http://www.zago.eti.br/samba/samba-ldap.txt Neste FAQ mensagens e indicações sobre ldap + samba, sobre LDAP em geral veja FAQ: http://www.zago.eti.br/ldap.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** Indicação de material sobre Samba + LDAP. Autenticação com OpenLdap e Samba (Personalizado para você) Vale a pena conferir, excelente documento em Português com modelos de configuração. http://twiki.softwarelivre.org/bin/view/PSLGO/LdapSambaPessoal http://www.nerdgroup.org/doc/samba+ldap+qmail.txt Como instalar um PDC Samba+OpenLDAP http://www.unav.es/cti/ldap-smb/ldap-smb-2_2-howto.html usar LDAP para autenticar usuários. http://www.ldap.org.br/modules/ldap/files/files///Samba-Ldap-Squid.pdf Integração do Samba + Squid + LDAP no CL10 PDF em português ******************************************************** De:  Andreas Para:  Christian Tosta Cc:  seguranca@distro2.conectiva.com.br Assunto:  Re: [seguranca] Kerberos+LDAP+Samba3 Data:  Tue, 30 Mar 2004 11:27:50 -0300 On Fri, Mar 26, 2004 at 10:37:37PM -0300, Christian Tosta wrote: > Olá lista, > > Há muito não venho enviando mensagens para a lista, apenas venho > acompanhando os senhores. Estou agora estudando o LDAP com Samba e > gostaria de saber se alguém conhece bons artigos e Howtos sobre > implementação de segurança nesses sistemas (usando MIT Kerberos 5 e LDAP > com TLS). Além disso pretendo integrar o sistema com um MTA, Apache e > IMAP em minha rede. Sugestões? Samba com ldap tem dois documentos bons: - o próprio manual do samba (http://us1.samba.org/samba/docs/man/) - http://www.unav.es/cti/ldap-smb/smb-ldap-3-howto.html Essa última URL era referência na época do samba 2.2 e enquanto a documentação do samba estava desatualizada, mas agora a documentação do samba melhorou bastante. Sobre samba + kerberos, a documentação do próprio samba ainda é a melhor, mas é bom já "manjar" de kerberos antes. A documentação do próprio MIT é razoavelmente boa (está inclusa nos pacotes krb5 das distribuicões, ou num krb5-doc). Tanto no caso ldap como no caso kerberos e TLS, é importante conhecer bem os detalhes desses projetos antes de tentar usar samba com eles, pois senão a dificuldade será bem maior. É bom estar acostumado a lidar com certificados, ldap e kerberos antes de encarar o samba misturado com tudo isso. ________________________________________________________ Lista seguranca seguranca@distro2.conectiva.com.br http://distro2.conectiva.com.br/mailman/listinfo/seguranca ******************************************************** De:  Julio Cesar Mauro Para:  caio ferreira Cc:  linux-br@bazar2.conectiva.com.br Assunto:  Re: (linux-br)ldap+samba+winXP Data:  Wed, 25 Aug 2004 17:09:50 -0300 voce precisa criar uma chave no registro para que ele funcione tanto no windows2000 ou como no XP. cria um arquivo.reg com esses registros: -- Julio Cesar Mauro Equipe de Infraestrutura - Inter.net /------------------------------------\ |email:julio.mauro@team.br.inter.net | |Phone: +55 11 3523-332              | |GNU/Linux User # 114287             | |Debian User # 491                   | |ICQ# 6254297                        | \------------------------------------/ "Eu, mesmo sem um centavo no bolso, sempre trago no rosto um sorriso franco e espontaneo. Veja! :-)" REGEDIT4 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters "requiresignorseal"=dword:00000000 "signsecurechannel"=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "CompatibleRUPSecurity"=dword:00000001 abracos ! On Wed, 25 Aug 2004 16:01:10 -0300 caio ferreira wrote: >       All > >       Por acaso alguem conseguiu configurar o ldap e o samba para trabalhar com o > winXP ?!?!? > >       Eu consegui configurar tanto o samba, quanto o ldap para trabalhar com o win98. > COnsigo logar nas estacoes com o win98, inclusive eh criado o drive H: referente > a pasta do usuario no servidor. > >       O problema que eu venho enfrentado eh com o winXP, nao ha meio de fazer o winXP > reconhecer o dominio, logar como root. > >       Alguem poderia dar uma ajuda ?!!? > ******************************************************** De: Andreas Para: Franco Catena Cc: linux-br@bazar.conectiva.com.br Assunto: Re: (linux-br) LDAP + AD WI2K Data: 24 Feb 2003 19:29:59 -0300 On Mon, Feb 24, 2003 at 02:38:59PM -0300, Franco Catena wrote: > Eu tenho um dominio em WIN2K + Active directory chamado azc.com.br WELL, > esse dominio apenas contem shareamento de diretorios com auth via windows e > DNS. Agora quero colocar E-MAILS e precisarei fazer uma HOME com auth de > usuarios. A minha pergunta é se algum de vcs ja conseguiu fazer isso? Alguma > dica???? Alguem conseguiu integrar o AD com o LDAP??? Não entendi o que você precisa fazer, mas dá para integrar win2k e linux sim e de várias formas. A melhor é uma combinação de kerberos com ldap. Primeiro pega o ticket do windows 2000: $ kinit Password for andreas@MEUDOMINIO: Listando: $ klist Ticket cache: FILE:/tmp/krb5cc_666 Default principal: andreas@MEUDOMINIO Valid starting Expires Service principal 02/24/03 19:21:23 02/25/03 05:21:23 krbtgt/MEUDOMINIO@MEUDOMINIO $ ldapsearch -h ip-do-servidor-w2k cn=andreas -LLL SASL/GSSAPI authentication started SASL username: andreas@MEUDOMINIO SASL SSF: 56 SASL installing layers dn: CN=andreas,CN=Users,DC=MEUDOMINIO accountExpires: 9223372036854775807 badPasswordTime: 126900451829490560 badPwdCount: 0 codePage: 0 cn: andreas countryCode: 0 displayName: andreas (...) Agora tem-se um ticket a mais (para o serviço ldap): $ klist Ticket cache: FILE:/tmp/krb5cc_666 Default principal: andreas@MEUDOMINIO Valid starting Expires Service principal 02/24/03 19:21:23 02/25/03 05:21:23 krbtgt/MEUDOMINIO@MEUDOMINIO 02/24/03 19:22:40 02/25/03 05:21:23 ldap/nome-do-servidor-w2k@MEUDOMINIO Note que ele não pediu senha para o ldap, mas isso não quer dizer que não estou autenticado: kerberos me autenticou. Samba3 também pode usar isso (samba2 ainda não usa kerberos, mas também acessa win2k sem problemas desde que o AD esteja no modo de compatibilidade): (-k diz para usar kerberos) $ smbclient //nome-netbios-do-w2k/pub -k added interface ip=meu-ip bcast=endereço-de-bcast nmask=sua-máscara-de-rede Got a positive name query response from ip-do-win2k ( ip-do-win2k ) Doing spnego session setup (blob length=114) Doing kerberos session setup OS=[Windows 5.0] Server=[Windows 2000 LAN Manager] smb: \> Pronto, conectado ao share pub :) ******************************************************** De: johnnypas Para: catena@surson.com.br Cc: linux-br@bazar.conectiva.com.br Assunto: Re:(linux-br) LDAP + AD WI2K Data: 25 Feb 2003 00:51:19 -0300 Ola.. tu podes autenticar, armazenar informacoes do usuario, tudo no AD e autenticar via LDAP e usando modulos PAM. Tu só precisa modificar o schema do AD. Pra fazer isso, dá uma olhada no site.. www.padl.com No site tu vai encontrar toda a documentacao necessária para colocar funcionar a solução que tu quer. E funciona legal... Tu administra os usuarios do Linux pelo AD, etc... Até mais.. JohnnyPas "Existem 10 tipos de pessoas no mundo: as que entendem numeração binária e as que não entendem!" ---------- Início da mensagem original ----------- Ola pessoal, Eu tenho um dominio em WIN2K + Active directory chamado azc.com.br WELL, esse dominio apenas contem shareamento de diretorios com auth via windows e DNS. Agora quero colocar E-MAILS e precisarei fazer uma HOME com auth de usuarios. A minha pergunta é se algum de vcs ja conseguiu fazer isso? Alguma dica???? Alguem conseguiu integrar o AD com o LDAP??? ******************************************************** De:  Alexandre Vieira Para:  linux-br@bazar2.conectiva.com.br Assunto:  (linux-br)LDAP + Samba (Windows != Samba) Data:  Mon, 11 Aug 2003 13:22:16 -0500 Prezados, Depois de tentar diversas formas de cadastrar um usuario administrator (root) na base LDAP do Samba para poder inserir uma estacao ruindows XP no dominio Samba, descobri que o problema estava no proprio XP. Resolvi tentar inserir outra estacao (tambem Win XP) no dominio e tudo correu normalmente. A propriedades do usuario root que passei no email anterior estavam corretas e funcionam, a questao eh alguns detalhes do Windows que cada vez fica mais "complicado" integra-lo ao Samba. Indentifiquei pelo menos 3 detalhes que devem ser verificados caso um XP nao encontre um dominio Samba. Um destes detalhes bastante curioso...... * Primeiro: O problema mais manjado eh o de forcar o Win XP Pro a aceitar o Samba como PDC, atraves do Registry. Pode-se usar o editor de politicas (gpedit.msc) ou entao alterar na mao o Registry. Utilizando o editor, rode o gpedit.msc e siga o caminho "Computer Configuration\Windows Settings\Security Settings\Public Key Policies", **desativando** as seguintes diretivas (politicas): Domain Member: Digitally encrypt or sign secure channel data (always) Domain Member: Digitally sign secure channel data (when possible) Ou, melhor ainda, alterando manualmente o caminho abaixo do registry ou criando um arquivo com a extensao .reg com o seguinte conteudo: REGEDIT4 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters "requiresignorseal"=dword:00000000 "signsecurechannel"=dword:00000000 * Segundo: Apesar de alterar o registry, algumas estacoes mesmo assim nao encontram o dominio samba, mesmo que estajam na mesma rede IP valido (IP real), compartilhando do mesmo HUB (broadcast) e o mesmo MB - Master Browser. Foi necessario acrescentar no Windows XP um servidor WINS (no caso o IP do proprio Samba). Curiosamente, apenas depois desta alteracao na configuracao, os XPs passaram a encontrar o dominio... * Terceiro: Depois de conseguir colocar o XP no dominio, algumas vezes ele falha ao montar o perfil ambulante dos usuarios do Samba (Roaming Profile). Pelo que pude notar, isto acontece nos XPs que utilizam o ServicePack 1. Arruma-se isso tambem na registry ou alterando o seguinte caminho no editor de politicas - gpedit.msc: "Computer Configuration\Administrative Templates\System\User Profile", *ativando* a opcao:  Do not check for user ownership of Roaming Profile Folders. Ou entao alterar o caminho na registry: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System] "CompatibleRUPSecurity"=dword:00000001 =================== Eh isso... A parte mais complicada em instalar o servico LDAP e migrar as contas Posix e Samba para ele, foi a de configurar as estacoes Mico$oft Ruindows... Realmente perdi umas boas horas achando que o problema estava na base do LDAP, pra descobrir que era a velha MS... PS.: Quem quiser trocar ideias sobre scripts para administrar/migrar bases LDAP estou a disposicao, pois pelo que tenho visto, o Linux ainda esta um pouco carente de ferramentas para este fim... Intel+ Xandi ******************************************************** De: Alex Cella Responder A: Alex Cella Para: linux-br@bazar2.conectiva.com.br Assunto: Re: AW: RES: (linux-br) MigraçaoW2k server --> Sam ba3+ LDAP Data: Tue, 8 Mar 2005 00:52:31 +0000 Vv pode editar pela direitiva de segurança local e limitar o tamanho do perfil de forma interativa , assim eivtando o uso do desktop para tal finalidade, recomendo vc ocultar e proibir o acesso aos discos locais, eu criei mapeamentos de logon para o usuário no servidor de arquivos, o usuário local ficou engessado pela policy do windows, foi fechado painel de controle, executar e propriedades do icones e acesso aos comums como os de hardware, a pasta Meus documentos eu redirecionei para a pasta pessoal do usuário no servidor. tupo separados por Unidade organizacionais estou no momento tentando usar o LDAP+SAMBA para distribuir as polices Microsoft sobre a rede, fiz um exprimento com FTP local sobre a pasta de policy até funcionou legal :) deve dar um pouco de trabalho. Aproveito para perguntar existe alguma maneira mais prática de distribuir direticas de grupo do Active Diretory (MSLDAP)? só consegui desta forma (ingembrando via script) olah ai no teu 200 PRO / XP pro Iniciar executar--> mmc--> menu arquivo --> adicionar remover snap-ins--> adicionar seleciona direitiva de grupo, deixe como computador local, e só fazer a festa (cuidado para não bloquear o computador local), ressalnto só consegui via script e dependendo de uma configuração nas estações (fiz pela rede mas..) pelo menos não foi preciso usar um novo windows 2003 na rede , grana curta :( ******************************************************** De: Jorge Godoy Para: Leonardo Dias Cc: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Vantagens em usar samba com ldap Data: 13 May 2005 12:30:54 -0300 Leonardo Dias writes: > Estou migrando da versão 2 p/ a 3 do Samba e estou pensando em aproveitar a > mudança para utilizar ldap. > > Gostaria de saber as vantagens de se usar ldap com samba para controle dos > usuários em relação ao tradicional arquivo smbpasswd. Se você for usar apenas o Samba, não vejo muitos motivos para a mudança, especialmente pois já tens o conhecimento da solução anterior. Se, entretanto, pretendes usar LDAP para centralizar mais informações e em outras aplicações a coisa já começa a ficar mais interessante. -- Jorge Godoy ********************************************************