Tinha uma rede mista e precisava de implantar Linux em 50 máquinas, com autenticação no PDC Linux e ainda montar unidades para cada usuário, como já era feito no Windows. Deu trabalho, mas graças à Deus em uma semana estava tudo OK. Como o assunto é meio escasso, eis a documentação.
[ Hits: 83.278 ]
Por: Waldemar Wantuil de Souza Neto em 04/09/2006 | Blog: http://upsys.org
Para criarmos nosso sistema primeiro temos que ter os seguintes pacotes instalados nas estações:
samba server
samba client
winbind
pam modules (inclusive o pam_mount)
A configuração do Samba no servidor não é diferente da configuração para Windows, não sendo necessário nenhum acréscimo.
Vamos ao /etc/samba/smb.conf:
[global]
workgroup = workgroup # grupo de trabalho
netbios name = teste # nome real da máquina local
winbind use default domain = yes
obey pam restrictions = yes
security = domain
encrypt passwords = true
wins server = 192.168.0.1
winbind uid = 100000-200000
winbind gid = 100000-200000
template shell = /bin/bash
template homedir = /home/%U
winbind separator = /
invalid users = root
os level = 2 # este número tem q ser inferior ao do servidor e de preferência igual em todas as estações
server string = teste # comentário da maquina na rede microsoft
nis homedir = yes
idmap uid = 16777216-33554431 #necessário ser igual ao do servidor smb
idmap gid = 16777216-33554431 #idem anterior
Caso você queira compartilhar mais alguma coisa na máquina localmente, pode colocar sem problema algum.
[3] Comentário enviado por agk em 12/09/2006 - 09:15h
Muito bom, parabéns.
Já havia testado esse método há algum tempo, mas autenticando as estações GNU/Linux em um servidor Windows NT.
Encontrei alguns problemas, mas no geral funcionou bem.
Nos testes que fiz encontrei os seguintes problemas:
- Máquinas com dual boot precisam ter nomes diferentes;
- Máquinas que já existiam no domínio e precisam ser colocadas novamente não entram no domínio a não ser que você delete a conta de máquina antiga.
- O programa smb4k na versão 0.56 fecha quando se tenta montar algum compartilhamento da rede Windows. PS: parece que foi resolvido na versão atual.
- programa mcedit se tornou extremamente lento para abrir arquivos.
- sudo apresentou problemas.
- não foi possível trocar a senha através da estação GNU/Linux.
- Senhas expiradas causam erro no KDM e também no GDM.
Enfim uma série de detalhes, não encontrei solução para eles ainda, é possível que configurando todos os serviços em /etc/pam.d para trabalhar corretamente com winbind esses problemas sejam sanados, infelizmente não sei como o fazer.
Bem eis aqui meu relato, ótimo artigo, vamos discutir e trabalhar esse assunto.
[4] Comentário enviado por nissieloin em 12/09/2006 - 09:48h
=>Sobre as máquinas com Dualboot é necessário que vc já instale com nomes diferentes, senão ela realmente terá que ser reingressada... se nao tiver nenhum conflito com o nome (entrar com sistema diferente com o mesmo nome) nao é necessario reingressar.
=> Nao é necessario apagar a conta antiga, somente sair realmente do dominio, tipo passar para outro dominio ou grupo de trabalho e reingressar no dominio anterior.
=> O sudo normalmente nao vai funcionar corretamente, pq os usuários nao existem na maquina e seu UID e GID nao conferem com os verdadeiro do PDC, daí a pala. Sao numeros concedidos pelo winbind, por isso que a máscara de montagem é 777, pq caso nao fosse assim nao haveria possibilidade de escrita e leitura.
=> Sobre a senha realmente se enquadra no mesmo caso do sudo.
A solução sem LDAP deve ser usada no caso apenas de cursos de informatica para usuarios desktop, ou para ambiente de trabalhos de pequenas empresas. Usar o Ldap é sempre a melhor saída.
Todos estes problemas são possíveis de se solucionar implementando o ldap.
[5] Comentário enviado por agk em 12/09/2006 - 11:34h
Realmente com LDAP tudo isso é possível, só relatei os pontos problemáticos no meu comentário para ajudar os colegas que venham a ter esses problemas e que eu não encontrei solução, pois seu artigo fala justamente sobre como "Autenticar Linux num PDC Samba com auto-montagem de unidade por usuários (sem usar LDAP)".
Você citou no seu comentário, mudar a máquina de domínio para grupo, poderia exemplificar como se faz isso?
[6] Comentário enviado por nissieloin em 21/09/2006 - 08:06h
Desculpa a demora, no Windows vc deve ingressar num outro dominio ou grupo fantasma, como o MSHOME e depois retornar ao domínio original;
No linux, quando vc da o comando:
#net rpc join member -u root
Precisa aparecer a mensagem Maquina joined in DOMINIO.
Caso contrário, nao ira entrar no dominio realmente. Se não entrar na primeira vez, ele com certeza entra na segunda vez que vc executa o comando.
[7] Comentário enviado por hernan em 24/11/2006 - 16:06h
Parabens pela materia:
so tenho uma dúvida:
vc fala na materia que tem que ter instalados nas estações os pacotes: samba server, samba cliente, winbin e pam modules....certo?
a minha dúvida é se esses pacotes tem que ter instaldos no PDC e se tem que instalar esses pacotes no samba 3.0.10 ou se já vem juntos pq na hora que instalei o slack 10.1 instalei como full
[8] Comentário enviado por nissieloin em 01/12/2006 - 16:55h
Se vc já tem instalado um servidor linux samba, rodando estações windows, não vai precisar instalar nada.
Sobre os pacotes, o pam_mount, que monta e desmonta as unidades tem que dar uma conferida pra ver se vem instalado, pq normalmente ele não vem incluso. (mas os pacotes extras só são utilizados na estação cliente).
Existe um comando para listar os pacotes instalados no slackware, mas no momento não me lembro qual. Deve ser algo parecido com lspkg. Leia os manuais que estão relacionados com installpkg.
Fique atento porque os arquivos de configuração do slack costumam ficar em lugares diferentes e/ou serem outros.
Desculpe a demora para a resposta, mas eu estava em dias difíceis.
Qualquer dúvida é só postar que tentaremos resolver juntos.
[10] Comentário enviado por hernan em 15/12/2006 - 14:23h
Olá:
Obrigado por responder....estou quebrando a cabeca aqui para resolver esse problema...entao, instalei o Linux-PAM ate esse momento deu tudo certo, so que na tua materia estou vendo o:
auth required /lib/security/pam_mount.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0022
session required /lib/security/pam_mount.so
auth sufficient /lib/security/pam_winbind.so
account sufficient /lib/security/pam_winbind.so
session required /lib/security/pam_winbind.so
Esse pam_mount eu nao tenho esse arquivo.. o caminho onde se econtrar esses arquivos é o mesmo no slack pq mandei procurar pelo pam_mount e nao encontrou mais nada... O que eu quer fazer aqui é que em um rede mista com estaçoes windows e linux autentiquem no mesmo PDC e olha ta difícil achar material que fale sobre isso. E na hora que fizer esse material quero disponibilizar pra todo mundo que tenha esse mesmo problema, pq é chato nao achar um soluçao para esse problema.
[12] Comentário enviado por ulyssis em 12/01/2007 - 12:53h
No Debian, instalei (apt-get install samba winbind libpam-modules) mas nao tem os arquivos pam_mount.so e pam_pwdb.so. esse ultimo verifica a senha do usuario no pdc. tentei pelo rpmfind para converter usando o alien, mas os arquivos não funcionam.
alguem conseguiu instalar ou encontrar esses arquivos?
[14] Comentário enviado por nissieloin em 15/11/2007 - 16:07h
Desculpem-me mas sou completamente leigo em debian... nunca sequer instalei uma distro debian ou debian based. Gostaria mesmo de poder ajudar... mas o pam_mount é barra pesada pra encontrar...
[15] Comentário enviado por jgama em 08/01/2008 - 00:24h
para distro que usa o debian, ubuntu e e seus derivados vc intalar pelo apt-get
#apt-get install libpam-mount
O problem é que só alguns usuarios consegue se logar, mas para isso tem que digitar duas vezes a senha, e creio que o problema é a duplicação de arquivos que é informado neste tutorial. Pois como tem muita quantidade de alterações realizadas no pam deste tutorial, Isto não é necessário pois distribuições debian e redhat possuem arquivos base acionados por include nos diversos demais arquivos. Apenas o que realmente muda do padrão é incluído nestes arquivos. A quantidade de informações que é colocada no pam deste tutorial gera duplicação e confusão.
Irei voltar os backups dos arquivos altarados e ficar atento nas duplicações.
[19] Comentário enviado por removido em 22/08/2008 - 08:38h
Seguindo várias dicas, tutoriais, artigos e blá, blá e blá sobre Linux autenticando em servidor PDC Linux...
Eu consegui ingressar no servidor PDC linux,
mas quando faço:
wbinfo -u
wbinfo -g
wbinfo -t
Só dá problemas.....
Seria porque eu usei wimbind uid 10000-20000
Seria porque eu usei wimbind gid 10000-20000
E quando eu criar usuarios no Server PDC tem que ser no minimo 10000 e maximo 20000?
Ninguem citou sobre isto, mas acredito ser aí o meu problema!!!
Pois, quando insiro um user no servidor linux PDC ele cria id a partir de 1000 e não 10000....
Alguém que entende do assunto poderia explicar isto melh
[20] Comentário enviado por nissieloin em 25/08/2008 - 08:33h
É o seguinte. Estes números determinam o pseudo-UID do usuário através da rede samba. Os números são altos para que não coincidam com os usuários das estações. E é imprescindível q sejam os mesmos números que no servidor.
[21] Comentário enviado por simei em 29/05/2009 - 14:48h
Ola nao sei por onde começar...mas possuo o seguinte cenario e o seguinte problema.::
Entendi tudo que vc falou....
No entanto eu não quero ir de cliente em cliente instalando samba, winbind, libpam-modules e libpam-mount, mas queria que tudo issu fosse automatico, ou seja colocasse um script shell para fazer a instalação e a configuração em cada cliente....
Obs. Tenho que 3 pastas compartilhadas pelo samba e queria tambem ter exemplos de como configurar o /etc/security/pam_mount.
Portanto queria ter uma ideia desse script....pois assim ficaria mais automatizado o negocio.
[22] Comentário enviado por wellington79 em 11/09/2009 - 08:07h
Uma duvida, ja havia testado o pam_mount funciona muito bem, coloquei a maquina no dominio tudo certinho. Quando digito ntlm_auth --username=wellington digito a senha ele retorna mensagem de sucesso.
Minha duvida é a seguinte quanto utilizo nautilus e tento acessar alguma maquina do dominio (smb://pdc) ele me pede a senha novamente ? Outra coisa utilizo proxy com autenticacao por ntlm ou seja ele autentica utilizando o usuario logado no windows, para linux isso nao funciona.
[23] Comentário enviado por nissieloin em 11/09/2009 - 08:37h
Até onde sei wellington, programas como o nautilus armazenam a senha em si para futuros acessos da mesma sessão. O pam_mount está no caso montando uma pasta da rede no linux, no caso deste artigo que escrevi. Teoricamente ele não navegaria novamente mesmo. Agora sobre o restante das autenticações este recurso não vai atender, iria precisar mesmo de uma solução como o LDAP que unificará várias autenticações em apenas uma.
[24] Comentário enviado por roinf em 22/01/2010 - 11:24h
Como posso fazer para eu ter autenticacao local caso o servidor esteja fora do ar. Eu preciso de uma conta local para caso a rede esteja fora. É possível fazer isto? E como?