GNU/Linux integrado ao AD do Windows Server 2003

loammy

Este artigo veio da necessidade de criar um servidor de arquivos Samba que tivesse a possibilidade de utilizar a base de dados de usuários e grupos do Active Directory do Microsoft Windows Server 2003 R2 - SP2, para podermos usar esta BD para controlarmos o acesso aos arquivos servidos no Samba, fazendo com que este servidor GNU/Linux (Samba) se comporte como se fosse um Member Server.

[ Hits: 41.046 ]

Por: Lôammy Palessy Lima em 15/03/2009 | Blog: http://lplima.blogspot.com/

0 0

Denuncie Favoritos Indicar Impressora

Configurações iniciais

Logue-se na máquina2 (Windows Server 2003) e adicione um registro do tipo "A" para a máquina membersvr no DNS, que após adicionado ficará mais ou menos assim:

membersvr Host(A) 192.168.10.254

Logue-se na máquina1(Debian) e efetue as seguintes configurações:

Edite /etc/hosts e adicione as linhas abaixo:

192.168.10.254 membersvr.nats.com membersvr
192.168.10.250 dc-jund.nats.com dc-jund

Agora edite o /etc/resolv.conf e adicione o IP do servidor DNS do Windows Server 2003 (se tiver mais que um, faça com que este seja o primário, colocando-o em primeiro na lista):

nameserver 192.168.10.250

Instale os seguintes pacotes: krb5-user e krb5-config

Configure o /etc/krb5.config, mas por medidas de segurança eu costumo fazer uma cópia dos arquivos originais de configuração que vem com os pacotes antes de alterá-los, e costumo renomeá-los com por exemplo /etc/krb5.config.orig.

Então o arquivo /etc/krb5.config deve ficar exatamente assim:

[libdefaults]
   default_realm = NATS.COM
   dns_lookup_realm = false
   dns_lookup_kdc = false

[realms]
   NATS.COM = {
      kdc = dc-jund.nats.com
      default_domain = NATS.COM
   }

[domain_realm]
   .nats.com = NATS.COM

NOTA: Lembre-se de respeitar quando as letras estão em maiúsculas ou minúsculas (caixa alta ou baixa).

Agora testaremos a conexão com o Kerberos localizado no DC do domínio nats.com (Windows Server 2003) com o seguinte comando:

# kinit user-teste@NATS.COM

O usuário "user-teste" deve estar criado no AD do Windows Server 2003, se você não tiver este usuário pode criá-lo antes ou especificar um usuário que esteja criado na BD do AD.

Após executar o comando acima, digite a senha (lembrando que o user não pode ter senha em branco).

Se for digitado o comando especificando o domínio com letras minúsculas, como por exemplo, user-teste@nats.com, será apresentado o seguinte erro:

Kinit(v5): Cannot find kdc for requested realm while getting initial credentials.

Mas se aparecer o erro:

Kinit(v5): clock skew too great while getting initial credentials.

É provável que a hora entre as duas máquinas (membersvr e dc-jund) está muito dessincronizada. Uma forma de resolver isto é instalar o pacote ntpdate e sincronizar a hora do membersvr baseado na hora do dc-jund, ex.:

# ntpdate dc-jund.nats.com

Se o comando "kinit user-teste@NATS.COM" não apresentar nenhum erro, podemos continuar...

Execute o comando "klist" (sem parâmetros) para confirmar o sucesso do comando "kinit" mencionado acima:

# klist

Página anterior Próxima página

Páginas do artigo

   1. Introdução
   2. Configurações iniciais
   3. Samba + Winbind
   4. Teste de integração com AD
   5. Conclusão

Outros artigos deste autor

Empacotamento e compactadores de arquivos

Leitura recomendada

Instalando o modem Onda MSA110UP em distribuições Linux que utilizam o NetworkManager

Instalação e configuração do Bandwidthd no Conectiva Linux 9

Como atualizar sua versão estável do Debian

Asterisk - Definindo variáveis e manipulando fluxo de dados

Atualizando o kernel do Slackware de forma segura, sem o famoso "kernel panic"

Comentários

[1] Comentário enviado por loammy em 15/03/2009 - 10:46h

Qualquer coisa deixem um recado no meu blog:

http://lplima.blogspot.com/

0 0

[2] Comentário enviado por pogo em 16/03/2009 - 13:03h

excelente artigo! parabéns!

0 0

[3] Comentário enviado por hpvoltage em 16/03/2009 - 17:39h

Deixo aqui registrado meu comentário ao belessimo artigo.
Parabéns!!!

Nós da comunidade agradecemos sua contribuição

Um forte abraço

0 0

[4] Comentário enviado por loammy em 16/03/2009 - 22:04h

Muito Obrigado por lerem o artigo.

É gratificante poder contribuir com a comunidade.

[]'s

0 0

[5] Comentário enviado por removido em 17/03/2009 - 21:35h

Eu gostei dessa reportágem e adorei essa esperiência ligada, sem isso, a delicada, mais isso é útil, e adoro usar a minha, e casa, assim a AD claro a diretórios, com preservação, assim em bom, a caminho, sem isso, a idéias, assim eu gostei disso, e a parte por parte, assim em lido e garantido a scripts, e assim a minha parte, a o Linux, lida em lido com a essa a o Windows Server, e me interessei, assim agradável. E eu pareço assim em conta, e eu me interesso em parte, e ficou legal, e a minha me é útil, e aprende, assim se liga na Pascal, fica assim em mente, mas em agradável, assim foi útil, e obrigado, serve e trato, sempre, graças.

0 0

[6] Comentário enviado por pogo em 18/03/2009 - 08:10h

caramba, o spacevideo devia estar tendo um AVC quando postou o comentário acima! O_O

0 0

[7] Comentário enviado por dfsantos em 18/03/2009 - 14:48h

spacevideo que porra e essa!!!!

0 0

[8] Comentário enviado por silent-man em 19/03/2009 - 16:53h

spacevideo,

vou mandar colocar platina no seu nariz...

xD

0 0

[9] Comentário enviado por loammy em 27/03/2009 - 14:10h

E ai pessoal, alguem tentou implementar o conteudo do meu artigo?

Se sim, comentem como foi sua implemantação, se encontraram alguma dificuldade ou problema não previsto por mim...

[]´s

0 0

[10] Comentário enviado por arthurmatiello em 02/03/2010 - 09:33h

Excelente artigo.

Mas aqui ta errado:
passwd: compact winbind
group: compact winbind

Nao é COMPACT e sim COMPAT

o correto seria assim:
passwd: compat winbind
group: compat winbind

[]'s

0 0

[11] Comentário enviado por Lizard King em 30/06/2010 - 10:52h

Bom dia,

ótimo artigo.

Fiz e em partes deu certo, porem ao tentar acessar o compartilhamento com um usuario comum do windows, pede senha, e não acessa.

Alguem poderia me ajudar?

0 0

[12] Comentário enviado por Lizard King em 01/07/2010 - 11:06h

Olá, bom dia,

consegui, alterando estas linhas no smb.conf

idmap uid
idmap gid

deixa-las como

idmap uid = 16777216-33554431
idmap gid = 16777216-33554431

Está bala agora.

Obrigado!

0 0

[13] Comentário enviado por maykon.franca em 26/03/2014 - 12:28h

Help,
Verifiquei que a hora estava errada, situação normalizada,
Agora tenho esse erro ao digitar # kinit administrador@maykonfranca.infra

root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#

192.168.56.110 svr.maykonfranca.infra svr // Ubuntu
192.168.56.103 svrdom.maykonfranca.infra svrdom //endereço do servidor DC - Windows server 2008

root@svr:/etc# kinit administrador@maykonfranca.infra
kinit: Cannot find KDC for requested realm while getting initial credentials
root@svr:/etc# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)
root@svr:/etc#
-----Configuraçoes realizadas------

resolv.conf ****
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
# DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.56.103 // endereço do servidor DC - Windows server 2008
search maykonfranca.infra

krb5.conf *****
[libdefaults]
default_realm = MAYKONFRANCA.INFRA
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
MAYKONFRANCA.INFRA = {
kdc = svrdom.maykonfranca.infra
default_domain = MAYKONFRANCA.INFRA
}

[domain_realm]
.maykonfranca.infra = MAYKONFRANCA.INFRA

Hosts ***

192.168.56.110 svr.maykonfranca.infra svr
192.168.56.103 svrdom.maykonfranca.infra svrdom

Hostname ******
svr.maykonfranca.infra

#Dns no Windows server 2008
svr Host(A) 192.168.56.110

0 0