GNU/Linux integrado ao AD do Windows Server 2003

Este artigo veio da necessidade de criar um servidor de arquivos Samba que tivesse a possibilidade de utilizar a base de dados de usuários e grupos do Active Directory do Microsoft Windows Server 2003 R2 - SP2, para podermos usar esta BD para controlarmos o acesso aos arquivos servidos no Samba, fazendo com que este servidor GNU/Linux (Samba) se comporte como se fosse um Member Server.

[ Hits: 39.559 ]

Por: Lôammy Palessy Lima em 15/03/2009 | Blog: http://lplima.blogspot.com/


Configurações iniciais



Logue-se na máquina2 (Windows Server 2003) e adicione um registro do tipo "A" para a máquina membersvr no DNS, que após adicionado ficará mais ou menos assim:

membersvr      Host(A)      192.168.10.254

Logue-se na máquina1(Debian) e efetue as seguintes configurações:

Edite /etc/hosts e adicione as linhas abaixo:

192.168.10.254   membersvr.nats.com   membersvr
192.168.10.250   dc-jund.nats.com      dc-jund

Agora edite o /etc/resolv.conf e adicione o IP do servidor DNS do Windows Server 2003 (se tiver mais que um, faça com que este seja o primário, colocando-o em primeiro na lista):

nameserver 192.168.10.250

Instale os seguintes pacotes: krb5-user e krb5-config

Configure o /etc/krb5.config, mas por medidas de segurança eu costumo fazer uma cópia dos arquivos originais de configuração que vem com os pacotes antes de alterá-los, e costumo renomeá-los com por exemplo /etc/krb5.config.orig.

Então o arquivo /etc/krb5.config deve ficar exatamente assim:

[libdefaults]
   default_realm = NATS.COM
   dns_lookup_realm = false
   dns_lookup_kdc = false

[realms]
   NATS.COM = {
      kdc = dc-jund.nats.com
      default_domain = NATS.COM
   }

[domain_realm]
   .nats.com = NATS.COM

NOTA: Lembre-se de respeitar quando as letras estão em maiúsculas ou minúsculas (caixa alta ou baixa).

Agora testaremos a conexão com o Kerberos localizado no DC do domínio nats.com (Windows Server 2003) com o seguinte comando:

# kinit user-teste@NATS.COM

O usuário "user-teste" deve estar criado no AD do Windows Server 2003, se você não tiver este usuário pode criá-lo antes ou especificar um usuário que esteja criado na BD do AD.

Após executar o comando acima, digite a senha (lembrando que o user não pode ter senha em branco).

Se for digitado o comando especificando o domínio com letras minúsculas, como por exemplo, user-teste@nats.com, será apresentado o seguinte erro:

Kinit(v5): Cannot find kdc for requested realm while getting initial credentials.

Mas se aparecer o erro:

Kinit(v5): clock skew too great while getting initial credentials.

É provável que a hora entre as duas máquinas (membersvr e dc-jund) está muito dessincronizada. Uma forma de resolver isto é instalar o pacote ntpdate e sincronizar a hora do membersvr baseado na hora do dc-jund, ex.:

# ntpdate dc-jund.nats.com

Se o comando "kinit user-teste@NATS.COM" não apresentar nenhum erro, podemos continuar...

Execute o comando "klist" (sem parâmetros) para confirmar o sucesso do comando "kinit" mencionado acima:

# klist

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Configurações iniciais
   3. Samba + Winbind
   4. Teste de integração com AD
   5. Conclusão
Outros artigos deste autor

Empacotamento e compactadores de arquivos

Leitura recomendada

Servidor de Banco de Dados + Servidor Web PHP

Instalação do OpenJDK e Oracle JDK 11 no Ubuntu e Debian

Configuração do modem ADSL Siemens Santis

Instalando aplicações de 32 bits no Dapper amd64

Instalação Kickstart (revisado)

  
Comentários
[1] Comentário enviado por loammy em 15/03/2009 - 10:46h

Qualquer coisa deixem um recado no meu blog:

http://lplima.blogspot.com/

[2] Comentário enviado por pogo em 16/03/2009 - 13:03h

excelente artigo! parabéns!

[3] Comentário enviado por hpvoltage em 16/03/2009 - 17:39h

Deixo aqui registrado meu comentário ao belessimo artigo.
Parabéns!!!

Nós da comunidade agradecemos sua contribuição

Um forte abraço

[4] Comentário enviado por loammy em 16/03/2009 - 22:04h

Muito Obrigado por lerem o artigo.

É gratificante poder contribuir com a comunidade.

[]'s

[5] Comentário enviado por removido em 17/03/2009 - 21:35h

Eu gostei dessa reportágem e adorei essa esperiência ligada, sem isso, a delicada, mais isso é útil, e adoro usar a minha, e casa, assim a AD claro a diretórios, com preservação, assim em bom, a caminho, sem isso, a idéias, assim eu gostei disso, e a parte por parte, assim em lido e garantido a scripts, e assim a minha parte, a o Linux, lida em lido com a essa a o Windows Server, e me interessei, assim agradável. E eu pareço assim em conta, e eu me interesso em parte, e ficou legal, e a minha me é útil, e aprende, assim se liga na Pascal, fica assim em mente, mas em agradável, assim foi útil, e obrigado, serve e trato, sempre, graças.

[6] Comentário enviado por pogo em 18/03/2009 - 08:10h

caramba, o spacevideo devia estar tendo um AVC quando postou o comentário acima! O_O

[7] Comentário enviado por dfsantos em 18/03/2009 - 14:48h

spacevideo que porra e essa!!!!

[8] Comentário enviado por silent-man em 19/03/2009 - 16:53h

spacevideo,

vou mandar colocar platina no seu nariz...

xD

[9] Comentário enviado por loammy em 27/03/2009 - 14:10h

E ai pessoal, alguem tentou implementar o conteudo do meu artigo?

Se sim, comentem como foi sua implemantação, se encontraram alguma dificuldade ou problema não previsto por mim...

[]´s

[10] Comentário enviado por arthurmatiello em 02/03/2010 - 09:33h

Excelente artigo.

Mas aqui ta errado:
passwd: compact winbind
group: compact winbind

Nao é COMPACT e sim COMPAT

o correto seria assim:
passwd: compat winbind
group: compat winbind

[]'s

[11] Comentário enviado por Lizard King em 30/06/2010 - 10:52h

Bom dia,

ótimo artigo.

Fiz e em partes deu certo, porem ao tentar acessar o compartilhamento com um usuario comum do windows, pede senha, e não acessa.

Alguem poderia me ajudar?

[12] Comentário enviado por Lizard King em 01/07/2010 - 11:06h

Olá, bom dia,

consegui, alterando estas linhas no smb.conf

idmap uid
idmap gid


deixa-las como

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431

Está bala agora.

Obrigado!

[13] Comentário enviado por maykon.franca em 26/03/2014 - 12:28h

Help,
Verifiquei que a hora estava errada, situação normalizada,
Agora tenho esse erro ao digitar # kinit administrador@maykonfranca.infra


root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#



192.168.56.110 svr.maykonfranca.infra svr // Ubuntu
192.168.56.103 svrdom.maykonfranca.infra svrdom //endereço do servidor DC - Windows server 2008


root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#
-----Configuraçoes realizadas------

resolv.conf ****
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.56.103 // endereço do servidor DC - Windows server 2008
search maykonfranca.infra

krb5.conf *****
[libdefaults]
default_realm = MAYKONFRANCA.INFRA
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MAYKONFRANCA.INFRA = {
kdc = svrdom.maykonfranca.infra
default_domain = MAYKONFRANCA.INFRA
}

[domain_realm]
.maykonfranca.infra = MAYKONFRANCA.INFRA

Hosts ***

192.168.56.110 svr.maykonfranca.infra svr
192.168.56.103 svrdom.maykonfranca.infra svrdom


Hostname ******
svr.maykonfranca.infra


#Dns no Windows server 2008
svr Host(A) 192.168.56.110



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts