Acesso a compartilhamentos do Samba sendo autenticados pelo Active Directory usando Kerberos

Esse tutorial tem como função orientar a instalação do Samba e fazer com que acessos aos compartilhamentos do mesmo sejam feitos por meio de autenticação de usuários em um servidor de domínio Active Directory - AD, usando Kerberos. A instalação do Samba foi feita em sistema operacional Debian Lenny.

[ Hits: 50.437 ]

Por: Marcos José Andrade Viana em 08/08/2009


Instalando e configurando Kerberos



Instalação e configuração do cliente Kerberos 5

Execute o comando:

# apt-get install krb5-user

Será solicitado o nome (pode colocar o IP) do seu controlador de domínio, no qual você irá autenticar seus usuários. Se colocar o nome, certifique-se de que o servidor está resolvendo o nome.

O arquivo de configuração do cliente Kerberos é o /etc/krb5.conf. Nesse arquivo colocaremos o nome do nosso DOMÍNIO (em maiúsculo, DOMINIO.COM.BR) e quem será o servidor responsável por ele. Confira se os dados que você digitou no passo anterior fazem parte desse arquivo.

# vi /etc/krb5.conf

...
[libdefaults]
   Default_relm = DOMINIO.COM.BR  # O nome do  domínio de estar em MAIÚSCULO

[realms]
   DOMINIO.COM.BR = {
         kdc = srvad.dominio.com.br
         admin_server = srvad.dominio.com.br
   }
...

Testando cliente Kerberos:

# kinit adminsitrator@DOMINIO.COM.BR

Não se esqueça de colocar o nome do domínio em MAIÚSCULO conforme está no arquivo krb5.conf. Será então solicitado a senha do administrador do domínio, se não aparecer nenhuma mensagem de erro, a configuração está correta.

Se aparecer um erro relacionado a hora:

...kinit(v5): Clock skew too great while getting initial credentials..

Instale o ntpdate, depois sincronize o horário de sua estação de acordo como horário do servidor do Active Directory que autenticará o usuário.

# apt-get install ntpdate
# ntpdate servidor_de_ntp_de_minha_rede


    Próxima página

Páginas do artigo
   1. Instalando e configurando Kerberos
   2. Instalando e configurando Samba
   3. Configurando o nsswitch, testando Samba e conexão com o AD
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Entendendo o ReiserFS

MooseFS - Sistema de arquivos distribuído

Recuperando arquivos deletados em partições ReiserFS

Verificando e marcando badblocks

Sistemas de arquivos no Unix - Arquivos, Diretórios e Partições

  
Comentários
[1] Comentário enviado por andrefreire em 11/08/2009 - 19:04h

Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?

[2] Comentário enviado por mesaque em 28/08/2009 - 17:47h

Caro colega,

Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:

Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET

Se puder me ajudar, agradeço muito.

Abraço

[3] Comentário enviado por mesaque em 28/08/2009 - 18:09h

Algumas observações:

Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET

Windows Server 2003 Enterprise Edition

Debian Lenny 5.0

Nas configurações do krb coloquei o ip e não o netbios name

Mesmo assim o DNS está instalado no windows.

o teste kinit deu certo.

mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#


Abs

[4] Comentário enviado por removido em 07/10/2009 - 09:38h

mesaque

tenta assim

# net join ads -U seu_usuario

ao invés de

# net ads join -U seu_usuario

Aqui deu certo!

[5] Comentário enviado por jcva em 13/01/2010 - 14:02h

Aqui também func

Vlw

[6] Comentário enviado por l_gipo em 11/02/2010 - 09:34h

Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.

[7] Comentário enviado por removido em 15/02/2013 - 17:21h

Tenho Windows 2003 Server com DC
Linux debian 6

Esta apresentando o seguinte problema

root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.



root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#



root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions


root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users

root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado




Smb.conf


[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no

[8] Comentário enviado por GuPeD em 19/12/2017 - 12:31h

tbm estou com problemas, alguem poderia me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts