[FUG-BR] Samba NET ADS JOIN
NullCk
nullck em yahoo.com.br
Sexta Dezembro 7 14:26:43 BRST 2012
Eu sei que a lista é do FreeBSD e eu deveria passar a dica utilizando o FreeBSD, mas como eu quero ajudar e no momento não tenho como montar lab usando FreeBSD, vou mostrar como eu faço no Linux e o Guilherme adapta rs
Instalação de pacotes necessários
yum install -y ntpdate samba samba-client samba-winbind krb5-workstation policycoreutils-python krb5-kdc krb5-config krb5-clients libpam-krb5 krb5-user
Edite o /etc/krb5.conf
cp /etc/krb5.conf /etc/krb5.conf.orig
vim /etc/krb5.config
Deixe ele com o seguinte conteudo
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = DOMINIO.COM
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
CORP.COM = {
kdc = IP DO CONTROLADOR DE DOMINIO
admin_server = IP DO CONTROLADOR DE DOMINIO:749
default_domain = IP DO CONTROLADOR DE DOMINIO
}
[domain_realm]
.dominio.com = DOMINIO.COM
dominio.com = DOMINIO.COM
Crie um ticket no kerberus
kinit administrador em DOMINIO.COM
* onde administrador é uma conta do AD com privilegio de fazer join no dominio
veja se tudo deu certo
klist
Deve aparecer algo assim:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrador em DOMINIO.COM
Valid starting Expires Service principal
10/04/12 15:29:09 10/05/12 01:29:13 krbtgt/DOMINIO.COM em DOMINIO.COM
renew until 10/11/12 15:29:09
Agora vem a configuração do samba
eu deixei o meu assim
[global]
workgroup = DOMINIO
server string = Samba Server
security = ads
netbios name = nomedemaquinacontroladoradoad
realm = DOMINIO.COM
password server = nomedemaquinacontroladoradoad
domain master = no
local master = no
preferred master = no
idmap backend = tdb
idmap uid = 10000-99999
idmap gid = 10000-99999
idmap config TEST:backend = rid
idmap config TEST:range = 10000-99999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind nested groups = yes
winbind refresh tickets = yes
template homedir = /home/CORP/%U
template shell = /bin/bash
# template homedir = /dev/null
# template shell = /dev/null
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
log file = /var/log/samba/log.%m
max log size = 50
Depois manda um testparm para ver se esta tudo em ordem
service nmb start
service smb start
service winbind start
e por ultimo faz um join no dominio
net ads join -U administrador -S DOMINIO.COM
e ve se criou a maquina la no AD e tambem faz um
wbinfo -a usuario%(senha)
Para ver se autentica.
É esse o procedimento para fazer join de um maquina linux no AD, depois o squid fica mais facil de configurar.
Thiago Dias aka nullck
Powered By Linux
LPIC 1| Novell CLA | ITILv3
Linux For Servers
Macintosh For Graphics
Windows For Play Solitaire
--- Em ter, 4/12/12, Alessandro de Souza Rocha <etherlinkii em gmail.com> escreveu:
De: Alessandro de Souza Rocha <etherlinkii em gmail.com>
Assunto: Re: [FUG-BR] Samba NET ADS JOIN
Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd em fug.com.br>
Data: Terça-feira, 4 de Dezembro de 2012, 15:12
Em 4 de dezembro de 2012 15:07, Alessandro de Souza Rocha
<etherlinkii em gmail.com> escreveu:
> Em 4 de dezembro de 2012 14:56,
> <guilherme.rosario em abasetelecom.com.br> escreveu:
>>>
>>> On Dec 4, 2012, at 2:46 PM, guilherme.rosario em abasetelecom.com.br wrote:
>>>
>>>> Pessoal tenho encontrado grande dificuldade para inserir uma maquina dentro de
>>>> um dominio.
>>>>
>>>> Sempre acabo caindo no mesmo erro:
>>>> proxy# net ads join -U usuario
>>>> Enter usuario's password:
>>>> Failed to join domain: Invalid configuration ("workgroup" set to 'DOMAIN.BTU',
>>>> should be 'DOMAINBTU') and configuration modification was not requested
>>>> proxy#
>>>>
>>>> Obs: o dominio DOMAIN.BTU existe e funciona normalmente na rede.
>>>>
>>>> O projeto tem como objetivo autenticar usuarios de um proxy Squid dentro do AD
>>>> (Active Directory)
>>>>
>>>
>>> Boa tarde guilherme utilizo essa string em meu squid para conectar em um banco
>>> LDAP
>>>
>>> /usr/lib64/squid/basic_ldap_auth -R -b "dc=dominio,dc=org" -D
>>> "cn=manager,dc=dominio,dc=org" -w "senhadoldap" -f "mail=%s" ip_do_server
>>>
>>> Isso eu utilizo no linux mais da para adptar para o BSD , nao sei se ajuda ou se
>>> entendi bem .
>>>
>>> Abraço
>>>
>>>
>>>
>>>>
>>>> Alguma sugestao?
>>>>
>>>> Obrigado
>>>>
>>>> -------------------------
>>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>> -------------------------
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>> Nao existe a necessidade de configurar o SAMBA e krb5.conf?
>>
>> Obrigado
>>
>>
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> faltou configurar os kerberos e outra vai fazer o autenticacao via
> ldap ou via ntlm.
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> FreeBSD-BR User #117
> Long live FreeBSD
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
http://www.vivaolinux.com.br/dica/Squid-autenticando-no-Active-Directory-(AD)-Windows-2008-Server
http://www.packetwatch.net/documents/guides/2010021501.php
http://joseph.randomnetworks.com/2005/11/08/freebsd-users-and-groups-with-samba-winbind-and-active-directory/
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
Long live FreeBSD
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd