SAMBA 4 - Servidor de Arquivos Utilizando ACLs Windows (Domínio)

Gostaria de utilizar esse espaço para compartilhar com a comunidade uma necessidade que tive que implantar na minha empresa e como não achei muita documentação voltada para essa necessidade, pelo menos não de forma centralizada, resolvi reunir todos os fragmentos que me levaram ao sucesso em um só documento.

brigamont

Por Bruno Rigamont em 12/04/2017

Hits: 74.553 Categoria: Linux Subcategoria: Samba

Parte 3: Ingressando o Servidor no Domínio

Para criar um servidor de arquivos utilizando o SAMBA 4, utilizando as ACLs do Windows (Domínio), primeiro temos que INGRESSAR o servidor ao domínio.

CONFIGURAÇÕES DE DNS

HOSTNAME:

Antes de ingressar o servidor no domínio, verifique se o computador está configurado com o hostname correto, no caso desse lab utilizaremos o nome FILESERVER01.

# vi /etc/hostname

Limpe o arquivo e digite o hostname do servidor:

fileserver01.teste.local

SERVIDORES DNS

O DNS do servidor de arquivos deve apontar para o Domain Controller, nesse caso, o 192.168.0.10.

# vi /etc/resolv.conf

Preencha as linhas conforme abaixo.

nameserver 192.168.0.10
search teste.local

RESOLUÇÃO LOCAL DE NOMES

Alterar a resolução local do hostname.

# vi /etc/hosts

Limpe o arquivo e mantenha as linhas abaixo:

127.0.0.1	localhost	localhost.localdomain
192.168.0.20	FILESERVER01.teste.local	FILESERVER01

CONFIGURANDO O KERBEROS

# vi /etc/krb5.conf

Limpe o arquivo e mantenha as linhas abaixo.

[libdefaults]
   default_realm = TESTE.LOCAL
   dns_lookup_realm = false
   dns_lookup_kdc = true

CONFIGURANDO O SAMBA

Edite o arquivo smb.conf com o conteúdo abaixo.

# vi /usr/local/samba/etc/smb.conf

[global]
        security = ADS
        workgroup = TESTE
        realm = TESTE.LOCAL
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        winbind separator = +
        idmap uid = 10000-20000
        idmap gid = 10000-20000

        log file = /var/log/samba/%m.log
        log level = 3 passdb:5 auth:5
        username map = /usr/local/samba/etc/user.map

        vfs objects = acl_xattr
        map acl inherit = yes
        store dos attributes = yes

       # Default ID mapping configuration for local BUILTIN accounts
       # and groups on a domain member. The default (*) domain:
       # - must not overlap with any domain ID mapping configuration!
       # - must use an read-write-enabled back end, such as tdb.
       idmap config * : backend = tdb
       idmap config * : range = 3000-7999

Mapeando a conta de administrador de domínio para o usuário ROOT local

Esse procedimento se diz opcional na documentação do SAMBA.

Adicione a linha abaixo no arquivo smb.conf:

# vi /usr/local/samba/etc/smb.conf

username map = /usr/local/samba/etc/user.map

Crie o arquivo /usr/local/samba/etc/user.map com o conteúdo abaixo.

# vi /usr/local/samba/etc/user.map

!root = TESTE\Administrador

INGRESSANDO AO DOMÍNIO

Para ingressar o servidor de arquivos ao domínio, use:

# /usr/local/samba/bin/net ads join -U "TESTE\Administrador"

Retorno:

Enter administrador's password: DIGITE A SENHA
Using short domain name -- TESTE
Joined 'FILESERVER01' to dns domain 'teste.local'

Servidor ingressado ao domínio, verifique no AD se a conta de computador FILESERVER01 foi criada no AD.

Páginas do artigo

   1. Introdução
   2. Instalação do SAMBA 4
   3. Ingressando o Servidor no Domínio
   4. Inicializando os Serviços
   5. Configurando o SAMBA 4 como Servidor de Arquivos

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Evitando acúmulo de arquivos na lixeira do Samba

Compartilhando pastas com Samba no Slackware - muito simples!

Integrando o Debian-BR-CDD ao domínio Active Directory

Samba 4 - Active Directory Open Source - Ubuntu 14.04.4

Samba 4 (Active Directory) no Debian/Ubuntu Server

Comentários

#1 Comentário enviado por removido em 12/04/2017 - 13:06h

#2 Comentário enviado por rengaf1 em 19/04/2017 - 09:59h

as vantagens são inúmeras...

É possível criar um AD Completo com SAMBA 4
É possível criar um controlador de domínio Principal
É possível criar um Controlador de domínio somente leitura (RODC)
É possível criar um Controlador de domínio Adicional
Pode ser administrado usando interface Gráfica do próprio Windows , como Usuários e computadores do Active Directory.
Posso Migrar de forma fácil de AD Windows para um AD Linux e vice versa.
É possível trabalhar com perfil móvel
Trabalhar com Pasta Base
Lixeira de Servidor de Arquivos ( Tipo copia de Sombra)
Auditoria de Acesso
Trabalhar com permissões como a do Windows
Trabalhar com GPO
Fazer replicação de Servidores ( TIPO DFS)
Trabalhar com dados em camadas
Triagem de Arquivos (Proibir gravação de arquivos pela extensão)
É software Livre não precisa de licença
Não precisa de CALs de acesso para as estações
Posso fazer o SAMBA 4 trabalhar como controlador de domínio adicional do Windows server e vice versa.
Já vem com DNS , kerberos, LDAP integrado.
Posso fazer a integração do SAMBA 4 com o proxy Squid, pfSense e etc

Você pode usar o Samba 4 como um servidor Único sendo Domain Controller e Servidor arquivos em um mesmo servidor .
Você pode usar o samba 4 como apenas um controlador de Domínio Principal abrigando apenas essa função.
Você pode usar o samba 4 como servidor de arquivo totalmente dedicado para essa carga de trabalho
Você pode usar o samba 4 como um servidor de arquivos em ambiente que você já tenha um Domain Controller Windows Server e gostaria de servidores de arquivos adicionais , para balancear a carga ,sem preocupar com custo com licenças .
Você pode usar o samba 4 como Domain Controllers adicionais e para outro Samba 4 ou Windows Server .
Você pode usar o samba 4 como Servidores de arquivos para namespace DFS Windows.
Você pode usar o samba 4 como como Domain Controller Somente leitura para as filiais que não tem a mesma segurança física e logica que você tem na matriz .

sem contar no uso de recursos fisicos do servidor que são incontestavelmente menores.

#3 Comentário enviado por rengaf1 em 19/04/2017 - 10:08h

fala bruno... aderiu o CentOS né parabens!!!!

#4 Comentário enviado por andrefreire em 24/04/2017 - 21:39h

Meia Noite,
A maioria dos erros que você relatou no seu POST são relativos aos Samba 3 pois ainda utiliza o conceito de PDC. O Samba 4, assim como o Windows Server desde a versão 2000 utiliza o conceito de mestres múltiplos e não mais PDC/BDC. Os erros apresentados são na verdade erros de conceitos e consequentemente erros de configuração. Utilizo o Samba 4 como controlador de domínio em 42 empresas sem ocorrências desde 2013. O sistema é extremamente seguro e se assemelha muito ao Windows 2008R2. A partir da versão 4.6 já está iniciando a compatibilidade com o Windows Server 2012R2. Com o Samba 4 como controlador de domínio consigo autenticar o Microsoft SQLServer, o Microsoft Exchange, o Microsoft Hyper V, o Office 365 todos sem problemas. Atualmente as empresas estão migrando os clientes para Windows 10 sem nenhuma incompatibilidade com o Samba4. Uma limitação do Samba 4 é a questão de relação de confiança entre domínios que ainda não funciona porém este ambiente é incomum na maioria das empresas.
Utilizo a dupla Debian/Samba 4 sem nenhum problema operacional, nenhum chamado, nenhuma ocorrência a mais de 3 anos. Acho que falta é um pouco mais de conhecimento de conceitos para implantar a ferramenta.
Se o Administrador não conhece bem LDAP, Kerberos, DNS, KCC, FSMO, etc... com certeza pode ter problemas e isso não significa que a ferramenta tem problemas.

#5 Comentário enviado por Mc.Eagle em 30/04/2017 - 13:24h

Excelente texto! #CentOsNaVeia

#6 Comentário enviado por thiago304 em 04/05/2017 - 16:17h

Boa Tarde,

Vou fazer um comentário aqui, testei o samba há alguns meses atrás e implementei autenticação direto no dominio para 300 estações e pude concluir que ainda não esta maturo para dizer que se equipara ao AD-Windows, devido a vários bugs inclusive informados até no site oficial do samba.

Existem alguns bugs, alguns problemas de replicações problemas de registro de dns no LDAP entre outros que podem ser consultados no site do samba4.

Att,

Tiago Eduardo Zacarias
LPIC-2

#7 Comentário enviado por juniorribeiro-ti em 24/09/2017 - 10:58h

Ola bom dia,

Gostaria de saber se e possível deixar um login do samba que acesse todas as pastar privados dos usuário do samba?

Tipo hoje na minha empresa usamos o samba 4 e temos umas pasta Publico e cada colaborador tem sua basta privada. Quero que no meu login de usuário ver também todas as pastar dos colaboradores. isto e possível com o samba 4?

Desde já agradeço.

Att.
Junior Ribeiro.

#8 Comentário enviado por EFN em 14/04/2018 - 12:09h

Olá boa tarde,

Como faço para adicionar o reload no serviço do samba?

Obrigado....

#9 Comentário enviado por LeoVilano em 22/11/2019 - 08:59h

Ola a todos

Para quem esta utilizando esse guia agora em 2019 usando Centos 8 e Samba 4.11.2 existe um erro de comunicação do Samba com o AD que impossibilita a replicação das informações de usuários e grupos, com isso você não consegue acessar o mesmo pelo WIndows Explorer. Para solucionar esse problema basta instalar o pacote bind-utils "sudo yum -y install bind-utils

Att