Compartilhamento de pastas linux com autenticação ADS Win 2012

hostsm
(usa Ubuntu)

Enviado em 20/04/2016 - 14:57h

Boa tarde a todos!

Sou um pouco novato no mundo do linux, porém arranho alguns comando de SSH.

Bom, mas vamos ao problema. Na minha empresa eu possuo dois servidores:

Servidor Win 2012 com ADS: 192.168.1.100 domínio local.co
Servidor Ubuntu 14.04 Samba: 192.168.1.110

O que acontece:
No windows 2012 estou com o ADS instalado e todos meus usuários configurados, logando direitinho nas estações. Porém esses usuários precisam ter acesso a algumas pastas no linux.
O que gostaria de fazer era que cada usuário de um determinado grupo, ao efetuar login tivesse automaticamente acesso a algumas pastas do servidor ubuntu.

E ao cadastrar um novo usuário no ADS o mesmo já tivesse também esta permissão para acessar as pastas referente ao grupo de trabalho do mesmo.

Encontrei na web vários tutos, porém alguns muito antigos, usando kerberos samba e winbind. Tentei alguns mas todos sem sucesso. Consigo adicionar o servidor ao ADS, mas o compartilhamento não consigo fazer usando os usuários do ADS.

Alguém sabe como posso proceder de maneira tranquila esse processo?

arasouza
(usa Debian)

Enviado em 20/04/2016 - 16:10h

Cara, segue um tutoria que se vc fizer dará certo, vai fazendo e postando os erros, pois o erro geralmente é apenas no final qndo vc vai "logar" no servidor e usar os comandos wbinfo -u e -g, um pouco de paciência e tentativa e erro mas daará certo.

hostsm
(usa Ubuntu)

Enviado em 20/04/2016 - 17:03h

A versão do linux que eu uso é o Umbuntu, qual me aconselham para usar neste servidor que estou implementando? Tenho aquele livro "Linux A Bíblia - a mais abrangente e definitivo guia sobre linux". Fala muito sobre Red Hat e Fedora, porém acredito eu ser referencia para o Cento OS também.

arasouza
(usa Debian)

Enviado em 21/04/2016 - 05:10h

Hostsm, cara essa questão de distro é muito pessoal mas o ubuntu é o server? qual versão a LTS? ai vc tem a questão do suporte ser menor, posso falar por mim, tenho um srv samba rodando a mais de 2 anos com o Debian, atende cerca de 100 users uns 30 a 50 simultâneos com autenticação via ad funcionando blz.... vc pdoe começar com qualquer uma dessas distros q vc citou e depois migrar para outra, já que depois q o samba tiver rodando pode ir para outra distro sem maiores problemas.

hostsm
(usa Ubuntu)

Enviado em 21/04/2016 - 16:57h

Olá Arasouza!

A distro que eu estava usando é Ubuntu Server 14.04. Porém perguntei sobre qual distro usar nesse servidor, pois todos os livros que eu comprei de Linux são voltados ou para Fedora, Red Hat ou CentOS.

A máquina que vou usar para este procedimento é um Servidor HP ProLiant ML110 Pentium 3.0 com 4GB de memória. Li sobre que nessas maquinas mais antigas são aconselháveis usar linux com Kernel mais antigo.

Este seu servidor com samba e Debian, é autenticado pelo ADS do Windows? Como procedeu este vínculo?

Tem algum tutorial que aconselha?

Abraços

arasouza
(usa Debian)

Enviado em 25/04/2016 - 07:50h

Sim, veja o tutorial : https://www.vivaolinux.com.br/artigo/Ingressar-desktop-GNU-Linux-no-dominio-Active-Directory-do-Wind...,
Olha só tenho um srv para vários users com autenticação via AD do Server, funcionando blz.. a questão da Distro como vc já tem o ubuntu server, começa por ela. faz uns testes, pois realmente maquinas antigas podem ter problemas. mas começa ai cara posso te ajudar com certeza.

hostsm
(usa Ubuntu)

Enviado em 26/04/2016 - 17:05h

Olá Arasouza!

Obrigado pelo link, segui o mesmo a risca, porém ainda estou encontrando algumas dificuldades.

Acabei optando pelo Debian. Baixei o netinstall versão 8.4. Como ocorreu o problema com o servidor acabei que optando por reinstalar novamente o sistema.

vamos novamente as minhas configurações:

Servidor Windows 2012
Domínio: hostsm.co
Nome: sv-01
IP: 192.168.1.100

Servidor Linux
Nome: sv-02
IP: 192.168.1.110

GATEWAY
IP: 192.168.1.254


Arquivo /etc/hosts
127.0.0.1 sv-02.hostsm.co localhost sv-02
192.168.1.100 sv-01


Também foi configurado o arquivo /etc/ntp.conf
server 192.168.1.100
restrict 192.168.1.100


Arquivo resolv.conf
search hostsm.co
nameserver 192.168.1.100
nameserver 192.168.1.254
nameserver 200.175.5.139


Arquivo /etc/krb5.conf
[libdefaults]
default_realm = HOSTSM.CO
[realms]
HOSTSM.CO = {
kdc = sv-01.hostsm.co
default_domain = HOSTSM.CO
admin_server = sv-01.hostsm.co
}
[domain_realm]
.hostsm.co = HOSTSM.CO


No arquivo smb.conf, Além da configuração já existente no arquivo adicionei as que não existiam:

[global]
security = ads
realm= HOSTSM.CO
workgroup = HOSTSM
idmap uid = 10000 15000
idmap gid = 10000 15000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes


Arquivo /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat winbind

Estas configurações eu fiz seguindo o tutorial. Até aí tudo bem. Ao executar os comandos wbinfo -u e wbinfo -g retornavam os usuários e grupos. Porém, no windows quando procuramos a pasta compartilhada com o ADS não conseguimos acessar.

Se procurar pelo sv-02 na rede, da uma mensagem que não foi possível acessar \\sv-02. Verifique ortografia do nome...

Se digitar no executar \\192.168.1.110 aparece uma tela de segurança do windows pedindo para adicionar usuário e senha.

Tenho o costume de usar o webmin para auxiliar no gerenciamento do servidor, ainda mais que meu conhecimento é pequeno ainda.

Quando vou no samba, pelo webmin não consigo encontrar os usuários do ADS para adicionar nas permissões do comparilhamento.

O que será que estou fazendo de errado?

Aguardo retorno.

Abraços

arasouza
(usa Debian)

Enviado em 26/04/2016 - 17:38h

Cara blz, não esquenta, que realmente não é fácil essa integração, mas vc tá no caminho, olha só vamos fazer uns testes e vê se realmente está ok digite os comandos abaixo no terminal do samba:

kinit administrator (este comando solicitará um ticket ao servidor)
vamos ver se está ok:
klist
algumas info como ticket cache.....
default principal: ......
continue com o comando abaixo:
Obs. pode ser que ele solicite a senha do administrador, eu não consegui com outro user (mesmo sendo do grupo administradores) apenas consegui com administrator, em ingles mesmo, caso de erro tente como administrador, verifique se este user está ativo e com senha configurada. poste os resultados

net ads joint -U administrator%senha (caso dẽ erro digite apenas administrator e espere a solicitação da senha)
se tudo estiver ok, teremos a seguinte mensagem
Using short domain name: ..
Joined "server" to realm "dominio.local"

vamos lá cara vou revisar amanhã tdos os confs q vc postou. e veremos mais modificações se não der certo..

arasouza
(usa Debian)

Enviado em 27/04/2016 - 08:10h

[quote]hostsm escreveu:

Olá Arasouza!

Obrigado pelo link, segui o mesmo a risca, porém ainda estou encontrando algumas dificuldades.

Acabei optando pelo Debian. Baixei o netinstall versão 8.4. Como ocorreu o problema com o servidor acabei que optando por reinstalar novamente o sistema.

vamos novamente as minhas configurações:

Servidor Windows 2012
Domínio: hostsm.co
Nome: sv-01
IP: 192.168.1.100

Servidor Linux
Nome: sv-02
IP: 192.168.1.110

GATEWAY
IP: 192.168.1.254


Arquivo /etc/hosts
127.0.0.1 sv-02.hostsm.co localhost sv-02
192.168.1.100 sv-01


Também foi configurado o arquivo /etc/ntp.conf
server 192.168.1.100
restrict 192.168.1.100


Arquivo resolv.conf
search hostsm.co
nameserver 192.168.1.100
nameserver 192.168.1.254
nameserver 200.175.5.139


Arquivo /etc/krb5.conf
[libdefaults]
default_realm = HOSTSM.CO
[realms]
HOSTSM.CO = {
kdc = sv-01.hostsm.co
default_domain = HOSTSM.CO
admin_server = sv-01.hostsm.co
}
[domain_realm]
.hostsm.co = HOSTSM.CO


No arquivo smb.conf, Além da configuração já existente no arquivo adicionei as que não existiam:

[global]
security = ads
realm= HOSTSM.CO
workgroup = HOSTSM
idmap uid = 10000 15000
idmap gid = 10000 15000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes


Arquivo /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat winbind

Estas configurações eu fiz seguindo o tutorial. Até aí tudo bem. Ao executar os comandos wbinfo -u e wbinfo -g retornavam os usuários e grupos. Porém, no windows quando procuramos a pasta compartilhada com o ADS não conseguimos acessar.

Se procurar pelo sv-02 na rede, da uma mensagem que não foi possível acessar \\sv-02. Verifique ortografia do nome...

Se digitar no executar \\192.168.1.110 aparece uma tela de segurança do windows pedindo para adicionar usuário e senha.

Tenho o costume de usar o webmin para auxiliar no gerenciamento do servidor, ainda mais que meu conhecimento é pequeno ainda.

Quando vou no samba, pelo webmin não consigo encontrar os usuários do ADS para adicionar nas permissões do comparilhamento.

O que será que estou fazendo de errado?

Aguardo retorno.

Abraços



Acrescenta as linhas abaixo no krb5.conf :
[login]
krb4_convert = true
krb4_get_tickets = false


SMB.CONF estas linhas eu deixei desativadas, estava dando problemas:
#template homedir = /home/%D/%U
#template shell = /bin/bash


Ok, uma observação importante, em relação ao erro do acesso via nome netbios do srv, isso se dá geralmente pelo fato de ter que ativar a pesquisa via netbios no srv, mas isso não seria um grande problema agora deixariamos para depois, o fato dele pedir o login e senha no acesso via \\ip, ai vc bateu na trave, falta apenas pequenas confs, acho q os comandos kinit e klist vão resolver isso, é apenas a liberação do acesso ao kerberos para autenticar, na tela de login escreva dominio\nomeuser e passwd, e tente acessar, lembrandooooooooooo que precisaremos dar permissão no shell as pastas que vc compartilhou no samba, (ACHO Q O PRO E APENAS ESTE) veja lá se o diretório está com as permissões root:grupoquevaiacessar ou userquevaiacessar:grupoquevaiacessar rwx rwx r (aqui é com vc vai depender o q vc pretende), amigo está quase pronto.