Passo a passo: Fedora autenticando usuários no Active Directory
Autenticar o Linux no Active Directory me tomou dias e dias de pesquisa e testes, mas no final acabou se mostrando uma tarefa mais simples do que eu poderia esperar (pelo menos no Fedora e no CentOS). Neste artigo mostro passo a passo como realizar essa configuração.
[ Hits: 88.858 ]
Por: Davidson Rodrigues Paulo em 09/10/2007 | Blog: http://davidsonpaulo.com/
Configurando o Linux: nss_ldap
Agora, edite o arquivo /etc/ldap.conf e acrescente as seguintes linhas:
Nesse exemplo, UsuarioBind é um usuário do Active Directory com permissões para acessar as informações de todos os usuários. Sem ter uma conta de usuário com tais permissões não é possível acessar o servidor LDAP do Active Directory. Se você quiser apenas fazer testes, pode usar a conta de administrador (geralmente Administrador ou Administrator, nas versões em inglês).
Salve o arquivo e feche-o. Está pronto. Verifique se o usuário que você modificou no Active Directory, adicionando os atributos Unix, está disponível:
$ id usuarioteste
uid=713(usuarioteste) gid=501(grupoteste) grupos=501(usuarioteste)
Se ocorrer algum erro, execute novamente authconfig-tui e revise o arquivo /etc/ldap.conf. Se estiver tudo correto, certifique-se de que o usuário em questão está corretamente configurado no servidor Active Directory, com todos os atributos Unix ajustados corretamente.
binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind
scope sub
nss_base_passwd dc=dominio,dc=com
nss_base_shadow dc=dominio,dc=com
nss_base_group dc=dominio,dc=com
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
bindpw senhadousuariobind
scope sub
nss_base_passwd dc=dominio,dc=com
nss_base_shadow dc=dominio,dc=com
nss_base_group dc=dominio,dc=com
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
Nesse exemplo, UsuarioBind é um usuário do Active Directory com permissões para acessar as informações de todos os usuários. Sem ter uma conta de usuário com tais permissões não é possível acessar o servidor LDAP do Active Directory. Se você quiser apenas fazer testes, pode usar a conta de administrador (geralmente Administrador ou Administrator, nas versões em inglês).
Salve o arquivo e feche-o. Está pronto. Verifique se o usuário que você modificou no Active Directory, adicionando os atributos Unix, está disponível:
$ id usuarioteste
uid=713(usuarioteste) gid=501(grupoteste) grupos=501(usuarioteste)
Se ocorrer algum erro, execute novamente authconfig-tui e revise o arquivo /etc/ldap.conf. Se estiver tudo correto, certifique-se de que o usuário em questão está corretamente configurado no servidor Active Directory, com todos os atributos Unix ajustados corretamente.
Páginas do artigo
1. Configurando o Windows Server2. Configurando o Linux: authconfig
3. Configurando o Linux: nss_ldap
4. Criação automática dos diretórios pessoais
Outros artigos deste autor
Zenwalk Core: Para quem só quer o essencial
Criando um repositório local do Fedora
Debian-BR CDD: Mais um excelente trabalho brazuca
Slackware no notebook Toshiba Satellite M55-S3262
Como converter CentOS 5 em Fedora 11
Leitura recomendada
Integrando Bind com Active Directory (AD)
Servidor de Mídia com 128 MB de RAM
Execução automática de comandos na inicialização do modo gráfico
Comentários
[2] Comentário enviado por michel5670 em 09/10/2007 - 14:18h
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
[3] Comentário enviado por foxrox em 09/10/2007 - 15:26h
Excelente artigo.
Testing on Debian
Depois posto resultado !!
Excelente artigo.
Testing on Debian
Depois posto resultado !!
[4] Comentário enviado por madurinho em 09/10/2007 - 15:54h
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
[5] Comentário enviado por carlosands em 10/10/2007 - 08:41h
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
[7] Comentário enviado por nemphilis em 10/10/2007 - 23:37h
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
[8] Comentário enviado por dfsantos em 18/10/2007 - 09:03h
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
[9] Comentário enviado por dalben em 19/10/2007 - 13:01h
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
[10] Comentário enviado por davidsonpaulo em 19/10/2007 - 13:14h
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
[11] Comentário enviado por dalben em 19/10/2007 - 13:25h
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
[12] Comentário enviado por deuz em 24/10/2007 - 12:18h
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
[13] Comentário enviado por marcoafv em 17/06/2009 - 21:27h
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
[14] Comentário enviado por fabianorebelo em 09/09/2009 - 10:37h
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
[15] Comentário enviado por fabianorebelo em 09/09/2009 - 10:52h
Pessol deu certo! Era um parametro no ldap.conf ...
Pessol deu certo! Era um parametro no ldap.conf ...
[16] Comentário enviado por mhiratasup em 17/12/2014 - 10:25h
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
IA chega ao desktop e impulsiona produtividade no mundo Linux
Novos apps de produtividade, avanços em IA e distros em ebulição agitam o universo Linux
Dicas
Digitando underscore com "shift" + "barra de espaços"
Como ativar a lixeira e recuperar aquivos deletados em um servidor Linux
Como mudar o nome de dispositivos Bluetooth via linha de comando
Tópicos
PIP3 - erro ao instalar módulo do mariadb para o Python (6)
estou na 22.1 e não é atualizado pra 22.4 via "sudo full-upgrade&... (2)
Top 10 do mês
-
Xerxes
1° lugar - 95.582 pts -
Fábio Berbert de Paula
2° lugar - 71.742 pts -
Alberto Federman Neto.
3° lugar - 23.238 pts -
edps
4° lugar - 21.460 pts -
Buckminster
5° lugar - 20.700 pts -
Mauricio Ferrari
6° lugar - 20.717 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
7° lugar - 20.275 pts -
Andre (pinduvoz)
8° lugar - 17.966 pts -
Daniel Lara Souza
9° lugar - 17.535 pts -
Juliao Junior
10° lugar - 14.597 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
