Traduções: English - Português (Brasil)


Voltar para página Construção de um Domínio Linux

Como criar um serviço samba3 como Controlador Primário de Domínio e com LDAP

Essa página é um paso-a-paso de como configurar o Samba3 como Controlador Principal de Domínio (Primary Domain Controler - PDC) com o LDAP como mecanismo de autenticação, similar a um Controlador de Domínio Windows NT.

Instalar o LDAP

Usaremos o Aptitude para instalar nosso servidor LDAP.

aptitude install slapd 

Insira a senha para o administrador ldap quando solicitado

Instale a interface web PHPLDAPADMIN

Para gerenciar nosso servidor LDAP, usaremos uma ferramenta de administração da web chamada PHPLDAPADMIN executada em um servidor Apache com SSL.

aptitude install apache-ssl phpldapadmin

Serão solicitadas informações para criar um certificado SSL:<<BR>> Digite o código do seu país quando solicitado, ex. EUA
Digite o nome do seu estado quando solicitado, ex. Utah
Digite o nome da sua cidade quando solicitado, ex. Salt Lake City
Digite sua organização quando solicitado ex. buster.lan
Digite seu nome da UO quando solicitado, ex. ITT
Digite o nome do seu host quando solicitado, ex. pdc.buster.lan
Digite o e-mail de contato quando solicitado, ex. root@buster.lan

Instalar MKNTPWD

Existe uma ferramenta disponível que nos permitirá alterar e criar senhas como você faria nos clientes Windows. Precisamos baixar a ferramenta e compilá-la. Pode ser necessário instalar o make se você ainda não o fez.

aptitude install make gcc libc-dev
wget http://www.nomis52.net/data/mkntpwd.tar.gz
tar zxvf mkntpwd.tar.gz
cd mkntpwd
make
cp mkntpwd /usr/local/bin/

Instalar o Samba

Agora vamos instalar o Samba que será usado para emular um servidor Windows NT

aptitude install samba samba-doc

Digite seu nome de domínio quando solicitado, ex. buster.lan
Responda NÃO quando for perguntado se você deseja modificar o smb.conf

Agora instale e edite o exemplo de estrutura que acompanha o LDAP

cd /usr/share/doc/samba-doc/examples/LDAP
gunzip samba.schema.gz
cp samba.schema /etc/ldap/schema/
vim /etc/ldap/slapd.conf

adicione esta linha após as outras linhas incluídas:

include         /etc/ldap/schema/samba.schema

Agora reinicie o LDAP

/etc/init.d/slapd restart

Configure a estrutura do domínio no LDAP

Através do nosso PHPLDAPADMIN, vamos configurar o domínio.
Aabra um navegador da web e acesse: https://pdc/phpldapadmin/ (substitua pdc pelo nome do servidor ou IP, substitua https por http se phpldapadmin não usar SSL)
efetue login com o seguinte usuário:

cn=admin,dc=buster,dc=lan

use a senha digitada quando você instalou o LDAP
expanda o nó raiz e clique em "Criar nova entrada aqui" ("Create new entry here")
selecione OU e clique em "continuar"
insira usuários para o nome da Unidade Organizacional UO (Organizational Unit - OU) e clique em "Criar objeto" ("Create object")
repita as três etapas anteriores e crie duas outras UOs chamadas "grupos" e "máquinas"

Configure o Samba para usar LDAP

Agora configure o Samba para usar LDAP.

vim /etc/samba/smb.conf

encontre:

passdb backend=tdsam

e substitua isso por:

passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=buster,dc=lan
ldap machine suffix = ou=machines
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=admin,dc=nomis52,dc=net
ldap delete dn = no

# be a PDC
domain logons = yes

# allow user privileges
enable privileges = yes

Teste da configuração

Assegure-se que o testparm é executado com êxito:

testparm

Defina a senha do samba e reinicie-o

smbpasswd -w password
/etc/init.d/samba restart

Efetue login novamente no phpldapadmin e verifique se o registro ?DomainName existe abaixo da raiz
crie os seguintes mapeamentos Samba3 sob a UO de grupos:

Unix/Windows Name

GID

SID ending number

admins

20000

512

users

20001

513

guests

20002

514

aptitude install libnss-ldap

Digite o nome do servidor como ldap://127.0.0.1/ quando solicitado
coloque na base de pesquisa como dc=buster, dc=lan (substitua pela estrutura do seu domínio)
coloque na versão samba como 3
insira o perfil de administrador como cn=admin, dc=buster, dc=lan (substitua com sua estrutura de domínio)
digite a senha do administrador
aceite com OK

vim /etc/nsswitch.conf

adicione “ldap” após cada compat

verifique se existem usuários, convidados e administradores executando:

getent group

Configure o servidor para autenticar localmente usando LDAP

aptitude install libpam-ldap

Responda sim
Resposta não
Digite o perfil de administrador - cn=admin, dc=buster, dc=lan (substitua pela sua estrutura de domínio)
Digite sua senha de administrador

vim /etc/pam.d/common-account

adicione o seguinte ao final do arquivo:

account         sufficient      pam_ldap.so
account         required        pam_unix.so     try_first_pass

vim /etc/pam.d/common-auth

adicione a seguinte linha ao início do arquivo:

password sufficient pam_ldap.so

reinicie o ssh e o samaba

/etc/init.d/ssh restart (if ssh is installed)
/etc/init.d/samba restart

instale o nscd

aptitude install nscd
vim /etc/samba/smb.conf

adicione a seguinte linha ao arquivo:

ldap password sync=yes

Configurar usuários no domínio

efetue login novamente no phpldapadmin e crie os seguintes usuários do Samba3 na UO de usuários:

First Name

Last Name

username

UID

SID ending

Group

Home Directory

Domain

Admin

adminstrator

10000

21000

admins

/home/buster/adminstrator

(your)

(name)

(username)

10001

21001

admins

/home/buster/(username)

verifique se os novos usuários estão no banco de dados:

getent passwd

crie o diretório home

mkdir /home/buster
mkdir /home/buster/(username)
cp /etc/skel/.* /home/buster/(username)
chown -R (username):users /home/buster/(username)

Crie contas de máquina para membros do domínio

efetue login novamente no phpldapadmin e crie as máquinas Samba3 sob a UO de máquinas:

Machine Name

UID

(machinename)$

30000

smbpwd -a root

digite sua senha root

Adicione um cliente Windows ao domínio

vá para a sua máquina Windows e clique com o botão direito do mouse em meu computador e selecione Propriedades
na guia nome, selecione alterar
selecione o botão de opção do domínio, digite buster.lan e clique em ok
insira root para o nome de usuário
digite sua senha root
você será bem-vindo à mensagem de domínio buster.lan, reinicie e poderá efetuar login usando o usuário do banco de dados LDAP.


FixMe: página desatualizada.


CategoryNetwork | CategorySoftware | CategorySystemAdministration