O objetivo do artigo é mostrar como ingressar um desktop com as distribuições Debian, LMDB e Ubuntu 12.04 LTS no domínio Active Directory do Windows Server 2008. No artigo irei mostrar como fazer o trabalho usando o prompt de comando e entender qual é a finalidade de cada pré-requisito usado para este trabalho.
As distribuições GNU/Linux estão cada vez mais populares no mundo corporativo e usadas em algumas empresas não só em servidores, mas também em desktops, substituindo sistemas operacionais que
necessitam pagar por sua licença para poder fazer uso do sistema. Vários são os motivos que podem levar a essa migração.
É comum, em empresas, fazer uso de servidores rodando serviço de rede para centralizar, gerenciar recursos e autenticar usuários para poderem fazer uso do recursos da mesma. Estes servidores são
denominados de Controladores de Domínio.
Muitos profissionais ainda não conseguem fazer uma máquina rodando um sistema GNU/Linux ingressar no domínio. Então, nesse artigo, trato de mostrar como fazer este trabalho em distros
Debian e Debian like.
Ingressar uma máquina com sistema GNU/Linux no domínio pode ser uma tarefa trabalhosa ou simples, dependendo da forma como é feita. Se for usar um programa como Likewise Open, pode ser bem
simples como instalar o programa e executá-lo, para então, ter a máquina ingressada no domínio Active Directory. Mas no artigo, abordarei a forma mais trabalhosa, pois todo o trabalho é feito pela linha de
comando.
Fazendo uso da Internet, podemos encontrar tutoriais que mostram como o trabalho é feito, no entanto, não explicam a finalidade de usar tal pacote, serviço ou porque adicionar tais opções nos arquivos de
configuração; e inclusive, incluindo configurações desnecessárias para o trabalho, e a maioria são obsoletas.
Obs.: Todo o trabalho técnico apresentado neste artigo foi testado nas distros:
Debian 7
Linux Mint Debian Edition (LMDE)
Ubuntu 12.04 e 14.04
Pré-requisitos e finalidade de cada um para o trabalho
Antes de começar a trabalhar, é necessário saber quais são os serviços que o desktop com o sistema GNU/Linux precisa ter rodando para ingressar no domínio. Abaixo descrevo os serviços:
Kerberos
Winbind
Samba
Kerberos é um protocolo de rede usado para autenticação de usuários e/ou serviços de rede, como o Active Directory. utilizando um sistema criptografado, permitindo comunicações seguras e
identificadas em redes, fazendo uso de tickets (chaves criptografadas).
O Active Directory faz uso deste serviço para autenticação em rede, logo, as máquinas clientes terão que ter informações do KDC (Centro de Distribuição de Chaves) para autenticar-se no Active Directory.
O Winbind é um daemon usado pelo PAM, NSSWITCH, Samba e podendo ser usado por outros serviços de rede e/ou sistema, fazendo a interface entre o PDC e o computador cliente rodando o
serviço Winbindd, permitindo que máquinas com o sistema GNU/Linux comuniquem-se com DC Active Directory.
O Samba até a versão 3, que é a que será usada nesse artigo, é um serviço cuja principal função é disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas
será usado para autenticação de usuários no servidor onde está rodando devido o winbind depender do mesmo.
O mesmo faz uso de dois serviços, são NMB e SMB.
O serviço NMB tem a principal finalidade de resolução de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras máquinas. Então, este serviço permite a navegação pela
rede, usando os hostnames das máquinas e o acesso às mesmas em rede.
O serviço SMB permite compartilhar tais recursos e autenticar os usuários no servidor Samba local, ou repassa as solicitações de autenticação para outro computador, como um servidor controlador de
domínio com o Active Directory.
Considerações de ambiente de rede
No ambiente proposto no artigo, já existem os servidores DNS em execução na rede, pois, para a autenticação ser feita, é necessário o uso do DNS e o servidor com Active Directory configurado como
controlador de domínio principal já instalado e funcionando.
Veja a disposição dos servidores na rede para explicação do artigo:
Domínio → mistoli.net
Servidor DNS primário → 192.168.215.3
Servidor DNS Secundário → 192.168.215.4
Servidor DHCP → 192.168.215.4
Servidor controlador de domínio → 192.168.215.1 winactive.mistoli.net
Como os clientes serão configurados pelo serviço DHCP, só especificarei o nome da máquina cliente:
Desktop cliente → mintvirt
Nas próximas páginas, será abordada a parte técnica do trabalho.
[3] Comentário enviado por Tiago_Rc2 em 25/11/2012 - 00:07h
Amigo, ótimo artigo. Como sou iniciante do piguim, me reponda uma coisa:
É possivel fazer um servidor linux ser servidor de arquivos em um Dominio Windows? ou seja, posso dar permissão a determinados grupos do AD no servidor linux?
[4] Comentário enviado por removido em 25/11/2012 - 00:29h
[3] Comentário enviado por Tiago_Rc2 em 25/11/2012 - 00:07h:
Amigo, ótimo artigo. Como sou iniciante do piguim, me reponda uma coisa:
É possivel fazer um servidor linux ser servidor de arquivos em um Dominio Windows? ou seja, posso dar permissão a determinados grupos do AD no servidor linux?
Abraço!
Obrigado por comentar. as resposta das pergunta está de acordo com o meu entendimento. resposta da pergunta:
R. Pode sim. após colocar a máquina no domínio windows pode usar os usuários/grupos cadastrados no controlador de domínio para setar permissões em compartilhamentos. pois mesmo após ingressar a máquina no domínio, você não conseguirá fazer alterações no sistema, tais como instalar programas por exemplo, sem ser o usuário root do sistema GNU/Linux.
Conseguirá fazer alterações somente nos diretórios em que os usuários sem poderes administrativos (não root) tem autorização, como por exemplo os diretórios que ficam dentro do diretório /home de cada usuário, ou seja, as permissões locais continuam prevalecendo, diferentemente de uma máquina windows. de forma que se quiser permitir o acesso a outros diretórios para usuários e grupos do active directory para escrita ou alterar permissõespor exemplo, terá que usar o root para setar as permissões. se é isso que quer saber.
[5] Comentário enviado por pedrohaa em 16/12/2012 - 21:07h
Depois de todas as configurações ao reiniciar o UBUNTU (cliente) o mesmo dá senha errada pra todos os usuários, até mesmo colocando o login no formato DOMINIO\usuario. O que pode ser?
A máquina linux já aparece no AD. Estou logando em um domínio com Windows 2003 server.
[6] Comentário enviado por removido em 16/12/2012 - 21:23h
[5] Comentário enviado por pedrohaa em 16/12/2012 - 21:07h:
Depois de todas as configurações ao reiniciar o UBUNTU (cliente) o mesmo dá senha errada pra todos os usuários, até mesmo colocando o login no formato DOMINIO\usuario. O que pode ser?
A máquina linux já aparece no AD. Estou logando em um domínio com Windows 2003 server.
Como o trabalho é longo, detalhado e trabalhoso, a melhor coisa a fazer é logar com um usuário do sistema local, e em seguida verificar se todos os passos foram feitos corretamente. Certifique-se que todos os serviços usados pela máquina cliente estão em execução. tipo: verifique se o samba (smb), winbind, kerberos estão em execução. verifique também se o horário está sincronizado, caso nenhum desses serviços estejam em execução ou o horário não esteja sincronizado com o controlador de domínio não poderá logar no domínio.
[7] Comentário enviado por mikeitaly em 26/01/2013 - 22:03h
parabens!!!!!
parceiro eu precizo saber urgente se tem como eu add o ubuntu no dominio SAMBA4..
eu tenhu instalado no CentOS 6.3 o SAMBA4 como AD e jah consegui add um cliente WIN XP e WIN 7 no dominio Samba4.. grato!!!!
[8] Comentário enviado por removido em 26/01/2013 - 22:51h
Primeiramente obrigado pelo comentário !
Amigo até o momento não adicionei nenhum desktop rodando uma distro GNU/Linux em um domínio samba 4. Mas como o samba 4 tem um active directory integrado a sua estrutura, então acho muito provável que o mesmo método utilizado neste artigo faça com que a máquina rodando o ubuntu ingresse no domínio do samba 4 (com active directory). tenta fazer como explicado no artigo, por uma máquina virtual, caso não consiga retorne os erros apresentados durante o trabalho feito.
[10] Comentário enviado por mikeitaly em 29/01/2013 - 20:24h
ae parceiro! consegui add um client ubuntu 12.04 no Dominio SAMBA 4 (que simula um windows server 2003)!
100% proveitoso sua Documentação aqui no VOL!
Parábens!!!
:wq!
;]
[12] Comentário enviado por arasouza em 26/06/2013 - 09:50h
Amigo segui passo a passo a documentação porém quando vou inserir o debian no ad, com o comando: net ads join -U administrador, ele dá o seguinte erro:
Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: This operation is only allowed for the PDC of the domain.
o que posso está fazendo errado? agradeço sua atenção.
[16] Comentário enviado por removido em 14/07/2013 - 19:17h
Obrigado pelo comentário.
Acredito que todo esse processo não é necessário fazer após usar o likewise-open, pois o mesmo tem o objetivo de migrar máquinas GNU/Linux (principalmente o ubuntu) em uma domínio. agora saber qual é vantagem e desvantagem de um para o outro, só posso responder com precisão se conhecer o likewise-open, e não o conheço.
Mas acredito que usando o método usado no artigo é melhor, pois você sabe o que está fazendo e pra que está fazendo apesar de ser trabalhoso.
[21] Comentário enviado por nemerious007 em 28/11/2013 - 14:48h
opa, tudo beleza? foi muito bem detalhado muito obrigado, tenho 2 duvidas, fiz o tutorial ontem e quando foi
1: hoje ele não tava no dominio, dei uma olhada naquele klist, se eu colocar hoje a maquina do dominio, ele me diz q a data pra expirar é hoje as 23:40, entao todo eu teria que colocar ela no dominio correto?
2: ele ta dando uma mensagem de erro quando eu digito net ads join -U usuario " DNS Update for failed: dominio.local ERROR DNS_UPDATE FAILED DNS update failed!"
[22] Comentário enviado por removido em 28/11/2013 - 18:18h
[21] Comentário enviado por nemerious007 em 28/11/2013 - 14:48h:
opa, tudo beleza? foi muito bem detalhado muito obrigado, tenho 2 duvidas, fiz o tutorial ontem e quando foi
1: hoje ele não tava no dominio, dei uma olhada naquele klist, se eu colocar hoje a maquina do dominio, ele me diz q a data pra expirar é hoje as 23:40, entao todo eu teria que colocar ela no dominio correto?
2: ele ta dando uma mensagem de erro quando eu digito net ads join -U usuario " DNS Update for failed: dominio.local ERROR DNS_UPDATE FAILED DNS update failed!"
Alguem pode me ajudar?
Poderia ser mais claro para que possa tentar ajudar ?
[23] Comentário enviado por erickbarros311 em 07/01/2014 - 08:27h
eabreu Parabéns cara. Excelente post. Agora vou trabalhar num Programa em Shell para mapear as pastas de acordo com o usuário logado. Abraços e sucesso.
Aos demais: Testei utilizando LikeWise Open e acredito que o mesmo já está antigo, sendo que funciona bem para redes WinSrv 2003. Para redes Win2008R2 o melhor mesmo é configurar com este artigo do colega eabreu que explica tudo direitinho. Recomendo também que leiam o artigo: Kerberos não é um cachorro de três cabeças.
* Removemos os proxy ForeFront, colocando todos Squid3, com autenticação dos usuários pelo AD.
[24] Comentário enviado por birak em 25/02/2014 - 12:12h
não consigo fazer a conexão do krb5.conf.. olha como fica:
root@debian01:/home/administrador# kinit usuario@dominio.local
Password for usuario@dominio.local: [digito a senha do usuario]
kinit: KDC reply did not match expectations while getting initial credentials
[25] Comentário enviado por removido em 26/02/2014 - 15:01h
[24] Comentário enviado por birak em 25/02/2014 - 12:12h:
não consigo fazer a conexão do krb5.conf.. olha como fica:
root@debian01:/home/administrador# kinit usuario@dominio.local
Password for usuario@dominio.local: [digito a senha do usuario]
kinit: KDC reply did not match expectations while getting initial credentials
O conteúdo do krb5.conf pode ser deixado de forma resumida, como está descrita no artigo (página 2). detalhe o horário deve está sicronizado com o servidor kerberos.
[26] Comentário enviado por marceloeng em 05/05/2014 - 02:05h
Olá,
Segui o artigo e quase tudo funcionou da forma esperada, mas não consigo logar com o novo usuário, pois sempre informa que a senha vai expirar em x dias.
Já coloquei a possível solução apresentada no artigo (Solucionando o problema ao trocar senhas durante o login no Ubuntu), mas não funcionou.
[27] Comentário enviado por removido em 05/05/2014 - 09:06h
[26] Comentário enviado por marceloeng em 05/05/2014 - 02:05h:
Olá,
Segui o artigo e quase tudo funcionou da forma esperada, mas não consigo logar com o novo usuário, pois sempre informa que a senha vai expirar em x dias.
Já coloquei a possível solução apresentada no artigo (Solucionando o problema ao trocar senhas durante o login no Ubuntu), mas não funcionou.
Minha estação é Xubuntu 14.04.
Agradeço quem puder ajudar.
Abraços,
Marcelo
BOm dia...
Amigo se este aviso é dado por que dentro de x dias a senha de tal usuário terá de ser alterada.
[28] Comentário enviado por marceloeng em 07/05/2014 - 14:59h
Na estação Linux, o sistema não pede para alterar a senha. Ele somente informa que a senha vai expirar em x dias. (Your password will expire in x days).
Já alterei o servidor do AD (na verdade é samba4), mas continua dando o mesmo erro.
Obs: Essa mensagem (Your password will expire in x days) também ocorre quando faço um "kinit usuário_do_AD".
Minha configuração do common-account:
# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config
[29] Comentário enviado por removido em 07/05/2014 - 23:56h
[28] Comentário enviado por marceloeng em 07/05/2014 - 14:59h:
Na estação Linux, o sistema não pede para alterar a senha. Ele somente informa que a senha vai expirar em x dias. (Your password will expire in x days).
Já alterei o servidor do AD (na verdade é samba4), mas continua dando o mesmo erro.
Obs: Essa mensagem (Your password will expire in x days) também ocorre quando faço um "kinit usuário_do_AD".
Minha configuração do common-account:
# here are the per-package modules (the "Primary" block)
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config
Caso eu coloque a linha "account [sucess=2 new_authtok_reqd=done default=ignore] pam_winbind.so", não loga nada, nem meu usuário local.
Realmente não consigo identificar onde está o problema.
Abraço,
Marcelo
É só o xubuntu e ubuntu 14.04 ? As distros debian e linux mint debian apresentam também esse erro ? desculpe mas ainda não deu tempo para analisar aprofundadamente.
[31] Comentário enviado por removido em 08/05/2014 - 09:16h
Mas veja bem... eu perguntei, não afirmei que o problema de não logar tal máquina no domínio e apresentar essa mensagem era nas novas versões do ubuntu (13.10 ou 14.04).
Mas visitando o projeto do samba, na página http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO tem uma informação superficial sobre essa mensagem. antes de poder analisar tal problema, veja os logs do servidor rodando o samba4, os registros sempre são importantes, verifique no computador rodando o xubuntu 14.04 se a data e hora esta sicronizada com servidor, se o serviço do winbind está rodando e veja a configuração do PAM também, pois se não está logando pode ser algo relacionado ao pam.
Quando tiver um tempo eu tentarei ajudar de forma bem mais eficaz.
[34] Comentário enviado por marceloeng em 15/05/2014 - 17:49h
[33] Comentário enviado por eabreu em 13/05/2014 - 20:46h:
[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h:
Obrigado pela ajuda.
Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.
Abraço,
Marcelo
A nível de informação... esse mesmo erro é apresentado depois que ingressa um computador com o sistema debian e ou linux minte debian no domínio?
Meu sistema é um Xubuntu 14.04. Consigo conectar ao AD com o "net ads join -U Administrador", mas não consigo logar com um usuário do AD. Dá o erro de senha vai expirar em x dias e não consigo fazer nada.
Meu /etc/pam.d/common-account:
# here are the per-package modules (the "Primary" block)
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config
[35] Comentário enviado por removido em 15/05/2014 - 21:11h
[34] Comentário enviado por marceloeng em 15/05/2014 - 17:49h:
[33] Comentário enviado por eabreu em 13/05/2014 - 20:46h:
[32] Comentário enviado por marceloeng em 13/05/2014 - 18:11h:
Obrigado pela ajuda.
Um detalhe importante, é se eu altero o arquivo /etc/pam.d/common-account, não entra nem no usuário local.
Abraço,
Marcelo
A nível de informação... esse mesmo erro é apresentado depois que ingressa um computador com o sistema debian e ou linux minte debian no domínio?
Meu sistema é um Xubuntu 14.04. Consigo conectar ao AD com o "net ads join -U Administrador", mas não consigo logar com um usuário do AD. Dá o erro de senha vai expirar em x dias e não consigo fazer nada.
Meu /etc/pam.d/common-account:
# here are the per-package modules (the "Primary" block)
# here's the fallback if no module succeeds
account requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config
[37] Comentário enviado por denistux em 16/07/2014 - 12:20h
Olá Edson!!
Cara, melhor artigo de todos disponíveis na net!! Ou melhor, o único 100% funcional e explicativo! Parabéns!!! Testei no Ubuntu 12.04 e 14.04, em ambos funcionou perfeitamente.
Bati muito a cabeça com outros tutoriais e nenhum deles atendia com precisão as necessidades... muito superficiais.
Pra ficar ainda mais completo, só faltou abordar o perfil móvel.
Meus parabéns mais uma vez e obrigado, me ajudou muito!!!
[39] Comentário enviado por brekler em 12/08/2014 - 13:41h
Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:
Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.
Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?
[40] Comentário enviado por removido em 12/08/2014 - 14:42h
[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:
Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:
Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.
Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?
A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:
[41] Comentário enviado por brekler em 12/08/2014 - 16:19h
[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:
[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:
Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:
Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.
Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?
A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:
E teste... deve ser alguma configuração no arquivo krb5.conf.
Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.
[42] Comentário enviado por removido em 12/08/2014 - 19:56h
[41] Comentário enviado por brekler em 12/08/2014 - 16:19h:
[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:
[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:
Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:
Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.
Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?
A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:
E teste... deve ser alguma configuração no arquivo krb5.conf.
Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.
[43] Comentário enviado por brekler em 13/08/2014 - 07:38h
[42] Comentário enviado por eabreu em 12/08/2014 - 19:56h:
[41] Comentário enviado por brekler em 12/08/2014 - 16:19h:
[40] Comentário enviado por eabreu em 12/08/2014 - 14:42h:
[39] Comentário enviado por brekler em 12/08/2014 - 13:41h:
Seguinte galera... to usando esse post pra tentar entrar com um linux Mint em um dominio com Server 2003 ...
Mas não estou conseguindo...
eu faço exatamente tudo igual, e quando eu faço o "kinit user" ele da erro
Ele da o seguinte erro:
Kinit: Cannot contact any KDC for realm 'BILUALIMENTOS.LOCAL' while getting initial credentials.
Aqui o meu dominio é bilualimentos.local... sendo que o meu usuario é adriano.custodio@bilualimentos.local e o meu PC é ti-bilu.bilualimentos.local
Alguém tem alguma ideia por favor ?
A mensagem diz não é possível entrar em contato com o servidor kdc para obter as credenciais. verifique o dns e verifique se o arquivo /etc/krb5.conf está com uma entrada adequada para o domínio que informou, por exemplo:
E teste... deve ser alguma configuração no arquivo krb5.conf.
Cara, meu servidor de dominio é "servidor" então não seria "servidor.bilualimentos.local" ?
O exemplo acima foi da minha máquina em Windows... a Máquina em linux o nome dela é "bilulinux"
vou colocar meu krb5.conf aqui... ah em relação a DNS quem passa é o meu DHCP, ele passa o IP, gateway, dns e o proxy, mas o proxy eu optei por colocar manualmente.
só se for algum defeito com meu controlador de domínio, mas atualmente ele funciona normal com estações windows.
Isso mesmo no lugar de ti-bilu tem que usar o nome do servidor(desculpe). verifique também a data e hora.
Foi o que eu fiz... olhe o meu arquivo ali como ele esta....
a data e hora esta certa, até coloquei o negócio do NTP, e mesmo assim ajustei a primeira vez manualmente e esta identico... sinceramente não sei mais o que fazer.
[45] Comentário enviado por brekler em 13/08/2014 - 08:56h
Ping ? ping simples ? Se for isso sim... meu controlador de domínio tem vários arquivos nele que eu acesso no Linux, ele só não comunica com o meu DC mesmo...
[48] Comentário enviado por roggaioso em 29/08/2014 - 15:14h
Passei pelo problema acima, mas parei na hora de inserir a máquina no domínio. Ao rodar o comando
# net ads join -U minha-conta-no-AD
é solicitada a senha desta conta (até aí, tudo bem), mas em seguida é pedida a senha da máquina , como pode ser visto abaixo
rog@GO100212186 ~ $ sudo net join ads -U admgo -S wadcgo01v.meudominio.com.br
Enter admgo's password:
Enter GO100212186$'s password:
Could not connect to server wadcgo01v.meudominio.com.br
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Unable to join domain MEUDOMINIO.
rog@GO100212186 ~ $
Tentei inserir a senha do usuário local da máquina, mas não aceitou.
O que devo fazer?
[49] Comentário enviado por BrunoDarli em 01/09/2014 - 12:28h
Agora meu problema é outro, pode me ajudar tambem ?
Desde ja obrigado.
root@bruno-Digitron:/etc/samba# net ads join -U bsilva
Enter bsilva's password:
Failed to open /var/lib/samba/private/secrets.tdb
Failed to join domain: Unable to open secrets database
root@bruno-Digitron:/etc/samba#
[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h
eabreu, meu irmão, valeu muuiito! Ótimo tutorial.
Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.
Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.
Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.
[51] Comentário enviado por removido em 02/09/2014 - 21:55h
[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h:
eabreu, meu irmão, valeu muuiito! Ótimo tutorial.
Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.
Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.
Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.
Alguma sugestão?
Grato
Obrigado pelo comentário. faz mais ou menos 2 ou 3 meses que fiz algumas atualizações neste artigo, para inclusive ingressar o ubuntu LTS 14.04, e não tive nenhum tipo de problema com: debian versões 6 e 7 e ubuntu versões 12.04 e 14.04.
Então você instalou todos os pacotes, fez todas as configurações.
[52] Comentário enviado por wtcosta em 04/09/2014 - 01:19h
[51] Comentário enviado por eabreu em 02/09/2014 - 21:55h:
[50] Comentário enviado por wtcosta em 02/09/2014 - 20:37h:
eabreu, meu irmão, valeu muuiito! Ótimo tutorial.
Alguma solução para a dúvida do Marcelo, a respeito da alteração do PAM.
Aqui nos meus testes não consegui passar dessa etapa pois simplesmente o Ubuntu SERVER 14.04 não loga com nenhum usuário (inclusive root), seja local ou remotamente via ssh.
Detalhe: Minha intenção é usar os usuários já cadastrados no AD (Windows Server 2008) para a autenticação em compartilhamentos samba.
Alguma sugestão?
Grato
Obrigado pelo comentário. faz mais ou menos 2 ou 3 meses que fiz algumas atualizações neste artigo, para inclusive ingressar o ubuntu LTS 14.04, e não tive nenhum tipo de problema com: debian versões 6 e 7 e ubuntu versões 12.04 e 14.04.
Então você instalou todos os pacotes, fez todas as configurações.
Vou fazer os testes em outra distro. Posto se deu certo.
[53] Comentário enviado por BrunoDarli em 15/09/2014 - 15:25h
Olá amigo, documento muito bem detalhado e explicado ta de parabéns, resolveu meus problemas, ou quase todos, nao consigo me autenticar no ad, ja tentei todo tipo de formato para login, mas nao consigo, sempre me retorna a mensagem de usuário e senha incorreta, ja olhei todos os meus arquivos de configurações e nao encontrei nenhum erro.
Será que poderia me ajudar?
[54] Comentário enviado por removido em 15/09/2014 - 15:51h
[53] Comentário enviado por BrunoDarli em 15/09/2014 - 15:25h:
Olá amigo, documento muito bem detalhado e explicado ta de parabéns, resolveu meus problemas, ou quase todos, nao consigo me autenticar no ad, ja tentei todo tipo de formato para login, mas nao consigo, sempre me retorna a mensagem de usuário e senha incorreta, ja olhei todos os meus arquivos de configurações e nao encontrei nenhum erro.
Será que poderia me ajudar?
Bruno qual é a distro e versão da mesma que está usando ? instalou todos os pacotes conforme descrito no artigo ? está com alguns meses que atualizei o artigo, e me deparei com um problema de não conseguir me autenticar na versão 14.04 do ubuntu para desktop, porém instalei os pacotes libpam-winbind e libnss-winbind e o problema não voltou a ocorrer.
[55] Comentário enviado por maurj em 19/09/2014 - 10:43h
Bom dia senhores, sou novo no fórum e novato no linux (curioso, digamos assim) então...segui o passo a passo utilizando o ubuntu 14.04 deram varios erros, porem com minha persistencia consegui resolver todos procurando em outros foruns pequenos detalhes que no ubuntu 14 faz toda a diferença... o primeiro problema que encontrei foi trocar a posição dessas informações conforme citada no forum
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so
account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so
porem, atente-se a um detalhe no codigo na parte pam_winbind.so mudou o valor [sucess=1new_authtok ....] para [sucess=2new_authtok ....] na segunda parte quando é invertida, por isso travava !!
Segundo,
Ao incluir as informações no arquivo lightdm.conf depois que reiniciava o ubuntu o dito cujo dava erro de video e nao carregava mais !!
sim, isso mesmo ! é SeatDefaults mesmo o nome, coloquei isso e Voilá !!! estou no dominio com tudo certinho graças ao tópico !!!
so peço por gentileza para atualizarem essa informação para quem usa ubuntu 14.04 pois senão vai acontecer o mesmo que aconteceu comigo, e reinstalei 3x ate descobrir isso !!
[56] Comentário enviado por removido em 19/09/2014 - 12:27h
[55] Comentário enviado por maurj em 19/09/2014 - 10:43h:
Bom dia senhores, sou novo no fórum e novato no linux (curioso, digamos assim) então...segui o passo a passo utilizando o ubuntu 14.04 deram varios erros, porem com minha persistencia consegui resolver todos procurando em outros foruns pequenos detalhes que no ubuntu 14 faz toda a diferença... o primeiro problema que encontrei foi trocar a posição dessas informações conforme citada no forum
account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so
account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so
porem, atente-se a um detalhe no codigo na parte pam_winbind.so mudou o valor [sucess=1new_authtok ....] para [sucess=2new_authtok ....] na segunda parte quando é invertida, por isso travava !!
Segundo,
Ao incluir as informações no arquivo lightdm.conf depois que reiniciava o ubuntu o dito cujo dava erro de video e nao carregava mais !!
sim, isso mesmo ! é SeatDefaults mesmo o nome, coloquei isso e Voilá !!! estou no dominio com tudo certinho graças ao tópico !!!
so peço por gentileza para atualizarem essa informação para quem usa ubuntu 14.04 pois senão vai acontecer o mesmo que aconteceu comigo, e reinstalei 3x ate descobrir isso !!
Obrigado
Bom dia !
Amigo obrigado por comentar.
1º - Deixo bem claro no artigo, página 4, que, essa alteração no arquivo de configuração do pam é para o ubuntu versão 12.04.
2º - Deixo claro também que alteração feita no arquivo de configuração do lightdm, devem ser inclusas, por tanto não vejo necessidade de especificar a sessão SeatDefaults do arquivo de configuração.
No entanto vou atualizar apenas para deixar mais claro, pois no artigo descrevo claramente as informações e não necessita de correções citadas no seu comentário.
[61] Comentário enviado por cybercoke em 17/10/2014 - 16:17h
Boa Tarde, parabéns pelo tutorial. Tudo funcionou bem aqui até reiniciar o micro para efetuar login no domínio: Acontece que aparece uma tela de aviso "The system is running in low-graphics mode" e não consigo mais logar no ubuntu. Alguma dica ?
[62] Comentário enviado por removido em 17/10/2014 - 16:57h
[61] Comentário enviado por cybercoke em 17/10/2014 - 16:17h:
Boa Tarde, parabéns pelo tutorial. Tudo funcionou bem aqui até reiniciar o micro para efetuar login no domínio: Acontece que aparece uma tela de aviso "The system is running in low-graphics mode" e não consigo mais logar no ubuntu. Alguma dica ?
Percebi que o problema ocorreu quando alterei alguns arquivos dentro do diretório /usr/share/lightdm/lightdm.conf.d, pois o ubuntu 14.04 não contém o arquivo de configuração do lightdm dentro do diretório /etc/lightdm.
OBS:. A dica sobre a tela de login do ubuntu não é obrigatória.
[63] Comentário enviado por Hugo_cn7 em 02/11/2014 - 09:34h
Amigo parabéns pelo artigo a máquina Linux já está no AD todos os testes foram um sucesso, me responda uma coisa como faço para mapear as pastas compartilhadas do samba3 com o GPO no windows Server 2008 para toda a rede???
[64] Comentário enviado por removido em 02/11/2014 - 22:32h
[63] Comentário enviado por Hugo_cn7 em 02/11/2014 - 09:34h:
Amigo parabéns pelo artigo a máquina Linux já está no AD todos os testes foram um sucesso, me responda uma coisa como faço para mapear as pastas compartilhadas do samba3 com o GPO no windows Server 2008 para toda a rede???
Boa noite e obrigado pelo comentário.
Se já tem os compartilhamentos criados no servidor samba, basta organizar as GPO de compartilhamento de diretórios por grupos ou unidades organizacionais( para clientes windows é claro), caso os clientes sejam linux terá que bolar outra forma para mapear os compartilhamentos. abaixo segue um link de como fazer mapeamentos para clientes windows.
[65] Comentário enviado por Frank_Supremo em 08/05/2015 - 11:46h
Olá bom dia!
Parceiro quando usei os seguintes paramentos abaixo:
Observe que nem todos os parâmetros são necessários para ingressar a máquina no domínio. Depois de editar, salve as alterações e reinicie os serviços do Samba e Winbind.
# service winbind restart
# service samba restart
No Ubuntu, reinicie da seguinte forma:
# service winbind restart
# restart smbd
# restart nmbd
Apresentar o seguinte erro abaixo:
Desligando os serviços Winbind = FALHOU
Iniciando os serviços Winbind = ok
ao ultilizar service samba restart
/etc/init.d/samba: line 16 = ./etc/init.d/functions: permission denied
/etc/init.d/samba: line 18 = syntax error near unexpected token 'then'
/etc/init.d/samba: line 18 = 'if[-f/etc/sysconfig//samba4];then'
Preciso de ajuda pois estou tentando, ja faz um tempo e nao estou conseguindo.
[66] Comentário enviado por claudio.maciel em 19/07/2015 - 13:24h
Parabens pelo artigo, muito bom mesmo... um dos melhores que já vi falando sobre este assunto. Obrigado!
É o seguinte, tudo funcionou perfeitamente... porem preciso ingressar agora máquinas debian 8.1 no domínio mas não tá rolando. Não da nenhuma mensagem mais específica na hora do login, apenas uma mensagem de que o login não funcionou e que é pra tentar novamente.
Poderia nos dar alguma luz neste sentido??
[67] Comentário enviado por removido em 22/07/2015 - 21:36h
Boa noite,
Claudio,
É o seguinte se conseguiu ingressar o computador no AD DC e o problema é só no momento do login. entre com um usuário local e em seguida veja os registros do arquivo /var/log/auth.log para os usuários do domínio que com que tentou autenticar-se, se possível poste aqui, assim o troubleshooting poderá ser mais objetivo.
[68] Comentário enviado por weldersilva em 06/04/2016 - 15:30h
Boa tarde.
Passando para agradecer pelo artigo. Graças a ele, consegui inserir meu debian 8 no domínio da empresa. Tive o tal problema "Cannot contact any KDC for realm 'xxx.xxx' while getting initial credentials." mas depois de muito reler e pesquisar, verifiquei que o problema estava nas configurações do arquivo krb5.conf que inseri erroneamente.
[70] Comentário enviado por removido em 19/04/2017 - 19:21h
[69] Comentário enviado por thiagobezerra em 19/04/2017 - 16:23h
Boa tarde ao executa o comando kinit deu o seguinte erro(Cannot contact any KDC for realm 'rcenter.local' while getting initial credentials
)
eexecutando tambem o comando klist deu o seguinte erro(
Credentials cache file '/tmp/krb5cc_0' not found)
como resolvo isso?
Olá.
Esse erro se dá por que não está conseguindo encontrar um KDC(Key Distribution Center). Então faça as seguintes verificações:
O computador que está tentanto ingressar no domínio está conectado a rede;
O endereço DNS dos controladores de domínio estão definidos em /etc/resolv.conf;
Existe alguma regra de firewall no host que está tentando ingressar no domínio ou no proprio controlador de domínio que restringe a comunicação entre ambos, caso exista adicione uma exceção;
Refaça todas as etapas se tudo que foi mencionado anteriormente estiver funcionando e/ou correto;
[71] Comentário enviado por jjfnetoo em 19/05/2017 - 16:42h
Olá,
Fiz todo o procedimento, deu tudo certo, ele listou os usuários e grupos do AD, a máquina ingressou no domínio, porém, quando vou logar no Ubuntu, ele aparece senha inválida para qualquer usuário.
[72] Comentário enviado por removido em 20/05/2017 - 13:17h
[71] Comentário enviado por jjfnetoo em 19/05/2017 - 16:42h
Olá,
Fiz todo o procedimento, deu tudo certo, ele listou os usuários e grupos do AD, a máquina ingressou no domínio, porém, quando vou logar no Ubuntu, ele aparece senha inválida para qualquer usuário.
Sabe o que pode ser? Agradeço desde já...
A configuração do PAM, reveja e teste. analise os logs /var/log/auth.log de acesso também e poste a saída aqui se não encontrar uma solução.
[73] Comentário enviado por leonardojardim em 17/10/2017 - 12:04h
Gente estou enfrentando esse problema na hora de colocar a maquina no dominio, depois do comando net ads join -U Administrador ele pede a senha e depois disso da o erro, Failed to join domain: failed to lookup DC info for domain 'DOMINIO.LOCAL' over rpc: Undetermined error , alguem pode me ajudar??
[76] Comentário enviado por mancadawill em 24/10/2018 - 14:52h
Segui todos os passos, aparentemente não teve nenhum erro, consigo listar os usuários e grupos do dominio, na tela de login reconhece meu login e senha do dominio, porém quando começar a iniciar a volta para a tela de login. Alguém sabe oque pode estar acontecendo?
[77] Comentário enviado por mancadawill em 24/10/2018 - 15:29h
[76] Comentário enviado por mancadawill em 24/10/2018 - 14:52h
Segui todos os passos, aparentemente não teve nenhum erro, consigo listar os usuários e grupos do dominio, na tela de login reconhece meu login e senha do dominio, porém quando começar a iniciar a volta para a tela de login. Alguém sabe oque pode estar acontecendo?
[78] Comentário enviado por heraldoaranda em 30/11/2018 - 08:07h
Olá pessoal!
Eu fiz todos os passos e deu tudo certo, porém percebi que quando executo o comando wbinfo -i usuario_da_rede, ele até traz as informações do usuário, mas estas informações vem sem o nome completo do usuário. Deve estar faltando alguma configuração neste procedimento. Fiz o teste no Linux Mint 19.
Acho que está faltando alguma configuração porque quando ingressei a máquina no domínio utilizando a ferramenta CID (https://www.linuxnaweb.com/ingressando-ubuntu-no-dominio/) deu certo, inclusive o comando wbinfo -i usuario_da_rede, que passou a retornar o entre as informações o nome completo do usuário.