Samba + Windows XP (perfil móvel)

Nesse artigo mostro como corrigir o problema de ingressar máquinas Windows XP em domínios com servidores Samba sem tirar todas as funcionalidades para domínio disponíveis no Windows XP. Afinal, pra quê servidor de domínio se o administrador altera todas as policies dos clientes para locais?

[ Hits: 40.607 ]

Por: Hugo Alvarez em 08/10/2007


Procedimentos para logar Windows XP no Samba (exceto Home Edition)



Adicione uma conta de usuário ao sistema e ao Samba:

# adduser hugoalvarez
# smbpasswd -a hugoalvarez


Adicione a conta de root ao Samba caso nunca tenha sido adicionada:

# smbpasswd -a root

Adicione a conta da máquina ao sistema e ao Samba:

# adduser computadordohugo$
# smbpasswd -a -m computadordohugo


Não coloque $ ao final do nome computadordohugo ao adicioná-lo ao Samba, o parâmetro -m já informa que é uma conta de máquina.

Logue-se na estação Windows XP, clique com o botão direito do mouse em:

Meu computador -> Propriedades -> Nome do computador -> Alterar -> selecione Domínio -> digite o nome do domínio -> quando pedir usuário coloque root e digite a senha para ingressar no domínio -> reinicie o sistema quando solicitado.

Após o reboot, logue-se com o usuário hugoalvarez. Em um Windows XP recém instalado e que não foi fuçado você vai receber a seguinte mensagem de erro:



Para corrigí-la, logue-se novamente no perfil local da estação e faça as seguintes modificações:

Clique em iniciar -> Configurações -> Painel de controle -> Ferramentas administrativas -> Diretiva de segurança local.

No painel de diretivas de segurança local, clique no sinal de + da opção diretivas locais e selecione opções de segurança, localize a opção:

Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)

Clique duas vezes na opção e selecione desativar, você vai receber uma mensagem de alerta, clique em ok, veja a figura:



Após realizar o procedimento, feche a janela de Segurança de diretiva local, abra um prompt de comando e digite:

# gpupdate /force

Faça logoff ou reinicie se preferir e logue-se novamente no domínio, dessa vez provavelmente você vai receber esta mensagem, como mostra a figura:



Para corrigir o problema realize os seguintes procedimentos.

Edite seu arquivo smb.conf e adicione as seguintes linhas:

Na seção global defina o parâmetro logon path:

logon path = \\nomedoservidor\sysvol\%U

Onde:
  • nomedoservidor = Netbios ou FQDN, é indiferente desde que a estação enxergue o servidor através do nome.
  • sysvol = Share não obrigatório, porém é legal em qualquer domínio com máquinas Windows XP para enganá-las e elas pensarem que se trata de um servidor Windows.
  • %U = Variável do Samba que define nome de usuário, para as máquinas escreverem o perfil dentro da pasta de cada usuário, o Windows só procura policies dentro de sysvol, segundo a arquitetura do Active Directory, para as máquinas Windows XP o software Samba não existe e elas não vão obedecê-lo, por isso a necessidade de enganá-las.

Pode ser definido qualquer outro caminho em logon path, mas um dia você terá problemas caso queira implementar policies.

Crie um share com nome sysvol na seção de shares:

[sysvol]
comment = System Volume
path = /usr/local/samba/sysvol
guest ok = yes
writable = yes
share modes = no
browseable = no

A opção browseable = no é equivalente ao $ nos shares Windows, serve para não listar o diretório quando um usuário digitar \\nomedoservidor, o sysvol está lá, mas não é exibido

guest ok = yes, pode ser definida como no, caso as permissões e autenticação do seu samba já tenham sido testadas e estejam corretas, enquanto estiver implementando guest ok = yes facilita a sua vida.

Exemplo na figura:



Reinicie o Samba.

Crie uma pasta hugoalvarez dentro da pasta que foi definida para o share sysvol, esse é o diretório onde a máquina do usuário hugoalvarez vai escrever o perfil quando ele logar-se, e caso ele logue-se em outra máquina qualquer é esse diretório que vai fornecer o perfil, por exemplo com o documento1.doc salvo na meus documentos da outra máquina ou os favoritos salvos na estação que o usuário hugoalvarez logou anteriormente.

# mkdir /pathdosysvol/hugoalvarez

Deixe somente o usuário hugoalvarez escrever, ler e executar nessa pasta.

# chmod -R 700 hugoalvarez /pathdosysvol/hugoalvarez

Tente logar-se novamente e tudo deve correr bem, para testar as configurações do perfil faça logoff na estação e veja que os dados da pasta Documents And Settings do usuário hugoalvarez foram salvos no servidor dentro do share sysvol criado no Samba dentro da pasta com o mesmo nome do usuário.

Se você deixar permissões de execução e escrita no share sysvol, as máquinas Windows XP serão capazes de adicionarem seus perfis automaticamente sem a necessidade do passo anterior, mas cuidado para não dar permissões demais a quem não deve.

Vale lembrar que pastas particulares do Outlook ".pst" devem sofrer uma rotina de backup diferenciada porque ficam dentro de "configurações locais\dados de aplicativos" e esta pasta não é sincronizada com o servidor devido ao fato de o Outlook não trabalhar com pastas .pst através de rede, caso queira maiores informações consulte:
É possível sincronizar as pastas do Outlook também trocando o path de armazenamento do cliente, o que não acho aconselhável (experiência própria) e salvá-los diretamente na rede ou sincronizá-las no logoff, mas com o tempo a rede vai sofrer devido aos arquivos .pst normalmente serem enormes para transferência, já com uma pasta "Meus Documentos" enorme essa lentidão ocorrerá somente na primeira sincronia, nas próximas somente arquivos alterados serão sincronizados.

Pronto, a máquina Windows XP já está no domínio com todas as suas funcionalidades operando, exceto autenticação criptografada que não é suportada pelo Samba em algumas versões.

   

Páginas do artigo
   1. Procedimentos para logar Windows XP no Samba (exceto Home Edition)
Outros artigos deste autor

Travando qualquer máquina Linux

Youtube + Buddy Poke x Iceweasel + Flash no Debian Etch

Instalando um firewall mínimo em Debian

Leitura recomendada

Howto Servidor Samba + ACL

Linux e Active Directory (Integrando COMPLETAMENTE sua estação Linux a um domínio MS Windows 2000/2003 Server)

Inicialização do Linux

Acesso aos recursos compartilhados de sua rede Microsoft ou Samba via HTTP

Ambientes mistos e agora?

  
Comentários
[1] Comentário enviado por fulllinux em 09/10/2007 - 08:17h

Gostei, bem instrutivo...

Parabéns!

[2] Comentário enviado por wandersoninf em 09/10/2007 - 21:58h

Show, perfeito... e parabéns pelos detalhes!!!

[3] Comentário enviado por valterrezendeeng em 19/12/2007 - 11:51h

Bom e objetivo seu artigo.

Já utilizei as informações dele algumas vezes

Grato.

Parabens!!!!!

[4] Comentário enviado por valterrezendeeng em 19/12/2007 - 11:52h

Gostaria de Saber qual a influencia de destivar ou deixar ativado a opção

Membro de domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)

Grato

[5] Comentário enviado por hugoalvarez em 19/12/2007 - 16:20h

O padrão do Windows XP Profissional é sempre tentar enviar os dados de autenticação criptografados ou assinados se houver sido emitido um certificado para a estação, o Windows só vai utilizar as gpos locais da máquina quando não houver nenhum servidor distribuindo as policies (policies de um servidor de domínio são autoritativas em relação às de estação local).

Nesse caso a maquina Windows utiliza suas próprias policies já que não está recebendo nenhuma policie do servidor de domínios e como o padrão é enviar a senha criptografada é o que ela vai fazer, porém versões antigas do samba como a que eu estava utilizando no teste não suportam esse tipo de encriptação fazendo a autenticação falhar.

Fonte de pesquisa: Segurança em redes Microsoft Windows Server 2003 - IBTA

Até mais.


[6] Comentário enviado por Jeremias Costa em 05/01/2008 - 15:14h

Cara muito bom esse artigo !!
eu estou fazendo um apanhado desses artigo do samba e fazendo um completo para mim !!
valeu mesmo pro esse artigo de ótima explicação !!

[7] Comentário enviado por rauhmaru em 13/11/2008 - 18:51h

Bicho... as 10 primeiras linhas resolveram meu problema.
Valeu mesmo!

[8] Comentário enviado por savio00 em 13/02/2009 - 10:41h

Fiz tudo direitinho conforme foi explicado mas continuo tendo problema informando que não foi possivel achar o perfil(Penúltima imagem).

Gostaria como faço para desabilitar de vez os perfis móveis na configuração do Samba.

Abraço!
Sávio Rodrigues

[9] Comentário enviado por blueshark em 12/05/2009 - 11:15h

Valeu me ajudou bastante

[10] Comentário enviado por hugoalvarez em 03/08/2009 - 14:55h

Savio,

os perfis móveis são padrão do Windows, não é problema do Samba as máquinas Windows quererem que criar o perfil, todos os Windows recém instalados e sem modificações quando ingressam em um dómínio vão tentar carregar o perfil ao domínio por padrão, para desativá-lo você deve implementar uma policie desativando perfis móveis ou fazê-lo manualmente nas policies locais da máquina com o gpedit.

[11] Comentário enviado por alissonsilva em 08/05/2013 - 12:33h

Existe alguma possibilidade de realizar somente a sincronização de algumas pastas do do profile, sem ter que pegar o profile todo?

[12] Comentário enviado por hugoalvarez em 08/05/2013 - 21:53h

Eu creio que seja possível de fazer isso via policie no Win7, mas é necessário dar uma navegada no gpmc dele, acho que o XP não faz. Em todo caso vale a pena dar uma pesquisada.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts