Samba + Windows XP (perfil móvel)
Nesse artigo mostro como corrigir o problema de ingressar máquinas Windows XP em domínios com servidores Samba sem tirar todas as funcionalidades para domínio disponíveis no Windows XP. Afinal, pra quê servidor de domínio se o administrador altera todas as policies dos clientes para locais?
[ Hits: 40.820 ]
Por: Hugo Alvarez em 08/10/2007
Procedimentos para logar Windows XP no Samba (exceto Home Edition)
Adicione uma conta de usuário ao sistema e ao Samba:
# adduser hugoalvarez
# smbpasswd -a hugoalvarez
Adicione a conta de root ao Samba caso nunca tenha sido adicionada:
# smbpasswd -a root
Adicione a conta da máquina ao sistema e ao Samba:
# adduser computadordohugo$
# smbpasswd -a -m computadordohugo
Não coloque $ ao final do nome computadordohugo ao adicioná-lo ao Samba, o parâmetro -m já informa que é uma conta de máquina.
Logue-se na estação Windows XP, clique com o botão direito do mouse em:
Meu computador -> Propriedades -> Nome do computador -> Alterar -> selecione Domínio -> digite o nome do domínio -> quando pedir usuário coloque root e digite a senha para ingressar no domínio -> reinicie o sistema quando solicitado.
Após o reboot, logue-se com o usuário hugoalvarez. Em um Windows XP recém instalado e que não foi fuçado você vai receber a seguinte mensagem de erro:
Para corrigí-la, logue-se novamente no perfil local da estação e faça as seguintes modificações:
Clique em iniciar -> Configurações -> Painel de controle -> Ferramentas administrativas -> Diretiva de segurança local.
No painel de diretivas de segurança local, clique no sinal de + da opção diretivas locais e selecione opções de segurança, localize a opção:
Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Clique duas vezes na opção e selecione desativar, você vai receber uma mensagem de alerta, clique em ok, veja a figura:
Após realizar o procedimento, feche a janela de Segurança de diretiva local, abra um prompt de comando e digite:
# gpupdate /force
Faça logoff ou reinicie se preferir e logue-se novamente no domínio, dessa vez provavelmente você vai receber esta mensagem, como mostra a figura:
Para corrigir o problema realize os seguintes procedimentos.
Edite seu arquivo smb.conf e adicione as seguintes linhas:
Na seção global defina o parâmetro logon path:
Onde:
Crie um share com nome sysvol na seção de shares:
A opção browseable = no é equivalente ao $ nos shares Windows, serve para não listar o diretório quando um usuário digitar \\nomedoservidor, o sysvol está lá, mas não é exibido
guest ok = yes, pode ser definida como no, caso as permissões e autenticação do seu samba já tenham sido testadas e estejam corretas, enquanto estiver implementando guest ok = yes facilita a sua vida.
Exemplo na figura:
Reinicie o Samba.
Crie uma pasta hugoalvarez dentro da pasta que foi definida para o share sysvol, esse é o diretório onde a máquina do usuário hugoalvarez vai escrever o perfil quando ele logar-se, e caso ele logue-se em outra máquina qualquer é esse diretório que vai fornecer o perfil, por exemplo com o documento1.doc salvo na meus documentos da outra máquina ou os favoritos salvos na estação que o usuário hugoalvarez logou anteriormente.
# mkdir /pathdosysvol/hugoalvarez
Deixe somente o usuário hugoalvarez escrever, ler e executar nessa pasta.
# chmod -R 700 hugoalvarez /pathdosysvol/hugoalvarez
Tente logar-se novamente e tudo deve correr bem, para testar as configurações do perfil faça logoff na estação e veja que os dados da pasta Documents And Settings do usuário hugoalvarez foram salvos no servidor dentro do share sysvol criado no Samba dentro da pasta com o mesmo nome do usuário.
Se você deixar permissões de execução e escrita no share sysvol, as máquinas Windows XP serão capazes de adicionarem seus perfis automaticamente sem a necessidade do passo anterior, mas cuidado para não dar permissões demais a quem não deve.
Vale lembrar que pastas particulares do Outlook ".pst" devem sofrer uma rotina de backup diferenciada porque ficam dentro de "configurações locais\dados de aplicativos" e esta pasta não é sincronizada com o servidor devido ao fato de o Outlook não trabalhar com pastas .pst através de rede, caso queira maiores informações consulte:
É possível sincronizar as pastas do Outlook também trocando o path de armazenamento do cliente, o que não acho aconselhável (experiência própria) e salvá-los diretamente na rede ou sincronizá-las no logoff, mas com o tempo a rede vai sofrer devido aos arquivos .pst normalmente serem enormes para transferência, já com uma pasta "Meus Documentos" enorme essa lentidão ocorrerá somente na primeira sincronia, nas próximas somente arquivos alterados serão sincronizados.
Pronto, a máquina Windows XP já está no domínio com todas as suas funcionalidades operando, exceto autenticação criptografada que não é suportada pelo Samba em algumas versões.
# adduser hugoalvarez
# smbpasswd -a hugoalvarez
Adicione a conta de root ao Samba caso nunca tenha sido adicionada:
# smbpasswd -a root
Adicione a conta da máquina ao sistema e ao Samba:
# adduser computadordohugo$
# smbpasswd -a -m computadordohugo
Não coloque $ ao final do nome computadordohugo ao adicioná-lo ao Samba, o parâmetro -m já informa que é uma conta de máquina.
Logue-se na estação Windows XP, clique com o botão direito do mouse em:
Meu computador -> Propriedades -> Nome do computador -> Alterar -> selecione Domínio -> digite o nome do domínio -> quando pedir usuário coloque root e digite a senha para ingressar no domínio -> reinicie o sistema quando solicitado.
Após o reboot, logue-se com o usuário hugoalvarez. Em um Windows XP recém instalado e que não foi fuçado você vai receber a seguinte mensagem de erro:
Para corrigí-la, logue-se novamente no perfil local da estação e faça as seguintes modificações:
Clique em iniciar -> Configurações -> Painel de controle -> Ferramentas administrativas -> Diretiva de segurança local.
No painel de diretivas de segurança local, clique no sinal de + da opção diretivas locais e selecione opções de segurança, localize a opção:
Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Clique duas vezes na opção e selecione desativar, você vai receber uma mensagem de alerta, clique em ok, veja a figura:
Após realizar o procedimento, feche a janela de Segurança de diretiva local, abra um prompt de comando e digite:
# gpupdate /force
Faça logoff ou reinicie se preferir e logue-se novamente no domínio, dessa vez provavelmente você vai receber esta mensagem, como mostra a figura:
Para corrigir o problema realize os seguintes procedimentos.
Edite seu arquivo smb.conf e adicione as seguintes linhas:
Na seção global defina o parâmetro logon path:
logon path = \\nomedoservidor\sysvol\%U
Onde:
- nomedoservidor = Netbios ou FQDN, é indiferente desde que a estação enxergue o servidor através do nome.
- sysvol = Share não obrigatório, porém é legal em qualquer domínio com máquinas Windows XP para enganá-las e elas pensarem que se trata de um servidor Windows.
- %U = Variável do Samba que define nome de usuário, para as máquinas escreverem o perfil dentro da pasta de cada usuário, o Windows só procura policies dentro de sysvol, segundo a arquitetura do Active Directory, para as máquinas Windows XP o software Samba não existe e elas não vão obedecê-lo, por isso a necessidade de enganá-las.
Crie um share com nome sysvol na seção de shares:
[sysvol]
comment = System Volume
path = /usr/local/samba/sysvol
guest ok = yes
writable = yes
share modes = no
browseable = no
comment = System Volume
path = /usr/local/samba/sysvol
guest ok = yes
writable = yes
share modes = no
browseable = no
A opção browseable = no é equivalente ao $ nos shares Windows, serve para não listar o diretório quando um usuário digitar \\nomedoservidor, o sysvol está lá, mas não é exibido
guest ok = yes, pode ser definida como no, caso as permissões e autenticação do seu samba já tenham sido testadas e estejam corretas, enquanto estiver implementando guest ok = yes facilita a sua vida.
Exemplo na figura:
Reinicie o Samba.
Crie uma pasta hugoalvarez dentro da pasta que foi definida para o share sysvol, esse é o diretório onde a máquina do usuário hugoalvarez vai escrever o perfil quando ele logar-se, e caso ele logue-se em outra máquina qualquer é esse diretório que vai fornecer o perfil, por exemplo com o documento1.doc salvo na meus documentos da outra máquina ou os favoritos salvos na estação que o usuário hugoalvarez logou anteriormente.
# mkdir /pathdosysvol/hugoalvarez
Deixe somente o usuário hugoalvarez escrever, ler e executar nessa pasta.
# chmod -R 700 hugoalvarez /pathdosysvol/hugoalvarez
Tente logar-se novamente e tudo deve correr bem, para testar as configurações do perfil faça logoff na estação e veja que os dados da pasta Documents And Settings do usuário hugoalvarez foram salvos no servidor dentro do share sysvol criado no Samba dentro da pasta com o mesmo nome do usuário.
Se você deixar permissões de execução e escrita no share sysvol, as máquinas Windows XP serão capazes de adicionarem seus perfis automaticamente sem a necessidade do passo anterior, mas cuidado para não dar permissões demais a quem não deve.
Vale lembrar que pastas particulares do Outlook ".pst" devem sofrer uma rotina de backup diferenciada porque ficam dentro de "configurações locais\dados de aplicativos" e esta pasta não é sincronizada com o servidor devido ao fato de o Outlook não trabalhar com pastas .pst através de rede, caso queira maiores informações consulte:
É possível sincronizar as pastas do Outlook também trocando o path de armazenamento do cliente, o que não acho aconselhável (experiência própria) e salvá-los diretamente na rede ou sincronizá-las no logoff, mas com o tempo a rede vai sofrer devido aos arquivos .pst normalmente serem enormes para transferência, já com uma pasta "Meus Documentos" enorme essa lentidão ocorrerá somente na primeira sincronia, nas próximas somente arquivos alterados serão sincronizados.
Pronto, a máquina Windows XP já está no domínio com todas as suas funcionalidades operando, exceto autenticação criptografada que não é suportada pelo Samba em algumas versões.
Páginas do artigo
1. Procedimentos para logar Windows XP no Samba (exceto Home Edition)Outros artigos deste autor
Instalando um firewall mínimo em Debian
Travando qualquer máquina Linux
Youtube + Buddy Poke x Iceweasel + Flash no Debian Etch
Leitura recomendada
Resolução de Nomes (e não IP) no Gerenciador de Arquivos - Linux x Linux
Ubuntu 12.04 autenticando no Active Directory com Samba/Kerberos/Winbind
Samba 4 - Instalação e configuração
Backup de arquivos das estações de sua rede com Samba PDC
Configurando o Samba facilmente
Comentários
[2] Comentário enviado por wandersoninf em 09/10/2007 - 21:58h
Show, perfeito... e parabéns pelos detalhes!!!
Show, perfeito... e parabéns pelos detalhes!!!
[3] Comentário enviado por valterrezendeeng em 19/12/2007 - 11:51h
Bom e objetivo seu artigo.
Já utilizei as informações dele algumas vezes
Grato.
Parabens!!!!!
Bom e objetivo seu artigo.
Já utilizei as informações dele algumas vezes
Grato.
Parabens!!!!!
[4] Comentário enviado por valterrezendeeng em 19/12/2007 - 11:52h
Gostaria de Saber qual a influencia de destivar ou deixar ativado a opção
Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Grato
Gostaria de Saber qual a influencia de destivar ou deixar ativado a opção
Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)
Grato
[5] Comentário enviado por hugoalvarez em 19/12/2007 - 16:20h
O padrão do Windows XP Profissional é sempre tentar enviar os dados de autenticação criptografados ou assinados se houver sido emitido um certificado para a estação, o Windows só vai utilizar as gpos locais da máquina quando não houver nenhum servidor distribuindo as policies (policies de um servidor de domínio são autoritativas em relação às de estação local).
Nesse caso a maquina Windows utiliza suas próprias policies já que não está recebendo nenhuma policie do servidor de domínios e como o padrão é enviar a senha criptografada é o que ela vai fazer, porém versões antigas do samba como a que eu estava utilizando no teste não suportam esse tipo de encriptação fazendo a autenticação falhar.
Fonte de pesquisa: Segurança em redes Microsoft Windows Server 2003 - IBTA
Até mais.
O padrão do Windows XP Profissional é sempre tentar enviar os dados de autenticação criptografados ou assinados se houver sido emitido um certificado para a estação, o Windows só vai utilizar as gpos locais da máquina quando não houver nenhum servidor distribuindo as policies (policies de um servidor de domínio são autoritativas em relação às de estação local).
Nesse caso a maquina Windows utiliza suas próprias policies já que não está recebendo nenhuma policie do servidor de domínios e como o padrão é enviar a senha criptografada é o que ela vai fazer, porém versões antigas do samba como a que eu estava utilizando no teste não suportam esse tipo de encriptação fazendo a autenticação falhar.
Fonte de pesquisa: Segurança em redes Microsoft Windows Server 2003 - IBTA
Até mais.
[6] Comentário enviado por Jeremias Costa em 05/01/2008 - 15:14h
Cara muito bom esse artigo !!
eu estou fazendo um apanhado desses artigo do samba e fazendo um completo para mim !!
valeu mesmo pro esse artigo de ótima explicação !!
Cara muito bom esse artigo !!
eu estou fazendo um apanhado desses artigo do samba e fazendo um completo para mim !!
valeu mesmo pro esse artigo de ótima explicação !!
[7] Comentário enviado por rauhmaru em 13/11/2008 - 18:51h
Bicho... as 10 primeiras linhas resolveram meu problema.
Valeu mesmo!
Bicho... as 10 primeiras linhas resolveram meu problema.
Valeu mesmo!
[8] Comentário enviado por savio00 em 13/02/2009 - 10:41h
Fiz tudo direitinho conforme foi explicado mas continuo tendo problema informando que não foi possivel achar o perfil(Penúltima imagem).
Gostaria como faço para desabilitar de vez os perfis móveis na configuração do Samba.
Abraço!
Sávio Rodrigues
Fiz tudo direitinho conforme foi explicado mas continuo tendo problema informando que não foi possivel achar o perfil(Penúltima imagem).
Gostaria como faço para desabilitar de vez os perfis móveis na configuração do Samba.
Abraço!
Sávio Rodrigues
[10] Comentário enviado por hugoalvarez em 03/08/2009 - 14:55h
Savio,
os perfis móveis são padrão do Windows, não é problema do Samba as máquinas Windows quererem que criar o perfil, todos os Windows recém instalados e sem modificações quando ingressam em um dómínio vão tentar carregar o perfil ao domínio por padrão, para desativá-lo você deve implementar uma policie desativando perfis móveis ou fazê-lo manualmente nas policies locais da máquina com o gpedit.
Savio,
os perfis móveis são padrão do Windows, não é problema do Samba as máquinas Windows quererem que criar o perfil, todos os Windows recém instalados e sem modificações quando ingressam em um dómínio vão tentar carregar o perfil ao domínio por padrão, para desativá-lo você deve implementar uma policie desativando perfis móveis ou fazê-lo manualmente nas policies locais da máquina com o gpedit.
[11] Comentário enviado por alissonsilva em 08/05/2013 - 12:33h
Existe alguma possibilidade de realizar somente a sincronização de algumas pastas do do profile, sem ter que pegar o profile todo?
Existe alguma possibilidade de realizar somente a sincronização de algumas pastas do do profile, sem ter que pegar o profile todo?
[12] Comentário enviado por hugoalvarez em 08/05/2013 - 21:53h
Eu creio que seja possível de fazer isso via policie no Win7, mas é necessário dar uma navegada no gpmc dele, acho que o XP não faz. Em todo caso vale a pena dar uma pesquisada.
Eu creio que seja possível de fazer isso via policie no Win7, mas é necessário dar uma navegada no gpmc dele, acho que o XP não faz. Em todo caso vale a pena dar uma pesquisada.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Flatpak: remover runtimes não usados e pacotes
Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2
Tópicos
Como atualizar o Debian 8 para o 10 (10)
Dica sobre iptables ACCEPT e DROP (6)
NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)
Top 10 do mês
-
Xerxes
1° lugar - 65.144 pts -
Fábio Berbert de Paula
2° lugar - 48.548 pts -
Buckminster
3° lugar - 18.405 pts -
Mauricio Ferrari
4° lugar - 14.599 pts -
Alberto Federman Neto.
5° lugar - 13.327 pts -
Diego Mendes Rodrigues
6° lugar - 12.671 pts -
Daniel Lara Souza
7° lugar - 12.539 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 11.869 pts -
Andre (pinduvoz)
9° lugar - 10.701 pts -
edps
10° lugar - 10.316 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
