http://www.zago.eti.br/samba/ad.txt FAQ com mensagens da Linux-br respondendo questões relacionadas ao Samba com AD active directory, veja também FAQ sobre winbind em: http://www.zago.eti.br/samba/winbind.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux Neste documento, mensagens e dicas sobre active directory e Samba. Sobre outros assuntos veja em: http://www.zago.eti.br/samba/A-menu-samba.html ******************************************************** Como instalar e pra que serve o Services For Unix da Microsoft, e como integrar o mesmo com o Active Directory para permitir aos clientes Unix/Linux fazerem autenticação no servidor Windows 2000/2003 com o AD. http://www.servtec.xq.com.br/portal/modules.php?name=News&file=article&sid=130 ******************************************************** ******************************************************** De: Andreas Para: Franco Catena Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) LDAP + AD WI2K Data: 24 Feb 2003 19:29:59 -0300 On Mon, Feb 24, 2003 at 02:38:59PM -0300, Franco Catena wrote: > Eu tenho um dominio em WIN2K + Active directory chamado azc.com.br WELL, > esse dominio apenas contem shareamento de diretorios com auth via windows e > DNS. Agora quero colocar E-MAILS e precisarei fazer uma HOME com auth de > usuarios. A minha pergunta é se algum de vcs ja conseguiu fazer isso? Alguma > dica???? Alguem conseguiu integrar o AD com o LDAP??? Não entendi o que você precisa fazer, mas dá para integrar win2k e linux sim e de várias formas. A melhor é uma combinação de kerberos com ldap. Primeiro pega o ticket do windows 2000: $ kinit Password for andreas@MEUDOMINIO: Listando: $ klist Ticket cache: FILE:/tmp/krb5cc_666 Default principal: andreas@MEUDOMINIO Valid starting Expires Service principal 02/24/03 19:21:23 02/25/03 05:21:23 krbtgt/MEUDOMINIO@MEUDOMINIO $ ldapsearch -h ip-do-servidor-w2k cn=andreas -LLL SASL/GSSAPI authentication started SASL username: andreas@MEUDOMINIO SASL SSF: 56 SASL installing layers dn: CN=andreas,CN=Users,DC=MEUDOMINIO accountExpires: 9223372036854775807 badPasswordTime: 126900451829490560 badPwdCount: 0 codePage: 0 cn: andreas countryCode: 0 displayName: andreas (...) Agora tem-se um ticket a mais (para o serviço ldap): $ klist Ticket cache: FILE:/tmp/krb5cc_666 Default principal: andreas@MEUDOMINIO Valid starting Expires Service principal 02/24/03 19:21:23 02/25/03 05:21:23 krbtgt/MEUDOMINIO@MEUDOMINIO 02/24/03 19:22:40 02/25/03 05:21:23 ldap/nome-do-servidor-w2k@MEUDOMINIO Note que ele não pediu senha para o ldap, mas isso não quer dizer que não estou autenticado: kerberos me autenticou. Samba3 também pode usar isso (samba2 ainda não usa kerberos, mas também acessa win2k sem problemas desde que o AD esteja no modo de compatibilidade): (-k diz para usar kerberos) $ smbclient //nome-netbios-do-w2k/pub -k added interface ip=meu-ip bcast=endereço-de-bcast nmask=sua-máscara-de-rede Got a positive name query response from ip-do-win2k ( ip-do-win2k ) Doing spnego session setup (blob length=114) Doing kerberos session setup OS=[Windows 5.0] Server=[Windows 2000 LAN Manager] smb: \> Pronto, conectado ao share pub :) ******************************************************** De: johnnypas Para: catena@surson.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re:(linux-br) LDAP + AD WI2K Data: 25 Feb 2003 00:51:19 -0300 Ola.. tu podes autenticar, armazenar informacoes do usuario, tudo no AD e autenticar via LDAP e usando modulos PAM. Tu só precisa modificar o schema do AD. Pra fazer isso, dá uma olhada no site.. www.padl.com No site tu vai encontrar toda a documentacao necessária para colocar funcionar a solução que tu quer. E funciona legal... Tu administra os usuarios do Linux pelo AD, etc... Até mais.. JohnnyPas "Existem 10 tipos de pessoas no mundo: as que entendem numeração binária e as que não entendem!" ---------- Início da mensagem original ----------- Ola pessoal, Eu tenho um dominio em WIN2K + Active directory chamado azc.com.br WELL, esse dominio apenas contem shareamento de diretorios com auth via windows e DNS. Agora quero colocar E-MAILS e precisarei fazer uma HOME com auth de usuarios. A minha pergunta é se algum de vcs ja conseguiu fazer isso? Alguma dica???? Alguem conseguiu integrar o AD com o LDAP??? ******************************************************** De: André Moraes Para: Andreas , Franco Catena Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) LDAP + AD WI2K Data: 25 Feb 2003 08:33:20 -0300 Andreas, Franco, Lista, > > Você pode usar winbind também, faz parte do samba2.2. Assim, usuários criados > no windows vão automagicamente aparecer no linux. Com nss_ldap também funciona, > mas é mais complexo na minha opinião. winbind é bem simples de usar. Se não > tiver kerberos, vai precisar de um pam_winbind (ou outro nome, esqueci agora, > é um módulo pam que tem no pacote do samba). O nome do bichinho é este mesmo. Funciona muito bem, fácil de configurar, fácil de testar e fácil de usar. > > Parece que o novo samba ja fala com o AD nao?? mas nesse caso seria possivel > > Até certo ponto, sim. Mas o samba "antigo" (2.2.x) também fala com o AD sem > problemas desde que ele esteja no modo de compatibilidade. > Funciona no modo nativo sem problemas. Estamos usando o Samba/winbind na empresa em que trabalho (Servidores Linux e 2000) e estações Windows para autenticar e autorizar usuários no Squid. O nosso Active Directory está em modo nativo. []'s ******************************************************** De:  Gustavo Andreoni Vieira d'Almeida Para:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Active directory Data:  Wed, 3 Nov 2004 15:26:28 -0200 Em Qua 03 Nov 2004 01:11, Eduardo Albergone escreveu: > Boa Noite Boa Noite > Tenho um duvida , ntenho um servidor com windows 2003 , que estamos > pensando em migrar para linux, mas pintou um problema , usamos aqui active > directory , no linux tem algum sistema que seja melhor ou igual ao active > directory do windows 2003. Procure fazer com OpenLDAP/ SAMBA ou NFS/Openldap caso seja uma rede inteira Linux! -- Gustavo Andreoni Vieira d'Almeida gus_valmeida@uol.com.br icq: 136922243 Linux ID #235942 ******************************************************** De:  Clovis Sena Para:  Eduardo Albergone Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)Active directory Data:  Wed, 03 Nov 2004 16:28:35 -0300 bom dia, tem sim, chama-se ldap. De uma olhada no iste www.ldap.org.br, que tem bastante material ensinando inclusive como migra para o ldap. t+ Clovis Eduardo Albergone wrote: Tenho um duvida , ntenho um servidor com windows 2003 , que estamos > pensando em migrar para linux, mas pintou um problema , usamos aqui > active directory , no linux tem algum sistema que seja melhor ou igual > ao active directory do windows 2003. >   _ >  °v°      Eduardo Henrique Albergone - Analista de Suporte > ******************************************************** De: Mauricio Teixeira (netmask) Para: Fred Sigaud Cc: linux-br Assunto: Re: (linux-br)Active Directory Data: Thu, 10 Mar 2005 14:18:17 -0300 Em Qua, 2005-03-09 às 23:03 -0300, Fred Sigaud escreveu: > Ou seja, uma autenticação onde as imposições de horários e > permissões (criadas no AD) na rede sejam respeitadas? Acho que isso não é problema do Linux, e sim do AD. Se a restrição está no AD e o Linux autentica nele, ele é quem tem que negar na hora certa, e não o Linux saber que não pode ser autenticado naquele momento. Sugiro você usar Samba + Winbind para melhor integração com o AD. -- % Mauricio Teixeira (netmask) % mteixeira{a}webset{d}net <> Maceio/AL/BR % TI+Telecom Analyst <> Linux Specialist % http://mteixeira.webset.net <> http://pmping.sf.net ******************************************************** De: Alex Cella Responder A: Alex Cella Para: Lista Linux Assunto: (linux-br)Ferramenta para gerenciamento de Usuarios/Grupos LDAP Data: Thu, 10 Mar 2005 22:49:24 +0000 Eu nunca fiz algo do tipo, pelo AD eu gerenciava o tempo do bilhete do usuário horário de logon e forçava o logoff após a expiração do horário estipulado alem de impor em quais computadores o usuário poderia logar-se na policy. Usava a auditoria associada a querry de evet log. monitorando entradas de logon e logff do usuário. Existe uma ferramenta da Microsoft para monitorar eventos, help desk e tudo mais (O MOM) www.microsoft.com/mom la têm um simulador do dito cujo, só uma OBS do MOM ele é bem $$$ :( da para fazer alguma coisa com scripts da comunidade: Auditando logon http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/monitor/logevnts.mspx Scripts do AD http://www.microsoft.com/technet/scriptcenter/scripts/ad/default.mspx Lembra um pouco os scripts migrate de LDIF, so que para o mundo do LDAP da MS. Scripts de usuário http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/default.mspx Vários Scripts VBS e não VBS http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx OBS Estas regras não eram a padrão do domínio, era estipulado na Unidade Organizacional Criada para armazenar os computadores dos determinados usuários Ou seja eu criava uma OU em cada depto com os computadores dos mesmos e separava pelas versões XP e 2K Creio que vc pode usar WMI ou SNMP tb. Vc pode montar um script e monitorar o evento de logon e logoff com a auditoria (caso nao deseje forçar termino de logon e horários de logon) Não sei como é feito isso no openLDAP em Linux mas ta ai um sugestão, se alguem tiver interesse de criar um grupo de estudos LDAP to dentro :) estou trablhando a pouco tempo com LDAP em LINUX mas acho bem interessante o protocolo vode pode verificar que no openldap podemos usar o comando de busca do ldap o ldapsearch RFC-2254 compliant LDAP search filter talvez tenha como procurar usuários online não sei mesmo:) No Windows eu faria monitoria de eventos de logon e facilmente vc saberia quem está online e em qual computador. no linux vou pesquisar melhor não sei se o comando e como proceder para auditar :) Dicas sobre o AD http://www.microsoft.com/windowsserver2003/technologies/directory/activedirectory/default.mspx Assista os Webcasts! Outra dica http://www.ldap.org.br/ comunidade de Brasil LDAP. Atenciosamente, De: Alex Cella Responder A: Alex Cella Para: Lista Linux Assunto: (linux-br)Ferramenta para gerenciamento de Usuarios/Grupos LDAP Data: Thu, 10 Mar 2005 22:56:36 +0000 Esqueci de dizer: Não é um script mas resolve. Vc tb pode abrir o gerenciamento do computador servidor, vc verá os usuários logados MMC- SNAP-in Computer management ou gerenciamento do computador caminho do botão direito do mouse sobre o icone meu computador e gerenciar vc Prefiro trabalhar com os scripts mas isso tb resolve por hora. vc pode ver os usuários com acesso ao servidor :( não é o bicho mas quebra o galho. -- Atenciosamente, Profissional de Informática Linux Registered User # 225201 Microsoft Certified Professional De: Alex Cella Responder A: Alex Cella Para: Lista Linux Assunto: (linux-br)Active Directory Data: Thu, 10 Mar 2005 23:01:38 +0000 Tem uma extensão do AD para o LINUX o AD4linux adforlinux mas não faz no linux o que o Acrtive Directory faz na família Professional dos clientes da Microsoft. OBS Usamos uam vez para podr autenticar o usuário linux na rede microsoft eram poucos clientes linux. OBS o AD é da MS para MS creio que se vc mexer no schema e editar vc até poderia fazer algo com estações linux e servidor Microsoft, seria bom em redes mistas mas vc estaria por conta prória e risco, te pergunto vale a pena? eu faria um DC Microsoft para rede Microsoft e um integraria com um DC linux para rede linux :) assim vc pode mensurar a reduzir seus custos até decidir uma plataforma que te atenda :) -- Atenciosamente, Profissional de Informática Linux Registered User # 225201 Microsoft Certified Professional ******************************************************** De: Gustavo De Biasi Para: linux-br@bazar2.conectiva.com.br Assunto: (linux-br)Active Directory Data: Thu, 10 Mar 2005 19:58:52 -0300 Ola Fred Como o AD funciona em cima de LDAP, ele faz integração com clientes em Unix e Linux. Ative a LDAP do Active Directory e a integração com o Unix. Para tal vocë terã de mudar itens do Schema do Windows (mexer na configuração da floresta). Se precisar de mais informação, entre na Technet e procure por LDAP Unix in Windows 2003 Server. []s Gustavo De Biasi ******************************************************** De: Frederico Sigaud Responder A: Frederico Sigaud Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Active Directory Data: Thu, 10 Mar 2005 21:47:50 -0300 Meus caros colegas, Obrigado, pelas informações, mas o que eu mais desejo saber no momento é se o Linux como cliente AD (DC), iria assumir todas as politicas criadas no AD (DC), como por exemplo, horários. Em relação a compensar? Sim! Compensa, primeiro pela expansão do SL, e pela inserção do SL/LINUX em uma Grande Coorporação. Seriam, trocadas cerca de 4000 máquinas utilizando o Windows. Alguém, poderia me dar maiores informações? Fred ******************************************************** De: Wellington Terumi Uemura Responder A: Wellington Terumi Uemura Para: Alejandro Flores Cc: Linux-BR (E-mail) Assunto: Re: (linux-br)Samba + Active Directory Data: Sat, 12 Feb 2005 14:52:55 -0200 Eu configurei um Debian para ser servidor de PDF trabalhando em conjunto com o AD para que os arquivos impressos tenham o nome do usuário que os imprimiu e ao mesmo tempo que estes arquivos não sejam sobrescritos no caso de várias improssões simultâneas. Consegui colocar o samba no domínio com muito trabalho e ainda assim não é perfeito pois falha muito, isso quando não pede senha de login no samba sendo que ele já está no domínio. Enfim, aqui vai a listagem das configurações que fiz que talvez possa te ajudar a "começar" a fazer testes por aí. /etc/samba/smb.conf [global] client use spnego = yes password server = 10.1.1.19 netbios name = PDFSRV hosts allow = 10.0.0.0/255.0.0.0 127.0.0.1 interfaces = eth0 10.1.2.254 local master = no domain master = no realm = AD.SERVER winbind uid = 10000-20000 winbind gid = 10000-20000 auth methods = winbind winbind enum users = yes winbind enum groups = yes workgroup = SEU-WORKGROUP server string = %h server (Samba %v) wins server = 10.1.1.1 dns proxy = no name resolve order = lmhosts host wins bcast log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /etc/samba/panic-action %d security = ads encrypt passwords = true passdb backend = tdbsam guest invalid users = root unix password sync = no load printers = yes printing = bsd socket options = TCP_NODELAY #======================= Share Definitions ======================= [homes] comment = Home Directories browseable = no # By default, the home directories are exported read-only. Change next # parameter to 'yes' if you want to be able to write to them. writable = no # File creation mask is set to 0700 for security reasons. If you want to # create files with group=rw permissions, set next parameter to 0775. create mask = 0700 # Directory creation mask is set to 0700 for security reasons. If you want to # create dirs. with group=rw permissions, set next parameter to 0775. directory mask = 0700 [printers] comment = All Printers browseable = no path = /tmp printable = yes public = no writable = no create mode = 0700 [pdf] comment = Master PDF Server path = /tmp printable = Yes guest ok = yes print command = /usr/bin/printpdf %s %m %U & ; printer driver = "Lexmark Color 4079 plus PS" [PDFFiles] create mask = 0775 public = yes writable = yes path = /samba/pdfs comment = Bandeja de PDF´s /etc/krb5kdc/kdc.conf [kdcdefaults] kdc_ports = 750,88 [realms] AD.SERVER = { database_name = /var/lib/krb5kdc/principal admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab acl_file = /etc/krb5kdc/kadm5.acl key_stash_file = /etc/krb5kdc/stash kdc_ports = 750,88 max_life = 10h 0m 0s max_renewable_life = 7d 0h 0m 0s master_key_type = des3-hmac-sha1 supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3 default_principal_flags = +preauth } /etc/ldap/ldap.conf # $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.4.8.6 2000/09/05 17:54:38 kurt Exp $ # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. BASE dc=AD,dc=SERVER URI ldap://ldap.ad.server #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = ad.server dns_lookup_realm = true dns_lookup_kdc = true [realms] ad.server= { kdc = 10.1.1.19:88 admin_server = ad.server:749 default_domain = ad.server } [domain_realm] .ad.master = ad.server ad.master = ad.server [kdc] profile = /etc/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } /etc/pam.d/login (adcione as linhas) auth sufficient /lib/security/pam_winbind.so auth sufficient /lib/security/pam_unix.so use_first_pass /etc/pam.d/samba #%PAM-1.0 auth required pam_securetty.so auth sufficient /lib/security/pam_winbind.so auth sufficient /lib/security/pam_unix.so use_first_pass auth required pam_stack.so service=system-auth auth required pam_nologin.so account sufficient /lib/security/pam_winbind.so account required pam_stack.so service=system-auth password required pam_stack.so service=system-auth session required pam_stack.so service=system-auth /etc/nsswitch.conf passwd: files winbind group: files winbind shadow: files hosts: files dns networks: files dpkg -l |grep samba samba 3.0.11-1 samba-common 3.0.11-1 dpkg -l|grep krb krb5-admin-ser 1.2.4-5woody6 krb5-clients 1.2.4-5woody6 krb5-config 1.4 krb5-kdc 1.2.4-5woody6 krb5-user 1.2.4-5woody6 libkrb5-dev 1.2.4-5woody6 libkrb53 1.2.4-5woody6 libpam-krb5 1.0-7 openafs-krb5 1.3-8 dpkg -l|grep ldap ldap-utils 2.0.23-6.3 libldap2 2.0.23-6.3 dpkg -l|grep pam libpam-krb5 1.0-7 libpam-modules 0.72-35 libpam-runtime 0.72-35 libpam0g 0.72-35 dpkg -l|grep winbind winbind 3.0.11-1 cat /etc/apt/sources.list deb http://us1.samba.org/samba/ftp/Binary_Packages/Debian/samba3/ stable main deb http://security.debian.org/ stable/updates main deb http://http.us.debian.org/debian stable main contrib non-free deb http://ftp.br.debian.org/debian testing main contrib non-free deb http://ftp.br.debian.org/debian-non-US testing/non-US main contrib non-free deb http://ftp.br.debian.org/debian unstable main contrib non-free deb http://ftp.br.debian.org/debian-non-US unstable/non-US main contrib non-free deb http://ftp.br.debian.org/debian stable main contrib non-free deb http://ftp.br.debian.org/debian-non-US stable/non-US main contrib non-free > Estou querendo implementar um samba em uma rede já controlada por um > AD. Quero que os usuários do AD possam ter uma pasta 'home' no samba, > e tenham restrições por grupos para determinados compartilhamentos. > Acredito que alguem ja deve ter feito isso. Recomendações? ******************************************************** De: Gustavo De Biasi Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Active Directory Data: Thu, 10 Mar 2005 22:06:17 -0300 Olá Fred Ao que sei e vi na palestra da Technet ontem que falava sobre isso, o Unix aceita políticas de senhas, horários, usuários, permissões e acessos, mais um monte de coisa. Mais informações no site: http://www.microsoft.com/technet/itsolutions/cits/interopmigration/unix/usecdirw/08wsdsu.mspx []'s Gustavo De Biasi ******************************************************** De: Rubens luiz Para: Rondinelle Lima Bispo , linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) squid - Usuarios autenticados pelo AD Data: Wed, 26 Jul 2006 21:49:19 +0000 (GMT) (18:49 BRT) Olá, Tente o comando: net rpc join -W SSP -U administrator Aparentemente o samba esta tentando ingressar no dominio como se fosse um ADS, por isso que ele reclama do kerberos. Espero ter ajudado. ------------------------------------------------ Rubens Luiz Administrador de sistemas - C.E.S.A.R. Centro de Estudos e Sistemas Avançados do Recife ------------------------------------------------ --- Rondinelle Lima Bispo escreveu: > Olá amigos, olha só, estou fazendo de outra forma > aqui, pro meu proxy > ta se autenticando no AD, fiz conforme o tutorial > aqui encontrado: > http://www.aplinux.com.br/?q=node/161 > fiz tudo certinho, só q quando vou adicionar o meu > proxy no pdc, > ele me retorna o erro > > # net join -W SSP -U administrator > > digito a senha certinha, quando dou o > enter....retorna o erro abaixo > > libads/kerberos.c:ads_kinit_password(164) > kerberos_kinit_password PIRARUCU$@SSP.AM.GOV.BR > failed: improper > format of Kerberos configurations file > > utils/net_ads.c:ads_startup(191) ads_connect: import > format of > Kerberos configuration file Joined domain SSP. > > alguem pode me ajudar, please????? > > > -- > Saudações Cordeais, > Rondinelle Lima Bispo > Analista\Programador - Desenvolvimento > Manaus, AM - Brasil. ******************************************************** De: Renato S. Yamane Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Linux utilizando Active Directory Data: Mon, 13 Nov 2006 21:13:31 -0200 (BRDT) Stenio Cordeiro de Paula escreveu: > Já procurei alguma documentação sobre, mas não achei nada de concerto, alguém > sabe se existe no Linux, alguma configuração ou pacote para transformar um > servidor Samba num Active Directory? OpenLDAP? Um abraço, Renato ******************************************************** De: José Elias Mussauer Neto Para: Stenio Cordeiro de Paula Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Linux utilizando Active Directory Data: Mon, 13 Nov 2006 19:31:48 -0200 Olha nesse link e ve se é oq vc quer http://www.linuxchix.org.br/?q=node/15 Abraços Stenio Cordeiro de Paula escreveu: > Já procurei alguma documentação sobre, mas não achei nada de concerto, alguém > sabe se existe no Linux, alguma configuração ou pacote para transformar um servidor > Samba num Active Directory? > -- José Elias Mussauer Neto °v° Analista de Suporte Pleno - DTI /(_)\ UNIGRANRIO ^ ^ Software Livre ao Alcance de Todos ********************************************************