GNU/Linux integrado ao AD do Windows Server 2003

loammy

Este artigo veio da necessidade de criar um servidor de arquivos Samba que tivesse a possibilidade de utilizar a base de dados de usuários e grupos do Active Directory do Microsoft Windows Server 2003 R2 - SP2, para podermos usar esta BD para controlarmos o acesso aos arquivos servidos no Samba, fazendo com que este servidor GNU/Linux (Samba) se comporte como se fosse um Member Server.

[ Hits: 40.938 ]

Por: Lôammy Palessy Lima em 15/03/2009 | Blog: http://lplima.blogspot.com/

0 0

Denuncie Favoritos Indicar Impressora

Configurações iniciais

Logue-se na máquina2 (Windows Server 2003) e adicione um registro do tipo "A" para a máquina membersvr no DNS, que após adicionado ficará mais ou menos assim:

membersvr Host(A) 192.168.10.254

Logue-se na máquina1(Debian) e efetue as seguintes configurações:

Edite /etc/hosts e adicione as linhas abaixo:

192.168.10.254 membersvr.nats.com membersvr
192.168.10.250 dc-jund.nats.com dc-jund

Agora edite o /etc/resolv.conf e adicione o IP do servidor DNS do Windows Server 2003 (se tiver mais que um, faça com que este seja o primário, colocando-o em primeiro na lista):

nameserver 192.168.10.250

Instale os seguintes pacotes: krb5-user e krb5-config

Configure o /etc/krb5.config, mas por medidas de segurança eu costumo fazer uma cópia dos arquivos originais de configuração que vem com os pacotes antes de alterá-los, e costumo renomeá-los com por exemplo /etc/krb5.config.orig.

Então o arquivo /etc/krb5.config deve ficar exatamente assim:

[libdefaults]
   default_realm = NATS.COM
   dns_lookup_realm = false
   dns_lookup_kdc = false

[realms]
   NATS.COM = {
      kdc = dc-jund.nats.com
      default_domain = NATS.COM
   }

[domain_realm]
   .nats.com = NATS.COM

NOTA: Lembre-se de respeitar quando as letras estão em maiúsculas ou minúsculas (caixa alta ou baixa).

Agora testaremos a conexão com o Kerberos localizado no DC do domínio nats.com (Windows Server 2003) com o seguinte comando:

# kinit user-teste@NATS.COM

O usuário "user-teste" deve estar criado no AD do Windows Server 2003, se você não tiver este usuário pode criá-lo antes ou especificar um usuário que esteja criado na BD do AD.

Após executar o comando acima, digite a senha (lembrando que o user não pode ter senha em branco).

Se for digitado o comando especificando o domínio com letras minúsculas, como por exemplo, user-teste@nats.com, será apresentado o seguinte erro:

Kinit(v5): Cannot find kdc for requested realm while getting initial credentials.

Mas se aparecer o erro:

Kinit(v5): clock skew too great while getting initial credentials.

É provável que a hora entre as duas máquinas (membersvr e dc-jund) está muito dessincronizada. Uma forma de resolver isto é instalar o pacote ntpdate e sincronizar a hora do membersvr baseado na hora do dc-jund, ex.:

# ntpdate dc-jund.nats.com

Se o comando "kinit user-teste@NATS.COM" não apresentar nenhum erro, podemos continuar...

Execute o comando "klist" (sem parâmetros) para confirmar o sucesso do comando "kinit" mencionado acima:

# klist

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Configurações iniciais
   3. Samba + Winbind
   4. Teste de integração com AD
   5. Conclusão

Outros artigos deste autor

Empacotamento e compactadores de arquivos

Leitura recomendada

Caso de Estudo: E-mail Server ISP

Implantando rsync server no Windows para conexões via Linux

UNR (Ubuntu Netbook Remix) 9.04 no Acer Aspire One (AA1)

Squid configurado como proxy no Ubuntu Server

Configurando uma impressora com Samba e CUPS

Comentários

[1] Comentário enviado por loammy em 15/03/2009 - 10:46h

Qualquer coisa deixem um recado no meu blog:

http://lplima.blogspot.com/

0 0

[2] Comentário enviado por pogo em 16/03/2009 - 13:03h

excelente artigo! parabéns!

0 0

[3] Comentário enviado por hpvoltage em 16/03/2009 - 17:39h

Deixo aqui registrado meu comentário ao belessimo artigo.
Parabéns!!!

Nós da comunidade agradecemos sua contribuição

Um forte abraço

0 0

[4] Comentário enviado por loammy em 16/03/2009 - 22:04h

Muito Obrigado por lerem o artigo.

É gratificante poder contribuir com a comunidade.

[]'s

0 0

[5] Comentário enviado por removido em 17/03/2009 - 21:35h

Eu gostei dessa reportágem e adorei essa esperiência ligada, sem isso, a delicada, mais isso é útil, e adoro usar a minha, e casa, assim a AD claro a diretórios, com preservação, assim em bom, a caminho, sem isso, a idéias, assim eu gostei disso, e a parte por parte, assim em lido e garantido a scripts, e assim a minha parte, a o Linux, lida em lido com a essa a o Windows Server, e me interessei, assim agradável. E eu pareço assim em conta, e eu me interesso em parte, e ficou legal, e a minha me é útil, e aprende, assim se liga na Pascal, fica assim em mente, mas em agradável, assim foi útil, e obrigado, serve e trato, sempre, graças.

0 0

[6] Comentário enviado por pogo em 18/03/2009 - 08:10h

caramba, o spacevideo devia estar tendo um AVC quando postou o comentário acima! O_O

0 0

[7] Comentário enviado por dfsantos em 18/03/2009 - 14:48h

spacevideo que porra e essa!!!!

0 0

[8] Comentário enviado por silent-man em 19/03/2009 - 16:53h

spacevideo,

vou mandar colocar platina no seu nariz...

xD

0 0

[9] Comentário enviado por loammy em 27/03/2009 - 14:10h

E ai pessoal, alguem tentou implementar o conteudo do meu artigo?

Se sim, comentem como foi sua implemantação, se encontraram alguma dificuldade ou problema não previsto por mim...

[]´s

0 0

[10] Comentário enviado por arthurmatiello em 02/03/2010 - 09:33h

Excelente artigo.

Mas aqui ta errado:
passwd: compact winbind
group: compact winbind

Nao é COMPACT e sim COMPAT

o correto seria assim:
passwd: compat winbind
group: compat winbind

[]'s

0 0

[11] Comentário enviado por Lizard King em 30/06/2010 - 10:52h

Bom dia,

ótimo artigo.

Fiz e em partes deu certo, porem ao tentar acessar o compartilhamento com um usuario comum do windows, pede senha, e não acessa.

Alguem poderia me ajudar?

0 0

[12] Comentário enviado por Lizard King em 01/07/2010 - 11:06h

Olá, bom dia,

consegui, alterando estas linhas no smb.conf

idmap uid
idmap gid

deixa-las como

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431

Está bala agora.

Obrigado!

0 0

[13] Comentário enviado por maykon.franca em 26/03/2014 - 12:28h

Help,
Verifiquei que a hora estava errada, situação normalizada,
Agora tenho esse erro ao digitar # kinit administrador@maykonfranca.infra

root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#

192.168.56.110 svr.maykonfranca.infra svr // Ubuntu
192.168.56.103 svrdom.maykonfranca.infra svrdom //endereço do servidor DC - Windows server 2008

root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#
-----Configuraçoes realizadas------

resolv.conf ****
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.56.103 // endereço do servidor DC - Windows server 2008
search maykonfranca.infra

krb5.conf *****
[libdefaults]
default_realm = MAYKONFRANCA.INFRA
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MAYKONFRANCA.INFRA = {
kdc = svrdom.maykonfranca.infra
default_domain = MAYKONFRANCA.INFRA
}

[domain_realm]
.maykonfranca.infra = MAYKONFRANCA.INFRA

Hosts ***

192.168.56.110 svr.maykonfranca.infra svr
192.168.56.103 svrdom.maykonfranca.infra svrdom

Hostname ******
svr.maykonfranca.infra

#Dns no Windows server 2008
svr Host(A) 192.168.56.110

0 0