Acesso a compartilhamentos do Samba sendo autenticados pelo Active Directory usando Kerberos

marcosviana

Esse tutorial tem como função orientar a instalação do Samba e fazer com que acessos aos compartilhamentos do mesmo sejam feitos por meio de autenticação de usuários em um servidor de domínio Active Directory - AD, usando Kerberos. A instalação do Samba foi feita em sistema operacional Debian Lenny.

[ Hits: 51.063 ]

Por: Marcos José Andrade Viana em 08/08/2009

0 0
Denuncie   Favoritos   Indicar   Impressora

Instalando e configurando Kerberos



Instalação e configuração do cliente Kerberos 5

Execute o comando:

# apt-get install krb5-user

Será solicitado o nome (pode colocar o IP) do seu controlador de domínio, no qual você irá autenticar seus usuários. Se colocar o nome, certifique-se de que o servidor está resolvendo o nome.

O arquivo de configuração do cliente Kerberos é o /etc/krb5.conf. Nesse arquivo colocaremos o nome do nosso DOMÍNIO (em maiúsculo, DOMINIO.COM.BR) e quem será o servidor responsável por ele. Confira se os dados que você digitou no passo anterior fazem parte desse arquivo.

# vi /etc/krb5.conf

...
[libdefaults]
   Default_relm = DOMINIO.COM.BR  # O nome do  domínio de estar em MAIÚSCULO

[realms]
   DOMINIO.COM.BR = {
         kdc = srvad.dominio.com.br
         admin_server = srvad.dominio.com.br
   }
...

Testando cliente Kerberos:

# kinit adminsitrator@DOMINIO.COM.BR

Não se esqueça de colocar o nome do domínio em MAIÚSCULO conforme está no arquivo krb5.conf. Será então solicitado a senha do administrador do domínio, se não aparecer nenhuma mensagem de erro, a configuração está correta.

Se aparecer um erro relacionado a hora:

...kinit(v5): Clock skew too great while getting initial credentials..

Instale o ntpdate, depois sincronize o horário de sua estação de acordo como horário do servidor do Active Directory que autenticará o usuário.

# apt-get install ntpdate
# ntpdate servidor_de_ntp_de_minha_rede

    Próxima página

Páginas do artigo
   1. Instalando e configurando Kerberos
   2. Instalando e configurando Samba
   3. Configurando o nsswitch, testando Samba e conexão com o AD
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada

Permissões - referência rápida

Negação de serviço: Implementação, defesas e repercussões

Verificando e marcando badblocks

Configuração do Samba no Debian Server

Entendendo as permissões de arquivos (chmod)

  
Comentários
[1] Comentário enviado por andrefreire em 11/08/2009 - 19:04h

Parabéns pelo artigo ! Já tenho essa solução implamtada em algumas empresas porém sempre que eu tento adicionar a máquina ao domínio " net ads join -U administrador " ele pede a senha novamente mesmo após ter obtido o ticket ! vc tem alguma idéia do que pode ser ?

[2] Comentário enviado por mesaque em 28/08/2009 - 17:47h

Caro colega,

Gostei muito da forma que escreveu este arquivo. Rico, mas simples.
Estou tendo uma pequena dificuldade ao tentar ingressar no domínio. Dá o seguinte erro:

Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET

Se puder me ajudar, agradeço muito.

Abraço

[3] Comentário enviado por mesaque em 28/08/2009 - 18:09h

Algumas observações:

Meu ambiente de teste: MESAQUEJUNIOR.SYTES.NET

Windows Server 2003 Enterprise Edition

Debian Lenny 5.0

Nas configurações do krb coloquei o ip e não o netbios name

Mesmo assim o DNS está instalado no windows.

o teste kinit deu certo.

mesaquedebian:~# kinit administrator
Password for administrator@MESAQUEJUNIOR.SYTES.NET:
mesaquedebian:~# net ads join -U administrador
Enter administrador's password:
Failed to join domain: failed to find DC for domain MESAQUEJUNIOR.SYTES.NET
mesaquedebian:~#


Abs

[4] Comentário enviado por removido em 07/10/2009 - 09:38h

mesaque

tenta assim

# net join ads -U seu_usuario

ao invés de

# net ads join -U seu_usuario

Aqui deu certo!

[5] Comentário enviado por jcva em 13/01/2010 - 14:02h

Aqui também func

Vlw

[6] Comentário enviado por l_gipo em 11/02/2010 - 09:34h

Vlw pessoal pelas dicas expostas nesse fórum. Me ajudaram bastante, principalmente a do mesaque. Vlw cara. o net join ads resolveu minha vida por aqui. Um abração.

[7] Comentário enviado por removido em 15/02/2013 - 17:21h

Tenho Windows 2003 Server com DC
Linux debian 6

Esta apresentando o seguinte problema

root@KEN:~# net join -U administrator
Enter administrator's password:
Failed to join domain: failed to find DC for domain CACULA.LOCAL
ADS join did not work, falling back to RPC...
Enter administrator's password:
Interupted by signal.



root@KEN:~# wbinfo -t
checking the trust secret for domain CACULA via RPC calls failed
Could not check secret
root@KEN:~#



root@KEN:~# testparm -v
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions


root@KEN:~# wbinfo -g
domain computers
domain controllers
schema admins
enterprise admins
cert publishers
domain admins
domain users
domain guests
group policy creator owners
ras and ias servers
dnsadmins
dnsupdateproxy
openfire-administracao
openfire-lojas
openfire-callcenter
gg_atacado
gg_cal center
gg_call center
gg_scal
gg_compras
gg_contabilidade
interneta
acesso_maquina_bete
dhcp users
dhcp administrators
internetb
internetc
internetd
internet marketing
wins users

root@KEN:~# wbinfo -u
KEN+nobody
KEN+cacula
administrator
guest
support_388945a0
aspnet
sqlserver
ap6
krbtgt
denis.flosi
jose.abreu
ana.silva
giuseppe.fechio
daniel.souza
alessandra.sena
amanda.gandra
andressa.guaraldo
beatriz.silva
elizabete.silva
camila.regina
cirlene.cruz
cristine.machado




Smb.conf


[global]
workgroup = CACULA
netbios name = KEN
server string = KEN SERVER
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
realm = CACULA.LOCAL
security = ads
auth methods = winbind
password server = 100.220.221.243
winbind separator = +
encrypt passwords = yes
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
local master = no
os level = 233
domain master = no
preferred master = no
domain logons = no
wins server = 100.220.221.243
dns proxy = no
ldap ssl = no

[8] Comentário enviado por GuPeD em 19/12/2017 - 12:31h

tbm estou com problemas, alguem poderia me ajudar?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Conciliando o uso da ZRAM e SWAP em disco na sua máquina

Servidor de Backup com Ubuntu Server 24.04 LTS, RAID e Duplicati (Dell PowerEdge T420)

Visualizar câmeras IP ONVIF no Linux sem necessidade de instalar aplicativos

Atualizar Debian Online de uma Versão para outra

Máquina perereca - até onde é possível o uso de Linux?

Dicas

Proteja seu Linux Mint com o Timeshift: Restaure o sistema mesmo que ele não inicie!

Instalando Google Chrome no Debian 13

Dica para encontrar diversos jogos Indies criativos

Por que eu amo Linux?

Instalando Discord no Debian 13

Tópicos

Erro de interface de Rede no Virt Manager dentro Debian 13 KDE (10)

paginação dos favoritos não funciona no vivaolinux[BU... (5)

Salvar estado da VM no virt-manager (4)

Driver da nvidia e desempenho em jogos (6)

Instalar o Weechat (1)

Top 10 do mês

Scripts

[Shell Script] Script ligar-scrolllock

[Shell Script] Como ver/ouvir vídeo/áudio via Terminal de modo prático

[Shell Script] Criar Script para apagar determinados arquivos

[Shell Script] inSANE - Script para usar Scanner

[Shell Script] Instalador do emulador de joystick Xbox para joystick generico para PC, PS2, PS3 (Debian e Derivados

A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

Site hospedado por: