Acesso a compartilhamentos do Samba sendo autenticados pelo Active Directory usando Kerberos

marcosviana

Esse tutorial tem como função orientar a instalação do Samba e fazer com que acessos aos compartilhamentos do mesmo sejam feitos por meio de autenticação de usuários em um servidor de domínio Active Directory - AD, usando Kerberos. A instalação do Samba foi feita em sistema operacional Debian Lenny.

[ Hits: 51.939 ]

Por: Marcos José Andrade Viana em 08/08/2009

0 0
Denuncie   Favoritos   Indicar   Impressora

Instalando e configurando Kerberos



Instalação e configuração do cliente Kerberos 5

Execute o comando:

# apt-get install krb5-user

Será solicitado o nome (pode colocar o IP) do seu controlador de domínio, no qual você irá autenticar seus usuários. Se colocar o nome, certifique-se de que o servidor está resolvendo o nome.

O arquivo de configuração do cliente Kerberos é o /etc/krb5.conf. Nesse arquivo colocaremos o nome do nosso DOMÍNIO (em maiúsculo, DOMINIO.COM.BR) e quem será o servidor responsável por ele. Confira se os dados que você digitou no passo anterior fazem parte desse arquivo.

# vi /etc/krb5.conf

...
[libdefaults]
   Default_relm = DOMINIO.COM.BR  # O nome do  domínio de estar em MAIÚSCULO

[realms]
   DOMINIO.COM.BR = {
         kdc = srvad.dominio.com.br
         admin_server = srvad.dominio.com.br
   }
...

Testando cliente Kerberos:

# kinit adminsitrator@DOMINIO.COM.BR

Não se esqueça de colocar o nome do domínio em MAIÚSCULO conforme está no arquivo krb5.conf. Será então solicitado a senha do administrador do domínio, se não aparecer nenhuma mensagem de erro, a configuração está correta.

Se aparecer um erro relacionado a hora:

...kinit(v5): Clock skew too great while getting initial credentials..

Instale o ntpdate, depois sincronize o horário de sua estação de acordo como horário do servidor do Active Directory que autenticará o usuário.

# apt-get install ntpdate
# ntpdate servidor_de_ntp_de_minha_rede

    Próxima página

Páginas do artigo
   1. Instalando e configurando Kerberos
   2. Instalando e configurando Samba
   3. Configurando o nsswitch, testando Samba e conexão com o AD
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Aplicações em 32 bits para seu Ubuntu 64 bits (Feisty Fawn)

Explorando NFS mal configurado

jmtpfs - Enviando arquivos (MTPS) Android para Debian 9

Configuração de Servidor SFTP

Montando um servidor Linux com sshfs no SuSE

  
Comentários
[1] Comentário enviado por andrefreire em 11/08/2009 - 19:04h

Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?

[2] Comentário enviado por mesaque em 28/08/2009 - 17:47h

Caro colega,

Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:

Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET

Se puder me ajudar, agradeço muito.

Abraço

[3] Comentário enviado por mesaque em 28/08/2009 - 18:09h

Algumas observações:

Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET

Windows Server 2003 Enterprise Edition

Debian Lenny 5.0

Nas configurações do krb coloquei o ip e não o netbios name

Mesmo assim o DNS está instalado no windows.

o teste kinit deu certo.

mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#


Abs

[4] Comentário enviado por removido em 07/10/2009 - 09:38h

mesaque

tenta assim

# net join ads -U seu_usuario

ao invés de

# net ads join -U seu_usuario

Aqui deu certo!

[5] Comentário enviado por jcva em 13/01/2010 - 14:02h

Aqui também func

Vlw

[6] Comentário enviado por l_gipo em 11/02/2010 - 09:34h

Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.

[7] Comentário enviado por removido em 15/02/2013 - 17:21h

Tenho Windows 2003 Server com DC
Linux debian 6

Esta apresentando o seguinte problema

root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.



root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#



root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions


root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users

root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado




Smb.conf


[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no

[8] Comentário enviado por GuPeD em 19/12/2017 - 12:31h

tbm estou com problemas, alguem poderia me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

A evolução do Linux e as mudanças que se fazem necessárias desde o seu lançamento

Solid RELAÇÃO COM GOF

Maquina modesta - a vez dos navegadores ferrarem o usuario

Fscrypt: protegendo arquivos do seu usuário sem a lentidão padrão de criptograr o disco

Faça suas próprias atualizações de pacotes/programas no Void Linux e torne-se um Contribuidor

Dicas

Instalar Archlinux pelo WiFi

Dock no Cinnamon

Dando uma turbinada no bash

Resolvendo o bloqueio do Módulo Warsaw no Arch Linux (Porta 30900)

Replicação SYSVOL no Samba 4 com Syncthing

Tópicos

Instalações (1)

initrams (8)

Abrir um arquivo URL pelaLlinguagem C (2)

alguem tem o link do gamelinux? faz anos sem noticia (3)

Epson L3250 só imprime se remove e conectar o cabo usb (2)

Top 10 do mês

Scripts

[Shell Script] yad-clamav

[Shell Script] imageDownloader

[Shell Script] Flatpak manager

[Shell Script] Renomador em lote feito em Zenity

[C/C++] Jogo do Labirinto no Terminal

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: