Acesso a compartilhamentos do Samba sendo autenticados pelo Active Directory usando Kerberos
Esse tutorial tem como função orientar a instalação do Samba e fazer com que acessos aos compartilhamentos do mesmo sejam feitos por meio de autenticação de usuários em um servidor de domínio Active Directory - AD, usando Kerberos. A instalação do Samba foi feita em sistema operacional Debian Lenny.
[ Hits: 51.571 ]
Por: Marcos José Andrade Viana em 08/08/2009
Instalando e configurando Kerberos
Instalação e configuração do cliente Kerberos 5
Execute o comando:# apt-get install krb5-user
Será solicitado o nome (pode colocar o IP) do seu controlador de domínio, no qual você irá autenticar seus usuários. Se colocar o nome, certifique-se de que o servidor está resolvendo o nome.
O arquivo de configuração do cliente Kerberos é o /etc/krb5.conf. Nesse arquivo colocaremos o nome do nosso DOMÍNIO (em maiúsculo, DOMINIO.COM.BR) e quem será o servidor responsável por ele. Confira se os dados que você digitou no passo anterior fazem parte desse arquivo.
# vi /etc/krb5.conf
...
[libdefaults]
Default_relm = DOMINIO.COM.BR # O nome do domínio de estar em MAIÚSCULO
[realms]
DOMINIO.COM.BR = {
kdc = srvad.dominio.com.br
admin_server = srvad.dominio.com.br
}
...
[libdefaults]
Default_relm = DOMINIO.COM.BR # O nome do domínio de estar em MAIÚSCULO
[realms]
DOMINIO.COM.BR = {
kdc = srvad.dominio.com.br
admin_server = srvad.dominio.com.br
}
...
Testando cliente Kerberos:
# kinit adminsitrator@DOMINIO.COM.BR
Não se esqueça de colocar o nome do domínio em MAIÚSCULO conforme está no arquivo krb5.conf. Será então solicitado a senha do administrador do domínio, se não aparecer nenhuma mensagem de erro, a configuração está correta.
Se aparecer um erro relacionado a hora:
...kinit(v5): Clock skew too great while getting initial credentials..
Instale o ntpdate, depois sincronize o horário de sua estação de acordo como horário do servidor do Active Directory que autenticará o usuário.
# apt-get install ntpdate
# ntpdate servidor_de_ntp_de_minha_rede
Páginas do artigo
1. Instalando e configurando Kerberos2. Instalando e configurando Samba
3. Configurando o nsswitch, testando Samba e conexão com o AD
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Transferência de arquivos remota de forma segura de Windows para Linux
O básico sobre RAID com mdadm e raidtools
Discos Virtuais na Amazon WS - Como expandir disco EBS em servidores virtuais Amazon WS
Usando partições e sistemas de arquivos
Comentários
[1] Comentário enviado por andrefreire em 11/08/2009 - 19:04h
Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?
Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?
[2] Comentário enviado por mesaque em 28/08/2009 - 17:47h
Caro colega,
Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
Se puder me ajudar, agradeço muito.
Abraço
Caro colega,
Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
Se puder me ajudar, agradeço muito.
Abraço
[3] Comentário enviado por mesaque em 28/08/2009 - 18:09h
Algumas observações:
Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET
Windows Server 2003 Enterprise Edition
Debian Lenny 5.0
Nas configurações do krb coloquei o ip e não o netbios name
Mesmo assim o DNS está instalado no windows.
o teste kinit deu certo.
mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#
Abs
Algumas observações:
Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET
Windows Server 2003 Enterprise Edition
Debian Lenny 5.0
Nas configurações do krb coloquei o ip e não o netbios name
Mesmo assim o DNS está instalado no windows.
o teste kinit deu certo.
mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#
Abs
[4] Comentário enviado por removido em 07/10/2009 - 09:38h
mesaque
tenta assim
# net join ads -U seu_usuario
ao invés de
# net ads join -U seu_usuario
Aqui deu certo!
mesaque
tenta assim
# net join ads -U seu_usuario
ao invés de
# net ads join -U seu_usuario
Aqui deu certo!
[6] Comentário enviado por l_gipo em 11/02/2010 - 09:34h
Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.
Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.
[7] Comentário enviado por removido em 15/02/2013 - 17:21h
Tenho Windows 2003 Server com DC
Linux debian 6
Esta apresentando o seguinte problema
root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.
root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#
root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users
root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado
Smb.conf
[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no
Tenho Windows 2003 Server com DC
Linux debian 6
Esta apresentando o seguinte problema
root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.
root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#
root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users
root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado
Smb.conf
[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no
[8] Comentário enviado por GuPeD em 19/12/2017 - 12:31h
tbm estou com problemas, alguem poderia me ajudar?
tbm estou com problemas, alguem poderia me ajudar?
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Gentoo binário em 2026: UEFI, LUKS, Btrfs e Systemd
Trabalhando Nativamente com Logs no Linux
Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux
LazyDocker – Interface de Usuário em Tempo Real para o Docker
Dicas
Gentoo: Trocando wpa_supplicant pelo iwd no NetworkManager (Systemd)
OCS Inventory NG: Instalação de Agentes Linux e Windows + Autenticação HTTP
Recriar Links Simbólicos Quebrados
Usando dracut e dispensando genkernel no Gentoo + LUKS + Btrfs
Curso GRÁTIS: OCS Inventory NG - Do Deploy ao Hardening com foco em Segurança da Informação!
Tópicos
Removere linux-image-6... [RESOLVIDO] (2)
Quando vocês pararam de testar distros? (19)
O que houve com slackware ??? (6)
Top 10 do mês
-
Xerxes
1° lugar - 126.168 pts -
Fábio Berbert de Paula
2° lugar - 60.805 pts -
Buckminster
3° lugar - 30.800 pts -
Mauricio Ferrari (LinuxProativo)
4° lugar - 19.610 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
5° lugar - 20.247 pts -
Diego Mendes Rodrigues
6° lugar - 18.312 pts -
Alberto Federman Neto.
7° lugar - 19.976 pts -
Daniel Lara Souza
8° lugar - 17.846 pts -
edps
9° lugar - 18.389 pts -
Andre (pinduvoz)
10° lugar - 15.767 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
