Adicionando máquina com openSUSE 11.3 a domínio com Active Directory Windows Server 2008
Dica publicada em Linux / Configuração
Adicionando máquina com openSUSE 11.3 a domínio com Active Directory Windows Server 2008
Essa dica foi adaptada de uma das referências citadas ao final. A mesma se propõe a demonstrar como adicionar uma máquina com openSUSE 11.3 64 bits a um domínio com Active Directory gerenciado pelo Windows Server 2008 64 bits.
Com o firewall desativado, proceda da seguinte forma:
1. Registrar o controlador de domínio na lista de hosts da máquina cliente via YaST, na opção "Serviços de rede\Nomes de máquina", ou editando o arquivo /etc/hosts, inserir o IP, depois o nome totalmente qualificado e em seguida o nome curto do servidor:
Exemplo:
2. Editar o arquivo /etc/resolv.conf e adicionar seu controlador de domínio como "nameserver":
ou
3. Abra o YaST e configure o Kerberos na opção "Serviços de rede\Cliente do Kerberos", marcando a opção "Usar Kerberos".
Muita atenção para o fato do realm ser em letras maiúsculas. Se não estiver assim não funcionará. Insira os parâmetros da seguinte forma:
Clique em "Ok" e aceite a instalação dos pacotes pam_krb5 e krb5-client.
4. Configure o Samba com YaST ou pelo terminal. No YaST acesse a opção "Serviços de Rede\Servidor Samba".
Na tela que abrir na opção "Nome de Grupo de trabalho ou domínio" informe o nome do domínio sem o ".com.br", ou seja, apenas "DOMINIO". Na tela seguinte marque a opção "Não é um Controlador de Domínio". Em seguida marque para iniciar "Durante a inicialização".
Vá a aba "identidade" e selecione em "Configurações avançadas" a opção "Configurações globais avançadas". Altere aqui a opção "security" de "users" para "ADS" e, caso não exista, adicione o seguinte parâmetro realm:
(Atenção para as letras em maiúsculo)
Clique em "ok" e depois em "ok" novamente. Na tela que abrir clique em "Não participar".
Dica: caso queira que as pastas dos usuários sejam criadas diretamente em /home/ altere o parâmetro template homedir para "/home/%U" (o padrão é "/home/%D/%U"). Durante o login do usuário é criado uma pasta como nome do domínio e dentro dela as pastas de usuário. Caso seja removida a opção %D, usuários do domínio que tenham contas locais na máquina, não poderão fazer logon.
5. Abra o YaST e vá na opção "Serviços de rede\Participação no domínio do Windows". Na tela que abrir marque as opções "Também usar informação SMB para autenticação Linux" e "Criar diretório pessoal no login". Se essa segunda opção não for marcada, ao iniciar o computador será gerado o erro "Cannot enter home directory. Using /". Clique em "Ok" e aceite a sugestão de instalação do pacote "samba-winbind', com isso também serão instaladas várias dependências.
Após a instalação será exibida uma mensagem informando que a máquina não é membro do domínio e solicitará se deseja "Entrar do domínio"; clique em "Sim". O Sistema irá pedir um nome de usuário e senha. Deve ser informado um usuário administrador do servidor de domínio e sua senha. Após digitar usuário e senha, clique na opção "obter lista" para escolher em qual "OU" deseja incluir a máquina, caso contrário simplesmente clique em "Ok" para adicionar a "OU" padrão.
Se tudo correu bem o sistema emitirá uma mensagem informando que a maquina ingressou no domínio com sucesso. Caso o login automático esteja habilitado o sistema solicitará a desativação. Após concluído esse processo, reinicie a máquina.
6. Agora o login já pode ser feito no domínio. Pode levar de 10 a 15 segundos para que apareça o domínio na lista, mas é só aguardar. Até que isso aconteça serão exibidas a opção local e null. Segue abaixo lista de alguns comandos e arquivos úteis para manutenção e configuração da participação em domínio Windows e alguns erros comuns.
# kinit
Para ver os tickets emitidos:
# klist
Para destruir a lista de tickets:
# kdestroy
Testar configurações do Samba:
# testparm
Adicionar máquina ao domínio:
# net ads join -UNomeUsuario
Verificar se foi adicionado com sucesso:
# net ads testjoin
Alguns arquivos e diretórios que podem ser usados na configuração:
Mensagens de erro:
failed to join domain: failed to find DC for domain [DOMINIO]
No DNS domain configured for [host]. Unable to perform DNS Update.
DNS update failed!
Claudir Pereira dos Santos
Matelândia - PR, 25/08/2010.
Referência:
Com o firewall desativado, proceda da seguinte forma:
1. Registrar o controlador de domínio na lista de hosts da máquina cliente via YaST, na opção "Serviços de rede\Nomes de máquina", ou editando o arquivo /etc/hosts, inserir o IP, depois o nome totalmente qualificado e em seguida o nome curto do servidor:
Exemplo:
192.168.0.1 SRV01.DOMINIO.COM.BR SRV01
2. Editar o arquivo /etc/resolv.conf e adicionar seu controlador de domínio como "nameserver":
nameserver = SRV01.DOMINIO.COM.BR
ou
nameserver = 192.168.0.1
3. Abra o YaST e configure o Kerberos na opção "Serviços de rede\Cliente do Kerberos", marcando a opção "Usar Kerberos".
Muita atenção para o fato do realm ser em letras maiúsculas. Se não estiver assim não funcionará. Insira os parâmetros da seguinte forma:
- Domínio padrão: DOMINIO.COM.BR
- Realm padrão: DOMINIO.COM.BR
- Endereço do Servidor KDC: SRV01.DOMINIO.COM.BR
Clique em "Ok" e aceite a instalação dos pacotes pam_krb5 e krb5-client.
4. Configure o Samba com YaST ou pelo terminal. No YaST acesse a opção "Serviços de Rede\Servidor Samba".
Na tela que abrir na opção "Nome de Grupo de trabalho ou domínio" informe o nome do domínio sem o ".com.br", ou seja, apenas "DOMINIO". Na tela seguinte marque a opção "Não é um Controlador de Domínio". Em seguida marque para iniciar "Durante a inicialização".
Vá a aba "identidade" e selecione em "Configurações avançadas" a opção "Configurações globais avançadas". Altere aqui a opção "security" de "users" para "ADS" e, caso não exista, adicione o seguinte parâmetro realm:
(Atenção para as letras em maiúsculo)
- realm = DOMINIO.COM.BR
Clique em "ok" e depois em "ok" novamente. Na tela que abrir clique em "Não participar".
Dica: caso queira que as pastas dos usuários sejam criadas diretamente em /home/ altere o parâmetro template homedir para "/home/%U" (o padrão é "/home/%D/%U"). Durante o login do usuário é criado uma pasta como nome do domínio e dentro dela as pastas de usuário. Caso seja removida a opção %D, usuários do domínio que tenham contas locais na máquina, não poderão fazer logon.
5. Abra o YaST e vá na opção "Serviços de rede\Participação no domínio do Windows". Na tela que abrir marque as opções "Também usar informação SMB para autenticação Linux" e "Criar diretório pessoal no login". Se essa segunda opção não for marcada, ao iniciar o computador será gerado o erro "Cannot enter home directory. Using /". Clique em "Ok" e aceite a sugestão de instalação do pacote "samba-winbind', com isso também serão instaladas várias dependências.
Após a instalação será exibida uma mensagem informando que a máquina não é membro do domínio e solicitará se deseja "Entrar do domínio"; clique em "Sim". O Sistema irá pedir um nome de usuário e senha. Deve ser informado um usuário administrador do servidor de domínio e sua senha. Após digitar usuário e senha, clique na opção "obter lista" para escolher em qual "OU" deseja incluir a máquina, caso contrário simplesmente clique em "Ok" para adicionar a "OU" padrão.
Se tudo correu bem o sistema emitirá uma mensagem informando que a maquina ingressou no domínio com sucesso. Caso o login automático esteja habilitado o sistema solicitará a desativação. Após concluído esse processo, reinicie a máquina.
6. Agora o login já pode ser feito no domínio. Pode levar de 10 a 15 segundos para que apareça o domínio na lista, mas é só aguardar. Até que isso aconteça serão exibidas a opção local e null. Segue abaixo lista de alguns comandos e arquivos úteis para manutenção e configuração da participação em domínio Windows e alguns erros comuns.
Comandos
Para logar no domínio:# kinit
Para ver os tickets emitidos:
# klist
Para destruir a lista de tickets:
# kdestroy
Testar configurações do Samba:
# testparm
Adicionar máquina ao domínio:
# net ads join -UNomeUsuario
Verificar se foi adicionado com sucesso:
# net ads testjoin
Alguns arquivos e diretórios que podem ser usados na configuração:
- /etc/hosts
- /etc/krb5.conf
- /etc/pam.d/
- /etc/resolv.conf
- /etc/samba/smb.conf
- /etc/security/limits.conf
Mensagens de erro:
failed to join domain: failed to find DC for domain [DOMINIO]
- Ligado ao arquivo /etc/resolv.conf tem que informar o endereço do servidor
- Ligado ao arquivo /etc/samba/smb.conf informação contida no parâmetro realm
No DNS domain configured for [host]. Unable to perform DNS Update.
- Alterar o arquivo /etc/hosts para ficar da seguinte forma:
127.0.0.1 nomedohost.dominio.com nomedohost 127.0.0.2 nomedohost.dominio.com nomedohost
DNS update failed!
- Criar um registro no DNS de Tipo A para o nome de host da máquina.
Claudir Pereira dos Santos
Matelândia - PR, 25/08/2010.
Referência:
Tava procurando essa dica.