Autenticando Linux (Ubuntu 9.04) no AD (Windows Server 2003)

Fayruel

Neste artigo você verá como autenticar a distribuição Linux Ubuntu 9.04 no AD (Active Directory) utilizando o Samba e Kerberos.

[ Hits: 34.895 ]

Por: Vicente Santos em 25/11/2009

1 0

Denuncie Favoritos Indicar Impressora

Introdução

Algum tempo atrás precisei autenticar o Linux no AD no trabalho, foi onde começou o meu problema, procurei tutoriais na internet mas não conseguia de maneira nenhuma logar o Ubuntu 9.04 no Active Directory. Depois de muitas pesquisas e de muitos testes consegui e venho aqui compartilhar com alguém que esteja na mesma situação.

Nesta situação foi usado como cliente o Ubuntu 9.04 e como servidor o Windows 2003 Server.

Para começar são necessários alguns dados sobre sua rede e seu domínio. Para este artigo assumi os seguintes dados:

Nome do grupo/domínio (nome o qual é reconhecido o domínio "workgroup") = dominio
Nome do domínio (nome utilizado para adicionar as máquinas Windows no domínio) = dominio.vov
Nome do kerberos "realm" (mesmo nome do domínio sendo maiúsculo) = DOMINIO.VOV
Nome da máquina com servidor (hostname da máquina com AD) = servidor
Nome da máquina cliente (hostname da máquina local) = cliente
IP do servidor AD = 192.168.0.2

Pacotes necessários são:

Kerberos (será usado como protocolo de autenticação)
Winbind (será usado para fazer relações de confiança entre domínios e os smbd e nmbd)
Samba (usado para fazer a comunicação entre Linux e Windows)

Vamos instalar as dependências usando apt-get:

# apt-get install krb5-user samba winbind

Alterando arquivos .conf

Os arquivos abaixo devem ser alterados de acordo com sua rede.

Adicione no arquivo /etc/resolv.conf:

search dominio.vov
nameserver 192.168.0.2

Adicionar ao arquivo /etc/hosts:

192.168.0.2 servidor.grupo.vov servidor

Modificar no arquivo /etc/nsswitch.conf:

	passwd:         compat winbind
	group:          compat winbind
	shadow:         compat winbind

Acrescentar algumas linhas e modificar outras já existentes em /etc/kbr5.conf:

[logging]
default=FILE:/var/log/krb5libs.log
kdc=FILE:/var/log/krb5kdc.log
admin_server=FILE:/var/log/kadmind.log

[libdefaults]
#As linhas abaixo devem ser adicionadas abaixo de [libdefaults]
default_realm = DOMINIO.VOV
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

[realms]
#As linhas abaixo devem ser adicionadas abaixo de [realms]
DOMINIO.VOV = {
kdc = servidor.dominio.vov
admin_server = servidor.dominio.vov
default_domain = DOMINIO.VOV
}

[domain_realm]
#As linhas abaixo devem ser adicionadas abaixo de [domain_realm]
.dominio.vov = DOMINIO.VOV
dominio.vov = DOMINIO.VOV

Após fazer as configurações acima, executar os seguintes comandos para testar o Kerberos.

Sincronizando horário:

# ntpdate 192.168.0.2

Testando o Kerberos:

# kinit Usuário_do_Dominio@DOMINIO.VOV

Se não aparecer nenhuma mensagem de erro, funcionou! Digite o próximo:

# klist

Deve aparecer o texto abaixo:


Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: usuário@DOMINIO.SEU
Valid starting   Expires              Service 

16/10/09 14:12:30  16/10/09 13:12:34  krbtgt/DOMINIO.VOV@DOMINIO.VOV
RENEW UNTIL 16/10/09  13:35:22

Principais erros possíveis:

Hora do cliente não está sincronizada com a hora do servidor;
Nome do domínio não está maiúsculo.

De acordo com o Kerberos, são o únicos erros que relatei.

Próxima página

Páginas do artigo

1. Introdução
2. Configurando Samba, mudando autenticação e reiniciando serviços

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Gateway com autenticação pelo Samba

Domínio com perfil móvel no Fedora 10

Autenticando usuários Windows no Linux (PDC)

Inserindo Windows (98/XP/2000) no domínio do Samba

Acesso aos recursos compartilhados de sua rede Microsoft ou Samba via HTTP

Comentários

[1] Comentário enviado por danielrsj em 25/11/2009 - 10:13h

olá amigo..

legal seu artigo.

Também passei por isso pra autenticar uma máquina linux no AD windows e achei um parto isso tudo.

DICA: tem um jeito muuuuuuito mais fácil de se fazer isso.
E se chama LIKEWISE OPEN http://www.likewise.com/products/likewise_open/

Com apenas uma linha de comando o programa faz tudo isso que teríamos que fazer na mão e ainda cria a conta de máquina no AD.

Abraço!

0 0

[2] Comentário enviado por Fayruel em 25/11/2009 - 11:37h

Legal mesmo.
Pena que não achei essa alternativa, mas foi um bom aprendizado.
Valeu Abraço!

0 0

[3] Comentário enviado por removido em 26/11/2009 - 11:24h

Muito bom tutorial...Porem utilizo o ubuntu(des 8.04) e sempre usei nos clientes o LIKEWISE-OPEN.
é bm simples a instalação....
sudo apt-get install likewise-open
Depois disso: O Likewise-Open possui um comando para ingressar a máquina no domínio chamado domainjoin-cli e é através que se põe a máquina no domínio:

sudo domainjoin-cli join linux.local Administrator

linux.local = dominio
Administrator = Usuario do Windows 2003 EN, se o Windows 2003 for em portugues utilize Administrador

Abraço

0 0

[4] Comentário enviado por grandmaster em 28/11/2009 - 10:18h

legal o artigo.

Boa dica do likewise.

---
Renato de Castro Henriques
CobiT Foundation 4.1 Certified ID: 90391725
http://www.renato.henriques.nom.br

0 0

[5] Comentário enviado por pedroseno em 03/08/2010 - 17:31h

Sim, o Likewise é muito bom, porém estou com problemas com ele ao logar na estação com o usuário de domínio.
O login funciona, porém o usuário não pega o perfil que está em /etc/skel.
Alguém sabe onde o usuário pega o perfil?!
Seria dentro de algum dos arquivos localizados em /etc/pam.d?!

Se alguem souber a solução do problema, agradeço!
Abraços a todos!

0 0

[6] Comentário enviado por pedroseno em 05/08/2010 - 14:19h

Senhores, consegui resolver meu problema utilizando a versão 6 do Likewise-open e trabalhando com o seu registro.
Nesta versão da aplicação, os usuários do domínio já pegam por padrão o perfil do diretório /etc/skel. E há muitas outras opções que podem ser alteradas através do arquivo lsassd.reg.
Após baixarem a versão 6 do Likewise-open através do site (como no meu caso), instalarem a aplicação e por fim e aderirem a um domínio qualquer, digitem:

# vim /opt/likewise/share/config/lsassd.reg

Verifiquem as várias opções disponíveis, como a citada:

"SkeletonDirs"="/etc/skel"

Após fazerem as alterações que julgarem necessárias, acessem o diretório /opt/likewise/bin/ e importem o arquivo na aplicação através do seguinte comando:

# ./lwregshell import /opt/likewise/share/config/lsassd.reg

Não sei se me expressei bem, mas o processo é este!

Dúvidas, estou a disposição.
Abraços a todos!

0 0