇÕES NA CHAVE HKEY_LOCAL_MACHINE, ESSE USUARIO DEVER SER ADMINISTRADOR LOCAL E QUALQUER USUARIO CRIADO NO SAMBA É SIMPLESMENTE UM USUARIO LIMITADO, PELO TEMPO QUE TRABALHO COM IMPLEMENTAÇÃO DE SERVIDORES, NÃO CONSEGUIR ACHAR UMA FERRAMENTA QUE FAÇA ISSO PRO MUNDO LINUX.
UM OTIMO ARTIGO, MAS É IMPORTANTE SABER QUE PARA FUNCIONAR UM SCRIPT DE LOGON QUE GRAVE INFORMAÇÕES NA CHAVE HKEY_LOCAL_MACHINE, ESSE USUARIO DEVER SER ADMINISTRADOR LOCAL E QUALQUER USUARIO CRIADO NO SAMBA É SIMPLESMENTE UM USUARIO LIMITADO, PELO TEMPO QUE TRABALHO COM IMPLEMENTAÇÃO DE SERVIDORES, NÃO CONSEGUIR ACHAR UMA FERRAMENTA QUE FAÇA ISSO PRO MUNDO LINUX.
[18] Comentário enviado por genixsky em 25/07/2008 - 20:15h
Boa noite meison.
Realmente isso é verdade, mas todos os usuários na minha rede são administradores da estação de trabalho, não é uma boa idéia mante-los como tal, mas as linhas que eu utilizo nos scripts bloqueiam os mesmos para realizar alterações nas estações e desse modo se comportam como usuários normais.
Criei um script no Linux que se conecta em cada estação na rede em horários estipulados e verifica os logs das mesmas e se houve alterações no Windows das estações, reportando qualquer alteração para o meu e-mail e caso encontre arquivos proíbidos como mp3, vídeos e outros estipulados sou alertado tambem.
Estou desenvolvendo um outro script que levanta o inventário das estações, como hardware de cada uma, software instalados, mas ta um pouco enrolado, pois a Microsoft não libera certas informações que eu preciso, entao estou atras de programas de engenharia reversa para tentar descobrir como que o Windows se comporta em certas situações.
Assim que o mesmo estiver pronto e validado eu posto no VOL.
Boa noite meison.
Realmente isso é verdade, mas todos os usuários na minha rede são administradores da estação de trabalho, não é uma boa idéia mante-los como tal, mas as linhas que eu utilizo nos scripts bloqueiam os mesmos para realizar alterações nas estações e desse modo se comportam como usuários normais.
Criei um script no Linux que se conecta em cada estação na rede em horários estipulados e verifica os logs das mesmas e se houve alterações no Windows das estações, reportando qualquer alteração para o meu e-mail e caso encontre arquivos proíbidos como mp3, vídeos e outros estipulados sou alertado tambem.
Estou desenvolvendo um outro script que levanta o inventário das estações, como hardware de cada uma, software instalados, mas ta um pouco enrolado, pois a Microsoft não libera certas informações que eu preciso, entao estou atras de programas de engenharia reversa para tentar descobrir como que o Windows se comporta em certas situações.
Assim que o mesmo estiver pronto e validado eu posto no VOL.
[19] Comentário enviado por frajolitzz em 07/01/2009 - 10:35h
Bom dia, genixsky.
Muito bom artigo, parabéns. Mas estou com um problema ... o que nosso amigo meison citou. Quando o usuário faz logon e começa a executar o escript, ele da "Acesso Negado". Pode me dar uma dica de como mudar o perfil dos meus usuários samba para administrador?
Desde já agradeço a atenção.
[]'s
Bom dia, genixsky.
Muito bom artigo, parabéns. Mas estou com um problema ... o que nosso amigo meison citou. Quando o usuário faz logon e começa a executar o escript, ele da "Acesso Negado". Pode me dar uma dica de como mudar o perfil dos meus usuários samba para administrador?
Desde já agradeço a atenção.
[]'s
[20] Comentário enviado por removido em 25/10/2009 - 17:43h
Olá frajolitzz,
Você não precisa (não recomendo) mudar os perfis dos usuarios para administradores. Dessa forma, qualquer usuário pode sair instalando qualquer coisa na estação, inclusive. Quando o usuário é apenas usuário, ele não mexe nas coisas do sistema (arquivos do sistema).
Já me deparei com esse problema e encontrei a solução utilizando no samba, o mesmo modelo de GPO's utilizado no windows. Uma política em GPO utiliza "espelhamento de registro", ou seja, usa os valores do registro que estão na GPO (temporariamente em cada sessão) e dessa forma o registro da estação permanece limpo e intacto. Sem contar que essa política é implementada pelo próprio sistema e não pelo usuário.
Caso queira, mando um tutorial.
Espero ter contribuido de qualquer forma.
Grato,
João Sales
Olá frajolitzz,
Você não precisa (não recomendo) mudar os perfis dos usuarios para administradores. Dessa forma, qualquer usuário pode sair instalando qualquer coisa na estação, inclusive. Quando o usuário é apenas usuário, ele não mexe nas coisas do sistema (arquivos do sistema).
Já me deparei com esse problema e encontrei a solução utilizando no samba, o mesmo modelo de GPO's utilizado no windows. Uma política em GPO utiliza "espelhamento de registro", ou seja, usa os valores do registro que estão na GPO (temporariamente em cada sessão) e dessa forma o registro da estação permanece limpo e intacto. Sem contar que essa política é implementada pelo próprio sistema e não pelo usuário.
Caso queira, mando um tutorial.
Espero ter contribuido de qualquer forma.
Grato,
João Sales
[21] Comentário enviado por frajolitzz em 26/10/2009 - 09:22h
Oi João,
Se puder cara, me passa o link do tutorial que vou estudar um pouco.
Muito obrigado.
Abraço.
Frederico Oliveira
Oi João,
Se puder cara, me passa o link do tutorial que vou estudar um pouco.
Muito obrigado.
Abraço.
Frederico Oliveira
[22] Comentário enviado por coffani em 26/10/2009 - 12:45h
Eai joaosalless ..
Posta o tutorial aki no vol, ou um link para que possamos baixá-lo, isto também me interessa..
Abraço
Eai joaosalless ..
Posta o tutorial aki no vol, ou um link para que possamos baixá-lo, isto também me interessa..
Abraço
[23] Comentário enviado por genixsky em 26/10/2009 - 16:47h
Boa tarde pessoal.
Espero que esse artigo esteja conseguindo ajudar vocês. Abraços.
Boa tarde pessoal.
Espero que esse artigo esteja conseguindo ajudar vocês. Abraços.
[24] Comentário enviado por renetf77 em 28/10/2009 - 15:26h
Joaosalles,
Por favor disponibiliza este tutorial, vai ser de grande ajuda para mim.
Grande Abraço e obrigado pela iniciativa.
Joaosalles,
Por favor disponibiliza este tutorial, vai ser de grande ajuda para mim.
Grande Abraço e obrigado pela iniciativa.
[26] Comentário enviado por valterrezendeeng em 11/08/2010 - 16:18h
Caro Colega genixsky
Li o seu comentário de " genixsky em 20/06/2008 - 15:47h:1"
Já pesquisou sobre ACL, no sistema de arquivos?
Não é uma facilidade do Samba e sim do sistema de Arquivos, este recurso resolveu meus problemas de permissão, pois no final fica muito parecido com o do windows mas sempre respeitando o modo Linux do chmod.
Abraço
Caro Colega genixsky
Li o seu comentário de " genixsky em 20/06/2008 - 15:47h:1"
Já pesquisou sobre ACL, no sistema de arquivos?
Não é uma facilidade do Samba e sim do sistema de Arquivos, este recurso resolveu meus problemas de permissão, pois no final fica muito parecido com o do windows mas sempre respeitando o modo Linux do chmod.
Abraço
[27] Comentário enviado por valterrezendeeng em 11/08/2010 - 16:21h
Parabens
Muito bom seu artigo
Abraço
Parabens
Muito bom seu artigo
Abraço
[28] Comentário enviado por maumauns em 13/09/2010 - 17:45h
Alguem sabe como colocar para a aparencia do windows sempre fique com a aparencia do windows 98??? Ja procurei mais nao consegui achar ...
Alguem sabe como colocar para a aparencia do windows sempre fique com a aparencia do windows 98??? Ja procurei mais nao consegui achar ...
[29] Comentário enviado por genixsky em 26/06/2011 - 18:59h
Pessoal, estou realizando a publicação também eu meu blog: http://genixsky.blogspot.com pois lá eu consigo manter os documentos atualizados.
Pessoal, estou realizando a publicação também eu meu blog: http://genixsky.blogspot.com pois lá eu consigo manter os documentos atualizados.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.926 pts -
Fábio Berbert de Paula
2° lugar - 51.272 pts -
Buckminster
3° lugar - 17.665 pts -
Mauricio Ferrari
4° lugar - 15.450 pts -
Alberto Federman Neto.
5° lugar - 14.086 pts -
Diego Mendes Rodrigues
6° lugar - 13.688 pts -
Daniel Lara Souza
7° lugar - 13.094 pts -
Andre (pinduvoz)
8° lugar - 10.449 pts -
edps
9° lugar - 10.658 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.561 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
