GNU/Linux integrado ao AD do Windows Server 2003

Este artigo veio da necessidade de criar um servidor de arquivos Samba que tivesse a possibilidade de utilizar a base de dados de usuários e grupos do Active Directory do Microsoft Windows Server 2003 R2 - SP2, para podermos usar esta BD para controlarmos o acesso aos arquivos servidos no Samba, fazendo com que este servidor GNU/Linux (Samba) se comporte como se fosse um Member Server.

[ Hits: 39.969 ]

Por: Lôammy Palessy Lima em 15/03/2009 | Blog: http://lplima.blogspot.com/


Samba + Winbind



Agora precisamos instalar os pacotes Samba e Winbind.

Após instalá-los, adicione ou modifique as linhas da seção [global] do arquivo de configuração do Samba /etc/samba/smb.conf:

#Nome Netbios do domínio do AD.
workgroup = NATS
security = ads
encrypt passwords = true
#Adicione as linhas abaixo para a máq. membersvr não competir com a máq. dc-jund como DC da rede.
os level = 18
domain master = no
local master = no
preferred master = no
#As linhas abaixo são as mais importantes para o propósito do artigo, lembre-se de respeitar as caixas altas e baixas das fontes.
realm = NATS.COM
password server = dc-jund.nats.com
clientschannel = no
idmap uid = 15000-30000
idmap gid = 15000-30000
winbind separator = +
winbind enum users = yes
winbind enum groups = yes

Agora adicione "winbind" no fim das linhas do passwd e group no arquivo /etc/nsswitch.conf, para que fique desta forma:

passwd:   compact winbind
group:   compact winbind

Reinicie o Samba e o Winbind.

Adicione a máquina membersvr no domínio com o seguinte comando:

# net ads join -U administrator

O parâmetro "-U administrator" acima indica um usuário que tem privilégios no domínio para realizar a tarefa de adicionar uma máquina no domínio, isto indica que você pode especificar um outro usuário.

Reinicie o Samba e o Winbind novamente!

Agora teste a conexão da máquina membersvr com o AD com os comandos:

# wbinfo -t

Tem que apresentar a mensagem:

"Checking the trust secret via RPC calls succeeded"

Se aparecer outra mensagem, revise as configurações e reinicie o Samba e o Winbind.

O comando:

# wbinfo -u

ou com parâmetro -g, mostrará todos os usuários ou grupos respectivamente, que conterá uma lista de usuários ou grupos locais juntamente com os do domínio nats.com.

Lembra da linha "winbind separator = +" do smb.conf? Nos comandos acima vemos a sua utilidade, pois:
  • MEMBERSVR+root -> Diz que o usuário root pertence a máquina local (membersvr);
  • NATS+administrator -> Diz que o usuário administrator pertence ao domínio nats.com, ou seja, ao AD. Mas no GNU/Linux é mostrado o nome netbios (NATS), por isso não é apresentado o nome do domino (nats.com).

É possível visualizar também a integração dos usuários e grupos com os seguintes comandos:

# getent passwd
# getent group


Eles mostrarão os usuários ou grupos locais e do AD, respectivamente, com seus respectivos UID e GID que iniciam do 15000, conforme as linhas do smb.conf:

idmap uid = 15000-30000
idmap gid = 15000-30000

NOTA: Se você tiver mais que 15000 usuários e grupos, aumente a faixa especificada acima.

Se você já chegou até aqui é porque a integração entre o GNU/Linux e o Active Directory já esta pronta!

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurações iniciais
   3. Samba + Winbind
   4. Teste de integração com AD
   5. Conclusão
Outros artigos deste autor

Empacotamento e compactadores de arquivos

Leitura recomendada

Xen - XL.cfg - Sintaxe da Configuração de Domínios - Parte II

Instalar Slackware 12.2 no Dell Inspiron 1525

Recuperando sistema em mirror LVM 1

Porque o Linux é difícil

Deixando a inicialização do Slackware com kernel 2.6 totalmente gráfica

  
Comentários
[1] Comentário enviado por loammy em 15/03/2009 - 10:46h

Qualquer coisa deixem um recado no meu blog:

http://lplima.blogspot.com/

[2] Comentário enviado por pogo em 16/03/2009 - 13:03h

excelente artigo! parabéns!

[3] Comentário enviado por hpvoltage em 16/03/2009 - 17:39h

Deixo aqui registrado meu comentário ao belessimo artigo.
Parabéns!!!

Nós da comunidade agradecemos sua contribuição

Um forte abraço

[4] Comentário enviado por loammy em 16/03/2009 - 22:04h

Muito Obrigado por lerem o artigo.

É gratificante poder contribuir com a comunidade.

[]'s

[5] Comentário enviado por removido em 17/03/2009 - 21:35h

Eu gostei dessa reportágem e adorei essa esperiência ligada, sem isso, a delicada, mais isso é útil, e adoro usar a minha, e casa, assim a AD claro a diretórios, com preservação, assim em bom, a caminho, sem isso, a idéias, assim eu gostei disso, e a parte por parte, assim em lido e garantido a scripts, e assim a minha parte, a o Linux, lida em lido com a essa a o Windows Server, e me interessei, assim agradável. E eu pareço assim em conta, e eu me interesso em parte, e ficou legal, e a minha me é útil, e aprende, assim se liga na Pascal, fica assim em mente, mas em agradável, assim foi útil, e obrigado, serve e trato, sempre, graças.

[6] Comentário enviado por pogo em 18/03/2009 - 08:10h

caramba, o spacevideo devia estar tendo um AVC quando postou o comentário acima! O_O

[7] Comentário enviado por dfsantos em 18/03/2009 - 14:48h

spacevideo que porra e essa!!!!

[8] Comentário enviado por silent-man em 19/03/2009 - 16:53h

spacevideo,

vou mandar colocar platina no seu nariz...

xD

[9] Comentário enviado por loammy em 27/03/2009 - 14:10h

E ai pessoal, alguem tentou implementar o conteudo do meu artigo?

Se sim, comentem como foi sua implemantação, se encontraram alguma dificuldade ou problema não previsto por mim...

[]´s

[10] Comentário enviado por arthurmatiello em 02/03/2010 - 09:33h

Excelente artigo.

Mas aqui ta errado:
passwd: compact winbind
group: compact winbind

Nao é COMPACT e sim COMPAT

o correto seria assim:
passwd: compat winbind
group: compat winbind

[]'s

[11] Comentário enviado por Lizard King em 30/06/2010 - 10:52h

Bom dia,

ótimo artigo.

Fiz e em partes deu certo, porem ao tentar acessar o compartilhamento com um usuario comum do windows, pede senha, e não acessa.

Alguem poderia me ajudar?

[12] Comentário enviado por Lizard King em 01/07/2010 - 11:06h

Olá, bom dia,

consegui, alterando estas linhas no smb.conf

idmap uid
idmap gid


deixa-las como

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431

Está bala agora.

Obrigado!

[13] Comentário enviado por maykon.franca em 26/03/2014 - 12:28h

Help,
Verifiquei que a hora estava errada, situação normalizada,
Agora tenho esse erro ao digitar # kinit administrador@maykonfranca.infra


root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#



192.168.56.110 svr.maykonfranca.infra svr // Ubuntu
192.168.56.103 svrdom.maykonfranca.infra svrdom //endereço do servidor DC - Windows server 2008


root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#
-----Configuraçoes realizadas------

resolv.conf ****
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.56.103 // endereço do servidor DC - Windows server 2008
search maykonfranca.infra

krb5.conf *****
[libdefaults]
default_realm = MAYKONFRANCA.INFRA
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MAYKONFRANCA.INFRA = {
kdc = svrdom.maykonfranca.infra
default_domain = MAYKONFRANCA.INFRA
}

[domain_realm]
.maykonfranca.infra = MAYKONFRANCA.INFRA

Hosts ***

192.168.56.110 svr.maykonfranca.infra svr
192.168.56.103 svrdom.maykonfranca.infra svrdom


Hostname ******
svr.maykonfranca.infra


#Dns no Windows server 2008
svr Host(A) 192.168.56.110



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts