Passo a passo: Fedora autenticando usuários no Active Directory

Autenticar o Linux no Active Directory me tomou dias e dias de pesquisa e testes, mas no final acabou se mostrando uma tarefa mais simples do que eu poderia esperar (pelo menos no Fedora e no CentOS). Neste artigo mostro passo a passo como realizar essa configuração.

[ Hits: 87.936 ]

Por: Davidson Rodrigues Paulo em 09/10/2007 | Blog: http://davidsonpaulo.com/


Configurando o Linux: nss_ldap



Agora, edite o arquivo /etc/ldap.conf e acrescente as seguintes linhas:

binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind
scope sub

nss_base_passwd dc=dominio,dc=com
nss_base_shadow dc=dominio,dc=com
nss_base_group dc=dominio,dc=com

nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn

Nesse exemplo, UsuarioBind é um usuário do Active Directory com permissões para acessar as informações de todos os usuários. Sem ter uma conta de usuário com tais permissões não é possível acessar o servidor LDAP do Active Directory. Se você quiser apenas fazer testes, pode usar a conta de administrador (geralmente Administrador ou Administrator, nas versões em inglês).

Salve o arquivo e feche-o. Está pronto. Verifique se o usuário que você modificou no Active Directory, adicionando os atributos Unix, está disponível:

$ id usuarioteste
uid=713(usuarioteste) gid=501(grupoteste) grupos=501(usuarioteste)

Se ocorrer algum erro, execute novamente authconfig-tui e revise o arquivo /etc/ldap.conf. Se estiver tudo correto, certifique-se de que o usuário em questão está corretamente configurado no servidor Active Directory, com todos os atributos Unix ajustados corretamente.

Página anterior     Próxima página

Páginas do artigo
   1. Configurando o Windows Server
   2. Configurando o Linux: authconfig
   3. Configurando o Linux: nss_ldap
   4. Criação automática dos diretórios pessoais
Outros artigos deste autor

Instalando e atualizando pacotes no Fedora em computadores sem internet

Atualize rapidamente os PC's da sua LAN com Debian

hdparm: Tire o máximo do seu HD

Criando um repositório local do Fedora

Fundamentos do sistema Linux - direcionadores

Leitura recomendada

Como instalar o Linux (Debian) no Libretto 50CT

Montando o diretório /home em outra partição

Colinux com Debian - Linux Rodando Dentro do Windows

Configurando GUI no Ubuntu WSL (Windows Subsystem for Linux)

Rodando um aplicativo em modo Kiosk no Ubuntu Linux 20.04

  
Comentários
[1] Comentário enviado por thelinux em 09/10/2007 - 09:33h

Ótimo artigo. Parabéns Davdson.

[2] Comentário enviado por michel5670 em 09/10/2007 - 14:18h

Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!

[3] Comentário enviado por foxrox em 09/10/2007 - 15:26h

Excelente artigo.

Testing on Debian

Depois posto resultado !!

[4] Comentário enviado por madurinho em 09/10/2007 - 15:54h

Amigo parabéns foi um excelente post!!!!!!

tbm testarei no debian e colocarei resultados

LINUS RULES!!!!!!!!!!

[5] Comentário enviado por carlosands em 10/10/2007 - 08:41h

Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.

[6] Comentário enviado por nataliawanick em 10/10/2007 - 22:49h

Parabéns, ótimo artigo!!
Natalia

[7] Comentário enviado por nemphilis em 10/10/2007 - 23:37h

Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo

[8] Comentário enviado por dfsantos em 18/10/2007 - 09:03h

Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"

"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"

Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !

[9] Comentário enviado por dalben em 19/10/2007 - 13:01h

Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:

nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber

Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.

Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.

Um abraço.

João Dalben.

[10] Comentário enviado por davidsonpaulo em 19/10/2007 - 13:14h

João,

O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.

Um abraço e obrigado pelo dica.

[11] Comentário enviado por dalben em 19/10/2007 - 13:25h

Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.

Mais uma vez parabéns pelo artigo, me ajudou bastante.

[12] Comentário enviado por deuz em 24/10/2007 - 12:18h

ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.

[13] Comentário enviado por marcoafv em 17/06/2009 - 21:27h

Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.

[14] Comentário enviado por fabianorebelo em 09/09/2009 - 10:37h

Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?

[15] Comentário enviado por fabianorebelo em 09/09/2009 - 10:52h

Pessol deu certo! Era um parametro no ldap.conf ...

[16] Comentário enviado por mhiratasup em 17/12/2014 - 10:25h

Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts