[FUGSPBR] Re: [FUGSPBR] SAMBólatra - solução de PDC com Samba

Capriotti capriotti em portal7.com.br
Ter Maio 21 08:39:33 BRT 2002


Faltou uma coisinha imprescindivel !

tem que criar uma senha criptografada para o root tambem !

smbpasswd -a root

senao ele nao aceita !

[]s

At 01:46 PM 5/20/2002, you wrote:




>Pois é, minha gente... Viciei.
>
>Da mesma maneira que provadores de vinho e cerveja nas grandes fábricas 
>ficam dependentes
>
>dos produtos que experimentam, eu fiquei com ressaca de Samba.
>
>Mas, de qualquer maneira, gostaria de compartilhar com vocês as soluçãoes 
>que eu encontrei,
>
>E as dúvidas que ainda tenho. Este é um passo-a-passo rápido, sem 
>depuração, para quem
>
>precisa fazer as coisas funcionarem.
>
>Vou colocar abaixo o smb.conf mínimo para se ter o Samba funcionando como 
>PDC (primary
>
>domain controller). Isso significa que uma vez que uma estação NT/2000/9x 
>se autentique
>
>nessa máquina, ela estará autenticada para todo o domínio, podendo fazer 
>acesso a shares de
>
>outras máquinas (servidores que confiem no seu PDC, claro) sem precisar de 
>outro
>
>username/password.
>
>É importante dizer porque eu vim a pesquisar isso, pois você pode estar 
>tendo a mesma
>
>dificuldade.
>
>Ne minha rede eu tinha máquinas 2000 rodando em workgroup, máquinas 98 
>rodando DOMAIN, e 98
>
>rodando workgroup. E o meu todo-poderoso samba, compartilhando um share 
>[publico], uma
>
>impressora e os [home] dos usuários. Um ambiente bem heterogênio, onde 
>tudo funcionava em
>
>paz, harmonia, senhas clear text e felicidade geral.
>
>Um certo dia o administrador de rede malvado (BOFH)- que não sou eu - 
>trocou um notebook com
>
>win98 setado como "DOMINIO" e colocou um w2000 Professioanl em domínio. E 
>daí a máquina 2000
>
>pro não imprimia nem a pau. Tive que apelar e colocar o meu Sambinha para 
>rodar como PDC e
>
>colocar toda as minhas maquininhas para domínio.
>
>Aqui o primeiro truque de rede LanManager: máquinas 95/98 (possívelmente 
>ME e XP home
>
>também) NÃO PARTICIPAM VERDADEIRAMENTE DE DOMÍNIOS ! Essas máquinas não 
>fornecem uma
>
>"identidade de máquina" chamada de "trusted machine" ou "trusted member".
>
>Um domínio, por definição Microsoftesca é:
>Local onde existem usuários conhecidos em "locais" desconhecidos; E 
>máquinas conhecidas com
>
>características conhecidas. Máquinas que têm que ter uma cadastro.
>
>Daí vai que um usuário tem um logon script com suas características e uma 
>máquina tem o seu
>
>script também.
>
>Mas, para chegar até aí, cada usuário tem que ter seu cadastro no sistema, 
>e cada máquina
>
>também.
>
>Esse cadastro - na base de usuários - é feito de maneira transparente e 
>automática no
>
>NT/2000 server, mas precisa de cuidados especiais, em especial no FreeBSD 
>(sim, é
>
>ligeiramente diferente no Linux).
>
>Primeiro crie normalmente o cadastro do usuário, adicionando-o com o 
>adduser (ou vipw ou
>
>/stand/sysinstall, o que for mais ao seu gosto).
>
>Agora, supondo que você tenha uma máquina NT ou 2000 (professional ou 
>server) chamada COMP1:
>
>Crie um usuário comp1$ (assim mmesmo, em letras minúsculas e com um $ no 
>final). Primeira
>
>dificuldade: O FreeBSD não vai deixar você criar um usuário com $ no nome.
>
>A solução para esse tipo de problema é criar um usuário com o nome comp1 
>usando a sua
>
>ferramenta preferida de gerenciamento de usuário (tem gente que gosta de 
>vi, tem gente que
>
>gosta de adduser, fazer o quê... hehehe)
>
>Garanta que esse usuário não vai ter shell, não vai ter diretório home, e 
>vai ter senha
>
>desabilitada.
>
>Agora, para você ter uma conta de usuário com o nome comp1$ você vai ter 
>que usar o vipw e
>
>alterar o arquivo na mão.
>
>Tipicamente uma entrada de uma "trusted machine" no /etc/passwd tem essa cara:
>
>power$:*:5000:5001::0:0:Trusted Machine:/dev/null:/sbin/nologin
>
>Você altera o nome, colocando o $ no final do username, certifica-se que o 
>* está logo após
>
>o username (depois do : ) para desabilitar senhas. Os números 5000 e 5001 
>referem-se a UID e
>
>GID (números sequenciais de usuário e grupo) e deveriam ser atribuídos 
>automaticamente,
>
>durante a criação da conta. /dev/null se refere ao diretório home, e por 
>fim a óbvia negação
>
>do direito de login no sistema.
>
>Isso finaliza a tragédia grega do cadastro da máquina no banco de dados de 
>usuários do
>
>FreeBSD. Claro qeu alguém com mais de 10 máquinas na rede vai querer 
>alterar o script do
>
>addueser para ele passar a aceitar o $ como parte do nome.
>
>Agora é o Samba que pede passagem.
>
>Precisamos cadastrar a máquina NT no domínio; Para isso basta o comando
>
>smbpasswd -a -m comp1
>
>(SEM o $ no final, e com letras minúsculas).
>
>Com isso o computador já vai ser conhecido no domínio, mas ainda não vai 
>ter acesso a ele.
>
>Mas antes de mais nada, temos que ter nosso USUÁRIO cadastrado com senha 
>no samba; E, de
>
>preferência, uma senha diferente da do sistema, caso ele tenha acesso a 
>outros serviços.
>
>Eu acho isso desejável, mas caso você seja daqueles que não concordam, 
>veja referêncfias ao
>
>winbindd nja documentação do samba.
>
>Bom... para incluir seu usuário o comando é
>
>smbpasswd -a username
>
>ele vai pedir para você entrar uma senha e depois confirma-la.
>
>Com isso a parte de cadastros já está pronta, e podemos partir para a 
>parte de configuração
>
>do Samba.
>
>Precisaremos dos seguintes recursos: Pandeiros, cuícas e... 
>oooopppsssss... samba errado.
>
>De novo:
>
>Vamos editar o meu smb.conf para analisar:
>
>
>
>[global]
>
>
>     netbios name = VOICE
>
>;muito embora esteja escrito "workgroup", é o nome do seu domínio mesmo.
>     workgroup = TABAJARACORP
>
>; esta informação eu pastei um pouco para conseguir. Parece ser vital para
>; o sucesso da operação que um dos usuário de administração seja o root.
>;
>      admin users = jose root martin Administrator administrator
>
>;A próxima linha ainda está em testes. Eu deixei, só por via das dúvidas.
>      Domain Admin Group = @wheel
>
>
>; Eu alterei o local e o nome dos arquivos de log para facilitar a vida ! 
>Veja o
>; último share e você vai entender como nos economiza tempo !
>     log file = /var/sambalog/log.%m.doc
>
>; Vamos Garantir que esta máquina vai ser a "preferida"
>; nas eleições de controladores
>
>
>; os lever : Quanto menor, melhor ! Mais prioritária sua máquina vai ser 
>em uma eleição.
>     os level = 31
>     preferred master = yes
>     domain master = yes
>     local master = yes
>
>     ; security settings (tem que ser security = user para ser PDC)
>     security = user
>
>     ; Senha sempre criptografada para um PDC. Esqueça clear text...
>     ; você não está mais usando workgroup ! Agora a coisa é séria !
>     ;
>     encrypt passwords = yes
>
>     ; Claro que temos que explicitar que vamos trabalhar em domínio.
>     domain logons = yes
>
>     ; onde vão os profiles de usuários ? o "profiles" desta linha se 
> refere ao share
>     ; [profile] ali embaixo; LEIA os comentários sobre ele.
>
>     logon path = \\%L\profiles\%U
>
>     ;Não sei até que ponto isso é necessário
>     ; deixei ái para testar mais tarde.
>     ; Fato: não vi nenhum disco H: na máquina cliente.
>     logon drive = H:
>     logon home = \\homeserver\%u
>
>     ; Especificação de script de logon genérico. Dispensável.
>     ; this is a relative **DOS** path to the [netlogon] share
>     logon script = /usr/local/samba/scripts/logon.cmd
>
>; Indispensável para PDC !!!
>
>[netlogon]
>
>     ; Inclui as três linhas seguintes a partir de um exemplo em uma lista 
> de discussão,
>     ; mas até agora não vi isso funcionar. Acho que pode ser deixado de fora.
>
>     comment = On the fly creation off Logon script
>     root preexec = /usr/local/samba/lib/netlogon/logonscript.pl %U %M %m
>     root postexec = /usr/local/samba/lib/netlogon/logoutscript.pl %U %M %m
>
>
>     ; Parece incrível, mas esse diretório está vazio até hoje. E foram 
> dias de briga !
>     path = /usr/local/samba/lib/netlogon
>     read only = yes
>     write list = @samba, @wheel
>     public = no
>     writeable = yes
>     browsable = no
>     force user = root
>     force group = wheel
>
>
>; share for storing user profiles - Este é uma outra história !
>; O windows parece gostar muito deste share. Ele grava TODAS as 
>configurações do usuário
>
>;(especialemnte Win2000) aí !
>; Cor de tela de fundo, preferências, arquivos temporários, papel de 
>parede, arquivos
>
>;gravados no desktop, TUDO !!!
>;
>;O meu ficou com 11 MB !
>; Mas já vi configurações sem isso, e parece funcionar, pois cada máquina 
>trabalha com sua
>
>;cópia local, sem gerar tráfego na rede.
>;
>;A Microsoft fez isso pensando no conceito de "Usuários móveis", ou 
>"roaming", onde, em
>
>;qquer máquina que o usuário se logar vá reprodizor sua interface normal 
>de trabalho.
>;
>; CLAAAAAAAAAAAAARO que o pentium 133 do escritório via aguentar o mesmo 
>tranco que o meu
>
>;notebook P3 933 com 256 de ram que eu uso em campo !!!
>;
>;Vai ser a primeira coisa que eu vou desabilitar quando puder.
>;
>;Gera um tráfego louco na rede sempre que uma máquina liga - e lê as 
>configurações - e
>
>desliga - gravando TUDO !
>;
>;Usuário tem que ter direito de escrita !
>
>[profiles]
>     path = /export/smb/ntprofile
>      writeable = yes
>     browsable = no
>     guest ok = yes
>; Verificar esse "write list"; acho que está errado ; Os perfis são 
>particulares !
>;Só o usuário tem que ter acesso !
>     write list = @samba,root
>;
>
>; Daqui para baixo não é nada necessário, mas pode ser MUITO útil ter 
>esses shares no
>
>momento de um setup.
>
>[samba_docs]
>    path = /usr/local/share/doc/samba/htmldocs
>    public = yes
>    writable = no
>    printable = no
>
>[swat_docs]
>    path = /usr/local/share/swat/help
>    public = yes
>    writable = no
>    printable = no
>
>[samba_log]
>    path = /var/sambalog
>    public = yes
>    writable = no
>    printable = no
>    ; Este share é fantástico ! Não tem que ficar editando arquivo de log 
> a cada
>    ; 2 minutos em um shell ! É só clicar e pronto !
>
>
>Palavras finais:
>
>Quando se está na estação win2000, e a quer incluir no domínio, vai 
>aparecer uma janela pedindo username e password de um usuário com direitos 
>de administrador.
>
>Tentei usar os usuários do grupo wheel, e nada. Retornava algum erro 
>louco, e algumas vezes o processo do Samba abrtava com erro 6 ou 11, com 
>mensagem INTERNAL ERROR nos logs, mas sem core dump.
>
>Quando passei a usar o root, tudo funcionou ! Mas depois de ter definido o 
>root como admin no smb.conf !
>
>A priori acho que é isso, gente. Por favor, usem, testem e mandem suas 
>observações para a lista E para mim em PVT, para podermos montar O 
>tutorial, pois eu passei o inferno até descobrir o que não estava 
>documentado. Nenhuma documentação que eu via até hoje - e foram semanas ! 
>- tem todas as informações.
>
>Possivelmente nem a minha tentativa acima, mas eu vou tentar fazer melhor !
>
>[]s
>
>______________________________________________
>http://www2.fugspbr.org/mailman/listinfo/fugspbr

-*-
Capriotti (capriotti at portal7.com.br)

A solução de qualquer problema é uma questão de tempo.
Never make decisions under crisis situations.

______________________________________________
http://www2.fugspbr.org/mailman/listinfo/fugspbr



Mais detalhes sobre a lista de discussão freebsd