» Menu

» Últimos artigos

FAM - Monitorar alteração de arquivos PHPIDS - PHP Intrusion Detection System, deixe seu site livre de intrusos! Utilizando o Smartphone Samsung Omnia 900i como modem via bluetooth no Ubuntu 9.10 VPN com PPTP + DDCLIENT em Debian 5.0 Lenny com IP dinâmico e-PING e a importância dos padrões abertos Compartilhar uma conexão via rádio na rede interna

» Screenshot

Por geekzen

» Últimas dicas

Executando scan com NMAP conforme suas ordens (voz) - parte 1 (alto-falantes) Oracle SQL Developer 2.1: Unit Testing com vídeo e tutorial Apresento-lhes o Mitter - alternativa ao Twitter Erro "unknown filesystem type 'LVM2_member'" - como montar LVM sem alterar configurações no HD convidado Ubuntu 9.10 - Configurações de vídeo Curso gratuito de Joomla e e-book (administração e programação) Aumentando a segurança do seu servidor SSH Unixsarplot - Agentless performance monitoring tool

» Últimos scripts

[C/C++] Gerador de sequência numérica [C/C++] Calcular aumento de salário [C/C++] Caixa de lanchonete [C/C++] Conversor de Euros em Reais [Shell-Script] Crie bash scripts "on-the-fly"

» Destaques

Vaga: Programador free-lancer (PHP ou Java) - São Paulo/SP (4) VOL DAY I - Chamada de trabalhos (2) VOL DAY I - Primeiro evento da comunidade Viva o Linux! (11) Vaga Programador C / C++ - Campinas/SP (1) Profissional para atuar com Desenvolvimento - Florianópolis... (0) Viva o Linux dá desconto na Linux Magazine (22) Vagas para Desenvolvedor Linux em Gravataí/RS (1)

» Login

» Top 10 usuários

4872162: Fábio Berbert de Paula 4003677: Alessandro de Oliveira Faria (A.K.A. CABELO) 1920602: Antonio Carlos Vasques da Silva 1876377: Jefferson Estanislau da Silva 1734271: Percival F. Jr. 1702495: Ricardo Santiago 1677301: Davidson Rodrigues Paulo 1359667: Thiago Alves 1307970: Wanderson Berbert 1289149: Elgio Schlemer

[2] usuários para
Papo Direto

» Wallpaper

Por rrafael

» Perguntas

Compartilhame... de Internet com servidor linux para usuarios windows (3) C++ e XML (0) Roteamento de interfaces (1) Icone de rede Windows (0) Obrigar o uso do squid. (8) Porque nao facilitam a instalação das dependencias ? (3) Memoria maior que 4gb (7) Tema mestrado (1)

» .Conf

[SSH] sshd_config - Ssh seguro permitindo autenticação apenas por ... [Iptables] mc_firewall.sh - Firewall simples para rede [Samba] smb.conf - smb.conf simples e comentado [Conky] .conkyrc - Conky com 2 núcleos do processador [Debian Squeeze] sources.list - Debian Squeeze sources.list

Artigo

Autenticando Linux (Ubuntu 9.04) no AD (Windows Server 2003)

magojr
25/11/2009

Neste artigo você verá como autenticar a distribuição Linux Ubuntu 9.04 no AD (Active Directory) utilizando o Samba e Kerberos.

Por: Vicente Santos

[ Hits: 4047 ]

Conceito: 10.0 2 voto(s)

+ quero dar nota ao artigo

+ Favoritos

Versão para impressora

Indicar para um amigo

Enviar artigo

Introdução

Algum tempo atrás precisei autenticar o Linux no AD no trabalho, foi onde começou o meu problema, procurei tutoriais na internet mas não conseguia de maneira nenhuma logar o Ubuntu 9.04 no Active Directory. Depois de muitas pesquisas e de muitos testes consegui e venho aqui compartilhar com alguém que esteja na mesma situação.

Nesta situação foi usado como cliente o Ubuntu 9.04 e como servidor o Windows 2003 Server.

Para começar são necessários alguns dados sobre sua rede e seu domínio. Para este artigo assumi os seguintes dados:

Nome do grupo/domínio (nome o qual é reconhecido o domínio "workgroup") = dominio
Nome do domínio (nome utilizado para adicionar as máquinas Windows no domínio) = dominio.vov
Nome do kerberos "realm" (mesmo nome do domínio sendo maiúsculo) = DOMINIO.VOV
Nome da máquina com servidor (hostname da máquina com AD) = servidor
Nome da máquina cliente (hostname da máquina local) = cliente
IP do servidor AD = 192.168.0.2

Pacotes necessários são:

Kerberos (será usado como protocolo de autenticação)
Winbind (será usado para fazer relações de confiança entre domínios e os smbd e nmbd)
Samba (usado para fazer a comunicação entre Linux e Windows)

Vamos instalar as dependências usando apt-get:

# apt-get install krb5-user samba winbind

Alterando arquivos .conf

Os arquivos abaixo devem ser alterados de acordo com sua rede.

Adicione no arquivo /etc/resolv.conf:

search dominio.vov
nameserver 192.168.0.2

Adicionar ao arquivo /etc/hosts:

192.168.0.2 servidor.grupo.vov servidor

Modificar no arquivo /etc/nsswitch.conf:

	passwd:         compat winbind
	group:          compat winbind
	shadow:         compat winbind

Acrescentar algumas linhas e modificar outras já existentes em /etc/kbr5.conf:

[logging]
default=FILE:/var/log/krb5libs.log
kdc=FILE:/var/log/krb5kdc.log
admin_server=FILE:/var/log/kadmind.log

[libdefaults]
#As linhas abaixo devem ser adicionadas abaixo de [libdefaults]
default_realm = DOMINIO.VOV
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[realms]
#As linhas abaixo devem ser adicionadas abaixo de [realms]
DOMINIO.VOV = {
kdc = servidor.dominio.vov
admin_server = servidor.dominio.vov
default_domain = DOMINIO.VOV
}

[domain_realm]
#As linhas abaixo devem ser adicionadas abaixo de [domain_realm]
.dominio.vov = DOMINIO.VOV
dominio.vov = DOMINIO.VOV

Após fazer as configurações acima, executar os seguintes comandos para testar o Kerberos.

Sincronizando horário:

# ntpdate 192.168.0.2

Testando o Kerberos:

# kinit Usuário_do_Dominio@DOMINIO.VOV

Se não aparecer nenhuma mensagem de erro, funcionou! Digite o próximo:

# klist

Deve aparecer o texto abaixo:


Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: usuário@DOMINIO.SEU
Valid starting   Expires              Service 

16/10/09 14:12:30  16/10/09 13:12:34  krbtgt/DOMINIO.VOV@DOMINIO.VOV
RENEW UNTIL 16/10/09  13:35:22

Principais erros possíveis:

Hora do cliente não está sincronizada com a hora do servidor;
Nome do domínio não está maiúsculo.

De acordo com o Kerberos, são o únicos erros que relatei.

Próxima página >>

Páginas do artigo

1. Introdução
2. Configurando Samba, mudando autenticação e reiniciando serviços

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Instalando o Swat

Domínio com perfil móvel no Fedora 10

Configurando Samba e Windows XP

Política de segurança com o Samba

Configurando o Samba para compartilhamento por autenticação de usuários

Comentários

[1] Comentário enviado por danielrsj em 25/11/2009 - 10:13h:

olá amigo..

legal seu artigo.

Também passei por isso pra autenticar uma máquina linux no AD windows e achei um parto isso tudo.

DICA: tem um jeito muuuuuuito mais fácil de se fazer isso.
E se chama LIKEWISE OPEN http://www.likewise.com/products/likewise_open/

Com apenas uma linha de comando o programa faz tudo isso que teríamos que fazer na mão e ainda cria a conta de máquina no AD.

Abraço!

[2] Comentário enviado por magojr em 25/11/2009 - 11:37h:

Legal mesmo.
Pena que não achei essa alternativa, mas foi um bom aprendizado.
Valeu Abraço!

[3] Comentário enviado por mikionakamaru em 26/11/2009 - 11:24h:

Muito bom tutorial...Porem utilizo o ubuntu(des 8.04) e sempre usei nos clientes o LIKEWISE-OPEN.
é bm simples a instalação....
sudo apt-get install likewise-open
Depois disso: O Likewise-Open possui um comando para ingressar a máquina no domínio chamado domainjoin-cli e é através que se põe a máquina no domínio:

sudo domainjoin-cli join linux.local Administrator

linux.local = dominio
Administrator = Usuario do Windows 2003 EN, se o Windows 2003 for em portugues utilize Administrador

Abraço

[4] Comentário enviado por grandmaster em 28/11/2009 - 10:18h:

legal o artigo.

Boa dica do likewise.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

Artigo

Home » Artigos » Linux » Samba » Visualização de artigo

Autenticando Linux (Ubuntu 9.04) no AD (Windows Server 2003)

Introdução

Alterando arquivos .conf

Viva o Linux