Adicionando máquina com openSUSE 11.3 a domínio com Active Directory Windows Server 2008

Publicado por Claudir Pereira dos Santos em 15/09/2010

[ Hits: 23.308 ]

 


Adicionando máquina com openSUSE 11.3 a domínio com Active Directory Windows Server 2008



Essa dica foi adaptada de uma das referências citadas ao final. A mesma se propõe a demonstrar como adicionar uma máquina com openSUSE 11.3 64 bits a um domínio com Active Directory gerenciado pelo Windows Server 2008 64 bits.

Com o firewall desativado, proceda da seguinte forma:

1. Registrar o controlador de domínio na lista de hosts da máquina cliente via YaST, na opção "Serviços de rede\Nomes de máquina", ou editando o arquivo /etc/hosts, inserir o IP, depois o nome totalmente qualificado e em seguida o nome curto do servidor:

Exemplo:

192.168.0.1   SRV01.DOMINIO.COM.BR   SRV01

2. Editar o arquivo /etc/resolv.conf e adicionar seu controlador de domínio como "nameserver":

nameserver = SRV01.DOMINIO.COM.BR

ou

nameserver = 192.168.0.1

3. Abra o YaST e configure o Kerberos na opção "Serviços de rede\Cliente do Kerberos", marcando a opção "Usar Kerberos".

Muita atenção para o fato do realm ser em letras maiúsculas. Se não estiver assim não funcionará. Insira os parâmetros da seguinte forma:
  • Domínio padrão: DOMINIO.COM.BR
  • Realm padrão: DOMINIO.COM.BR
  • Endereço do Servidor KDC: SRV01.DOMINIO.COM.BR

Clique em "Ok" e aceite a instalação dos pacotes pam_krb5 e krb5-client.

4. Configure o Samba com YaST ou pelo terminal. No YaST acesse a opção "Serviços de Rede\Servidor Samba".

Na tela que abrir na opção "Nome de Grupo de trabalho ou domínio" informe o nome do domínio sem o ".com.br", ou seja, apenas "DOMINIO". Na tela seguinte marque a opção "Não é um Controlador de Domínio". Em seguida marque para iniciar "Durante a inicialização".

Vá a aba "identidade" e selecione em "Configurações avançadas" a opção "Configurações globais avançadas". Altere aqui a opção "security" de "users" para "ADS" e, caso não exista, adicione o seguinte parâmetro realm:

(Atenção para as letras em maiúsculo)
  • realm = DOMINIO.COM.BR

Clique em "ok" e depois em "ok" novamente. Na tela que abrir clique em "Não participar".

Dica: caso queira que as pastas dos usuários sejam criadas diretamente em /home/ altere o parâmetro template homedir para "/home/%U" (o padrão é "/home/%D/%U"). Durante o login do usuário é criado uma pasta como nome do domínio e dentro dela as pastas de usuário. Caso seja removida a opção %D, usuários do domínio que tenham contas locais na máquina, não poderão fazer logon.

5. Abra o YaST e vá na opção "Serviços de rede\Participação no domínio do Windows". Na tela que abrir marque as opções "Também usar informação SMB para autenticação Linux" e "Criar diretório pessoal no login". Se essa segunda opção não for marcada, ao iniciar o computador será gerado o erro "Cannot enter home directory. Using /". Clique em "Ok" e aceite a sugestão de instalação do pacote "samba-winbind', com isso também serão instaladas várias dependências.

Após a instalação será exibida uma mensagem informando que a máquina não é membro do domínio e solicitará se deseja "Entrar do domínio"; clique em "Sim". O Sistema irá pedir um nome de usuário e senha. Deve ser informado um usuário administrador do servidor de domínio e sua senha. Após digitar usuário e senha, clique na opção "obter lista" para escolher em qual "OU" deseja incluir a máquina, caso contrário simplesmente clique em "Ok" para adicionar a "OU" padrão.

Se tudo correu bem o sistema emitirá uma mensagem informando que a maquina ingressou no domínio com sucesso. Caso o login automático esteja habilitado o sistema solicitará a desativação. Após concluído esse processo, reinicie a máquina.

6. Agora o login já pode ser feito no domínio. Pode levar de 10 a 15 segundos para que apareça o domínio na lista, mas é só aguardar. Até que isso aconteça serão exibidas a opção local e null. Segue abaixo lista de alguns comandos e arquivos úteis para manutenção e configuração da participação em domínio Windows e alguns erros comuns.

Comandos

Para logar no domínio:

# kinit

Para ver os tickets emitidos:

# klist

Para destruir a lista de tickets:

# kdestroy

Testar configurações do Samba:

# testparm

Adicionar máquina ao domínio:

# net ads join -UNomeUsuario

Verificar se foi adicionado com sucesso:

# net ads testjoin

Alguns arquivos e diretórios que podem ser usados na configuração:
  • /etc/hosts
  • /etc/krb5.conf
  • /etc/pam.d/
  • /etc/resolv.conf
  • /etc/samba/smb.conf
  • /etc/security/limits.conf

Mensagens de erro:

failed to join domain: failed to find DC for domain [DOMINIO]
  1. Ligado ao arquivo /etc/resolv.conf tem que informar o endereço do servidor
  2. Ligado ao arquivo /etc/samba/smb.conf informação contida no parâmetro realm

No DNS domain configured for [host]. Unable to perform DNS Update.
  1. Alterar o arquivo /etc/hosts para ficar da seguinte forma:

    127.0.0.1    nomedohost.dominio.com    nomedohost 127.0.0.2    nomedohost.dominio.com    nomedohost


DNS update failed!
  1. Criar um registro no DNS de Tipo A para o nome de host da máquina.

Claudir Pereira dos Santos

Matelândia - PR, 25/08/2010.

Referência:
Outras dicas deste autor

Erro ao tentar acessar guest via console do VmWare server 2.0.2 no Firefox 3.6.8 - openSUSE 11.3 64 bits

Instalando o LiveCD openSUSE 11.3 32 bits de um pendrive

Usando impressora local no openSUSE 11.3 64 bits com rdesktop acessando Windows Server 2008 64 bits

Iniciando automaticamente guests do VmWare Server com vmrun em host Windows Server 2008 64 bits

Wine 1.2-rc6 no openSUSE 11.3 64 bits - Corrigindo erro de Time Zone

Leitura recomendada

Instalando o plugin FlashPlayer no Debian AMD64

Disco de inicialização com o LILO

Padrão da Hierarquia do Sistema de Arquivos (FHS)

Ansible no RockyLinux

Ativando a SSI para um tipo de arquivo específico no Apache

  

Comentários
[1] Comentário enviado por astdarkness em 28/10/2010 - 12:44h

Parabéns pelo artigo!!!!!!!!!!!
Tava procurando essa dica.

[2] Comentário enviado por claupers em 29/10/2010 - 08:25h

Obrigado.
É bom saber que foi útil a alguém.


Cordialmente;


Claupers

[3] Comentário enviado por wallasy em 26/11/2010 - 11:54h

Seguindo o tutorial, as configurações estao aparentemente corretas, mas ao tentar salvar as configuracoes da participacao no dominio, nao aceita as configuraçoes e por este fato nao pede a senha do adm. Se marco a opção " Também usar informação SMB para autenticação Linux", é exibido um erro "Não foi possível usar o grupo de trabalho 'DOMINIO' para autenticação", se desmarco não pede senha do adm. Onde pode estar meu erro?
Grato

[4] Comentário enviado por claupers em 26/11/2010 - 12:07h

Fique atento a necessidade de letras em maiuculo no realm e revise todo o processo.
Já fiz isso uma dezena de vezes e deu certo.
Seu sistema é openSUSE?

Cordialmente;


Claudir

[5] Comentário enviado por wallasy em 27/11/2010 - 16:19h

Uso Opensuse 11.3. Atentei para o realm em maiusculo, tanto no samba, quanto no Kerberos. Além de informar a senha de adm no momento da configuração, tenho que fazer alguma outra liberação antes?
Consigo navegar, pois tem um proxy autenticado, mas nao consigo entrar no domínio. Usarei a máquina como servidor Oracle.

[6] Comentário enviado por claupers em 29/11/2010 - 08:10h

Você está colocando o dominio do active directory certo? Tem que ser o dominio que os usuários usam para logon.
Uma coisa que percebi, ao postarem a dica, o arquivo de host ficou errado. Os endereços são uma abaixo do outro e não ao lado.
127.0.0.1 nomedohost.dominio.com nomedohost
127.0.0.2 nomedohost.dominio.com nomedohost
Procure também não usar o networManeger, uso o metodo tradicional.
Procure atribuir um endereço de IP fixo para sua maquina cliente.
Veja se não é isso.

Cordialmente;


Claudir Pereira dos Santos

[7] Comentário enviado por wallasy em 30/11/2010 - 14:46h

Obrigado pela atenção.
Tive sucesso fazendo um ponto a ponto mesmo, o prazo estava curto.
Assim que conseguir fazer novos testes, postarei o resultado.

[8] Comentário enviado por rgamalho em 20/02/2012 - 18:28h

Boa tarde Claudir!

Sei que no carnaval pedir ajuda é demais (risos), mas, só pra tirar uma dúvida... O procedimento para ingressar estações openSUSE em um domínio samba é o mesmo que para ingressar no AD? Temos hoje uma rede com um servidor Windows 2003. Recentemente foi necessária uma ampliação na quantidade de estações o que nos obrigaria a adquirir mais CALS, o que foi rejeitado pela administração do órgão público em que trabalho (até porque a burocracia para adquirir tais licenças inviabiliza o processo). Dessa forma, teremos que migrar nossos servidores para linux e no momento estamos observando uma plataforma chamada ClearOS que é baseada no CentOS (tendo em vista meus limitados conhecimentos em linux. Sempre fui usuário doméstico) Como já temos estações Windows devidamente licenciadas foi descartada a opção de uma migração integral de plataforma, o que nos obriga ao SAMBA SERVER, dai minha pergunta.



Desde já, Grato pela atenção!



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts