Squid + Winbind + Samba no AD - Autenticando por grupos

Depois de ter que fazer o Squid autenticar no Microsoft Active Directory por grupos, estive reparando que na internet que existem vários artigos, mas todos tem algum erro ou está incompleto. Este artigo está muito parecido com alguns, mas tem alguns detalhes que podem ser fundamentais na hora da instalação.

[ Hits: 132.242 ]

Por: Felipe Mendes em 02/06/2006


Instalando e configurando o Samba



# cd /usr/local/src/samba-3.0.21c

Configure do Samba:

# ./configure --bindir=/bin \
--sbindir=/usr/sbin --with-winbind \
--with-winbind-auth-challenge


# make
# make install


Feito a instalação o próximo passo é, dentro de /usr/local/src/samba-3.0.21c/source/nsswitch/, copiar o arquivo abaixo para /lib:

# cp libnss_winbind.so /lib

Criar um link simbólico conforme abaixo:

# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2

Configuração do smb.conf:

Bem supondo que o meu DOMÍNIO é FELIPE, o nome do meu PDC é MENDES e o nome do servidor é PROXY.

[global]
workgroup = FELIPE
server string = Servidor Proxy
netbios name = proxy
log file = /var/log/samba/%m.log
max log size = 0
security = domain
password server = MENDES
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
encrypt passwords = yes
wins server = MENDES
winbind separator = "+"
winbind uid = 10000-20000
winbind gid = 10000-20000
template homedir = /dev/null
template shell = /dev/null
winbind use default domain = yes

Após a configuração do smb.conf, agora tem que colocar nossa máquina no domínio:

# net rpc join FELIPE -U administrator
password:
Joined domain FELIPE

Feito isso, altere o arquivo /etc/nsswitch.conf da seguinte forma:

passwd:     compat winbind
group:      compat winbind

Inicie os serviços Samba e Winbind:

# smbd start
# nmbd start
# winbindd start


Para testar se o winbind está comunicando com o AD, basta fazer os seguintes testes:

# wbinfo -t

Irá aparecer:

checking the trust secret via RPC calls succeeded

# wbinfo -u

Irão aparecer todos os usuários do AD.

# wbinfo -g

Irão aparecer todos os grupos do AD.

Exibir todos as contas do domínio:

# getent passwd

Exibir todos os grupos do domínio:

# getent group

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Instalando e configurando o Samba
   3. Instalando e configurando o Squid
Outros artigos deste autor

Servidor de arquivos integrado com Active Directory (AD) e quota de usuário/grupo

MySAR - Um ótimo analisador de logs do Squid

Leitura recomendada

Configurando Squid para liberação de messenger em horário específico, dentre outros

Implementação de um servidor Linux Squid + Iptables + DHCP

Proxy com autenticação em servidores Samba ou Windows NT

Squid + IPtables com dois links de internet

Controle de acesso à internet com Squid

  
Comentários
[1] Comentário enviado por xbunecox em 05/06/2006 - 11:18h

cara aki não funcionou... ele da sempre essa msg de erro, no log do sistema...
Jun 5 11:11:40 alfa2linux nmbd[16558]: [2006/06/05 11:11:40, 0] nmbd/nmbd_packets.c:process_nmb_request(1480)
Jun 5 11:11:40 alfa2linux nmbd[16558]: process_nmb_request: Multihomed registration request must be directed at a WINS server.
Jun 5 11:14:43 alfa2linux (squid): The NT_global_group helpers are crashing too rapidly, need help!

[2] Comentário enviado por xbunecox em 05/06/2006 - 12:19h

tambem na hora que fui compilar o squid, ele me deu essa msg.....
ERROR: external acl helper SMB does not exists

[3] Comentário enviado por fmendes em 06/07/2006 - 16:29h

pessoal tem dois erros no artigo:

o local da pasta winbind_privileged é: /usr/local/samba/var/locks/ e nao como escrito no artigo.

o outro erro nao é bem um e sim uma dica:

ao mudar a permissão da pasta winbind_privileged mude somente o grupo ex:

chgrp nobody winbindd_privileged

sem mais,

Felipe Mendes

[4] Comentário enviado por zedogas em 18/07/2006 - 09:27h

Cara, li sua ma´teria SQUID NO AD, achei muito legal mas tenho uma dúvida que talvez vc saiba perfeitamente como resolver no LINUX:

TO instalando uma maquina no LINUX (por exemplor Debian), e quero configurar do ZERO o apt-get com o proxy, beleza;

http://[email protected]:ip:porta nao eh? ENTAO, mas nao vai... TEM COMO INFORMAR UM DOMINIO no apt-get para o proxy ir lah se autenticar???

Do jeito q tah ele pára no proxy (pq nao tem usuario local entende?)

ME AJUDA AE POR FAVOR, como ponho a configuracao no apt-get para entender o proxy q se autentica com usuarios AD?

[5] Comentário enviado por fmendes em 18/07/2006 - 16:12h

Cara tenta o seguinte:

export http_proxy=http://usuario:[email protected]:porta
depois tente da um apt-get update, provavelmente deve funcionar.

Qualuqer coisa me fala!!


[6] Comentário enviado por paulomachadojr em 15/08/2006 - 17:18h

Qdo executo #wbinfo -u, alguns usuários não são retornados, basicamente os usuários do grupo "usuários do domínio", qdo executo tb #getent passwd , os usuários do AD não aparecem. Isto está correto??? Caso não, oq posso fazer???

obrigado!!

[7] Comentário enviado por evertonjr em 12/01/2007 - 10:05h

Sou novo em linux.....
Estou usando o Mandriva 2007 e quando executo o comando make e make install aparentemente tudo corre bem, mas o programa não é instalado! Tenho que fazer algo alem disso?
Os comandos smbd, nmbd e winbindd start não funcionam
Grato pela atenção e colaboração!!! :)

[8] Comentário enviado por rgavioli em 23/02/2007 - 11:06h

Tudo OK, funcionando... mas na hora de acessar o samba pela rede windows, tenho a seguinte mensagem no log:

[2007/02/23 08:59:07, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(299)
group TI in domain METROLOG does not exist

os usuários acessam, mas todos têm permissão para ler.
Os grupos e usuários que ele lista como "não existem", na verdade existem sim no AD.
Alguém tem uma luz ?
Obrigado.

[9] Comentário enviado por marmaxade em 18/06/2007 - 16:21h

Uso o suse em modo gráfico, já esta rodadndo o samba e as máquinas windows estão acessando normal a internet mas através de uma máquina windos como fazer isso com o suse?

[10] Comentário enviado por fmendes em 18/06/2007 - 19:20h

cara este procedimento serve para qualquer distribuição! Começa a fazer e qualquer problema me fala.

[11] Comentário enviado por nickmicksoares em 16/09/2007 - 23:14h

Caro Fmendes,
qdo executo o join rpc, minha base de dados do ad é apagada, e só aparece no linux, mas no windows some tudo, daí nada funciona!!!
Já fiz várias reinstalações e fica dando este erro!

Sabe a solução?

[12] Comentário enviado por land em 28/09/2007 - 10:05h

em relação a compilação do Squid, somente esses parametros bastam:

./configure --sbindir=/usr/sbin --sysconfdir=/etc/squid --enable-default-err-language=Portuguese --enable-delay-pools --enable-underscores --enable-auth="ntlm,basic" --enable-store-io=ufs,aufs,diskd --enable-snmp --enable-linux-netfilter --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="SMB,winbind" --with-winbind-auth-chalenge
Flws!!!

[13] Comentário enviado por guiga07 em 05/10/2007 - 15:39h

Pessoal, estou tentando implantar essa sulocao de autenticaocao squid + winbind no ad, mas consegui fazer todos os passos, mas quando inicio o squid e alguem tenta acessar a internet a maquina proxy comeca a travar, com o PS -aux | grep squid percebo que tem um precesso dentre muitos relacionados ao squid que esta atolando o sistema...a linha que se refere ao processo esta assim:
nobody 3516 5.0 8.3 22660 18576 ? R /usr/bin/perl -w /usr/local/squid/libexec/wbinfo_group.pl
Peco desculpas aos colegas por tantos comentarios, mas e que estou a uma semanha tentando e sempre paro com esse problema.

[14] Comentário enviado por toniher em 09/04/2009 - 13:24h

Boa tarde, primeiro gostaria de dar os Parabéns pelo artigo.

Estou terminando de executa-lô.

Só me diz uma coisa, no caso como eu faço para colocar liberar a um certo usuário que não esta no dominio para que ele use a internet.

Tipo eu queria assim, se for usuario do dominio não precisa fazer login para usar a internet (claro com minhas restrições a determinados sites).

E no caso se for alguém de fora do dominio, como eu faço para q o mesmo passa digitar alguma senha para passar a ter acesso a internet.

ex. um consultor com notebook externo que vem aq pra trab por alguns dias.

Grato pela atenção.

[15] Comentário enviado por fabiodurgante em 02/05/2015 - 15:18h

onde esta localizado o arquivo do samba smb.conf ??????


Contribuir com comentário