Acesso a compartilhamentos do Samba sendo autenticados pelo Active Directory usando Kerberos

marcosviana

Esse tutorial tem como função orientar a instalação do Samba e fazer com que acessos aos compartilhamentos do mesmo sejam feitos por meio de autenticação de usuários em um servidor de domínio Active Directory - AD, usando Kerberos. A instalação do Samba foi feita em sistema operacional Debian Lenny.

[ Hits: 50.125 ]

Por: Marcos José Andrade Viana em 08/08/2009

0 0

Denuncie Favoritos Indicar Impressora

Instalando e configurando Kerberos

Instalação e configuração do cliente Kerberos 5

Execute o comando:

# apt-get install krb5-user

Será solicitado o nome (pode colocar o IP) do seu controlador de domínio, no qual você irá autenticar seus usuários. Se colocar o nome, certifique-se de que o servidor está resolvendo o nome.

O arquivo de configuração do cliente Kerberos é o /etc/krb5.conf. Nesse arquivo colocaremos o nome do nosso DOMÍNIO (em maiúsculo, DOMINIO.COM.BR) e quem será o servidor responsável por ele. Confira se os dados que você digitou no passo anterior fazem parte desse arquivo.

# vi /etc/krb5.conf

...
[libdefaults]
   Default_relm = DOMINIO.COM.BR  # O nome do  domínio de estar em MAIÚSCULO

[realms]
   DOMINIO.COM.BR = {
         kdc = srvad.dominio.com.br
         admin_server = srvad.dominio.com.br
   }
...

Testando cliente Kerberos:

# kinit adminsitrator@DOMINIO.COM.BR

Não se esqueça de colocar o nome do domínio em MAIÚSCULO conforme está no arquivo krb5.conf. Será então solicitado a senha do administrador do domínio, se não aparecer nenhuma mensagem de erro, a configuração está correta.

Se aparecer um erro relacionado a hora:

...kinit(v5): Clock skew too great while getting initial credentials..

Instale o ntpdate, depois sincronize o horário de sua estação de acordo como horário do servidor do Active Directory que autenticará o usuário.

# apt-get install ntpdate
# ntpdate servidor_de_ntp_de_minha_rede

Próxima página

Páginas do artigo

   1. Instalando e configurando Kerberos
   2. Instalando e configurando Samba
   3. Configurando o nsswitch, testando Samba e conexão com o AD

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Expandindo partição em LVM

Aplicações em 32 bits para seu Ubuntu 64 bits (Feisty Fawn)

Montando partições em memória

Montando um servidor Linux com sshfs no SuSE

Restaurar arquivo ou diretório apagado em file system ext3

Comentários

[1] Comentário enviado por andrefreire em 11/08/2009 - 19:04h

Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?

0 0

[2] Comentário enviado por mesaque em 28/08/2009 - 17:47h

Caro colega,

Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:

Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET

Se puder me ajudar, agradeço muito.

Abraço

0 0

[3] Comentário enviado por mesaque em 28/08/2009 - 18:09h

Algumas observações:

Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET

Windows Server 2003 Enterprise Edition

Debian Lenny 5.0

Nas configurações do krb coloquei o ip e não o netbios name

Mesmo assim o DNS está instalado no windows.

o teste kinit deu certo.

mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#

Abs

0 0

[4] Comentário enviado por removido em 07/10/2009 - 09:38h

mesaque

tenta assim

# net join ads -U seu_usuario

ao invés de

# net ads join -U seu_usuario

Aqui deu certo!

0 0

[5] Comentário enviado por jcva em 13/01/2010 - 14:02h

Aqui também func

Vlw

0 0

[6] Comentário enviado por l_gipo em 11/02/2010 - 09:34h

Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.

0 0

[7] Comentário enviado por removido em 15/02/2013 - 17:21h

Tenho Windows 2003 Server com DC
Linux debian 6

Esta apresentando o seguinte problema

root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.

root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#

root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users

root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado

Smb.conf

[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no

0 0