Linux autenticando no AD e rodando LTSP com DHCP (Windows 2003)

Nesse artigo quero expôr detalhadamente um caso de sucesso em um cliente onde eu e outro amigo tivemos que colocar o Linux (Ubuntu Server 8.04 LTS) para autenticar no AD do Windows 2003 Server e rodar nele o LTSP 5, pegando do DHCP do 2003. Espero que gostem, pois deu muito trabalho fazer isso, mas ficou muito show!

davirodrigues

Por Davi Rodrigues em 08/01/2009

Hits: 41.029 Categoria: Linux Subcategoria: Samba

Introdução

Como sabem, vamos falar aqui de um serviço que talvez alguém um dia tente fazer por necessidade mesmo, como foi nesse cliente que fomos atender.

O que vamos utilizar:

Linux Ubuntu Server 8.04 LTS
LTSP 5
Samba
Winbind
Kerberos

Essa vai ser a máquina que vamos colocar no domínio AD 2003.

Vamos ao assunto.

Instalando LTSP 5

Vamos instalar o LTSP 5:

# apt-get update
# apt-get install ltsp-server-standalone openssh-server

Após feito, vamos conferir se o SSH esta configurado conforme necessário.

Precisamos que a diretiva "X11Forwarding yes" esteja setada no arquivo a seguir:

# vim /etc/ssh/sshd_config

# Package generated configuration file
# See the sshd(8) manpage for details

# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768

# Logging
SyslogFacility AUTH
LogLevel INFO

# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes

RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys

# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes

# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes

X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no

#MaxStartups 10:30:60
#Banner /etc/issue.net

# Allow client to pass locale environment variables
AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

Configurando ambiente para terminais

Instalando o ambiente para os terminais:

# ltsp-build-client

Se o ambiente não for instalado com sucesso, tem que remover o diretório "/opt/ltsp/" e rodar de novo o comando.

# rm -rf /opt/ltsp
# ltsp-build-client

Configurando DHCP do Windows 2003 para o LTSP

Para fazer isso acontecer basta marcar as opções de configuração do DHCP do Windows:

17 Root Path - 192.168.1.5:/opt/ltsp/i386
66 Boot Server Host Name - 192.168.1.5
67 Bootfile Name- /ltsp/i386/pxelinux.0

Após feitas as configurações é só colocar as máquinas para dar boot pela rede e pronto, o LTSP já é para esta funcionando corretamente.

Concluímos assim a nossa primeira parte do tutorial. O nosso próximo passo é fazer com que os usuários que irão utilizar o LTSP sejam autenticados no Active Directory, vamos lá.

Páginas do artigo

   1. Introdução
   2. Configurando Linux para autenticar no AD
   3. Instalando e configurando o WINBIND e SAMBA
   4. Configurando o PAM e commons

Outros artigos deste autor

OpenVPN Matriz > Filial com PPTP

Samba 4 (Active Directory) no Debian/Ubuntu Server

Leitura recomendada

Samba 4 + Bind 9 + Kerberos - Instalação e configuração

Instalando e configurando o servidor Samba

Servidor Samba PDC para Windows XP em 3 passos

Minimizando o delay de logon do Samba

Samba 4 - Active Directory Open Source - Ubuntu 14.04.4

Comentários

#1 Comentário enviado por librarian em 08/01/2009 - 17:40h

Interoperabilidade é isso aí!

#2 Comentário enviado por matux em 10/01/2009 - 10:03h

Grande trabalho, está bem detalhado.
Parabéns pelo Artigo!

#3 Comentário enviado por walber em 11/01/2009 - 10:54h

Muito bom, show de bola, parabêns.

#4 Comentário enviado por davirodrigues em 12/01/2009 - 09:54h

Pois é galera.... os Responsáveis da empresa que fizemos esse serviço, ficaram boquiabertos, simplesmente deslumbrados, realmente foi um serviço muito trabalhoso e muito gratificante....

vlw...

qualquer dúvida posta aew....

flw...

#5 Comentário enviado por edson_nasilva em 19/03/2009 - 11:56h

Olá davirodrigues
Eu li o seu tutorial que é muito bom, mas estou tendo um problema na empresa onde eu trabalho.
Quando eu executo o comando "net ads join -U usuárioadministrador", me retorna um erro que é: Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Disabled account for 'nomedamaquina' in realm 'dominio'.

O meu /etc/hosts está configurado:

ipdoservidor_ad dominio realm
ipdoservidor_ad dominio nomedamaquina
127.0.0.1 localhost.localdomain localhost prx

Também está configurado igualzinho o seu tutorial /etc/krb5.conf e /etc/samba/smb.conf com as modificações necessárias.

No comando "kinit usuarioadministrador_ad" funciona normalmente.

Precisaria solucionar este problema o mais rápido possível.

flw..........

#6 Comentário enviado por davirodrigues em 20/03/2009 - 10:47h

Opa......

olha só pelo erro que vc postou, eu tenho 2 sugestões para lhe dar..., primeiro olhar se o DNS esta configurado corretamente(se o DNS for windows, ver os logs de alerta), e segundo verificar se a hora esta sincronizada com o servidor AD, tenta isso e posta aew....

flw...

#7 Comentário enviado por davirodrigues em 05/05/2009 - 16:55h

Então "edson_nasilva" como ficou o seu problema? conseguiu resolver esse problema?
posta aew dá notícias...flw...!!!!

#8 Comentário enviado por swmxavier em 07/10/2009 - 21:32h

Olá, gostei do tuto mas tenho algumas dúvidas. Tenho ltsp instalado em um ubuntu 8.04, e com alguns terminais já funcionando.

Só que eu queria que todos os usuários tivessem um login e senha únicos, o que já acontece com outros micros(com windows) que estão conectados a uma rede com o win 2003 server, pois eles são autenticados no AD.

Logo, encontrei que a solução seria utilizar o winbind para a autenticação.

Minha rede encontra-se da seguinte forma. O LTSP(rodando DHCP 3) tem 2 interfaces de rede. uma está com um IP fixo(eth1) que faz a conexão com os Thin Clients(pegam o IP do DHCP do LTSP). A outra está configurada para obter o IP através do DHCP da rede.

Minhas dúvidas:
1ª Tenho que conectar os Thin clients na mesma rede onde estão os micros com o windows?
2ª Meu LTSP também tem de ser conectado a esta rede, mas ele precisa ter um IP fixo?
3ª Aquele IP 192.198.1.5 no seu tuto se refere ao IP do LTSP?
Por enquanto eh só.

Depois que os terminais estiverrem bootando através do DHCP do windows volto com mais duvidas com certeza. Obrigado.

Desculpe o detalhamento, sei que vcs entendem muito bem do assunto, mas queria deixar bem clara minha situação.

#9 Comentário enviado por swmxavier em 27/10/2009 - 18:56h

Olá. Gostaria de saber como ficou o logon das estações (Thin Clients)

Tipo, o login precisa ser usuário@dominio ou não ?

#10 Comentário enviado por davirodrigues em 13/11/2009 - 11:43h

precisa não....somente o usuário mesmo

#11 Comentário enviado por swmxavier em 17/11/2009 - 19:21h

OK.

Obrigado pela resposta Davi.

Já consegui fazer a autenticação e me logar através de uma estação cliente do LTSP.

Mas tenho uma dúvida ainda.

Tenho máquinas windows na rede, que autenticam no AD, todas estas máquinas possuem restrições de acesso a determinados locais da rede e a determinados recursos do sistema, como: painel de controle, executar, trocar o papel de parede e daí por diante. Todas estas estações fazem logon com o mesmo nome de usuário e senha. Porém quando faço login em um thin client com este usuário e senha, eu posso alterar papel de parede, e tenho acesso a todos os painéis de controle possíveis. Gostaria de saber como faço para que as GPO's do AD sejam aplicadas ao usuário quando ele está logado em uma máquina linux.

#12 Comentário enviado por davirodrigues em 18/11/2009 - 11:13h

Ai é que esta o seu problema GPO não funciona no linux, você vai ter que fazer a configuração do servidor de LTSP mesmo...

achei isto na internet sobre o assunto veja:

De: Rafael Santos <rafa.assun@gmail.com>
Para: linux-br@bazar2.conectiva.com.br
Assunto: Re: (linux-br)Perfil único p/ usuarios
Data: Sat, 24 Dec 2005 12:54:37 -0200
Você poderá facilmente resolver o problema de logar com o mesmo
usuário em todas as máquinas use o conjunto NIS/NFS, é fácil e eficaz.
Procure no Google Linux que você achará muita informação sobre isso.

Para criar um perfil padrão, eu fiz o seguinte:
1 - Criei um usuário;
2 - Mudei o perfil dele da maneira que eu achei mais adequada;
3 - Copiei a pasta .kde e Desktop desse usuário para /etc/skel do
servidor NIS/NFS.
Pronto, todos os usuários que você criar terão essa configuração de perfil.

E para proibir o usuário de alterar o perfil você pode usar o Kiosk, é
um aplicativo para o KDE que você proibe/libera o usuário de alterar o
perfil, inclusive alterar papel de parede caso você queira.
Mais dúvidas pergunte.
Falou
Rafael Santos
=====

esta é o link da página que eu achei:

http://www.zago.eti.br/user-cadastro.txt

tem o email do cara que postou acho que se tiver alguma dúvida com relação a sugestão, vc pode mandar um email para ele, e qualquer outra dúvida me fala aew que eu te ajudo....blz..?

#13 Comentário enviado por thiagomdr27 em 10/05/2017 - 11:22h

Bom dia, estou em um projeto e para colocar em produção em uma grande quantidade de maquinas em uma instituição. O LTSP já está rodando mas foi solicitado que o servidor LTSP fosse autenticado no AD. Todos os clientes que se logassem no LTSP se autenticasse no AD, é possível?
Parabéns pelo artigo, ficou muito bom (ainda não implementei)