integrando Debian Squeeze e AD – Servidor de arquivos

Olá pessoal, Acho que este artigo deve ser de grande importância inclusive para administradores de rede já que geralmente nos encontramos à frente de redes heterogêneas, principalmente com Windows e Linux. Estarei compartilhando com a comunidade minha experiência mostrando como realizar tal tarefa. Como sabemos (ou deveríamos saber) o Active Directory usa o Kerberos para autenticação de usuários no domínio. Então partindo deste princípio já podemos ter em mente quais pacotes utilizar para este processo. Não entrarei em detalhes sobre a configuração e parâmetros do samba pois existem muitos artigos e tutorais na internet e assim perderíamos o foco deste post. Pois bem, deixemos de blá blá e vamos ao que interessa:

1 – Ambiente: Debian Squeeze (6.0.5) e Windows® Server 2003

2 – Baixando os pacotes necessários:

# apt-get update && apt-get install krb5-user winbind ssh samba

3 – acerte o horário do seu servidor samba igual ao do servidor Active Directory pois caso contrário ele não permitirá o logon. Para quem não conhece o comando é$ sudo su senha:

# date mmddhhmmyyyy
# exit

Onde: mm: Mês dd: Dia hh: hora mm: Minuto yyyy: Ano

4 – Editando os arquivos necessários: Obs: recomendo fortemente daqui pra frente antes de editar os arquivos realizar uma cópia dos mesmos pois caso algo dê errado, será possível a restauração dos mesmos. Claro que muitos sabem dessas precauções, mas fica aí a dica.

$ sudo nano /etc/resolv.conf

Altere o arquivo conforme o modelo abaixo:

search seu.dominio nameserver ip_do_dns_primario nameserver ip_do_dns_secundario 

Salve e feche o arquivo.

$ sudo nano /etc/hosts

Altere o arquivo /etc/hosts, conforme o modelo: (neste caso apenas edite a ultima linha)

127.0.0.1 localhost   # The following lines are desirable for IPv6 capable hosts  ::1 ip6-localhost ip6-loopback fe00::0 ip6-localnet ff00::0 ip6-mcastprefix ff02::1 ip6-allnodes ff02::2 ip6-allrouters ff02::3 ip6-allhosts ip_do_host nome_da_maquina.seu.dominio nome_do_host

Salve e feche o arquivo.

$ sudo nano /etc/nsswitch.conf

Altere o arquivo /etc/nsswitch.conf conforme abaixo:

passwd: compat winbind group: compat winbind shadow: compat  hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 networks: files  protocols: db files services: db files ethers: db files rpc: db files  netgroup: nis 

Salve e feche o arquivo.

$ sudo nano /etc/krb5.conf

Edite o arquivo /etc/krb5.conf e deixe-o assim:

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = SEU.DOMINIO dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime = 24h forwardable = yes [realms] SEU.DOMINIO = { kdc = servidor.seu.dominio admin_server = servidor. seu.dominio default_domain = SEU.DOMINIO } [domain_realm] .dominio.seu = SEU.DOMINIO dominio.seu = SEU.DOMINIO [kdc] profile = /var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 

Salve e feche o arquivo. Para verificar que você consegue se autenticar via kerberos execute o comando:

kinit usuario@ SEU.DOMINIO

Será solicitada a senha do usuário. Se não der nenhuma mensagem de erro, execute o comando klist. Se for mostrada uma mensagem parecida com a abaixo, você se autenticou com sucesso:

Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: usuario@SEU.DOMINIO Valid starting  Expires  Service pricipal RENEW UNTIL 01/31/10 16:12:30 01/30/10 18:12:30 01/31/10 04:12:34 krbtgt/SEU.DOMINIO@SEU.DOMINIO 
$ sudo nano /etc/samba/smb.conf

Altere o arquivo /etc/samba/smb.conf conforme abaixo:

[global] workgroup = dominio security = ads log file = /var/log/samba/%m.log max log size = 50 dns proxy = no password server = servidor.seu.dominio realm = SEU.DOMINIO idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /bin/bash winbind use default domain = true winbind enum users = yes winbind enum groups = yes 

Aqui você também acrescentar outros parâmetros como a lixeira do samba, full audit, obviamente os compartilhamentos, impressoras etc. Porém estes parâmetros acima são apenas o necessário para a autenticação. Salve e feche o arquivo. Vamos editar os módulos do PAM:

$ sudo nano /etc/pam.d/common-account

O arquivo /etc/pam.d/common-account deve conter somente as linhas:

account sufficient pam_winbind.so account required pam_unix.so 

Salve e feche o arquivo.

$ sudo nano /etc/pam.d/common-auth

O arquivo /etc/pam.d/common-auth deve conter somente as linhas:

auth     required      pam_listfile.so item=user sense=allow file=/etc/system_users onerr=fail auth sufficient pam_winbind.so auth required pam_unix.so nullok_secure use_first_pass 

Salve e feche o arquivo.

$ sudo nano /etc/pam.d/common-session

Inclua no arquivo /etc/pam.d/common-session a linha:

session required pam_mkhomedir.so umask=0022 skel=/etc/skel 

Salve e feche o arquivo. Crie o arquivo /etc/system_users e coloque os usuários, um em cada linha, que deseja permitir logon no computador. NÃO ESQUEÇA DE SEUS USUÁRIOS LOCAIS.

$ sudo touch /etc/system_users
$ sudo nano /etc/system_users

Depois de adicionados os usuários, salve e feche o arquivo. Crie o diretório que conterá o home dos usuários do domínio:

$ sudo mkdir /home/DOMINIO

4 – Adicione o computador ao domínio com o comando:

net ads join -U usuario_com_permissao_adicionar

5 – Reinicie os serviços:

$ sudo /etc/init.d/samba restart
$ sudo /etc/init.d/winbind restart
$ sudo /etc/init.d/ssh restart

Se você por acaso adicionou usuários do domínio para acessar o servidor faça o teste:

ssh usuario_do_dominio@_seu_servidor

(se por acaso você usar uma porta diferente da 22 especifique com o parâmetro -p porta_do_ssh) Agora ao criar as permissões no seu domínio Active Directory elas se refletirão diretamente no seu servidor samba. Por exemplo: Temos dois usuarios: maria e jose pertencentes ao grupo financeiro No seu servidor samba basta configurar as permissões utilizando dos parâmetros usados no seu dominio. Um exemplo de compartilhamento seria:

[financeiro] path = /departamentos/financeiro writable = yes browseable = yes create mask = 0770 directory mask = 0770

Assim se maria e jose pertencerem ao grupo financeiro, eles poderão além do dono da pasta acessar e criar arquivos e diretórios dentro do compartilhamento. Para configurar as permissões locais nos diretórios:

$ sudo chgrp financeiro /departamentos/financeiro -R
$ sudo chmod 770 /departamentos/financeiro -R

Está feito. Logicamente se trata de um exemplo. Cada cenário possui suas necessidades e o Administador deve ser responsável pelo ambiente de sua rede. Espero ter sido útil neste artigo.