Ingressar desktop GNU/Linux no domínio Active Directory do Windows Server 2008
O objetivo do artigo é mostrar como ingressar um desktop com as distribuições Debian, LMDB e Ubuntu 12.04 LTS no domínio Active Directory do Windows Server 2008. No artigo irei mostrar como fazer o trabalho usando o prompt de comando e entender qual é a finalidade de cada pré-requisito usado para este trabalho.
Pré-requisitos e entendendo a finalidade de cada
As distribuições GNU/Linux estão cada vez mais populares no mundo corporativo e usadas em algumas empresas não só em servidores, mas também em desktops, substituindo sistemas operacionais que
necessitam pagar por sua licença para poder fazer uso do sistema. Vários são os motivos que podem levar a essa migração.
É comum, em empresas, fazer uso de servidores rodando serviço de rede para centralizar, gerenciar recursos e autenticar usuários para poderem fazer uso do recursos da mesma. Estes servidores são denominados de Controladores de Domínio.
Muitos profissionais ainda não conseguem fazer uma máquina rodando um sistema GNU/Linux ingressar no domínio. Então, nesse artigo, trato de mostrar como fazer este trabalho em distros Debian e Debian like.
Ingressar uma máquina com sistema GNU/Linux no domínio pode ser uma tarefa trabalhosa ou simples, dependendo da forma como é feita. Se for usar um programa como Likewise Open, pode ser bem simples como instalar o programa e executá-lo, para então, ter a máquina ingressada no domínio Active Directory. Mas no artigo, abordarei a forma mais trabalhosa, pois todo o trabalho é feito pela linha de comando.
Fazendo uso da Internet, podemos encontrar tutoriais que mostram como o trabalho é feito, no entanto, não explicam a finalidade de usar tal pacote, serviço ou porque adicionar tais opções nos arquivos de configuração; e inclusive, incluindo configurações desnecessárias para o trabalho, e a maioria são obsoletas.
Obs.: Todo o trabalho técnico apresentado neste artigo foi testado nas distros:
Kerberos é um protocolo de rede usado para autenticação de usuários e/ou serviços de rede, como o Active Directory. utilizando um sistema criptografado, permitindo comunicações seguras e identificadas em redes, fazendo uso de tickets (chaves criptografadas).
O Active Directory faz uso deste serviço para autenticação em rede, logo, as máquinas clientes terão que ter informações do KDC (Centro de Distribuição de Chaves) para autenticar-se no Active Directory.
O Winbind é um daemon usado pelo PAM, NSSWITCH, Samba e podendo ser usado por outros serviços de rede e/ou sistema, fazendo a interface entre o PDC e o computador cliente rodando o serviço Winbindd, permitindo que máquinas com o sistema GNU/Linux comuniquem-se com DC Active Directory.
O Samba até a versão 3, que é a que será usada nesse artigo, é um serviço cuja principal função é disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas será usado para autenticação de usuários no servidor onde está rodando devido o winbind depender do mesmo.
O mesmo faz uso de dois serviços, são NMB e SMB.
O serviço NMB tem a principal finalidade de resolução de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras máquinas. Então, este serviço permite a navegação pela rede, usando os hostnames das máquinas e o acesso às mesmas em rede.
O serviço SMB permite compartilhar tais recursos e autenticar os usuários no servidor Samba local, ou repassa as solicitações de autenticação para outro computador, como um servidor controlador de domínio com o Active Directory.
Veja a disposição dos servidores na rede para explicação do artigo:
Como os clientes serão configurados pelo serviço DHCP, só especificarei o nome da máquina cliente:
Nas próximas páginas, será abordada a parte técnica do trabalho.
É comum, em empresas, fazer uso de servidores rodando serviço de rede para centralizar, gerenciar recursos e autenticar usuários para poderem fazer uso do recursos da mesma. Estes servidores são denominados de Controladores de Domínio.
Muitos profissionais ainda não conseguem fazer uma máquina rodando um sistema GNU/Linux ingressar no domínio. Então, nesse artigo, trato de mostrar como fazer este trabalho em distros Debian e Debian like.
Ingressar uma máquina com sistema GNU/Linux no domínio pode ser uma tarefa trabalhosa ou simples, dependendo da forma como é feita. Se for usar um programa como Likewise Open, pode ser bem simples como instalar o programa e executá-lo, para então, ter a máquina ingressada no domínio Active Directory. Mas no artigo, abordarei a forma mais trabalhosa, pois todo o trabalho é feito pela linha de comando.
Fazendo uso da Internet, podemos encontrar tutoriais que mostram como o trabalho é feito, no entanto, não explicam a finalidade de usar tal pacote, serviço ou porque adicionar tais opções nos arquivos de configuração; e inclusive, incluindo configurações desnecessárias para o trabalho, e a maioria são obsoletas.
Obs.: Todo o trabalho técnico apresentado neste artigo foi testado nas distros:
- Debian 7
- Linux Mint Debian Edition (LMDE)
- Ubuntu 12.04 e 14.04
Pré-requisitos e finalidade de cada um para o trabalho
Antes de começar a trabalhar, é necessário saber quais são os serviços que o desktop com o sistema GNU/Linux precisa ter rodando para ingressar no domínio. Abaixo descrevo os serviços:- Kerberos
- Winbind
- Samba
Kerberos é um protocolo de rede usado para autenticação de usuários e/ou serviços de rede, como o Active Directory. utilizando um sistema criptografado, permitindo comunicações seguras e identificadas em redes, fazendo uso de tickets (chaves criptografadas).
O Active Directory faz uso deste serviço para autenticação em rede, logo, as máquinas clientes terão que ter informações do KDC (Centro de Distribuição de Chaves) para autenticar-se no Active Directory.
O Winbind é um daemon usado pelo PAM, NSSWITCH, Samba e podendo ser usado por outros serviços de rede e/ou sistema, fazendo a interface entre o PDC e o computador cliente rodando o serviço Winbindd, permitindo que máquinas com o sistema GNU/Linux comuniquem-se com DC Active Directory.
O Samba até a versão 3, que é a que será usada nesse artigo, é um serviço cuja principal função é disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas será usado para autenticação de usuários no servidor onde está rodando devido o winbind depender do mesmo.
O mesmo faz uso de dois serviços, são NMB e SMB.
O serviço NMB tem a principal finalidade de resolução de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras máquinas. Então, este serviço permite a navegação pela rede, usando os hostnames das máquinas e o acesso às mesmas em rede.
O serviço SMB permite compartilhar tais recursos e autenticar os usuários no servidor Samba local, ou repassa as solicitações de autenticação para outro computador, como um servidor controlador de domínio com o Active Directory.
Considerações de ambiente de rede
No ambiente proposto no artigo, já existem os servidores DNS em execução na rede, pois, para a autenticação ser feita, é necessário o uso do DNS e o servidor com Active Directory configurado como controlador de domínio principal já instalado e funcionando.Veja a disposição dos servidores na rede para explicação do artigo:
- Domínio → mistoli.net
- Servidor DNS primário → 192.168.215.3
- Servidor DNS Secundário → 192.168.215.4
- Servidor DHCP → 192.168.215.4
- Servidor controlador de domínio → 192.168.215.1 winactive.mistoli.net
Como os clientes serão configurados pelo serviço DHCP, só especificarei o nome da máquina cliente:
- Desktop cliente → mintvirt
Nas próximas páginas, será abordada a parte técnica do trabalho.