Gerar certificadoPEM

DireitosAutorais2002IDEALXSASContato:samba@IDEALX.
org
OLinuxSambaOpenLDAPHowto
(Revision:1.10)
JrmeTournier
OlivierLemaire
Reviso:1.10,gerado12dejulhode2007
Lanamento:
Referncia:
Datadepublicao:
Datadeimpresso: 12julhode2007
EsteguiaexplicacomoconfigurareusarumLinuxServidorDepartementalcomSambaumOpenLDAPparasubstituirumexistenteMicrosoftWindowsservidores
DomainControlerefornecerserviosdeautenticaocentral,compartilhamentodearquivosedeimpressoparaMicrosoftWindowseUnixclientes.
ndice
1Introduo
1.1Softwaresutilizados
1.2Atualizaesdestedocumento
1.3Disponibilidadedestedocumento
2ContextodesteHowto
2.1Osparmetrosglobais
2.2BaseRedHat
2.3FHS,LSBealtadisponibilidade
3Instalao
3.1OpenLDAP2.1.29
3.2Samba3.0.11RC1
3.3smbldaptools0.8.8
4Configurao
4.1OpenLDAP
4.1.1Esquemas
Configurao4.1.2Servidor
Configurao4.1.3Clientes
4.1.4Iniciaroservidor
4.2LinuxSistemaOperacional
4.2.1pam_ldap,nss_ldapenscd
4.2.2/etc/ldap.conf
4.2.3/etc/ldap.secret
4.2.4/etc/nsswitch.conf
4.3Samba
4.3.1Configurao
4.3.2Preparao
4.3.3entradasiniciais
4.3.4Teste
4.4smbldaptoolsosscripts
4.4.1Configurao
4.5Testeseusistema
5consideraesdesegurana
5.1UseumacontaquenoRootDN
5.2Asconexesseguras:useTLS!
5.3backupseusdados
6servidoresStartStop
7MigrandocontasPOSIXegrupos
7.1usuriosmigrao(de/ etc / shadow)
7.2gruposdemigrao(de/ etc / group)
8Explorao
Gesto8.1Usurio
8.1.1AexibioLDAP
8.1.2Usandoosscriptsdesmbldaptools
8.1.3UsandooConsoledeGerenciamentoIdealx(IMC)
8.1.4Usandoidxldapaccountsmdulowebmin
8.1.5UsandooMicrosoftWindowsNTferramentasdegerenciamentodedomnio
8.2AdministraodoGrupo
8.2.1AexibioLDAP
8.2.2doWindowsEspeciaisgrupos
Gesto8.3Computador
8.3.1AexibioLDAP
8.4gestoPerfil
8.4.1Roaming/perfisRoving
8.4.2Perfisobrigatrios
8.4.3Scriptsdelogon
8.4.4LDAPLDAPouno?
9Interdomainrelaesdeconfiana
9.1Samba3confiaNT4
9.2trustsNT4Samba3
10Integrao
10,1usuriorootFalso
Integrao10,2Workstations
10.2.1Adicionandoumnovocomputadornodomnioatravsdacriaodeumacontamanualmente
10.2.2Adicionandoumnovocomputadornodomnioautomaticamente
Integrao10.3Servidores
10.3.1Sambaservidorintegrante
10.3.2SambaBDCServidor
10.3.3MicrosoftWindowsNTservidorintegrante
10.3.4MicrosoftWindowsNTBDCServidor
10.3.5Windows2000ServerMembro
10.3.6Windows2000ServidorBDC
11Migrao
11.1Questesgerais
11.1.1usurios,gruposecontasdemquinas
11.1.2osscriptsdelogon
11.1.3perfisdosusurios
11.1.4Dados
11.1.5Aesepermisses
11.1.6NTFSACLs
11.2mesmodomnio
11.3Alterardomnio
12Soluodeproblemas
12,1configuraoglobal
12.2Criandoumacontadeusurio
12,3Loggingnodomniocomotestsmbuser
13Desempenhoeconsideraesdavidareal
13.1LogNvelInferiornaproduo
13,2OpenLDAPtunning
13.3IniciarNSCD
14cargaspesadasedealtadisponibilidade
14.1OpenLDAPCarga
14.2Sambadecarga
14.3HighAvailability
15PerguntasFrequentes
15,1usurio/grupo/gestoPerfil
15.1.1Existeumamaneiraparagerenciarusuriosegruposatravsdeumainterfacegrfica?
15.1.2meusperfisnososalvosnoservidor
15,2domnioJuntando
15.2.1NopossoparticipardeumMicrosoftWindowsNT4paraodomnionamosca:
15.2.2Nopossoaderiraodomnio
15.2.3Euapagueiomeucomputadordodomnio,eeunopossoligarparaelemais
16Graas
17anexos
17.1Osarquivosdeconfigurao
17.1.1OpenLDAP
17.1.2smbldaptools
17.1.3Samba
17.1.4nss_ldap&pam_ldap
17.2Dadosdeexemplo:smbldapbase.ldif
17,3DSAcontas:smbldapdsa.ldif
17.4Asmodalidadesdeexecuo
17.4.1pacotesRedHat
17.4.2SambaOpenLDAPnoDebianWoody
1Introduo
EstesmbldaptoolsvisaemajudarausarOpenSourcesoftwaresLinux,SambaeOpenLDAPparasubstituirexistentesMicrosoftWindowsservidoresDomain
Controler.EleexplicacomoconfigurareusarumLinuxServidorDepartementalcomSambaeOpenLDAPparaoferecerautenticaocentral(DomainControler),
compartilhamentodearquivosedeimpressoparaMicrosoftWindowseUnixclientes.
1.1Softwaresutilizados
Esteguiafuncionaatualmentepara:
liberar3.0.11RC1doSamba,
MicrosoftWindows,MicrosoftWindowsNT4.0,Windows2000eestaesdetrabalhoeservidoresdoWindowsXP,
LinuxRedHat9(devefuncionaremqualquerLinuxdistribuiodequalquermaneira
um
),
liberar2.1.22doOpenLDAP(devefuncionardequalquermaneiraemqualqueroutroversesdoOpenLDAP,equalquerimplementaodeservidoresLDAP
comoiPlanetDirectory,porexemplo).
1.2Atualizaesdestedocumento
Omaisatdatadelanamentodestedocumentopodeserencontradonosmbldaptoolspginadoprojetodisponvelemhttp://samba.IDEALX.org/.Sevoc
encontrarquaisquererrosnestedocumento,ousevocquerestedocumentoparaintegraralgunsinfosadicionais,porfavor,deixenoscairumemailcomoseurelatrio
deerrose/ousolicitaodemudananosamba@IDEALX.org.
1.3Disponibilidadedestedocumento
EstedocumentopropriedadedaIDEALX(http://www.IDEALX.com/).concedidapermissoparadistribuirestedocumentosobostermosdaGNUFree
DocumentationLicense(Vejahttp://www.gnu.org/copyleft/ fdl.html).
2ContextodesteHowto
EsteHowtovisaajudaraconfigurarumSamba+OpenLDAPprimrioControlerdomnioparaMicrosoftWindowsWorkstations(e,usandonss_ldapepam_ldap,uma
fontenicadeautenticaoparatodasasestaesdetrabalho,incluindoLinuxeoutrossistemasUnix).Pelanecessidadedestehowto,tiramosalgumassnakeoils
parmetrosglobaisediretrizespadroquesoexplicadosaseguir.
2.1Osparmetrosglobais
Paraanecessidadedonossoexemplo,queseestabeleceramoseguintecontexto:
TodasasestaesdetrabalhoeservidoresestonamesmaLAN192.168.1.0/24,
ResoluodeDNSbom(usandoBindouDjbdnsporexemplo),eforadoescopodestetutorial
2
,
QueremosconfiguraroMicrosoftWindowsNTdomniochamadoIDEALXNT,
TeremosumcentroprimriodedomnioControlerchamadoPDCSRV(nomenetbios)nohost192.168.1.1/32,
QueremosqueestecontroladordedomnioprincipalparaseroservidorWINSeoServidordelocalizadormestredodomnioIDEALXNT,
Todososauthentificationsobjetos(usuriosegrupos)seroarmazenadosemumOpenLDAPdoservidor,utilizandoabaseDN:dc=IdealX,dc=org,
Contasdeusurioseroarmazenadosemou=users,dc=IdealX,dc=org,
ContasComputadoresseroarmazenadosemou=Computadores,dc=IdealX,dc=org,
Gruposcontasseroarmazenadosemou=Groups,dc=IdealX,dc=org.
2.2BaseRedHat
NesteHowto,quelevouoRedHat/Linux9comoumabase,efezpacotesRPMparacomponentesdesoftwareenvolvidosnesteHowto(Samba,OpenLDAP,
smbldaptools,...)parafacilitarquevocinstalarestaconfigurao.Naturalmente,istoNoquerodizerSambasexecutadoemRedHat/LinuxnemRedHat/Linux
umamelhorLinuxdistribuiodeDebianGNU/Linux.AescolhadaRedHat/Linuxtmavantagemdeserrapidamentereprodutvelporqualquerpessoa(RedHat
Linuxmuitocomumnomercadodeservidoreshojeemdia,eapoiadapormuitosfornecedores).Noentanto,foramapresentadosnaseo17todos.specarquivos
usados pornossospacotesparaajudarainstalarecompilarossoftwaresutilizadosnoseufavoritoLinux(ouqualqueroutrosistemaoperacional,naverdade).todosos
pacotesRPMdisponveis(eSRPM)estodisponveisnasmbldaptoolspginadoprojetonohttp://samba.IDEALX.org/.
2.3FHS,LSBealtadisponibilidade
Instalaoecompilaodossoftwareschave(SambaeOpenLDAP),procurouseteremmentedoisprincpiosfundamentais:
1. devemosimporhierarquiadearquivosStandard(FHS
3
)recommandations,
2. DevemosseguiroLinuxStandardBase(LSB
4
)recommandations
3. devemospensarnossoControlerdomnioprimriopodeserusadoemumaconfiguraoDisponvelalta(emumarevisofuturdesteHowto).
Deixenossabersevocachaqueumdessesprincpiosfundamentaisnoforamcorretamenteaplicadas:soltarumemailparasamba@IDEALX.com.
3Instalao
ParamanteresseHowto
5
,vocdeveterosseguintesrequisitosantesdebaixarqualquercoisa:
FedoraNcleolibertao2instaladoeoperacional(redeincludo)
6
,
vocdeveestarpreparado(sejnofez)parausarpam_ldapenss_ldap(veremosmaistardecomoconfigurloscorretamente).
Additionnaly,vocdevebaixareinstalarpacotes:
OpenLDAP,
Samba,
nss_ldapepam_ldap,
smbldaptools.
Ossmbldaptoolsestodisponveisnapginadoprojeto(http://samba.IDEALX.org/dist/)outrosfazempartedoFedoraNcleoliberaodedistribuio2.S
OpenLDAPfoibaixadoseparatlyporcausadaversoantigadisponvelnadistribuio.
3.1OpenLDAP2.1.29
Nadataemqueescreviestedocumento,aliberao2.1.29ofOpenLDAPfoiconsideradaestvelosuficienteparaserusadoemambientedeproduo.Nsusamoso
lanamentodoOpenLDAPfornecidocomFedoraNcleolanamento2.Pacotesqueprecisamserbaixadosso:
componentesprincipais:openldap2.1.291
componentesdoservidor:openldapservers2.1.291,
clientescomponentes:openldapclientes2.1.291
Umavezbaixado,instaleosseguintespacotesemseusistema:
rpm -Uvh openldap-2.1.29-1.i386.rpm
rpm -Uvh openldap-servers-2.1.29-1.i386.rpm
rpm -Uvh openldap-clients-2.1.29-1.i386.rpm
3.2Samba3.0.11RC1
Samba3.0.11RC1omaisrecentelanamentodoSamba3ramo(datadestaredaoHowto,eusadoporesteHowto).ParausaroSambacomLDAP,therh
necessidadedeopesdecompilaoparaSambacomoLDAPobackendpadroutilizadocomoRedHatclssicoSambapacotes.Sambapacotepodemser
descarregadosnoprojetosamba
7
.Bastabaixarosambapacoteseinstallosemseusistema:
rpm -Uvh samba-3.0.10-2.i386.rpm
rpm -Uvh samba-client-3.0.10-2.i386.rpm
rpm -Uvh samba-common-3.0.10-2.i386.rpm
claro,voctambmpodeusaropacoteRedHatpadro.
3.3smbldaptools0.8.8
smbldaptoolsumpacotequecontmalgunsscriptsteisparagerenciarusurios/gruposquandovocestusandooLDAPcomofontedeusurios/gruposdatas
(paraUnixedeSamba).UsamosessesscriptsnestaHowtoparaadicionar/remover/modificarusuriosegrupos.smbldaptoolsestoincludosnoSambarvorefonte
scinceverso2.2.5
8
,masvocvaiencontrarpacotesRPMeSRPMSsobreosmbldaptoolspginadoprojeto.ParaesteHowto,bastabaixarsmbldaptoolsliberar
0.8.8RPMeinstallo:
rpm -Uvh smbldap-tools-0.8.8-1.i386.rpm
smbldaptoolscontinuaraevoluir.ConsulteoChangeLognarvorefontedoCVSparaverseasmudanassointeressantesparaoseucontexto.Paraesta
configuraoHowtonoentanto,nsencorajamosvocausar0.8.8lanamentocomoelessosuficientesparaousolimitadoelescobrem
4Configurao
4.1OpenLDAP
VocprecisarconfiguraroOpenLDAPdoservidorparaquefuncionecomoumbancodedadosSAM.Seguindoonossoexemplocontexto,precisoconfigurlo
para:
aceitaroSamba3.0.11RC1LDAPv3esquema
9
,
executarnabaseDNdc=IdealX,dc=org,
conterasentradasmnimasnecessriasparacomearauslo.
ParaasnecessidadesdesteexemploHowto,usamosaseguinteDITLDAP:
(Usando a notao DN Relativa)
dc = IDEALX, dc = ORG
|
`--- OU = Usurios: para armazenar contas de usurio para sistemas Unix e Windows
|
`--- Ou = Computadores: para armazenar contas de computador para sistemas Windows
|
`--- OU = Grupos: a grupos de sistemas loja para Unix e Windows
| Sistemas (ou em qualquer outro sistema LDAP-aware)
|
`--- Ou = DSA: para armazenar contas especiais (simpleSecurityObject)
sistemas (ou em qualquer outro sistema LDAP-aware)
EsteDITcompatvelcomrecommandationsdeRFC2307bis.Nsnousamosou=anfitrioparaarmazenarcontasdecomputador,humadiferenaentreoshosts
TCP/IPedoMicrosoftWindowscontasdecomputador.Usamosou=DSAparaarmazenarcontasdeseguranaespecficaparaosClientesdoLDAP,nocontexto
dassmbldaptools(vejana5seoparamaisdetalheseexemplo).VocpodeoptarporutilizaroutrarvoreLDAPparaarmazenarobjetos:porexemplo,todasas
contas(shadowAccountsesambaSAMAccounts)"sob"omesmoDN..QueescolheramesteDITporcausadocumprimento2307bisRFCrecommandations,eporque
achoquemaisclaraparaacompreensohumanadessaformaUtilizandoSamba3.0.11RC1eOpenLDAP,queirarmazenar:
MicrosoftWindowscontasdeusuriousandoclassedeobjetosambaSamAccount(samba.schema),
MicrosoftWindowscontasdecomputador(ouseja,estaesdetrabalho.)usandoclassedeobjetosambaSamAccount,
ContasUnixusuriousandoposixAccountobjectclasseshadowAccountobjectclassasenhasutesombra(nis.schema)
GruposdeusuriosqueutilizamPosixGroupesambaGroupMappingclassesdeobjetos
10
.
contasdeseguranautilizadospelosclientesdesoftware(SambaeLinux)usandosimpleSecurityObject(core.schema)classedeobjeto.
4.1.1Esquemas
OSambaesquemadevesersuportadapeloOpenLDAPservidor.Parafazlo,eusandoossmbldaptoolsOpenLDAPpacotesRedHat,apenasverificarseoseu
/etc/openldap/slapd.confincluemaslinhascomooexemploaseguir:
incluem /etc/openldap/schema/core.schema
incluem /etc/openldap/schema/cosine.schema
incluem /etc/openldap/schema/inetorgperson.schema
incluem /etc/openldap/schema/nis.schema
incluem /etc/openldap/schema/samba.schema
Comovocpodever,usamosaclassedoobjetoinetOrgPersonporquequeremosmesclarorganizacionalcomdadostcnicos.Fazerissoirfacilitaraadministrao
comoumacontadeusurioserusadaparadefinir:
1. umusuriohumanonasuaempresa,
2. umacontadeusurioparaoMicrosoftWindowseUnixsistemas,
3. umacontadeusurioparaqualqueraplicaoLDAPaware.
Fazerissonoobrigatria:sintaselivreparausarumcontextoquepassuasnecessidadesmelhorsedestaformanooquevocdesejaseguir.Notequeusamoso
samba.schemaenviadacomSambaliberao3.0.11RC1fontes.
4.1.2ConfiguraodoServidor
Configureoservidorslapdparaserumservidorprincipalnoseguintesufixo:dc=IdealX,dc=org.Issoresultarnasseguinteslinhasnoslapd.confarquivosde
configurao:
BdB banco de dados
diretrio / var / lib / ldap
sufixo "dc = IDEALX, dc = ORG"
rootdn "cn = Manager, dc = IDEALX, dc = ORG"
index objectClass, uidNumber, gidNumber eq
index cn, sn, uid, pres maior para menor, sub, eq
ndice memberUid, correio, givenname eq, subinitial
indique o sambaSID, sambaPrimaryGroupSID, sambaDomainName eq
Emseguida,posicioneAccessControlListsparaprotegerseusdados.Issoresultarnasseguinteslinhasnoarquivodeconfigurao:
acesso a attrs = userPassword, sambaLMPassword, sambaNTPassword
por auto de gravao
auth por annimo
* por nenhum
acesso a *
* por ler
Finalmente,definaasenhaderootDNparaoseuservidor.Issoresultarnasseguinteslinhas:
rootpw mysecretpwd
Noseesqueamodo600paracolocarnoarquivo/etc/openldap/slapd.confparaprotegersuasenhaderootDN,sejnoestiverdefinido.Voctambmpode
definirumhashdesenhanessearquivo:usaroslappasswdcomando.Porexemplo,paraterapalavramysecretpwdhashcomoalgoritmoSSHA,usarocomando
[Root @ etoile] $ slappasswd -h {} SSHA s mysecretpwd
{} SSHA X + Qv3lKnVB / oov2uvC6Id1nfEkgYaPrd
Algoritmodisponveissocripta,MD5,SMD5,SSHA,eSHA.OpadroSSHA.Aslinhasresultantesnoarquivo/etc/openldap/slapd.confser,ento,
rootpw {} SSHA X + Qv3lKnVB / oov2uvC6Id1nfEkgYaPrd
4.1.3Aconfiguraodosclientes
DefinirasconfiguraespadroparaosclientesLDAPeditando/etc/openldap/ldap.confcomonoexemploaseguir:
HOST 127.0.0.1
BASE dc = IDEALX, dc = ORG
4.1.4Iniciaroservidor
Finalmente,inicieoOpenLDAPdoservidorutilizandooseguinte
/etc/init.d/ldap comear
Tudodevefuncionarbem.Seno:
verificarseusarquivosdeconfigurao,
verifiqueseoarquivodeconfigurao/etc/openldap/slapd.confeodiretrio/var/lib/ldapexistemesodepropriedadedousurioqueexecutarslapd
(usurioldapparaRedHatOpenLDAPpacotes),
consultaroOpenLDAPdocumentao.
4.2LinuxSistemaOperacional
precisodizerlheLinuxcaixaparausarLDAPusandopam_ldapenss_ldap.Emseguida,vocdeveexecutarnscdeterminarsuaconfiguraoLDAPdosistema.
4.2.1pam_ldap,nss_ldapenscd
Useauthconfig
11
paraativarpam_ldap:
InformaesCache
UseLDAP
dontselecione'UseTSL'
Servidor:127.0.0.1
DNBase:dc=IdealX,dc=org
UseSenhas
UsesenhasMD5
UseLDAPAutenticao
Servidor:127.0.0.1
DNBase:dc=IdealX,dc=org
InformaesCachesignificaquevocestusandonscd(homem nscdparamaisinformaes):sevocestiverindoparausarpam_ldapenss_ldap,vocrealmentedeve
usloparaotimizao.Sevocnoconfiarem'authconfig",vocpodeeditaroseu/etc/pam.d/systemauthcomamo,parateralgocomooseguinte:
#% PAM-1.0
# Este arquivo gerado automaticamente.
# alteraes do usurio sero destrudos na prxima vez authconfig executado.
auth required /lib/security/pam_env.so
auth suficiente /lib/security/pam_unix.so likeauth nullok
auth suficiente use_first_pass /lib/security/pam_ldap.so
auth required /lib/security/pam_deny.so
conta exigida /lib/security/pam_unix.so
conta /lib/security/pam_ldap.so suficiente
senha necessria /lib/security/pam_cracklib.so retry = 3 type =
senha suficiente /lib/security/pam_unix.so nullok use_authtok md5 sombra
senha suficiente use_authtok /lib/security/pam_ldap.so
senha necessria /lib/security/pam_deny.so
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
sesso /lib/security/pam_ldap.so opcional
Aviso:aatenoespecialdevesertomadosobreacontaparmetrossuficientesquantopareceferramentasAuthConfigRedHatcoloclocomonecessria,em
qualquercaso(quenoamaneiraquevocvaiprecisar).
4.2.2/etc/ldap.conf
Editeseu/etc/ldap.confparaconfigurarosparmetrosdeLDAP:
hostdoservidorLDAP,:host
Base:nomedistintodabasedepesquisapadro,
nss_base_passwd:contextodenomeaoparaascontas,
nss_base_group:contextodenomeaoparagrupos,
rootbinddneassociadaasenha:onomedistintousadoparaligarseeficazIDraiz(parapermitiraraizparaalterarasenhadequalquerusurio,porexemplo).
Qualdevesersemelhanteaoseguinte:
# O seu servidor LDAP. Deve ser resolvido sem o uso de LDAP.
host 127.0.0.1
# O nome distinto da base de pesquisa.
dc base = IDEALX, dc = ORG
# O nome distinto para se ligar ao servidor com o ID do usurio se eficaz
# raiz. A senha deve ser armazenado em /etc/ldap.secret (modo 600)
rootbinddn cn = nssldap, ou = DSA, dc = IDEALX, dc = ORG
# RFC2307bis contextos de nomeao
nss_base_passwd ou = Users, dc = IDEALX, dc = ORG? uma
nss_base_passwd ou = Computadores, dc = IDEALX, dc = ORG? uma
nss_base_shadow ou = Users, dc = IDEALX, dc = ORG? uma
nss_base_group ou = Groups, dc = IDEALX, dc = ORG? uma
# As opes de segurana
SSL no
md5 pam_password
# - O fim
4.2.3/etc/ldap.secret
Vocdevecolocarnestearquivo,protegidapor600modo,asenhadeligaoassociadaaonomedistintousadopornss_ldapparaseligaraoOpenLDAPdiretrio
quandoousuriolocalroot.Emnossoexemplo,estearquivodeveconteraseguintesenha:
nssldapsecretpwd
4.2.4/etc/nsswitch.conf
Editeseu/etc/nswitch.confparaconfiguraroseuNameSwitchServiceparausarLDAPparausuriosegrupos:
# Entradas significativas para /etc/nsswitch.conf usando
# Samba e OpenLDAP
passwd: arquivos ldap
sombra: arquivos ldap
Grupo: arquivos ldap
Umaamostracompleta/etc/nsswitch.confapresentadanaseo17.1.4.
4.3Samba
Aqui,vamosconfiguraroSambacomoumControlerdedomnioprimrioparaoMicrosoftWindowsNTdomniochamadoIDEALXNTcomobancodedadosSAM
armazenadosemnossoOpenLDAPservidor.
4.3.1Configurao
Temosdeconfigurar/etc/samba/smb.confcomonoexemplode17.1.3,supondoque:
NossoMicrosoftWindowsNTnomededomnioser:IDEALXNT
OnossoservidordenomesNetBIOSser:PDCSRV
Nossoservidorirpermitiritinerante/perfisderoaming
Todoscompartilhamsambacontarcom/home/samba/*excetoparadiretrios(sempreem/home/username).
NsrealmentequeremosqueonossoSambaservidorLDAPPDCparaseronavegadordedomnionaredelocal.
Editeseu/etc/samba/smb.confcomonoexemplode17.1.3paraconfiguraroSambaservidor.VamosfazeralgumasRemarquessobreestearquivo:
Aseoglobal
Estaseopermitequevocconfigureoparmetroglobaldoservidor.Aquirealizasetodososparmetrosquedefinimosnopargrafoanterior.Tambmdefinimoso
programausadoparaqueousurioalteresuasenha(programapasswd)ededilogousadaentreoservidoreousurioduranteamudana.Aopo"addmachine
script"permitirsmbdaacrescentar,comoroot,umanovamquinarepresentamnadoamin.Quandoumamquinaentreemcontatocomodomnio,essescript
chamadoecontadanovamquinacriadanodomnio.Issotornafcilaadministraodacontadamquina.Porrazesdesegurana,anicacontaautorizadosa
participardecomputadornodomnioo"Administrador",queumacontadeprivilgio.Parausuriosfrancs,nsadicionamosumalinhaquepermitasmbdpara
mapearnomesdearquivosdeentradaapartirdeumapginadecdigoDOS.Estaopomuitotilsevocquiserqueosarquivosediretriosemseusperfisso
salvoscomtodososacentosqueelestm.Noseesqueadelerapginademanualparamaisdetalhes:estaopoumconjuntodecaracteresocidentaisUNIX
Europeia.Apginadecdigodoclienteparmetrodeveserdefinidoparaapginadecdigo850,paraqueaconversoparaopersonagemUNIXprevistoparaser
feitocorretamente.
workgroup = IDEALX-NT
netbios name = PDC-SRV
permitir privilgios = yes
server string = Samba-LDAP Servidor PDC
...
#unix password sync = Yes
programa #passwd = / usr / local / sbin / smbldap-passwd-u% u
#passwd conversar = "password Mudando para * \ password nNovo *"% n \ n "* Confirme a nova senha *"% n \ n "
ldap passwd sync = Yes
...
; Declaraes SAMBA-LDAP
backend passdb = ldapsam: ldap: //127.0.0.1/
# Filtro ldap = (& (objectClass = sambaSamAccount) (uid =% u))
ldap administrador dn = cn = Manager, dc = IDEALX, dc = ORG
ldap suffix = dc = IDEALX, dc = ORG
grupo sufixo ldap = ou = Groups
ldap sufixo user = ou = Users
ldap mquina suffix = ou = Computadores
ldap ssl = START_TLS
adicionar machine script = / usr / local / sbin / smbldap-useradd-w "% u"
adicionar script de usurio = / usr / local / sbin / smbldap-useradd-m "% u"
ldap excluir dn = Sim
script de usurio #delete = / usr / local / sbin / smbldap-userdel "% u"
adicionar grupo script = / usr / local / sbin / groupadd-p-smbldap "% g"
roteiro grupo #delete = / usr / local / sbin / smbldap-groupdel "% g"
adicionar usurio roteiro grupo = / usr / local / sbin / smbldap-groupmod -m "% u" "% g"
excluir o usurio do roteiro grupo = / usr / local / sbin / smbldap-groupmod -x "% u" "% g"
definir roteiro grupo primrio = / usr / local / sbin / smbldap-usermod-g "% g" "% u"
...
Dos charset = 850
Unix charset = ISO8859-1
Asseespartes
Aquiacontecetodasasseespartes.Emparticular,podemosdefinirtodososdiretrioshomedosusuriosquesodefinidospelaseo[homes]:
comment = Diretrios
usurios vlidos =% U
read only = No
create mask = 0664
mscara directory = 0775
browseable = No
Perfildosusuriosseroarmazenadasnocompartilhamentochamado[perfis].EsteodiretrioraizparaosperfiseavarivelldapsambaProfilePathespecificar
exatamenteocaminhoparacadausurio.Porexemplo,seosambaProfilePathestdefinidoparaPDCSRVprofilestestuser,queodiretriodeperfilparaousurio
testuser/home/samba/profiles/testuser/.Certifiquesedeteraspermissesadequadasparaestediretrio.Ostickybitdeveserdefinido.Faaumsimpleschmod
1777/home/samba/profilesevaiserok.Noseesqueadequeosistemanolevaessamudanaimediatamente.Vocdeveesperaralgunsminutosantesde
qualquerperfilocorre.
path = / home / samba / profiles
read only = No
create mask = 0600
browseable = No
ok convidado = Sim
ACLs perfil = Sim
poltica csc = disable
# Prxima linha uma tima maneira de proteger os perfis
usurio force =% U
# Prxima linha permite ao administrador acessar todos os perfis
usurios vlidos =% u @ "Domain Admins"
SevocquerarquivodecomandoparaserbaixadoecorreuquandoumusurioconectadocomsucessonaestaodetrabalhodoWindows,voctemquedefinirum
netlogonseoeumscriptdenetlogon.Oroteironetlogondeveterlugarnomundialsecoeoscriptdeveserumcaminhorelativoparaoservio[netlogon].Por
exemplo,seo[netlogon]servioespecificaumcaminhode/home/samba/netlogon(comoemnossoexemplo),ento,seoroteirodefinidocomoscriptdelogon=
Startup.bat,oarquivoquevaiserbaixado/home/samba/netlogon/Startup.bat.Porfim,definiuseumdocseoqueautorizoutodosparanavegarnausr//share
/docdiretriodedocumentao.
...
logon script = Startup.bat
...
[Netlogon]
path = / home / samba / netlogon /
browseable = No
somente leitura = yes
[Doc]
path = / usr / share / doc
public = yes
= no gravvel
read only = nenhuma
create mask = 0750
ok convidado = Sim
Porexemplo,poderamosteroscriptStartup.batquedefinirodiretriodedocumentaomontadonovolume"J"emclientesWindows.Outrocomandotildefiniro
Windowstemposincronizadocomodeumservidor:
NET USE J: \\ PDC-SRV \ doc
NET TIME \\ PDC-SRV / SET / YES
4.3.2Preparao
Vocdevecriaralgunsdiretrios,deacordocomoseu/etc/samba/smb.conf:
mkdir / home / samba
mkdir / home / samba / netlogon
mkdir / home / samba / profiles
chmod 1777 / home / samba / profiles
Sambadevesaberopasswddodn ldap administrador(cn=Manager,dc=IDEALX,dc=org)dousurioquevoctenhaespecificadonosmb.conf.Esteusurio
usadoporsambaparavincularaodiretrioedeveterpermissessuficientesparaadicionar/modificarcontasarmazenadasnodiretrioLDAP.Parafazerisso,useo
seguintecomando(supondoque'mysecretpwd'asenhadnldapadministrador,consulteo/etc/openldap/slapd.confarquivodeconfiguraoparatercerteza):
[Root @ pdc-SRV samba] # smbpasswd-w mysecretpwd
Definir senha armazenada para "cn = Manager, dc = IDEALX, dc = ORG" em secrets.tdb
SambairarmazenarestesDadosem/etc/samba/secrets.tbd.Notesequeeste"admindnldap"podeserumaoutracontaqueoDNRoot:vocdeveusaroutraconta
ldapquemdeveterpermissesparaescreverqualquersambaSamAccountealgunsattrsposixAccount(verseco5paraasconsideraesdesegurana).
4.3.4Teste
ParavalidarseuSambadeconfigurao,usetestparmquedeveretornar'serviosLoadedarquivoOK'.semavisosnemparmetrodesconhecido.Verhomemtestparm
paramaisinformaes.
4.4smbldaptoolsosscripts
Finalmente,vocdeveconfigurarseussmbldaptoolsparacorresponderaoseusistemaeconfiguraoLDAP.Issopodeserfeitonosdoisarquivos/etc/opt/IDEALX
/smbldapferramentas/smbldap.confe/etc/opt/IDEALX/smbldapferramentas/smbldap_ligamento.conf.
4.4.1Configurao
o/etc/opt/IDEALX/smbldapferramentas/smbldap.confarquivoVocvaiencontraralgumasoutrasopesdeconfiguraonestearquivode
configurao:essessoosvalorespadroutilizadospelosmbldaptoolsaocriarumaconta(usuriooucomputador).Sintaselivreparamudaressesvalores,se
desejar.Consulteosmbldaptoolsdocumentaoparaobtermaisinformaessobreparmetrosdeconfigurao.Aprincipalopoquevocprecisaagora
definidoodomnioseguroID(SID).Vocpodeobteroseuvalorcomoseguintecomando
getlocalsid net
Notequevocprecisaparacomearosambaporvriosminutosparaqueessecomandobemsucedidoacabado)
o/etc/opt/IDEALX/smbldapferramentas/smbldap_ligamento.confarquivoeconfigurlosdeacordocomaconfiguraodoLDAP(RootDNsenhae
servidorLDAPendereoIP).Vocvaiencontrarduasentradasconfusas:slaveLDAPemasterLDAP.Paraonossoprimeiroexemplo,essesdoisservidores
LDAPvaiseromesmo,masemumaconfiguraodevidareal,vocpodequererterumservidorescravoparaservirtodooseupedidodeleitura,eumdedicado
aescreverpedido.Dequalquerforma,noexemploatual,comovamosconstruiroPDCusandoSambaeOpenLDAPnamesmamquina,vocdeveespecificar
127.0.0.1paraosdoisservidoresLDAP.
Notequevocnopodecolocarhashdesenhaaqui!Estearquivodeconfiguraodeve,ento,serlegvelapenasparaoroot.
PrecisamosadicionaralgunsdadosiniciaissobreanovaconfiguraoOpenLDAPservidor:
1. entradasdebase:
BaseDN:dc=IdealX,dc=org
Categoriasdebaseorganizacional(OU=Usurios,DC=IdealX,dc=org,ou=Groups,dc=IdealX,dc=orge,ou=Computadores,dc=IdealX,dc=
org)
2. contasdeseguranamaistardeutilizadospelosclientesdesoftware(SambaeLinux):
SambaDNservidor:cn=samba,ou=DSA,dc=IdealX,dc=org
LinuxDN:cn=nssldap,ou=DSA,dc=IdealX,dc=org
smbldaptoolsDN:cn=smbldaptools,ou=DSA,dc=IdealX,dc=org
Amaneiramaisfcildeconfiguraroseudiretrioeadicionarasentradasdebasepadropodeserfeitousandoosmbldap-preencherroteiro
12
:
[Root @ etoile] # smbldap-preencher
Preenchendo diretrio LDAP para o domnio IDEALX-NT (S-1-5-21-4205727931-4131263253-1851132061)
(Usando estrutura de diretrios embutido)
adicionando nova entrada: dc = IdealX, dc = org
adicionando nova entrada: ou = Users, dc = IdealX, dc = org
adicionando nova entrada: ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: ou = Computadores, dc = IdealX, dc = org
adicionando nova entrada: uid = root, ou = Users, dc = IdealX, dc = org
adicionando nova entrada: uid = ningum, ou = users, dc = IdealX, dc = org
adicionando nova entrada: cn = Administradores de Domnio, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: Usurios cn = Domnio, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: cn = Convidados do domnio, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: cn = Computadores do Domnio, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: CN = Administrators, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: cn = Operadores de Contas, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: Operadores cn = Impresso, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: cn = Operadores de backup, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: cn = replicadores, ou = Groups, dc = IdealX, dc = org
adicionando nova entrada: sambaDomainName = IDEALX-NT, dc = IdealX, dc = org
Por favor, fornea uma senha para a raiz do domnio:
Alterando a senha para o root
Nova Senha:
Confirme a nova senha:
OsambaDomainName = IDEALX-NT, dc = IdealX, dc = orgentradadefinirodomniosambaeespecialmentededomnioSID.Nstambmusloparadefinira
prximauidNumberegidNumberdisponvelparacriarnovosusuriosegrupos.Osvalorespadroparaessesnmerosso1000Vocpodemudlocomoue-g
opo.Porexemplo,sevocdesejaqueoprimeirovalordisponvelparauidNumberegidNumberaserdefinidapara1500,vocpodeusaroseguintecomando:
smbldap-povoar-u 1550-g 1500
Asenha"Administrador"dousurio,ouseja,asenhadacontaderootimediatamentedefinido.Naverdade,qualquerusuriocolocadonogrupo"DomainAdmins"
seroconcedidosdireitosdeadministradordoWindowsparaodomnio,masapenasoAdministradorcontapodeassociarcomputadoresaodomnio.Umavez
adicionado,vocdeveadicionarascontasdeseguranaparaSambaeLinux.Paracontinuar,copiar/colarascontasdefinidasnoponto17.3eadicionlosnodiretrio
comoseguintecomando:
ldapadd-x-h localhost-D "cn = Manager, dc = IDEALX, dc = ORG" f smbldap-dsa.ldif -W
Porfim,definaasenhapadroparaessascontas:
oSambadecontadesegurana,usandoasenha'sambasecretpwd':
ldappasswd -x -h localhost D "cn = Manager, dc = IDEALX, dc = ORG" s sambasecretpwd \
-W Cn = samba, ou = DSA, dc = IDEALX, dc = ORG

oLinux(nss_ldap)contadesegurana,usando'nssldapsecretpwd'password:
ldappasswd -x -h localhost D "cn = Manager, dc = IDEALX, dc = ORG" s nssldapsecretpwd \
-W Cn = nssldap, ou = DSA, dc = IDEALX, dc = ORG

osmbldaptoolscontadesegurana,usando'smbldapsecretpwd'password:
ldappasswd -x -h localhost D "cn = Manager, dc = IDEALX, dc = ORG" s smbldapsecretpwd \
-W Cn = smbldap-tools, ou = DSA, dc = IDEALX, dc = ORG

(DigitesuasenhadeadministradorDN,"mysecretpwd'paracompletarocomandoquandosolicitado).
4.5Testeoseusistema
Paratestarosistema,vamoscriarumacontanosistemaLDAP(dizer'testuser'),evaitentarologincomoessenovousurio.ParacriarumacontanosistemaLDAP,
utilizeosmbldapuseradd
13
roteiro(supondoquevocjtemconfiguradosseussmbldaptools):
[Root @ pdc-srv tmp] # smbldap-useradd-m TestUser1
[Root @ pdc-srv tmp] # smbldap-passwd TestUser1
Alterando a senha para TestUser1
Nova Senha:
Confirme a nova senha:
Ento,tentofazerologinnoseusistema(Unixlogin)comoTestUser1(usandooutroconsole,ouusandossh).Tudodevefuncionarbem:
[User @ host-um: ~] $ ssh TestUser1 @ pdc-SRV
TestUser1 de @ pdc-SRV senha:
ltimo login: Sun 23 de dezembro 15:49:40 2004 de acolhimento e um
[TestUser1 @ pdc-SRV TestUser1] $ id
uid = 1000 (TestUser1) gid = 100 (users) groupes = 100 (users)
NoseesqueadeapagaresteTestUser1depoisdetercompletadoseustestes:
[Root @ pdc-SRV] # smbldap-userdel-r TestUser1
5consideraesdesegurana
5.1UseumacontaquenoRootDN
NesteHOWTO,estamosusandooDNRoot:odnldapadministradordeveseroutracontadeRootDN:vocdeveusaroutracontaldapquemdeveterpermisses
paraescreverqualquersambaSamAccountealgunsatributosposixAccount.Ento,sevocnoquerparausarocn = Manager, dc = IdealX, dc = orgconta
mais,vocpodeusarumacontadedicadaparaSambaeoutraparaosscriptssmbldaptools.Osdoisusuriosforamcriadosnaseo4.4.2naDSAramo:cn = samba,
ou = DSA, dc = IdealX, dc = orgecn = smbldap-tools, ou = DSA, dc = IdealX, dc = org.Seasenhadefinidaparathosescontaforamrespectivly
sambaesmbldaptools,vocpodemodificarosarquivosdeconfiguraocomosegue(claro,vocpodeusaramesmacontaparaambossambaesmbldaptools):
arquivo/ etc / opt / IDEALX / smbldap - ferramentas / smbldap _ ligamento . conf
slaveDN = "cn = smbldap-tools, ou = DSA, dc = IdealX, dc = org"
slavePw = "smbldapsecretpwd"
masterDN = "cn = smbldap-tools, ou = DSA, dc = IdealX, dc = org"
masterPw = "smbldapsecretpwd"

arquivo/etc/samba/smb.conf
ldap administrador dn = cn = samba, ou = DSA, dc = IdealX, dc = org

noseesqueadetambmdefinirasenhadacontadesambaemsecrets.tdbarquivo:
smbpasswd-w sambasecretpwd
arquivo/etc/openldap/slapd.conf:listadecontroledeacessodemuitosdeveserdefinido:
sambausurioprecisaescreveroacessoatodososatributosdesambaealgunsoutros(uidNumber,gidNumber...).
smbldap-toolsdeveteracessodegravaoparaadicionarouexcluirnovosusurios,gruposoucomputadoresconta
nssldaptambmprecisamteracessoaunixatributosenhaescrever(porexemplo,seumusurioquermudarsuasenhacomopasswdcomando).
# usurios podem autenticar e alterar sua senha
acesso a attrs = userPassword, sambaNTPassword, sambaLMPassword, sambaPwdLastSet, sambaPwdMustChange
por dn = "cn = samba, ou = DSA, dc = IdealX, dc = org" write
por dn = "cn = smbldap-tools, ou = DSA, dc = IdealX, dc = org" write
por dn write = "cn = nssldap, ou = DSA, dc = IdealX, dc = org"
por auto de gravao
auth por annimo
* por nenhum
# Alguns atributos precisam ser lidos de forma annima, para que 'user id' pode responder corretamente
acesso a attrs = objectClass, entrada, homeDirectory, uid, uidNumber, gidNumber, memberUid
* por ler
# Somme atributos podem ser escritos pelos prprios usurios
acesso a attrs = descrio, telephoneNumber, roomnumber, homePhone, loginShell, gecos, cn, sn, givenname
por auto de gravao
* por ler
# Alguns atributos precisam ser escritos para o samba
acesso a attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime,sambaPwdCanChange,sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript,sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,sambaDomainName,sambaMungedDial,sambaBadPasswordCount,sambaBadPasswordTime,sambaPasswordHistory,sambaLogonHours,sambaSID,sambaSIDList,sambaTrustFlags,sambaGroupType,sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase,sambaShareName,sambaOptionName,sambaBoolOption,sambaIntegerOption,sambaStringOption,sambaStringListoption,sambaPrivilegeList
por auto-leitura
* por nenhum
# samba precisa ser capaz de criar a conta de domnio samba
acesso a dn.base = "dc = IdealX, dc = org"
* por nenhum
# samba precisa ser capaz de criar novos usurios so responsveis
acesso a = dn "ou = users, dc = IdealX, dc = org"
* por nenhum
# samba precisa ser capaz de criar uma conta de novos grupos
acesso aos dn = "ou = Grupos, dc = IdealX, dc = org"
* por nenhum
# samba precisa ser capaz de criar nova conta computadores
acesso aos dn = "ou = Computadores, dc = IdealX, dc = org"
* por nenhum
# Isso pode ser omitido, mas deixamos isso: poderia haver outro ramo
# No diretrio
acesso a *
por auto-leitura
* por nenhum

5.2Asconexesseguras:useTLS!
NesteHOWTO,acolhedora,estusandotransporteLDAPclaraentreSambaeOpenLDAP.ComoambososservidoresimplementarSSL,vocdeveusarotransporte
TLSvez.SevocquiserusarTLS,voctemquecriarumcertificadoparacadaservidor.Oscertificadospodemserautoassinado,maspreferveltercertificados
assinadospelamesmaautoridade(CA)seOpenLDAPconfiguradoparaqueoclientesolicitado(demanda TLSVerifyClientemslapd.confarquivo).Os
pargrafosseguintesilustramospassosnecessriosparaconfigurarseumexemploCAecomocriarumcertificadodeservidorassinadopelaACConsulteas
documentaesnecessriasparamaisinformaes(porexemplohttp://www.openldap.org/pub/ksoper/OpenLDAP_TLS_howto.html).Voctambmpodequerer
darumaolhadaemIDXPKIparainstalaracoisareal.Vejahttp://www.idealx.com/solutions/idxpki/paramaisinformaes.Lembresedeumacoisa
importante:oscertificadossocriadoscomseunomecomumcodificadonocertificado.Cadavezquevocdesejaseconectaraoservidornomododesegurana,voc
deveentraremcontatocomelausandoessenome(enooseuendereoIP,amenosquevocdefinaoseunomecomumparaoendereoIP)!
CriaoCertificados
Paraesteexemplo,vamoscriarumaautoridadeCA.Aseguir,vamoscriarumcertificadoparaoservidorldap.idealx.comwichserassinadopelaAC
1. criarachaveCAecertificado
criarestruturadediretrios
mkdir certs Dados RSE chaves privadas Dados / ca.db.certs
tocar private / datas ca.key / ca.db.serial
cp / dev / datas nulos / ca.db.index
Gerarbytespseudoaleatrios
openssl rand 1024> Dados / random-bits
criarachaveparaoCA:umafrasesecretasersolicitadoavoc.Noseesquea:elasersolicitadoacadavezquevocdesejacriarumnovoservidorde
certificado.
openssl genrsa -des3 out private / ca.key 1024 -rand Dados / random-bits
chmod 600 / privado ca.key
Aviso:Chavedoca.keyprivado!
AutoassinaroCAraiz
req OpenSSL -new -x509 -Dias 3650 tecla private / ca.key out certs / ca.pem
criarumaconfiguraoca.confarquivoparaoCA
default_ca = default_CA
[Default_CA]
dir =. # Onde tudo mantido
certs = ./certs # Onde os certificados emitidos so mantidos
new_certs_dir = ./datas/ca.db.certs # Quando o crl emitidos so mantidos
banco de dados do arquivo de ndice = ./datas/ca.db.index # banco de dados
de srie ./datas/ca.db.serial = # O nmero de srie actual
RANDFILE = ./datas/random bits # arquivo de nmeros aleatrios privada
certificado = ./certs/ca.pem # O certificado CA
private_key ./private/ca.key = # A chave privada
default_days = 730
default_crl_days = 30
default_md = md5
preservar = nenhuma
x509_extensions = server_cert
policy = policy_anything
[Policy_anything]
countryName = opcional
stateOrProvinceName = opcional
localityName = opcional
organizationName = opcional
organizationalUnitName = opcional
commonName = fornecido
emailAddress = opcional
[Server_cert]
#subjectKeyIdentifier = haxixe
AuthorityKeyIdentifier = keyid: sempre
extendedKeyUsage = serverAuth, clientAuth, msSGC, nsSGC
BasicConstraints = critical, CA: false

inicializarabasededadosemsrie
echo "01"> Dados / ca.db.serial
2. criarachavedoservidoreocertificadoparaldap.idealx.comservidor
criarachaveparaoservidorldap.idealx.com
openssl genrsa -out chaves / ldap.idealx.com.key 1024
criardadosdocertificadoparaldap.idealx.com:quandovocpedirparaonomecomum,vocdevedefinironomequalificadocompletodoservidor,ou
seja,ldap.idealx.com
openssl req chaves tecla -novos / ldap.idealx.com.key out CSR / ldap.idealx.com.csr
assinarocertificadoldap.idealx.comcomoCA
openssl ca -config ca.conf out certs / ldap.idealx.com.txt -infiles CSR / ldap.idealx.com.csr
extrairocertificadoldap.idealx.com
perl -n -e 'm / BEGIN CERTIFICATE / && fazer {$$ vi = 1}; $$ Visto && print; ' <Certs / ldap.idealx.com.txt> certs / ldap.idealx.com.pem
voctambmpodeverificarocertificado
openssl verificar -CAfile certs / ca.pem certs / ldap.idealx.com.pem
3. entovoctemostrsarquivosquevocprecisaparaconfigurarcorretamenteoservidordaconfigurao:
./certs/ca.pem:ocertificadodaCA
./certs/ldap.idealx.com.pem:ocertificadodoservidorLDAP
./keys/ldap.idealx.com.keychaveeestassociado:
Configurarscriptssmbldaptools
Ossmbldaptoolsscriptsiroconectaraodiretrioseguro.Vamosentoprecisacriarumcertificadoparaestecliente:usosmbldap-toolscomonomecomum.
Atualizeoarquivodeconfigurao/ etc / opt / IDEALX / smbldap - ferramentas / smbldap . conf:
ativarassuportamTLSldapTLS = "1"
oarquivoquecontmocertificadodeclienteclientcert = "/ etc / opt / IDEALX / smbldap - ferramentas / smbldap - ferramentas . pem "
oarquivoquecontmachaveprivadaquecorrespondeaocertificadoarmazenadonoclientcertarquivoclientkey = "/ etc / opt / IDEALX / smbldap -
ferramentas / smbldap - ferramentas . chave "
oarquivoPEMformatoquecontmcertificadosparaoCAqueslapdirconfiar.cafile = "/ etc / opt / IDEALX / smbldap - ferramentas / ca .
pem "
ConfigureoOpenLDAP
CriarumcertificadoparaoOpenLDAPdoservidorcomonomecomumldap.idealx.com.
Atualizeoarquivodeconfigurao/etc/openldap/slapd.confedefinir:
oarquivoquecontmocertificadodoservidorTLSCertificateFile ldap.idealx.com.pem
oarquivoquecontmachaveprivadaquecorrespondeaocertificadoarmazenadonoTLSCertificateFilearquivoTLSCertificateKeyFile
ldap.idealx.com.key
oarquivoPEMformatoquecontmcertificadosparaoCAqueslapdirconfiarTLSCACertificateFile ca.idealx.com.pem
VoctambmpodesolicitarumcertificadovlidoparatodasassessesTLSdeentrada:
DemandaTLSVerifyClient
ConfigureSamba
Bastaadicionarumalinhanoarquivodeconfigurao/etc/samba/smb.conf:
ldap ssl = Start TLS
Configureosistemaoperacionallinux
Verifiqueseo/etc/ldap.confcontmasseguintesinformaes:
oOpenLDAPservidoranfitrio ldap.idealx.com
onomedistintodabasedepesquisadc base = IdealX, dc = org
exigireverificarocertificadodoservidortls_checkpeer sim
oarquivoPEMformatoquecontmcertificadosparaoCAqueslapdirconfiar.tls_cacertfile / etc / opt / IDEALX / smbldap - ferramentas /
ca . pem
OpenLDAPSSLmecanismoSTART_TLS SSL
SevoctambmconfiguradoOpenLDAPparasolicitarumcertificadovlidoparatodasassessesTLSdeentrada(comadiretiva"demandaTLSVerifyClient"),
voctemquecriarumcertificadoparanss.Entovocpodeadicionarasduaslinhasseguintes:tls_cert /etc/nss/nss.idealx.org.pem tls_key
/etc/nss/nss.idealx.org.key
Tenhaocuidadodedefinirumnomeadequadoparaoacolhimentodirectiva:devecoincidircomonomeexatoqueoquedeuparaocertificadodoservidor
OpenLDAP.Tambmdeveserumnomeresolvido.
5.3backupseusdados
TODO:comofazerbackuperestauraroPDC!Crucial!Algunsscriptspodemajudarafazerotrabalho(mesmosenoforusado,oirexplicaroqueexatamentefazer
backupecomorestaurar).Naverdade,essesscriptsstemquebackup:arquivosdeconfigurao(ldap,nss,ldap,sambaeTBDS..)e'Sam'(assimumLDIFpode
fazerotrabalho).Umsmbldapbackupesmbldaprestore?
6servidoresStartStop
Para:
iniciar/pararoOpenLDAPservidor:/etc/init.d/ldap iniciar / parar
iniciar/pararoSambaservidor:/etc/init.d/smb iniciar / parar
7MigrandocontasPOSIXegrupos
PawelWielabaescreveudoisroteirossmbldap-migrate-unix-contase-migrate-unix-grupos smbldapparaajudloamigraodeusuriosegruposdefinidos
em/ etc / passwd(e/ou/ etc / shadow)e/ etc / group.Vocpodeencontrarseusscriptscomopacotesmbldaptools(nodiretriodedocumentaopara
opacoterpm).Elestambmpodemserencontradasemseusite:http://www.iem.pw.edu.pl/~wielebap/ldap/smbldap-tools/2/
7.1usuriosmigrao(de/ etc / shadow)
Supomosquevocuseasenhasombra.Vamosentotambmusaroarquivoshadowparamigraracontadesenha.Usuriosmigraodeveserfeitodaseguinteforma:
1. cpia/ etc / passwde/ etc / shadowemumdiretriotemporrio:
cp / etc / passwd / etc / shadow / tmp /
2. removertodasascontasemambososarquivoquevocnoquerestarnodiretrio:
para o usurio root daemon ningum bin
fazer
user exportao
perl-i de -pe @ ^ $ ENV {user}: (. *) \ n@@'/ tmp / passwd
perl-i de -pe @ ^ $ ENV {user}: \ n@@'/ tmp / shadow (*).
done
noseesqueaderemoverousurioningumcomoelecriadonainicializaododiretriocomsmbldap-preencher.
3. migrarcontas:
/ Usr / share / doc / smbldap-tools - * / smbldap-migrate-unix-contas -a P / tmp / passwd S / tmp / shadow
4. removerusuriosmigradosde/ etc / passwde/ etc / shadow
Nota:como-aoposmbldap-migrate-unix-contas,osambaSamAccountseroadicionadosaosusurios.Todososusuriosquetenhampreviamenteumshell
definidono/ etc / passwd,ento,sercapazdeseconectaraoservidoreatualizarseu"windows"senhausando/ opt / IDEALX / sbin / smbldap-passwd
script.
7.2gruposdemigrao(de/ etc / group)
Agoravamosmigrartodososgruposdefinidosem/ etc / grouparquivo.Processodemigraodeveserfeitodaseguinteforma:
1. cpia/ etc / groupemumdiretriotemporrio:
cp / etc / group / tmp /
2. removertodososgruposquenoqueremestarnodiretrio:
para o grupo em daemon bin raiz
fazer
grupo exportao
perl-i de -pe @ ^ $ ENV {grupo}: \ n@@'/ tmp / grupo (*).
done
3. migrargrupos:
/ Usr / share / doc / smbldap-tools - Migrar-unix-grupos smbldap * / -a -G / tmp / grupo
4. removergruposmigradosde/ etc / group
Nota:como-aopo-migrate-unix-grupos smbldap,osambaGroupMappingseroadicionadosaosgruposparaqueelespossamserusados comogruposde
"janelas"(sambaserquemapeougruposunixparagruposdoWindows).Vocdeveremoverestaoposevocnoquerisso.
8Explorao
8.1Agestodeutilizadores
Paracontasdeusurioadministrador,vocpodeusar:
1. smbldaptools,usandoosseguintesscripts:
smbldapuseradd:paraadicionarumnovousurio
smbldapuserdel:paraapagarumusurioexistente
smbldapusermod:modificarumdadosexistentesdosutilizadores
2. idxldapaccounts(mdulowebmin)sevocestiverprocurandoporumaboainterfacegrfica.
3. MicrosoftWindowsNTferramentasdegerenciamentodedomnio
Oprimeiromtodoirserapresentadaaseguir.
8.1.1AexibioLDAP
Primeiro,vamosdarumaolhadanoquerealmenteumusuriocontasparaLDAP.Naverdade,hdoistiposdecontasdeusurio:
ContasPosix,parausocomsistemasLDAPawarecomoUnix(Linuxusandopam_ldapenss_ldap,nesteHOWTO).EssestiposdecontasusaroposixAccount
,oushadowAccountsevocestiverusandosenhasocultas.
SambaContas,paraousodeSambacontasdeusuriodoWindows(econtasdecomputadortambm).EssestiposdecontasusarosambaSamAccountclassede
objetoLDAP(deacordocomoSambasamba.schema).
AquiestumavisoLDAPdeumacontaUnix(posixAccountdefato,paraesteHOWTO):
dn: uid = TestUser1, ou = Users, dc = IDEALX, dc = ORG
objectClass: top
objectClass: conta
objectClass: posixAccount
cn: TestUser1
uid: TestUser1
uidNumber: 1000
gidNumber: 100
homeDirectory: / home / TestUser1
loginShell: / bin / bash
gecos: Usurio
Descrio: Usurio
senhaUsuario: {} SSHA ZSPozTWYsy3addr9yRbqx8q5K + J24pKz
AquiestumavisoLDAPdeSambadecontadeusurio(sambaSamAccount):
dn: uid = testsmbusers2, ou = Users, dc = IdealX, dc = org
objectClass: top, inetOrgPerson, posixAccount, shadowAccount, sambaSamAccount
cn: testsmbusers2
sn: testsmbusers2
uid: testsmbusers2
uidNumber: 1000
gidNumber: 513
homeDirectory: / home / testsmbusers2
loginShell: / bin / bash
gecos: Usurio do Sistema
Descrio: Usurio do Sistema
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: Usurio do Sistema
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-3000
sambaPrimaryGroupSID: S-1-5-21-4231626423-2410014848-2360679739-513
sambaLogonScript: testsmbusers2.cmd
sambaProfilePath: \\ PDC-SRV \ profiles \ testsmbusers2
sambaHomePath: \\ PDC-SRV \ home \ testsmbusers2
sambaHomeDrive: H:
sambaLMPassword: 7584248B8D2C9F9EAAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 186CB09181E2C2ECAAC768C47C729904
sambaPwdLastSet: 1081281346
sambaPwdMustChange: 1085169346
senhaUsuario: {} SSHA jg1v0WaeBkymhWasjeiprxzHxdmTAHd +
Aquisegueumabreveexplicaosobreosatributosusados:
Atributo deesquema Uso
cn ncleo Normalmente,onomedeusurio
uid ncleo nomedeusurio
descrio ncleo TODO
senhaUsuario ncleo senhaparasistemasUnixutilizandoNSS/PAMLDAP
displayName inetorgperson TODO
uidNumber nis onmerodeusurionumrico(UnixeSamba)
gidNumber nis onmerodogrupoprincipaldousurio(Unix)
loginShell nis oshelldelogonutilizadoemsistemasUnix
gecos nis aformalongadonomedeusurio
homeDirectory nis caminhododiretriobaseparasistemasUnix
sambaPwdLastSet samba Otempointeiroemsegundosdesde1970,quando
olmentpasswdforamltimoset.
sambaLogonTime samba timestampdoltimologon
sambaLogoffTime samba timestampdaltimalogoff
sambaKickoffTime samba timestampdequandoousurioserdesconectadoautomaticamente
sambaPwdCanChange samba timestampdequandoousuriotempermissoparaatualizarasenha
sambaPwdMustChange samba timestampdequandoasenhaexpira
sambaPwdLastSet samba timestampdaltimaatualizaodesenha
sambaAcctFlags samba especificarotipodecontasamba
sambaBadPasswordCount samba ContagemtentativaBadsenha
sambaBadPasswordTime samba Horadaltimatentativadesenhaincorreta
(W=estaodetrabalho,U=usurio,D=desativado,
X=semexpiraodasenha,...)
sambaSID samba oidentificadordesegurana(SID)dousurio
sambaPrimaryGroupID samba oidentificadorrelativo(SID)dogrupoprincipal
doutilizador
sambaHomePath samba especificaocaminhododiretriohomeparao
utilizador.Aseqnciapodesernulo.SeHomeDriveestdefinidoe
especificaumaletradeunidade,homeDirectorydeveserum
CaminhoUNC.OcaminhodeveserumcaminhoUNCrede.
Estevalorpodeserumacadeianula
sambaLogonScript samba ApropriedadescriptPathespecificaocaminhodo
scriptdelogondousurio,.CMD,EXEouarquivobat.
Aseqnciapodesernulo.Ocaminhorelativoao
sharenetlogon
sambaLMmPassword samba asenhaLANMAN
sambaNTPassword samba asenhaNT(hashdemd4)
sambaHomeDrive samba EspecificaaletradaunidadeparaaqualmapearoUNC
especificadapelocaminhohomeDirectory.Aletradaunidade
deveserespecificadonoformulrio"letra_unidade:"onde
driveletteraletradaunidadeasermapeada.
Porexemplo:"Z"
sambaProfilePath samba Especificaocaminhoparaoperfildousurio.Estevalor
podeserumastringnula,umcaminhoabsolutolocal,ou
umcaminhoUNC
Tabela1:Atributosutilizadosparaumacontadeusurio
Paramanipularascontasdeusurio,nsdesenvolvemosumacoleodescriptsPERLnomeadossmbldaptools:elesfornecemtodasasferramentasnecessriaspara
gerenciarcontasdegruposdeusuriose,emumdiretrioLDAP.PorquensmesclouposixAccount,shadowAccountesambaAccount,aquelesosscriptspodemser
usados paragerenciarUnixeWindows(Sambacontas).ComoamaioriadossoftwaresexistentessoLDAPconsciente,vocpodeusaroseusambaLDAPPDCaser
umafontenicadeautenticao,eossmbldaptoolspodeoferecerlheumaboabaseparagerenciarcontasdeusuriodatas.NesteHowto,temosusadooseguintes
ferramentasparagerenciarcontasdeusurio:
smbldapuseradd:paraadicionarumacontadeusurio(.,porpadro,umposixAccountUsandoopo'a'paraumasambaSamAccount,opo'w'paraum
sambaAccountmquina),
smbldapuserdel:paraexcluirumacontadeusurioexistente
smbldapusermod:paramodificarumacontadeusurio.
smbldapuserinfo:parapermitirqueosusuriosmodifiquemsealgumasinformaes
Paraumdetalheusadodessesroteiros,consulteadocumentaodoossmbldaptoolsnapginainicialdoprojeto
14
.
Criarum(POSIX)contadeusurioUnix
ParacriarumanovaposixAccount(apenastilparaUnix)testposixusernomeado(vamosusar"coucou"comoasenhaquandosolicitado):
[Root @ pdc-SRV testsmbuser2] # smbldap-useradd-m testposixuser
[Root @ pdc-SRV testsmbuser2] # smbldap-passwd testposixuser
Alterando a senha para testposixuser
Nova senha para testposixuser usurio:
Repita a nova senha para testposixuser usurio:
CriarumSambacontadeusurio
ParacriarumanovasambaSamAccount(parausoemUnixeSamba)chamadojdoo(vamosusar"coucou"comoasenhaquandosolicitado):
[Root @ pdc-SRV testsmbuser2] # smbldap-useradd -a -m c "John Doo" jdoo
[Root @ pdc-SRV testsmbuser2] # smbldap-passwd jdoo
Alterando a senha para jdoo
Nova senha para jdoo usurio:
Repita a nova senha para jdoo usurio:
Configureumasenhadeusurio
VocpodeusarosmbldappasswdcomoumsubstitutoparaocomandodosistemapasswdeoSambacomandosmbpasswd:
[Root @ pdc-SRV testsmbuser2] # smbldap-passwd jdoo
Alterando a senha para jdoo
Nova senha para jdoo usurio:
Repita a nova senha para jdoo usurio:
ExcluirumacontadeusurioPosix
Bastausaroseguintesmbldaptoolscomando:
[Root @ pdc-SRV testsmbuser2] # smbldap-userdel-r jdoo
Nesteexemplo,nsqueramospararemoverousuriochamado'jdoo'eseudiretriohome.
ExcluirumSambacontadeusurio
ExatamentecomoaexclusodeumacontaUnix,bastausarsmbldapuserdel.
Modificarumacontadeusurio
Useosmbldapusermodparamodificaracontadeumusurio.Asopesdisponveiscomosmbldapuseraddroteirotambmestodisponveisaqui.
Outroscriptsmbldapuserinfopodeserusadoporusuriosdemodoqueelespossamatualizarsuasprpriasinformaes(comotelephoneNumber,rootNumber,shell,
...)elesmesmos.NotequeistoimplicaqueaACLcorretodeveserdefinidonaconfiguraododiretrio.
Dumaolhadanositedoprojeto(http://www.idealx.org/prj/imc/)paramaisinformaessobreoprocedimentodeinstalao.
SepreferiragradvelGUIquedesembolsar,vocdeveterumolharsobreomduloidxldapaccountsWebmin.Vejahttp://webmin.idealx.org/.Estemduloest
disponveltantoparasamba2esamba3.Notesequeidxldapaccountsnomaismantida!
PodeusuriosgerentedecontausandoosMicrosoftWindowsNTferramentasdegerenciamentodedomnio.EstepodeserolanamentousandooUsrmgr.exe
comandoemumconsolemsdos
8.2AdministraodoGrupo
UmgrupounixprecisasermapeadoparaumgrupodoWindows,sevocquerqueelesejavistoeusadoapartirdoMicrosoftWindowsambiente..Istopodeserfeito
automaticamenteparaascontasdogrupogestor,vocpodeusar:
1. smbldaptoolsusandoosseguintesscripts:
groupaddsmbldap:paraadicionarumnovogrupo
smbldapgroupdel:paraexcluirumgrupoexistente
smbldapgroupmod:modificarumgrupoexistente
2. idxldapaccountssevocestprocurandoumaboainterfacegrfica.
3. MicrosoftWindowsNTferramentasdegerenciamentodedomnio
Oprimeiromtodoirserapresentadaaseguir.
8.2.1AexibioLDAP
Primeiro,vamosdarumaolhadanoquerealmenteumacontadegrupoposixparaLDAP.AquiestumavisoLDAPdeumgrupochamadounixGroup:
dn: cn = unixGroup, ou = Groups, dc = IdealX, dc = org
objectClass: PosixGroup
cn: unixGroup
gidNumber: 1000
memberUid: usertest1
memberUid: usertest2
AquiestumavisoLDAPdeumgrupodesambachamadosambaGroup:
dn: cn = sambaGroup, ou = Groups, dc = IdealX, dc = org
objectClass: PosixGroup, sambaGroupMapping
gidNumber: 512
cn: sambaGroup
Descrio: Grupo de Samba
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-3001
sambaGroupType: 2
displayName: sambaGroup
memberUid: testsmbuser2
memberUid: testsmbuser1
8.2.2doWindowsEspeciaisgrupos
OmundodoWindowsvemcomalgunsembutidosgruposdeusurios:
Onomedogrupo livrar GrupoSID Descrio
AdministradoresdeDomnio 512 $SID512
Usuriosdodomnio 513 $SID513
Convidadosdodomnio 514 $SID514
Operadoresdeimpresso 550 S1532550
Operadoresdebackup 551 S1532551
Replicator 552 S1532552
Tabela2:BemconhecidolivrareSIDcorrespondentedegruposadministrativosdoWindows.SID$referemseaodomnioseguroID
Paramanipulargrupos,quejdesenvolveuumacoleodescriptsPerlchamadossmbldaptools:.quefornecemtodasasferramentasnecessriasparagerenciarcontas
degruposdeusuriose,emumdiretrioLDAPPorqueSambausarPosixGroup,essesscriptspodemserusados paragerenciarUnixeWindows(Samba)contas.
ComoamaioriadossoftwaresexistentessoLDAPconsciente,vocpodeusaroseusambaLDAPPDCaserumafontenicadeautenticao,eossmbldaptools
podeoferecerlheumaboabaseparagerenciarcontasdeusuriodatas.NesteHowto,temosusadooseguintesferramentasparagerenciargrupos:
smbldapgroupadd:paraadicionarumnovogrupo,
smbldapuserdel:paraapagarumgrupoexistente,
smbldapusermod:paramodificarasdatasdegrupo(principalmenteparaadicionarouremoverumusuriodeumdeterminadogrupo).
Paraumdetalheusadodessesroteiros,consulteadocumentaodoossmbldaptoolsnapginainicialdoprojeto
15
.
Dumaolhadanositedoprojeto(http://www.idealx.org/prj/imc/)paramaisinformaessobreoprocedimentodeinstalao.
SepreferiragradvelGUIquedesembolsar,vocdeveterumolharsobreomduloidxldapaccountsWebmin.Vejahttp://webmin.idealx.org/.Noteseque
idxldapaccountsnomaismantida!
PodeusuriosgerentedecontausandoosMicrosoftWindowsNTferramentasdegerenciamentodedomnio.EstepodeserolanamentousandooUsrmgr.exe
comandoemumconsolemsdos
8.3GerenciamentodoComputador
Paragerenciarcontasdecomputador,vamosusarosseguintesscripts(desmbldaptools):
smbldapuseradd:paraadicionarumnovocomputador
smbldapuserdel:paraapagarumcomputadorexistente
smbldapusermod:modificarumcomputadordedadosexistente
AscontasdecomputadorsoobjetossambaSAMAccounts,comoSambacontasdeusurioso.
8.3.1AexibioLDAP
AquiestumavisoLDAPdeSambacontadecomputador:
dn: uid = testhost3 $, ou = Computadores, dc = IDEALX, dc = ORG
objectClass: top
objectClass: sambaSamAccount
cn: testhost3 $
gidNumber: 553
homeDirectory: / dev / null
loginShell: / bin / false
uid: testhost3 $
uidNumber: 1005
sambaPwdLastSet: 0
sambaLogonTime: 0
Descrio: Conta de Computador
livrar: 0
primaryGroupID: 0
lmPassword: 7582BF7F733351347D485E46C8E6306E
ntpassword: 7582BF7F733351347D485E46C8E6306E
acctFlags: [W]
TODO:explicarasLDIF,apresentamtiposdeatributos(doesquema)eexpliclos.
Paramanipularcontasdecomputador,quejdesenvolveuumacoleodescriptsPerlchamadossmbldaptools:.quefornecemtodasasferramentasnecessriaspara
gerenciarcontasdegruposdeusuriose,emumdiretrioLDAPNesteHowto,utilizamosasseguintesferramentasparagerenciarcontasdeusurio:
smbldapuseradd:paraadicionarumacontadecomputador,usandoaopow,
smbldapuserdel:paraexcluirumacontadecomputadorexistente,
smbldapusermod:paramodificarumacontadecomputadorexistente.
Criarumacontadecomputador
Paracriarumacontadecomputador,vocpodeusarsmbldaptoolsparaadicionarmanualmentecontas:
[Root @ pdc-SRV] # smbldap-useradd-w testcomputer1
VoctambmpodeusaroprocedimentoautomticodentrodoseuMicrosoftWindowscliente(consulteocaptulocliente:MicrosoftWindowsNT,w2k...)paramais
informaes.
Excluirumacontadecomputador
Paraexcluirumacontadecomputador,susarsmbldaptools:
[Root @ pdc-SRV] # smbldap-userdel testcomputer1 $
Emvezderemoveracontadocomputador,vocpodequererdesativaracontaSamba.Aformaeasyestusarosmbldap-usermodscriptcomosegue:
desativaracontadecomputador:smbldap-usermod -I testcomputer1 $
ativaracontadecomputador:smbldap-usermod -I testcomputer1 $
VoctambmpodeusarumnavegadorLDAPemodificaras'acctFlags'de[W]para[WD]('D'indica'Disabled').Parareativaracontadecomputador,apenasmodifiy
[WD]para[W].svezes,dereativao/melhormdiaparadesativartemporariamenteaestaodetrabalhoparaalgumasvezes.
8.4gestoPerfil
ATENO:Emescrita!TODO:Howtogerenciarperfis(perfisNT,Unixcomofazerotrabalhodesde...tempoAT&T...)
8.4.1Roaming/perfisRoving
QuandoumMicrosoftWindowsNTusurioassociadoaodomnioIDEALXNT,seuperfilarmazenadonodiretriodefinidonoperfildeseodoarquivode
configuraodosamba.Eletemquefazerlogoutparaoperfilparasersalvo.Esteumperfilmvel:elepodeusaresteperfilapartirdequalquercomputadorqueele
quer.Seasuaconfiguraopessoalmudou,eleserintegradonoseuperfilmvel.NesteHowto,usamosperfismveis:oLDAPsambaProfilePathatributoindicarao
Sambaparaondeolharparaaquelesdeperfilmvel(PDCSRVperfistestsmbuser2porexemplo),ea[perfis]seodo/etc/samba/smb.confindicamsambacomolidar
comessesperfis.Tenhaemmentequeumperfilmvel'regular'decercade186KBdedados(aindamaisseosusuriosutilizagrandeGIFouBMPimagemcomo
imagemdefundo...):noseesqueaimpactonacarga/trfego...
8.4.2Perfisobrigatrios
Operfilobrigatriocriadopelomesmocaminhodoperfilmvel.Adiferenaqueseuperfilfeitaapenaslidopeloadministradorparaqueousuriospodeterum
perfilfixonodomnio.Parafazerisso,renomeieoarquivoparaNTuser.datNTuser.man(paraoperfilobrigatrio),eremoverobitdireitodeacesso.Paraonosso
testsmbuser1usurio,voctemquefazer:
mv /opt/samba/profiles/testsmbuser1/NTUSER.DAT /opt/samba/profiles/testsmbuser1/NTUSER.MAN
chmod-w /opt/samba/profiles/testsmbuser1/NTUSER.MAN
Dessaforma,vocpodequerercriarumperfildeusuriocomumparatodososusuriosdodomnio.
8.4.3Scriptsdelogon
Parausarosscriptsdelogon(.BATouCMD),bastaespecificarocaminhorelativoapartirdocompartilhamentonetlogonparaoscriptdecomandodesejadona
sambaScriptPathatributoparaousurio.substituiesdevariveis (ologonscriptdedirectivasmb.confquandovocestusandoLDAP.
8.4.4LDAPLDAPouno?
Talvez,vocvaiquererusarumapolticadesistemaalternativorespeitoperfis:aconcessodealgumusuriooprivilgiodeperfilmvelemtodoodomnio,enquanto
queoutraspodemterperfilapenasderoamingemumservidorPDC,ealgunsoutrosnovaiusarperfilmvelemtudo.EstaalternativapossvelgraasaoSambaque
irprocurarnoLDAPsambaSamAccountparaolocaldoperfil,senenhumainformaodadapela"unidadelogon','scriptdelogon'edirectivas'caminho'delogon
smb.conf.Discutiremosestaalternativanumafuturarevisodestedocumento.
9Interdomainrelaesdeconfiana
Vamosdarumaolhadaemcomotornarasrelaesdeconfianaentredomniosdemodoque
Samba3trustsNT4(NT4odomnioconfivel,Samba3odomnioconfiante)
NT4confiaSamba3(samba3odomniodeconfiana,NT4odomnioconfiante)
Propriedadesdedomnioparacadadomnioso:
DomnioNT4:domnioNT4,nomeNetBIOSPDC-NT4
Samba3domnios:domnioIDEALX-NT,NetBIOSNamePDC-SRV
9.1Samba3confiaNT4
NoWindowsNTServerdomenu,abra"UserManager","Polticas"e"relaodeconfiana".Agora,crieumacontaparaodomniosamba3:
domaine: IDEALX-NT
mot de passe: segredo
VamosestabeleceraconfianadoservidorSamba3:
trustdom net rpc estabelecer NT4
Notequeestecomandopodefalharcomgrandelanamentodosambacomaseguintemensagemdeerro:
[Root @ etoile root] # net rpc trustdom estabelecer IDEALX
Senha:
No foi possvel conectar ao servidor POMEROL
[2005/06/23 16:52:36, 0] rpc_parse / parse_prs.c: prs_mem_get (537)
prs_mem_get: leitura de dados de tamanho 4 seria invadida buffer.
[2005/06/23 16:52:36, 0] utils / net_rpc.c: rpc_trustdom_establish (4686)
WksQueryInfo chamada falhou.
IstocausadopelaseguranarestrictanonymousparmetrodefinidonoservidorWindowsNT4:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ LSA \ RestrictAnonymous
Seassimfor,configurlopara0ereinicieoservidorNT4.
9.2trustsNT4Samba3
NoSamba3domniocontroler,crieumacontaparaoNT4domnio:
NT4 -i smbldap-useradd
Acontacriadaterumcaracter"$"anexadoaoseunome(comocontadeestaodetrabalho),osambaSamAccountobjectclasseo'I'bandeira.Asenhatambmser
solicitadoparaestaconta.VamosestabeleceraconfianadoWindowsNTServer:abrao"Gerenciadordeusurios"domenu,"Polticas"e"relaodeconfiana".
Agorasejuntaraodomnioconfiante:digiteIDEALXNTeasenhadefinidanocomandoanterior.
10Integrao
10,1usuriorootFalso
Parapermitirqueasestaesdetrabalhoaserassociadoaodomnio,umusurioraizdeveexistireusado(uid=0).Talusuriocriadonainicializaododiretrio
whithosmbldap-preencherscript.DaSamba3.0.12,agorapossvelparausuriosdeadministradorparaassociarcomputadoresparaodomniosemusaraconta
"root".Porexemplo,parapermitirqueosmembrosdogrupo"DomainAdmins"parasejuntarcomputadoresaodomnio,vocprecisa
adicionarousurioadministradorparaogrupo"DomainAdmin"
smbldap-usermod-G 512 adminuser

adicioneaseguintediretivaaoarquivodeconfiguraodosamba(seo[global]nosmb.conf)

executeoseguintecomando(substituaXXXcomasenhadoroot)
raiz U% XXX subveno lquido direitos rpc SeMachineAccountPrivilege 'IDEALX-NT \ Administradores de Domnio'

Defato,necessriaaconta'root',emprimeirolugar,paraqueosprivilgiosSeXXXpodeserdefinido.
10.2integraoWorkstations
10.2.1Adicionandoumnovocomputadornodomnioatravsdacriaodeumacontamanualmente
Sevocdesejaqueocomputadorchamado"testmachine"aseradicionadoaodomnioIDEALXNT,vocdevecriarumacontaparaele.Issopodeserfeito
manualmenteusandoosmbldapuseraddroteiropreviamentedescritonaseo8.1.Emseguida,vocpodeadicionarocomputadornodomnio,seguindoessespassos:
paraMicrosoftWindowsNT4(SP1,SP6):
conectadoaoMicrosoftWindowsNTusandoacontadeadministrador
cliquenomenu"Iniciar","Parmetros"e"Configurao"
cliqueduasvezesem"Network"enoboto"modificar"
agoravocdeveveronomedamquinaeonomedodomnio.Voctemquemudarosparmetrospadro,oumodifieumaconfiguraoanterior.Emseguida,
selecioneaopo"domnio"eadicionaronomedodomnioquevocdesejaparticipar.
cliquenoboto"ok"
ocomputadorjestregistradoparaquevocnormalmentetemamensagemdeboasvindas"bemvindoaodomnioIDEALXNT"
reinicieoseusistemaWindows.
paraMicrosoftWindowsNT,WindowsXPeMicrosoftWindows2000:
conectadonoWindowsusandoacontadeadministrador.
cliquenomenu"Iniciar","Parmetros"e"Configurao".
cliqueduasvezesem"Sistema",selecioneoonglet"identificaoderede"edepoisem"Propriedades".
agoravocdeveveronomedamquina.Voctemquemudarosparmetrospadro,ouparamodifieumaconfiguraoanterior,indicandoonomedomaine.
ocomputadorjestregistradoparaquevocnormalmentetemamensagemdeboasvindas"bemvindoaodomnioIDEALXNT"
reinicieoseusistemaWindows.
10.2.2Adicionandoumnovocomputadornodomnioautomaticamente
UmasegundamaneiradefazerissopodeserfeitodiretamentedoMicrosoftWindowsNTEnvironnement,utilizandoacontadeadministradorprivilegiada.Este
procedimentoircriarautomaticamenteumacontaparaocomuter,etambmvaijuntarseaodomnio.Parafazerisso,sigaosmesmospassosdaseoanteriordescrito
naseo10.2.1.Aoinformaronomededomnio,parapediracriaodeumanovacontadecomputador,eadicioneacontadeadministradorparaMicrosoftWindows
NT2000,acontafeitaquandoprssingoboto"ok".
Acesso:administrador
Senha:coucou
10.3integraoServidores
10.3.1Sambaservidorintegrante
TODO:explicarconfiguraoOsmb.confdestaSambaservidormembrodeveindicar:
; Servidor Samba membro do domnio
; como o Samba-LDAP PDC, mas sem directivas de segurana do usurio e LDAP, mas
; as linhas followin:
security = domain
password server = hostname.fqdn (ou endereo IP) do Samba-LDAP PDC
; Ateno: este servidor samba no precisa ser compilado com
; --with-ldapsam opo
Umavezconfiguradoeiniciado,vocdeveadicionaracontadecomputadornoPDC,usandoosseguintescomandos:
root @ on-the-PDC # smbldap-useradd-w-curto hostname-of-the-samba-membro-servidor
e,emseguida,sobreoSambaprprioservidormembro:
root @ on-the-membro-server # smbpasswd-j "IDEALX-NT"
10.3.2SambaBDCServidor
TOD0:explicar.explicaralternativas
10.3.3MicrosoftWindowsNTservidorintegrante
TODO:explicar
10.3.4MicrosoftWindowsNTBDCServidor
TODO:explicarporqueno:)
10.3.5Windows2000ServerMembro
TODO:explian
10.3.6Windows2000ServidorBDC
TODO:explicarporqueno:)
11Migrao
Nestaseo,iremosdescrevercomomigrardeumMicrosoftWindowsNTservidorPDCparaumSambaDomainControler+LDAP,emdoiscasosdeusurio
diferentes:
migraodeumdeterminadodomnio(oantigo)paraoutro(onovo),
omesmodomniousado
Emambososcasos,anfasedevesercolocadasobreatransparnciademigrao:omovimentoparaonovosistema(Samba+LDAP)deveserrealizadocomo
mnimodeinterfernciacomoshbitosdetrabalhodosusurios,edeprefernciasemessesusurios,mesmopercebendoquequeaconteceu,sepossvel.Emambos
oscasos,referemseamigraoosseguintesinformaes:
1. contasdeusurios(humanosemquinas),
2. gruposeosmembrosdogrupo,
3. usuriososscriptsdelogon,
4. perfisdeusurios(ntuser.dat),
5. todasdatas,
6. todasasaesepermissespartesinformaes,
7. todasasACLsNTFSusados porusuriosemaes.
11.1Questesgerais
Nesteexemplo,vamossuporquequeremosmigrarumdomnioNT4definidacom:
workgroup:NT4_DOMAIN
netbiosname:NT4_PDC
11.1.1usurios,gruposecontasdemquinas
Vamosterumolharsobreasdiferentesetapasnecessriasparamigrartodasascontas...
Entradasiniciais
antesdemigrarodiretrio,voctemquecriaraunidadeorganizatioalparaarmazenarcontas.Estessoou=users,ou=Gruposeou=Computadores.Voc
tambmvaiprecisarparacriarobemconhecegruposadministrativos(cn=AdministradoresdeDomnio,Usurioscn=DomnioeComputadorescn=
Domnio).OprimeiropassoencontraroSIDdodomnioNT4vocdesejamigrar.
getsid net rpc -S NT4_PDC -W NT4_DOMAIN
Eagorapodemosconfigurarassmbldaptoolscorretamenteno/etc/opt/IDEALX/smbldapferramentas/smbldap.confarquivodeconfigurao:
SID = "S-1-5-21-191762950-446452569-929701000"
Ento,podemoscriaranossaestruturadediretrios:
smbldap-preencher
configurarsamba
VoctemqueconfigurarosambacomoBDCparapermitirquecontasegruposmigraesparaoservidorsamba.Osmb.confarquivodeconfiguraodeveter:
Workgroup = NT4_DOMAIN
mestre do domnio = No
OndeNT4_DOMAINodomnioqueocontroleWindowsNT4PDC.seguida,Sambadeveserconfiguradoparausarosmbldaptoolsscripts.Istopermiteaos
administradoresadicionar,excluiroumodificarcontasdeusuriosegruposparaMicrosoftWindowssistemasoperacionaisqueutilizam,porexemplo,utilitrio
GerenciadordeusuriossobMSWindows.Parapermitirousodessesroteiros,sambaprecisaserconfiguradocorretamente.Osmb.confarquivode
configuraodeveconterasseguintesdiretrizes:
Finalmente,voctemquereiniciarosamba:
restart /etc/init.d/smb
Observao:asduasdirectivasexcluir script de usurioetexcluir roteiro grupotambmpodeserusado.Noentanto,umamensagemdeerropode
aparecernoGerenciadordeusurios,mesmoqueasoperaesrealmentetersucesso.Sevocdesejaativaressecomportamento,vocprecisaadicionar
excluir script de usurio = / usr / local / sbin / smbldap-userdel "% u"
excluir grupo script = / usr / local / sbin / smbldap-groupdel "% g"
juntarseaoservidordesambaparaodomniogerenciadopelocontroladordedomnioWindowsNT4.
Paraqueissosejafeito,vocprecisasaberumacontaadministrativaparaodomnio.Vamossuporqueessacontaadministradorcomsenhasenha:
net rpc juntar -Uadministrator% passsword
IstoircriarumacontadeservidorDBCparaoservidorsambanoWindowsNT4PDC.Seessaetapafalhar,voccertamentetemumproblemaderesoluo
netbios.Amelhormaneiraatualizaros/etc/samba/LMHOSTSparadefiniroendereodeinternetdocontrolerdedomnioprimrio.Porexemplo,vocpode
ter:
192.168.0.1 NT4_PDC
192.168.0.1 NT4_DOMAIN
ondeNT4_DOMAINodomniogerenciadopeloNT4_PDCcontroladordedomnio.
migrarcontasegruposnodiretrioLDAP.
vampiro net rpc -S NT4_PDC
Notesequenohnecessidadededaraumusurio/senhaparaovampiro,oprocedimentofeitodeformaannimausandoasenhadoservidor(definido
quandoingressarnodomnio).
pararocontroladordedomnioWindowsNT4
.configurarsambaparaserocontroladordedomnioprimrio(PDC)
doarquivodeconfigurao/etc/samba/smb.confdeveconter:
mestre do domnio = Sim
sambarestart:
restart /etc/init.d/smb
11.1.2Osscriptsdelogon
OsscriptsdelogonsoscriptsDOSquesoexecutadostodavezquealgumfizerlogon.Elesdevemsercolocadosno[netlogon]participaoespecial,evocpode
especificar,paracadausurio,alocalizaodoscriptnosambaScriptPathatributoLDAP.Porexemplo,seasuaparteespecialnetlogondefinidacomooexemploa
seguiremseuarquivo/etc/samba/smb.confarquivodeconfigurao:
comment = Rede Logon Servio
path = / data / samba / netlogon
ok convidado = Sim
Evocquerqueousuriomyuserparaexecutaroscriptchamadomyuser.cmd,bastapreencherasseguintesoperaes:
copiaromyuser.cmddoantigoPDCparaonovoLinuxservidorem/opt/samba/netlogon/myuser.cmd,
modificaradefiniodousurioLDAP,colocandomyuser.cmdnosambaScriptPathatributo,
logoncomomyuseremumMicrosoftWindowsNT(ouWindows2000)estaodetrabalhoconectadaaodomnio,apenasparatestaraativaoscriptdelogon
nologin.
Assim,paramigrartodososloginsscriptsapartirdoantigoMicrosoftWindowsNTPDCparaonovoLinuxservidor,bastacopiartodososscriptsdelogon(colocado
emC:WINNTsysem32replimport)para/opt/samba/netlogon/emodificarassambaScriptPathusuriosdefiniesnoLDAPdiretrioparagravarosnomesdos
scriptsdelogondousurio.Noteque,seambosos scripts de logondirectivadosmb.confesambaScriptPathusuriosdefiniessousadas,adefinioldapser
usado.Issotambmsignificaque,sevocnoquernenhumscriptdelogonparaumusurio,osambaScriptPathatributoparaousurionodeveterqualquervalor
definido,etambmasgeraisscripts de logondirectivanoarquivosmb.conf.
11.1.3perfisdosusurios
Paraserescrito.
11.1.4Dados
Paraserescrito.UseRsync!
11.1.5Aesepermisses
Paraserescrito.
11.1.6NTFSACLs
Paraserescrito.usarchacl!
11.2mesmodomnio
Paraserescrito.
11.3Mudanadedomnio
Paraserescrito.
12Soluodeproblemas
AlistadetesteapresentadonestaseosocomunsatodasasversesdoWindowsdosistema.Seumaversopodecausarproblema,ouseoprocedimentodiferente,
nsvamosfazerumanotaespecial.
12,1configuraoglobal
Estaseoajudavocatestaraconfiguraoboaeobomfuncionamentodoseusistemadesambaldap.Supesequeosistemaestexecutandotodososservios
necessrios.Vocpodeverificarissousandoosseguintespassos:
Sevoctiverproblemasparainiciarsamba,vocpodeusarocomandotestparmparaverseasintaxedoarquivodeconfiguraoomesmo:
Arquivos de configurao de carga SMB /etc/samba/smb.conf
Seo Processamento "[netlogon]"
Seo Processamento "[perfis]"
Seo Processamento "[Impressoras]"
Seo Processamento "[print $]"
Seo Processamento "[homes]"
Servios carregados arquivo OK.
Verifiqueseosprocessosestopresentes
[Root @ PDC-SRV root] # ps afuxw | grep smb
0 17049 0,0 0,7 5524 1888? S 11:45 0:00 D smbd
1002 17146 0,0 1,3 7184 3408? S 11:50 0:00 \ _ smbd-D
0 17223 0,1 1,2 7060 3140? S 12:00 0:00 \ _ smbd-D
[Root @ PDC-SERV root] # ps afuxw | grep nmb
0 17054 0,0 0,7 4636 1856? S 11:45 0:00 nmbd D
0 17057 0,0 0,6 4584 1552? S 11:45 0:00 \ _ nmbd D

oseuservidorseldap?Vocpodeverificarcomaseguintelinhadecomando:
[Root @ PDC-SRV root] # ps afuxw | grep ldap
ldap 12358 0,0 5,0 16004 12972? S Nov14 00:03 / usr / sbin / slapd ldap-u

ou
[Root @ raiz PDC-SRV] # netstat -tan | grep LISTEN | grep 389
tcp 0 0 0.0.0.0:389 0.0.0.0:* OUVIR

12.2Criandoumacontadeusurio
Comsamba3,coupodecriarcontasdeusuriocomoMicrosoftWindowsNTferramentasdegerenciamentodedomnio(lanarUsrmgr.exeemumconsolemsdos).
Vocpode,claro,tambmusarossmbldaptools(ouqualqueroutraferramentademanipulaodeLDAP).Paraisso,consulteaseco8.1.Seestiverinteressadoem
umainterfacegrficadeusurioparacontasdeusurioedegrupogestor,porfavor,dumaolhadanaidxldapaccountsmduloWebmindisponvelem
http://webmin.idealx.org/
paratestar:
criarumacontadeusuriopara'testsmbuser'(8.1.2)
verificaresteusuriocontaok:
$ Id testsmbuser

deveretornaralgoassim:
[Root @ speed3 samba] # id testsmbuser
uid = 1008 (testsmbuser) gid = 100 (usurios) grupos = 100 (usurios), 501 (usurios do domnio)

additionnaly,sevocestiverusandoumaldapbrowser,vocdeveveranovauid=testsmbuser,ou=Users,dc=IDEALX,dc=orgnodiretrio.
12,3Loggingnodomniocomotestsmbuser
Vocprecisausarumjdedomnioadicionadoestaodetrabalhoparacontinuaroteste.Istoexplicadoanteriormenteaseo10.2.1ou10.2.2.Chameo
Winlogon(CTRLALTSUPPR)edigite:
Acesso:testsmbuser
Senha:coucou
16
Domnio:IDEALXNT
Vocdeveentofazerlogonbem.Quandovocfazlogonnodomniocomseunomedeusuriotestsmbuser,verificarqueessespontosdiferentessook:
procuresuapastapessoaletodasaspastascompartilhadas,elerumarquivo
criarumnovoarquivonoseudiretriohome,verifiquesevocpodesalvlo
verificarsetodasaspermissesparececerto:vocnopodenavegaremumdiretrioquevocnotemaspermisses,vocnopodeeditarou/emodificarum
arquivoquevocnotempermissespara.
13Desempenhoeconsideraesdavidareal
AgoratemosdetalhadamentecomoconfiguraroseunovoprottipodePDCKiller,nsestamosprontosparairmaislonge:avidareal,aquelaemqueosusuriosno
sepreocupamembuscadesoluesparaumdeterminadoproblema,masirconsideraremprimeirolugarelestemumevococulpado:)Paralutarnestemundo
agradvel,vocdeveterumolharsobreasseguintesconsideraes:.elespodemajudloPrimeiro,seesteHOWTOfoiasuaabordagempunhocomSambae
OpenLDAP,vocdevedarumaolhadaem:
ummuitobomOpenLDAPbreveporAdamWilliamsdisponveisemftp://kalamazoolinux.org/pub/pdf/ldapv3.pdf:umaapresentaoexcelente/
briefingsobreOpenLDAPnoLinuxPlatform.
oOpenLDAPwebsitedoprojeto,
oSambasitedoprojeto,
numerosadocumentao(impressaouno)feitosobreestesdoistemas(TeachYourselfSambaem24horas,porexemplo).
13.1LogNvelInferiornaproduo
Quandotudoestbemcomvocdeconfigurao,vocestfortementeencorajadosanveismaisbaixosdelogparaummelhordesempenho.Melhoresprticasso
paraativardebugingregistrossomentequandovocdesejainvestigarumproblemaempotencial,eficarcombaixonvelderegistro(ounologemtudosevocest
buscandoomximodedesempenho)duranteotempodeexplorao(amaiorpartedotempocomoSambarealmenteumaimplementaorobusta,graasequipede
Samba).AquiestumexemplodeumparmetrodeumgerenciamentodelogmododeexploraopadroparaumSambaservidor:
log file = /var/log/samba/%m.log
nvel de log = 0
max log size = 5000
13,2OpenLDAPtunning
Vocdeveconsiderarosndicesemseuservidordediretrio.ParaOpenLDAP,oseguintedeveseraprovadoporumPDCcomooquedescritonesteHOWTO:
# ndice
claroqueosndicesdependedevocousododiretrio.ConsulteoOpenLDAPdocumentaoparaobtermaisinformaes.Dumaolhadanosseguintesslapd.conf
directivastambm:
loglevel:menorpara"0"parafinsdeproduo
lastmod:definilocomo'off'sevocrealmentenoprecisadele
cachesize:definirumtamanhodecacheconfortvel(digamos1000paraumlocaldeproduodenvelmdiopara1000usurios),
dbcachesize:definirumtamanhodecachedbconfortvel(digo10000paraumlocaldeproduodenvelmdiopara1000usurios)
dbnosync:casovocestejatoloobastanteparaacharquenadanuncairfalhar:)
13.3IniciarNSCD
Inicieonscdservidor:/etc/init.d/nscd comear
14cargaspesadasedealtadisponibilidade
TODO:indicaralgunsparamsdecarga,eapresentarumasoluoredundanteedealtadisponibilidade.TODO:descrevertestplateform.
14.1OpenLDAPCarga
ComoestamosarmazenandoosusuriosegruposemumdiretrioLDAP,vamosterumolharmaisatentosobreoOpenLDAPcapacidadedearmazenarinmeras
contaesistemas(Sambaepam_ldap)parainteragircomessebancodedadosLDAP.Parafinsdeteste,vamosparatestarbind/operaesdeleitura/gravaoem
LDAP,comumapopulaode50.000usurios,50.000computadores.e1000grupos.
14.2Sambadecarga
ComoestamosarmazenarobancodedadosSAMemumdiretrioLDAP,vamosterumolharmaisatentosobreoSambacapacidadeLDAPparainteragirsobestresse
intenso.Parafinsdeteste,vamoscompararSambacomesemoLDAParmazenadoSAM.Nsvamosterquemostrarosresultadosdostestesdeestresse(Smbtorture?)
usando20,50,100,150e200clientes.
14.3HighAvailability
TODO:ApresentarumaconfiguraoHA:oquefazer,comofazlo(usandoKimberlite/segouHearbeat/seg).
15PerguntasFrequentes
15,1usurio/grupo/gestoPerfil
15.1.1Existeumamaneiraparagerenciarusuriosegruposatravsdeumainterfacegrfica?
Seestiverinteressadoemumainterfacegrficaparagerenciargruposdeusurioe,terumolharsobreoidxldapaccountsWebminmdulo.Vocvaiencontrareste
mduloemhttp://webmin.IDEALX.org/.
15.1.2meusperfisnososalvosnoservidor
Certifiquesedequeodiretriodeperfilnoservidortemaspermissescorretas.Vocdevefazerumchmod 1757 / opt / samba / profilesporexemplo.
Adicionalmente,vocpodequererusarogroup=+<nomedogrupo>,criarmscaraeopesrelacionadas.ObservequeoWindowschequede2000,paraodono
doperfilquepodefalharseACLnososuportados.Tenteentoparaadicionarsuporte nt acl = yesnaseodeperfil.
15,2domnioJuntando
15.2.1NopossoparticipardeumMicrosoftWindowsNT4paraodomnionamosca:
Hduassolues:
tenteadicionlomanualmente,usandooscriptsmbldapuseradd(vocdeveserrootnoservidorPDC).SeonomedasuamquinaVMNT,emseguida,alinha
decomando:
smbldap-useradd-w VMNT $
pdbedit -a -m -u VMNT $
Emseguida,tentedenovoparasejuntaraoservidorNT4paraodomnio
paraNT4,contaoservidorpertenceaogrupodeusuriodedomnio.Tenteusaronmero513porcontadocomputador:emsmbldap.conf,definaoseguinte
parmetro:
defaultComputerGid = "513"
15.2.2Nopossoaderiraodomnio
muitasrazespodemcausaresseproblema.verificarosseguintespontos:
noarquivodeconfiguraodosamba(smb.conf),colocarainterfacedeparmetroparaainterfacequeestescutandoaredeon.Nsinicialmentecolocado
"interfaces=192.168.2.0/24127.0.0.1/32",quefezcomqueo"nopodeingressarnodomnio"problema.
Sevocachouestamensagemdeerronologdosamba:Erro: modificaes exigem autenticao na linha /opt/IDEALX/sbin//smbldap_tools.pm
1008,issocertamentesignificaquevocnoconfiguroucorretamenteprivilgiodecontadamquina.Vejaocaptulo10.1
15.2.3Euapagueiomeucomputadordodomnio,eeunopossoligarparaelemais
QuandovocsairdodomnioIDEALXNT,voctemquereiniciaramquina(estaodetrabalho).Sevocnofizerisso,vocnosercapazdejuntarsemaisdo
domnio(porcausadocacheembededestaodetrabalho).Sevocfezissoeeleaindanofunciona,removaacontadamquinadoOpenLDAPdiretrioerecrilo.
Paraisso,useocomandosmbldap-userdel myworstation-nebiosname $.
16Graas
Estedocumentoumtrabalhocoletivo,quevisa:
descobrirrapidamenteosfunctionnalitiesLDAPPDCSambaramo3,
rapidamenteterumaconfiguraodetrabalhoparaajudloadescobrirestetipodeSambadeconfigurao,
EsteguiaumdocumentoatualizadodoHowtoSamba2iniciadaporOlivierLemaire.Povosquedirectamentetrabalharamnoltimolanamentoso:
OlivierLemaire,
DavidLeCorfec,
JrmeTournier(jtournier@IDEALX.com),
MichaelWeisbach(mwei@tuts.nu),
StefanSchleifer(stefan.schleifer@linbit.com).
Oautorgostariadeagradecerasseguintespessoasparaaprestaodeajudacomalgunsdostemasmaiscomplicados,paraesclareceralgunsdostrabalhosinternosdo
SambaouOpenLDAP,porapontarerrosouenganosemversesanterioresdestedocumento,ouemgeralparafazersugestes(porordemalfabtica):
GeraldCarter(jerry@samba.org),
IgnacioCoupeau(icoupeau@unav.es),
MichaelCunningham(archive@xpedite.com),
AdamWilliams(awilliam@whitemice.org),
Algumaspessoasnoirc.openproject.org#sambatcnico
SambaeSambaTNGEquipesdecurso!
17anexos
Aquivocvaiencontraralgumasdocumentaesdeamostraearquivosdeconfigurao,utilizadosnesteHOWTO.
17.1Osarquivosdeconfigurao
17.1.1OpenLDAP
OarquivodeconfiguraodoOpenLDAP:/etc/openldap/slapd.conf
incluem /etc/openldap/schema/core.schema
incluem /etc/openldap/schema/cosine.schema
incluem /etc/openldap/schema/inetorgperson.schema
incluem /etc/openldap/schema/nis.schema
incluem /etc/openldap/schema/samba.schema
schemacheck em
TLSCertificateFile /etc/openldap/ldap.idealx.com.pem
TLSCertificateKeyFile /etc/openldap/ldap.idealx.com.key
TLSCACertificateFile /etc/openldap/ca.pem
TLSCipherSuite: SSLv3
Demanda #TLSVerifyClient
################################################## #####################
# definies de banco de dados BDB
################################################## #####################
BdB banco de dados
sufixo dc = IdealX, dc = org
rootdn "cn = Manager, dc = IdealX, dc = org"
rootpw segredo
diretrio / var / lib / ldap
lastmod em
# usurios podem autenticar e alterar sua senha
acesso a attrs = userPassword, sambaNTPassword, sambaLMPassword
por auto de gravao
auth por annimo
* por nenhum
# Todos os outros atributos so legveis para todos
acesso a *
* por ler
O/etc/openldap/schema/samba.schemaarquivo
OSambaesquemafornecidocomSamba3.0.2cdigofonte(noexemplo/LDAP/).
##
## Arquivo de esquema para OpenLDAP 2.x
## Esquema para armazenar contas de usurios do Samba e mapas de grupo no LDAP
## OIDs so de propriedade da Equipe Samba
##
## Esquemas de pr-requisito - uid (cosine.schema)
## - Carto (inetorgperson.schema)
## - GidNumber (nis.schema)
##
## 1.3.6.1.4.1.7165.2.1.x - attributeTypes
## 1.3.6.1.4.1.7165.2.2.x - objectclasses
##
################################################## ######################
## HISTRICO ##
################################################## ######################
##
## senha hashes
##
#attributetype (1.3.6.1.4.1.7165.2.1.1 NOME 'lmPassword'
# DESC 'LanManager passwd'
# IGUALDADE caseIgnoreIA5Match
# Sintaxe 1.3.6.1.4.1.1466.115.121.1.26 {32} SINGLE-VALUE)
#attributetype (1.3.6.1.4.1.7165.2.1.2 NOME 'ntpassword'
# DESC 'NT passwd'
##
## Bandeiras da conta no formato string ([UWDX])
##
#attributetype (1.3.6.1.4.1.7165.2.1.4 Name 'acctFlags'
# Desc 'Conta Flags'
##
## senha timestamps e polticas
##
#attributetype (1.3.6.1.4.1.7165.2.1.3 NOME 'pwdLastSet'
# DESC 'NT pwdLastSet'
# IGUALDADE integerMatch
# Sintaxe 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE)
#attributetype (1.3.6.1.4.1.7165.2.1.5 NOME 'logonTime'
# DESC 'NT logonTime'
#attributetype (1.3.6.1.4.1.7165.2.1.6 NOME 'logoffTime'
# DESC 'NT logoffTime'
#attributetype (1.3.6.1.4.1.7165.2.1.7 NOME 'kickoffTime'
# DESC 'NT kickoffTime'
#attributetype (1.3.6.1.4.1.7165.2.1.8 NOME 'pwdCanChange'
# DESC 'NT pwdCanChange'
#attributetype (1.3.6.1.4.1.7165.2.1.9 NOME 'pwdMustChange'
# DESC 'NT pwdMustChange'
##
## configuraes de cordas
##
#attributetype (1.3.6.1.4.1.7165.2.1.10 NOME 'HomeDrive'
# DESC 'NT HomeDrive'
#attributetype (1.3.6.1.4.1.7165.2.1.11 NOME 'scriptPath'
# DESC 'NT scriptPath'
#attributetype (1.3.6.1.4.1.7165.2.1.12 NOME 'profilePath "
# DESC 'NT profilePath "
#attributetype (1.3.6.1.4.1.7165.2.1.13 Name 'userWorkstations'
# Desc 'userWorkstations'
#attributetype (1.3.6.1.4.1.7165.2.1.17 NOME 'smbHome'
# DESC 'smbHome'
# Sintaxe 1.3.6.1.4.1.1466.115.121.1.26 {128})
#attributetype (1.3.6.1.4.1.7165.2.1.18 NOME 'domnio'
# DESC 'domnio do Windows NT ao qual o usurio pertence'
# Sintaxe 1.3.6.1.4.1.1466.115.121.1.26 {128})
##
## Usurio e grupo RID
##
#attributetype (1.3.6.1.4.1.7165.2.1.14 NOME 'livrar'
# DESC 'NT livrar'
#attributetype (1.3.6.1.4.1.7165.2.1.15 NOME 'primaryGroupID'
# DESC 'Grupo NT RID'
##
## O objectclass smbPasswordEntry foi depreciado em favor do
## SambaAccount objectclass
##
#objectclass (1.3.6.1.4.1.7165.2.2.1 NOME SUP top AUXILIAR 'smbPasswordEntry'
# DESC 'Samba smbpasswd entrada'
# MUST (uid $ uidNumber)
# MAIO (lmPassword $ ntpassword $ pwdLastSet $ acctFlags))
#objectclass (1.3.6.1.4.1.7165.2.2.2 NOME SUP 'sambaAccount' top ESTRUTURAL
# DESC 'Conta Samba'
# MUST ($ uid livrar)
# MAIO (cn $ lmPassword $ ntpassword $ pwdLastSet $ logonTime $
# LogoffTime $ kickoffTime $ pwdCanChange $ pwdMustChange $ acctFlags $
# DisplayName $ smbHome $ HomeDrive $ scriptPath $ profilePath $
# Description $ userWorkstations $ primaryGroupID $ domain))
#objectclass (1.3.6.1.4.1.7165.2.2.3 NOME SUP top AUXILIAR 'sambaAccount'
# DESC 'Samba conta auxiliar'
# MUST ($ uid livrar)
# MAIO (cn $ lmPassword $ ntpassword $ pwdLastSet $ logonTime $
# LogoffTime $ kickoffTime $ pwdCanChange $ pwdMustChange $ acctFlags $
# DisplayName $ smbHome $ HomeDrive $ scriptPath $ profilePath $
# Description $ userWorkstations $ primaryGroupID $ domain))
################################################## ######################
## FIM DO ## HISTRICO
################################################## ######################
################################################## #####################
## Atributos utilizados pelo Samba esquema 3.0 ##
################################################## #####################
##
## senha hashes
##
attributetype (1.3.6.1.4.1.7165.2.1.24 NOME 'sambaLMPassword'
DESC 'LanManager Senha'
IGUALDADE caseIgnoreIA5Match
Sintaxe 1.3.6.1.4.1.1466.115.121.1.26 {32} SINGLE-VALUE)
attributetype (1.3.6.1.4.1.7165.2.1.25 NOME 'sambaNTPassword'
DESC 'MD4 hash da senha unicode'
##
## Bandeiras da conta no formato string ([UWDX])
##
AttributeType (1.3.6.1.4.1.7165.2.1.26 Name 'sambaAcctFlags'
DESC 'Conta Flags'
##
## senha timestamps e polticas
##
attributetype (1.3.6.1.4.1.7165.2.1.27 NOME 'sambaPwdLastSet'
DESC 'Timestamp da ltima atualizao password'
IGUALDADE integerMatch
Sintaxe 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE)
attributetype (1.3.6.1.4.1.7165.2.1.28 NOME 'sambaPwdCanChange'
DESC 'Timestamp de quando o usurio tem permisso para atualizar a senha'
attributetype (1.3.6.1.4.1.7165.2.1.29 NOME 'sambaPwdMustChange'
DESC 'Timestamp de quando a senha expira'
attributetype (1.3.6.1.4.1.7165.2.1.30 NOME 'sambaLogonTime'
DESC 'Timestamp do ltimo logon'
attributetype (1.3.6.1.4.1.7165.2.1.31 NOME 'sambaLogoffTime'
DESC 'Timestamp da ltima logoff'
attributetype (1.3.6.1.4.1.7165.2.1.32 NOME 'sambaKickoffTime'
DESC 'Timestamp de quando o usurio ser desconectado automaticamente'
##
## configuraes de cordas
##
attributetype (1.3.6.1.4.1.7165.2.1.33 NOME 'sambaHomeDrive'
DESC 'carta Motorista de mapeamento diretrio home'
attributetype (1.3.6.1.4.1.7165.2.1.34 NOME 'sambaLogonScript'
DESC 'Logon caminho script'
IGUALDADE caseIgnoreMatch
attributetype (1.3.6.1.4.1.7165.2.1.35 NOME 'sambaProfilePath'
DESC 'caminho de perfil mvel'
AttributeType (1.3.6.1.4.1.7165.2.1.36 Name 'sambaUserWorkstations'
DESC 'Lista de estaes de trabalho do usurio o usurio tem permisso para efetuar logon'
attributetype (1.3.6.1.4.1.7165.2.1.37 NOME 'sambaHomePath'
DESC 'Diretrio Home UNC caminho'
Sintaxe 1.3.6.1.4.1.1466.115.121.1.15 {128})
attributetype (1.3.6.1.4.1.7165.2.1.38 NOME 'sambaDomainName'
DESC 'domnio do Windows NT ao qual o usurio pertence'
Sintaxe 1.3.6.1.4.1.1466.115.121.1.15 {128})
##
## SID, de qualquer tipo
##
attributetype (1.3.6.1.4.1.7165.2.1.20 NOME 'sambaSID'
DESC 'Segurana ID'
##
## Grupo primrio SID, compatvel com ntSid
##
attributetype (1.3.6.1.4.1.7165.2.1.23 NOME 'sambaPrimaryGroupSID'
'Primary Group Security ID' DESC
##
## atributos de mapeamento grupo
##
attributetype (1.3.6.1.4.1.7165.2.1.19 NOME 'sambaGroupType'
'Tipo Grupo NT' DESC
##
## Info Store no domnio
##
attributetype (1.3.6.1.4.1.7165.2.1.21 NOME 'sambaNextUserRid'
DESC 'Next NT livrar a dar o nosso para os usurios'
attributetype (1.3.6.1.4.1.7165.2.1.22 NOME 'sambaNextGroupRid'
DESC 'Next NT livrar de dar para os grupos'
attributetype (1.3.6.1.4.1.7165.2.1.39 NOME 'sambaNextRid'
DESC 'Next NT livrar de dar por nada'
attributetype (1.3.6.1.4.1.7165.2.1.40 NOME 'sambaAlgorithmicRidBase'
'Base em que o algoritmo de gerao de samba RID deve operar' DESC
################################################## #####################
## objectClasses utilizados pelo Samba esquema 3.0 ##
################################################## #####################
## O modelo de dados X.500 (e, portanto, LDAPv3) diz que cada entrada pode
Apenas ## tm um objectclass estrutural. O OpenLDAP 2.0 no cumprir
## Este momento, mas vai em v2.1
##
## Acrescentou nova classe do objeto (e OID) de 3.0 para nos ajudar a lidar com para trs
## Compatibilidade com 2,2 instalaes (por exemplo ldapsam_compat) --Jerry
##
objectclass (1.3.6.1.4.1.7165.2.2.6 NOME SUP top AUXILIAR 'sambaSamAccount'
DESC 'Samba 3.0 auxiliar SAM Conta'
DEVE (uid $ sambaSID)
MAIO (cn $ sambaLMPassword $ sambaNTPassword $ sambaPwdLastSet $
sambaLogonTime $ sambaLogoffTime $ sambaKickoffTime $
sambaPwdCanChange $ sambaPwdMustChange $ sambaAcctFlags $
displayName $ sambaHomePath $ sambaHomeDrive $ sambaLogonScript $
sambaProfilePath $ descrio sambaUserWorkstations $ $
sambaPrimaryGroupSID $ sambaDomainName))
##
## Grupo de informaes de mapeamento
##
objectclass (1.3.6.1.4.1.7165.2.2.4 NOME SUP top AUXILIAR 'sambaGroupMapping'
'Samba mapeamento de grupo' DESC
DEVE (gidNumber $ sambaSID $ sambaGroupType)
MAIO (displayName $ descrio))
##
## Info-de Whole-domain
##
objectclass (1.3.6.1.4.1.7165.2.2.5 NOME SUP 'sambaDomain' top ESTRUTURAL
'Samba de Domnio' DESC
DEVE (sambaDomainName $
sambaSID)
MAIO (sambaNextRid $ sambaNextGroupRid $ sambaNextUserRid $
sambaAlgorithmicRidBase))
## Utilizado para o mdulo idmap_ldap
objectclass (1.3.6.1.4.1.7165.1.2.2.7 NOME SUP top AUXILIAR 'sambaUnixIdPool'
'Pool para a atribuio de UNIX uids / gids' DESC
DEVE (uidNumber $ gidNumber))
objectclass (1.3.6.1.4.1.7165.1.2.2.8 NOME SUP top AUXILIAR 'sambaIdmapEntry'
"Mapeamento de um SID para um ID 'DESC
DEVE (sambaSID)
MAIO (uidNumber $ gidNumber))
objectclass (1.3.6.1.4.1.7165.1.2.2.9 NOME SUP 'sambaSidEntry' top ESTRUTURAL
DESC 'Classe Estrutural para um SID'
DEVE (sambaSID))
17.1.2smbldaptools
O/ etc / opt / IDEALX / smbldap - ferramentas / smbldap . confarquivo
# $ Fonte: /opt/cvs/samba/samba-ldap-howto/config/smbldap.conf,v $
# $ Id: smbldap.conf, v 1.5 2005/10/31 15:32:57 jtournier Exp $
#
# Smbldap-tools.conf: arquivo de configurao Q & D para smbldap-tools
# Este cdigo foi desenvolvido por IDEALX (http://IDEALX.org/) e
# contribuintes (seus nomes podem ser encontrados no arquivo COLABORADORES).
#
# Copyright (C) 2001-2002 IDEALX
#
# Este programa software livre; voc pode redistribu-lo e / ou
# Modific-lo sob os termos da GNU General Public License
# Como publicado pela Free Software Foundation; tanto a verso 2
# Da Licena, ou (a seu critrio) qualquer verso posterior.
#
# Este programa distribudo na esperana que possa ser til,
# Mas SEM QUALQUER GARANTIA; sem mesmo a garantia implcita de
# COMERCIALIZAO ou ADEQUAO A UM DETERMINADO FIM. Veja o
# GNU General Public License para mais detalhes.
#
# Voc deve ter recebido uma cpia da Licena Pblica Geral GNU
# Junto com este programa; se no, escreva para a Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
# EUA.
# Objetivo:
#. ser o arquivo de configurao para todos os scripts smbldap-tools
################################################## ############################
#
# Configurao Geral
#
################################################## ############################
# Coloque o seu prprio SID. Para obter este nmero faz: "getlocalsid net".
# Se no definido, o parmetro est tomando de volta "getlocalsid net"
SID = "S-1-5-21-4205727931-4131263253-1851132061"
# O nome de domnio do servidor Samba est em cobrado.
# Se no definido, o parmetro est a tomar a partir de arquivo de configurao smb.conf
# Ex: sambaDomain = "IDEALX-NT"
sambaDomain = "IDEALX-NT"
################################################## ############################
#
# Configurao LDAP
#
################################################## ############################
# Notas: usar a dupla servidores LDAP backend para o Samba, voc deve corrigir
# Samba com o patch dual-head de IDEALX. Se no estiver usando este patch
# Basta usar o mesmo servidor para slaveLDAP e masterLDAP.
# Essas duas declaraes de servidores tambm pode ser usado quando voc tem
#. um servidor LDAP principal, onde todas as operaes de escrita deve ser feito
#. um escravo do servidor LDAP, onde todas as operaes de leitura deve ser feito
# (Normalmente um diretrio de replicao)
# Servidor LDAP Slave
# Ex: slaveLDAP = 127.0.0.1
# Se no definido, o parmetro definido como "127.0.0.1"
slaveLDAP = "127.0.0.1"
# Porta Escravo LDAP
# Se no definido, o parmetro definido como "389"
slavePort = "389"
# Mestre do servidor LDAP: necessrio para operaes de gravao
# Ex: masterLDAP = 127.0.0.1
# Se no definido, o parmetro definido como "127.0.0.1"
masterLDAP = "127.0.0.1"
# Porta Mestre LDAP
masterPort = "389"
# Use TLS para LDAP
# Se definido como 1, esta opo ir utilizar START_TLS para conexo
# (Voc tambm deve utilizar a porta 389)
ldapTLS = "0"
# Como verificar o certificado do servidor (nenhum, opcional ou exigir)
# Ver "homem Net :: LDAP" na seo START_TLS para mais detalhes
verificar = "exigir"
# Certificado CA
cafile = ""
# Certificado a ser usado para se conectar ao servidor LDAP
clientcert = ""
# Certificado de chave a ser usado para se conectar ao servidor LDAP
clientkey = ""
# LDAP Sufixo
# Ex: sufixo = dc = IDEALX, dc = ORG
sufixo = "dc = IdealX, dc = org"
# usurios onde esto armazenados
# Ex: usersdn = "ou = Users, dc = IDEALX, dc = ORG"
# Ateno: se "sufixo" no est definido aqui, voc deve definir o DN completo para usersdn
usersdn = "ou = usurios, US $ {sufixo}"
# computadores onde so armazenados
# Ex: computersdn = "ou = Computadores, dc = IDEALX, dc = ORG"
# Ateno: se "sufixo" no est definido aqui, voc deve definir o DN completo para computersdn
computersdn = "ou = Computadores, $ {sufixo}"
# grupos onde so armazenados
# Ex: groupsdn = "ou = Grupos, dc = IDEALX, dc = ORG"
# Ateno: se "sufixo" no est definido aqui, voc deve definir o DN completo para groupsdn
groupsdn = "ou = Grupos, $ {sufixo}"
# Onde so armazenadas entradas idmap (usado se o samba um servidor membro do domnio)
# Ex: groupsdn = "ou = idmap, dc = IDEALX, dc = ORG"
# Ateno: se "sufixo" no est definido aqui, voc deve definir o DN completo para idmapdn
idmapdn = "ou = idmap, $ {sufixo}"
# Onde armazenar prximo uidNumber e gidNumber disponvel para novos usurios e grupos
# Se no definido, as entradas so armazenadas em sambaDomainName objeto.
# Ex: sambaUnixIdPooldn = "sambaDomainName = $ {sambaDomain}, $ {sufixo}"
# Ex: sambaUnixIdPooldn = "cn = NextFreeUnixId, $ {sufixo}"
sambaUnixIdPooldn = "sambaDomainName = IDEALX-NT, $ {sufixo}"
Escopo # Padro Usado
scope = "sub"
# Criptografia de senha Unix (CRIPTA, MD5, SMD5, SSHA, SHA, em texto puro)
hash_encrypt = "SSHA"
# Se hash_encrypt est definido para cripta, voc pode definir um formato de sal.
# Default "% s", mas muitos sistemas ir gerar MD5 hash
senhas # Se voc usar "$ 1 $%. 8s". Esse parmetro opcional!
crypt_salt_format = "% s"
################################################## ############################
#
# Unix Configurao Contas
#
################################################## ############################
# Login defs
# Login padro Shell
# Ex: userLoginShell = "/ bin / bash"
userLoginShell = "/ bin / bash"
# Diretrio Incio
# Ex: userhome = "/ home /% U"
userhome = "/ home /% U"
Modo # Padro usado para usurio homeDirectory
userHomeDirectoryMode = "700"
# GECOS
userGecos = "Usurio do Sistema"
# Default User (POSIX e Samba) GID
defaultUserGid = "513"
# Padro Computer (Samba) GID
defaultComputerGid = "515"
# Skel dir
skeletonDir = "/ etc / skel"
# Validao de senha padro (tempo em dias) Comente a linha seguinte, se
# Voc no quer senha para ser ativado para defaultMaxPasswordAge dias (ser
# Cuidado para o valor do atributo sambaPwdMustChange)
defaultMaxPasswordAge = "45"
################################################## ############################
#
# SAMBA Configurao
#
################################################## ############################
# O caminho UNC para casa leva localizao (% U nome de usurio substituio)
# Basta configur-lo para uma cadeia nula se voc quiser usar o smb.conf 'home logon'
# Directiva e / ou perfis mveis desativar
# Ex: userSmbHome = "\\ PDC-SMB3 \% U"
userSmbHome = "\\ PDC-SRV \% U"
# O caminho UNC para locais perfis (% U nome de usurio de substituio)
# Basta configur-lo para uma cadeia nula se voc quiser usar o "logon path" smb.conf
# Directiva e / ou perfis mveis desativar
# Ex: userProfile = "\\ PDC-SMB3 \ profiles \% U"
userProfile = "\\ PDC-SRV \ profiles \% U"
# O padro de mapeamento inicial Drive Letter
# (Sero mapeadas automaticamente no incio da sesso, se diretrio existe)
# Ex: userHomeDrive = "H:"
userHomeDrive = "H:"
# O nome do script netlogon usurio padro (% U nome de usurio substituio)
# Se no for usado, ser automaticamente username.cmd
# Fazer arquivo de script certeza editado sob o DOS
# Ex: userScript = "startup.cmd" # fazer arquivo de script certeza editado sob o DOS
userScript = "logon.bat"
# Domnio anexado aos usurios "mail" -Atributo
# Quando -M smbldap-useradd usado
# Ex: MailDomain = "idealx.com"
MailDomain = "idealx.com"
################################################## ############################
#
# Smbldap-tools Configurao (default so ok para um RedHat)
#
################################################## ############################
# Permite no usar smbpasswd (se with_smbpasswd == 0 em smbldap_conf.pm), mas
# Preferir biblioteca Crypt :: SmbHash
with_smbpasswd = "0"
smbpasswd = "/ usr / bin / smbpasswd"
# Permite no usar slappasswd (se with_slappasswd == 0 em smbldap_conf.pm)
# Mas preferem Crypt :: bibliotecas
with_slappasswd = "0"
slappasswd = "/ usr / sbin / slappasswd"
# Comente a seguinte linha para se livrar do banner padro
# No_banner = "1"
O/ etc / opt / IDEALX / smbldap - ferramentas / smbldap _ ligamento . confarquivo
############################
# # Configurao de credenciais
############################
# Notas: voc pode especificar o tipo de dois procedimentos se voc usar um
# Mestre ldap para escrever o acesso e um servidor ldap escravo para a leitura de acesso
# Por padro, vamos usar o mesmo DN (por isso vai trabalhar para o padro de Samba
# Release)
slaveDN = "cn = Manager, dc = IdealX, dc = org"
slavePw = "secreto"
masterDN = "cn = Manager, dc = IdealX, dc = org"
masterPw = "secreto"
17.1.3Samba
Oarquivodeconfiguraodosamba:/etc/samba/smb.conf
# Os parmetros globais
[Global]
workgroup = IDEALX-NT
netbios name = PDC-SRV
Interfaces = 192.168.5.11
nome de usurio map = / etc / samba / smbusers
server string = Servidor Samba% v
security = user
encrypt passwords = Yes
min comprimento passwd = 3
obedecer restries pam = No
#unix password sync = Yes
programa #passwd = / usr / local / sbin / smbldap-passwd-u% u
#passwd conversar = "password Mudando para * \ password nNovo *"% n \ n "* Confirme a nova senha *"% n \ n "
ldap passwd sync = Yes
nvel de log = 0
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000
servidor de tempo = Sim
socket options = TCP_NODELAY SO_RCVBUF = 8192 = 8192 SO_SNDBUF
mtodo desconfigurao = hash2
Dos charset = 850
Unix charset = ISO8859-1
logon script = logon.bat
unidade logon = H:
logon home =
logon path =
domain logons = Yes
os level = 65
preferred master = Yes
mestre do domnio = Sim
ganha apoio = Sim
backend passdb = ldapsam: ldap: //127.0.0.1/
# Passdb backend = ldapsam: "ldap: //127.0.0.1/ ldap: //slave.idealx.com"
# Filtro ldap = (& (objectClass = sambaSamAccount) (uid =% u))
ldap administrador dn = cn = samba, ou = Users, dc = IdealX, dc = org
ldap suffix = dc = IdealX, dc = org
grupo sufixo ldap = ou = Groups
ldap sufixo user = ou = Users
ldap mquina suffix = ou = Computadores
ldap idmap suffix = ou = Users
ldap ssl = Start TLS
script de usurio #delete = / usr / local / sbin / smbldap-userdel "% u"
roteiro grupo #delete = / usr / local / sbin / smbldap-groupdel "% g"
# Impressoras configurao
administrador de impressoras = @ "Imprimir Operadores"
load printers = yes
create mask = 0640
suporte acl nt = No
impresso = xcaras
printcap name = cups
tempo morto = 10
conta de convidado = ningum
mapa para o convidado = Bad Usurio
no descer = / proc, / dev, / etc, / lib, / lost + found, / initrd
Show Adicionar assistente de impressora = yes
; para manter as letras maisculas em atalhos em qualquer uma das pastas de perfil:
preservar caso = yes
curto preservar caso = yes
maisculas de minsculas = no
[casas]
comment = repertrio de% U,% u
read only = No
create mask = 0644
browseable = No
[Netlogon]
path = / home / samba / netlogon /
browseable = No
somente leitura = yes
[perfis]
path = / home / samba / profiles
read only = nenhuma
create mask = 0600
browseable = No
ok convidado = Sim
ACLs perfil = yes
poltica csc = disable
# Prxima linha uma tima maneira de proteger os perfis
usurio force =% U
# Prxima linha permite ao administrador acessar todos os perfis
usurios vlidos =% u @ "Domain Admins"
[Impressoras]
comment = Impressoras de rede
administrador de impressoras = @ "Imprimir Operadores"
ok convidado = yes
printable = yes
path = / home / samba / spool /
browseable = No
somente leitura = Sim
printable = Yes
comando de impresso = / usr / bin / lpr-P% p-r% s
comando lpq = / usr / bin / lpq-P% p
lprm comando = / usr / bin / lprm-P% p% j
[Print $]
path = / home / samba / printers
ok convidado = No
browseable = Yes
somente leitura = Sim
usurios vlidos = @ "Imprimir operadores"
write list = @ "Imprimir Operadores"
create mask = 0664
[Pblico]
comment = pblico Repertrio
path = / home / samba / pblico
browseable = Yes
ok convidado = Sim
read only = No
create mask = 0664
/etc/openldap/ldap.conf
17.1.4nss_ldap&pam_ldap
/etc/ldap.conf
Aquiestumexemplocompleto/etc/ldap.confusadonestesmbldaptools.
# O seu servidor LDAP. Deve ser resolvido sem o uso de LDAP.
host 127.0.0.1
# O nome distinto da base de pesquisa.
dc base = IDEALX, dc = ORG
# O nome distinto para se ligar ao servidor com o ID do usurio se eficaz
# raiz. A senha deve ser armazenado em /etc/ldap.secret (modo 600)
rootbinddn cn = nssldap, ou = DSA, dc = IDEALX, dc = ORG
# RFC2307bis contextos de nomeao
nss_base_passwd ou = Users, dc = IDEALX, dc = ORG? uma
nss_base_passwd ou = Computadores, dc = IDEALX, dc = ORG? uma
nss_base_shadow ou = Users, dc = IDEALX, dc = ORG? uma
nss_base_group ou = Groups, dc = IDEALX, dc = ORG? uma
# As opes de segurana
SSL no
md5 pam_password
# - O fim
/etc/ldap.secret
Aquiestumexemplo/etc/ldap.secretusadonestesmbldaptools.
nssldapsecretpwd
/etc/nsswitch.conf
Aquiestumexemplocompleto/etc/nsswitch.confutilizaonestasmbldaptools.
#
# /etc/nsswitch.conf
#
# Um exemplo de arquivo de configurao Name Service Switch. Este arquivo deve ser
# Classificadas com os servios mais utilizados no incio.
#
# A entrada [NOTFOUND = return] 'significa que a busca de uma
# Entrada deve parar se a busca na entrada anterior virou
# Em nada. Observe que, se a busca falhou devido a algum outro motivo
# (Como nenhum servidor NIS respondendo) ento a busca continua com a
# Prxima entrada.
#
# entradas legais so:
#
# Nisplus ou NIS + Use NIS + (NIS verso 3)
# nis ou yp usar o NIS (NIS verso 2), tambm chamado de YP
# Dns Use DNS (Domain Name Service)
arquivos # Use os arquivos locais
# Db usar o banco de dados local arquivos (.db)
# Compat Use NIS no modo de compatibilidade
# Hesiod Use Hesodo para pesquisas de usurios
# [NOTFOUND = return] Pare de procurar se no for encontrado at agora
#
# Para usar db, coloque o "db" na frente de "arquivos" para as entradas que voc quer ser
# Olhou pela primeira vez nos bancos de dados
#
Exemplo:
passwd: arquivos ldap
sombra: arquivos ldap
Grupo: arquivos ldap
hosts: files dns
# Exemplo - obedecer apenas o que nisplus nos diz ...
#services: [notfound = retorno] arquivos nisplus
#networks: [notfound = retorno] arquivos nisplus
#protocols: [notfound = retorno] arquivos nisplus
#rpc: nisplus [notfound = retorno] arquivos
#ethers: [notfound = retorno] arquivos nisplus
#netmasks: [notfound = retorno] arquivos nisplus
bootparams: [notfound = retorno] arquivos nisplus
teres: arquivos
Mscaras de rede: arquivos
redes: arquivos
Protocolos: arquivos
RPC: arquivos
Servios: arquivos
netgroup: arquivos
publickey: nisplus
automount: arquivos
Alias: Arquivos nisplus
17.2Dadosdeexemplo:smbldapbase.ldif
AquiumasadaLDIFdeentradasiniciaisparaoOpenLDAPservidor.Amaioriadosgruposaindanoestoimplementandonosamba:porissoqueelesso
comentadas)
dn: dc = IdealX, dc = org
objectClass: dcObject
objectclass: organizao
o: IdealX
dc: IdealX
dn: ou = Users, dc = IdealX, dc = org
objectClass: organizationalUnit
OU: Os usurios
dn: ou = Groups, dc = IdealX, dc = org
OU: Grupos
dn: ou = Computadores, dc = IdealX, dc = org
OU: Computadores
dn: uid = administrador, ou = Users, dc = IdealX, dc = org
cn: Administrador
sn: Administrador
objectClass: inetOrgPerson
objectClass: shadowAccount
gidNumber: 512
uid: Administrador
uidNumber: 0
homeDirectory: / home /% U
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaHomePath: \\ PDC-SMB3 \ home \% U
sambaHomeDrive: H:
sambaProfilePath: \\ PDC-SMB3 \ profiles \% U \ Administrator
sambaLMPassword: XXX
sambaNTPassword: XXX
sambaAcctFlags: [U]
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-2996
gecos: Administrador Netbios Domnio
dn: uid = ningum, ou = Users, dc = IdealX, dc = org
cn: ningum
sn: ningum
objectClass: inetOrgPerson
objectClass: shadowAccount
gidNumber: 514
uid: ningum
uidNumber: 999
homeDirectory: / dev / null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaHomePath: \\ PDC-SMB3 \ home \% U
sambaHomeDrive: H:
sambaProfilePath: \\ PDC-SMB3 \ profiles \% U \ ningum
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU]
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-2998
dn: cn = Administradores de Domnio, ou = Groups, dc = IdealX, dc = org
objectClass: sambaGroupMapping
gidNumber: 512
NC: Administradores de domnio
memberUid: Administrador
Descrio: Administradores de domnio NetBIOS
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-512
sambaGroupType: 2
exibio: Administradores de domnio
dn: cn = Usurios do Domnio, ou = Groups, dc = IdealX, dc = org
gidNumber: 513
Usurios do Domnio: cn
Descrio: Os usurios de domnio Netbios
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-513
sambaGroupType: 2
Usurios do Domnio: displayName
dn: cn = Convidados do domnio, ou = Groups, dc = IdealX, dc = org
gidNumber: 514
cn: Convidados do domnio
Descrio: Netbios domnio Convidados Usurios
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-514
sambaGroupType: 2
displayName: Convidados do domnio
dn: cn = Operadores de impresso, ou = Groups, dc = IdealX, dc = org
gidNumber: 550
NC: Operadores de impresso
Descrio: Impresso Operadores domnio NetBIOS
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-550
sambaGroupType: 2
Operadores de impresso: displayName
dn: cn = Operadores de backup, ou = Groups, dc = IdealX, dc = org
gidNumber: 551
cn: Operadores de backup
Descrio: Netbios Domnio membros podem ignorar a segurana de arquivos para backup de arquivos
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-551
sambaGroupType: 2
displayName: Operadores de backup
dn: cn = Replicator, ou = Groups, dc = IdealX, dc = org
gidNumber: 552
cn: Replicator
Descrio: Netbios Domnio Suporta replicao de arquivos em um sambaDomainName
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-552
sambaGroupType: 2
displayName: Replicator
dn: cn = Domnio Informtica, ou = Groups, dc = IdealX, dc = org
gidNumber: 553
NC: Domnio Informtica
Descrio: contas de domnio NetBIOS Computadores
sambaSID: S-1-5-21-4231626423-2410014848-2360679739-553
sambaGroupType: 2
exibio: Domnio Informtica
#dn: cn = Administradores, ou = Groups, dc = IdealX, dc = org
#objectClass: PosixGroup
#objectClass: sambaGroupMapping
#gidNumber: 544
#cn: Administradores
#description: Netbios Domnio Os membros podem administrar completamente o computador / sambaDomainName
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-544
#sambaGroupType: 2
#displayName: Administradores
#dn: cn = Users, ou = Groups, dc = IdealX, dc = org
#gidNumber: 545
#cn: Usurios
#description: Os usurios comuns domnio NetBIOS
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-545
#sambaGroupType: 2
#displayName: usurios
#dn: cn = condicionada, ou = Groups, dc = IdealX, dc = org
#gidNumber: 546
#cn: Os hspedes
#memberUid: ningum
#description: Usurios Netbios domnio concedido acesso de convidado para o computador / sambaDomainName
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-546
#sambaGroupType: 2
#displayName: Os hspedes
#dn: CN = Usurios avanados, ou = Groups, dc = IdealX, dc = org
#gidNumber: 547
#cn: Usurios avanados
#description: Netbios Domnio membros podem compartilhar diretrios e impressoras
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-547
#sambaGroupType: 2
#displayName: Usurios avanados
#dn: cn = Operadores de Contas, ou = Groups, dc = IdealX, dc = org
#gidNumber: 548
#cn: Operadores de contas
#description: Usurios domnio NetBIOS para manipular contas de usurios
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-548
#sambaGroupType: 2
#displayName: Operadores de contas
#dn: cn = Operadores de servidor, ou = Groups, dc = IdealX, dc = org
#gidNumber: 549
#cn: Operadores de servidor
#description: domnio NetBIOS Operadores de servidor
#sambaSID: S-1-5-21-4231626423-2410014848-2360679739-549
#sambaGroupType: 2
Operadores do Servidor: #displayName
17,3DSAcontas:smbldapdsa.ldif
AquiumasadaLDIFdecontasDSAquepodeserutilizadoparafinsadministrativos.
dn: ou = DSA, dc = IDEALX, dc = ORG
objectClass: top
ou: DSA
contas de segurana para os clientes LDAP: Descrio
dn: cn = samba, ou = DSA, dc = IDEALX, dc = ORG
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
senhaUsuario: sambasecretpwd
cn: samba
dn: cn = nssldap, ou = DSA, dc = IDEALX, dc = ORG
objectClass: top
senhaUsuario: nssldapsecretpwd
cn: nssldap
dn: cn = smbldap-tools, ou = DSA, dc = IDEALX, dc = ORG
objectClass: top
senhaUsuario: smbldapsecretpwd
NC: smbldap-tools
17.4Asmodalidadesdeexecuo
17.4.1pacotesRedHat
TODO:arquivosdeespecificaopresentesparapacotesRedHatquefizemos.
OpenLDAP
TODO:descreverquiclyquehdenovocomestepacote,eapresentaroarquivospec.
Samba
TODO:descreverrapidamenteoquehdenovocomestepacote,eapresentaroarquivospec.
17.4.2SambaOpenLDAPnoDebianWoody
AnormaSambapacoteDebiancompiladocomsuporteaPAM.Entovoctemqueterafontesambaerecompilarvocmesmo.nesteguia,euuseiSambaverso
2.2.41:
# Apt-get source samba
Emseguida,nosamba2.2.4/editardebianosseguintesarquivos:
regras:selivrardequalquerpamopesdecompilao.Euadicioneitodasasopesemfaltamencionadosnestehowtoredhat.Tambmcomentamalguns
arquivosquenosocriados(porissonoinstalaroumovlas):
61 [fonte f / Makefile] || (fonte cd && ./configure \
62 --host = $ (DEB_HOST_GNU_TYPE) \
63 --build = $ (DEB_BUILD_GNU_TYPE) \
64 --with-ESF \
65 --prefix = / usr \
66 --sysconfdir = / etc \
67 --with-privatedir = / etc \ / samba
68 --localstatedir = / var \
69 --with-netatalk \
70 with-smbmount \
71 with-syslog \
72 --with-sambabook \
73 --with-utmp \
74 with-readline \
75 --with-libsmbclient \
76 with-winbind \
77 --with-msdfs \
78 --with-montagem automtica \
79 with-acl-support \
80 --with-profile \
81 --disable-static \
82 --with-ldapsam)
131 #install -m 0644 fonte / nsswitch / pam_winbind.so \
132 # $ (destdir) / lib / security /
142 #mv $ (destdir) /usr/bin/pam_smbpass.so $ (destdir) / lib / security /
182 #cp debian / samba.pamd $ (DESTDIR) /etc/pam.d/samba

libpamsmbpass.files:livrarsedaentradalib/security/pam_smbpass.so(simoarquivoestvazia),
sambacommon.conffiles:livrarsedaentrada/etc/pam.d/samba(simoarquivoestvazia)
winbind.files:selivrardalib/security/pam_winbind.so
Depoisfazerumdpkgbuildpackagedonveldodiretrioprincipal.quandoterminarvoctema.debprontoparaserinstalado:
# Dpkg-i libsmbclient_2.2.4-1_i386.deb samba-common_2.2.4-1_i386.deb
samba_2.2.4-1_i386.deb smbclient_2.2.4-1_i386.deb smbfs_2.2.4-1_i386.deb
swat_2.2.4-1_i386.deb winbind_2.2.4-1_i386.deb
1
algumasnotasespeciaisdoDebiansofornecidosporWoodynaseo17
2
ResoluodeDNSdeveestarokparausarSambasemgastarhorastentandoentenderporqueachaquesupostoparatrabalharenofazer!
3
Vejahttp://www.pathname.com/fhs/
4
Vejahttp://www.freestandards.org/
5
lembrese:sintaselivreparatestarsoboutrasdistroseSO,eporfavorinforme:vamosatualizaresteHowto
6
GraasaStefanSchleifer,umaseoespecialDebianWoodyestdisponvelnaseo17
7
pacotedebinriopodeserencontradaemhttp://us1.samba.org/samba/ftp/Binary_Packages/RedHat/RPMS/i386/9.0/
8
consultarpathtosambasources/examples/LDAP/smbldaptools/
9
eesquemasnecessriosadicionaiscomoncleoenisporexemplo
10
paragruposdoWindows,sonecessriostantoclassedeobjeto.Paraogrupounix,osambaGroupMappingnonecessrio
11
authconfigumutilitrioRedHatparaconfigurarvocmdulosPAMeNSS
12
sevocquiserfazerissomanualmente,umarquivodeexemploLDIFapresentadonaseo17.2darlhemaisdetalhessobreoqueosobjetosquevocvai
adicionaraoOpenLDAPbancodedados.Copie/coleoemumarquivochamadosmbldapbase.ldifeadicionlousandooseguintecomando(digiteasenhade
administradorDN,"mysecretpw'paracompletarocomandoquandosolicitado):ldapadd-x-h localhost-D "cn = manager , dc = IDEALX, dc = ORG "f
smbldap-base.ldif -W
13
ver8.1paramaisinformaes
14
http://samba.idealx.orgeespecialmentehttp://samba.idealx.org/smbldap-tools.fr.html
15
http://samba.idealx.orgeespecialmentehttp://samba.idealx.org/smbldap-tools.fr.html
16
naverdade,oquevocdeunaseo:8.1.2
Documentos:Copyright2002IDEALXSAS.'IDEALX"propriedadedaIDEALX.'Samba'propriedadedeSambaTeam.Todasasoutrasmarcascomerciais
pertencemaseusrespectivosproprietrios.
EstedocumentofoitraduzidodeL
A
T
E
XporH
E
V
E
A.

Gerar certificadoPEM

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Gerar certificadoPEM

Încărcat de

Drepturi de autor:

Formate disponibile

DireitosAutorais2002IDEALXSASContato:samba@IDEALX.

S-ar putea să vă placă și