[FUG-BR] Samba NET ADS JOIN

NullCk nullck em yahoo.com.br
Sexta Dezembro 7 16:21:34 BRST 2012


Paulo, esse exemplo é para integrar ( fazer join ) com o AD, depois disso podemos usar o helper do proprio squid para autenticar os usuarios do AD 

/usr/lib64/squid/squid_ldap_group

Esse helper ai ja funciona super bem 

Att,

Thiago Dias aka nullck
Powered By Linux
LPIC 1| Novell CLA | ITILv3
Linux For Servers
Macintosh For Graphics
Windows For Play Solitaire



--- Em sex, 7/12/12, Paulo Henrique - BSD <paulo.rddck em bsd.com.br> escreveu:

De: Paulo Henrique - BSD <paulo.rddck em bsd.com.br>
Assunto: Re: [FUG-BR] Samba NET ADS JOIN
Para: freebsd em fug.com.br
Data: Sexta-feira, 7 de Dezembro de 2012, 16:09

Em 07/12/2012 14:26, NullCk escreveu:
> Eu sei que a lista é do FreeBSD e eu deveria passar a dica utilizando o FreeBSD, mas como eu quero ajudar e no momento não tenho como montar lab usando FreeBSD, vou mostrar como eu faço no Linux e o Guilherme adapta rs
>
> Instalação de pacotes necessários
>
> yum install -y ntpdate samba samba-client samba-winbind krb5-workstation policycoreutils-python krb5-kdc krb5-config krb5-clients libpam-krb5 krb5-user
>
>
> Edite o  /etc/krb5.conf
>
>
> cp /etc/krb5.conf /etc/krb5.conf.orig
> vim /etc/krb5.config
>
> Deixe ele com o seguinte conteudo
>
> [logging]
>   default = FILE:/var/log/krb5libs.log
>   kdc = FILE:/var/log/krb5kdc.log
>   admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
>   default_realm = DOMINIO.COM
>   ticket_lifetime = 24h
>   renew_lifetime = 7d
>   forwardable = true
>
> [realms]
>   CORP.COM = {
>    kdc = IP DO CONTROLADOR DE DOMINIO
>    admin_server = IP DO CONTROLADOR DE DOMINIO:749
>    default_domain = IP DO CONTROLADOR DE DOMINIO
>   }
>
> [domain_realm]
>   .dominio.com = DOMINIO.COM
>   dominio.com = DOMINIO.COM
> Crie um ticket no kerberus
>
> kinit administrador em DOMINIO.COM
> * onde administrador é uma conta do AD com privilegio de fazer join no dominio
>
> veja se tudo deu certo
>
> klist
>
> Deve aparecer algo assim:
>
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: administrador em DOMINIO.COM
>
> Valid starting     Expires            Service principal
> 10/04/12 15:29:09  10/05/12 01:29:13  krbtgt/DOMINIO.COM em DOMINIO.COM
>          renew until 10/11/12 15:29:09
>
> Agora vem a configuração do samba
>
> eu deixei o meu assim
>
> [global]
>      workgroup = DOMINIO
>      server string = Samba Server
>      security = ads
>      netbios name = nomedemaquinacontroladoradoad
>      realm = DOMINIO.COM
>      password server = nomedemaquinacontroladoradoad
>      domain master = no
>      local master = no
>      preferred master = no
>      idmap backend = tdb
>      idmap uid = 10000-99999
>      idmap gid = 10000-99999
>      idmap config TEST:backend = rid
>      idmap config TEST:range = 10000-99999
>      winbind separator = +
>      winbind enum users = yes
>      winbind enum groups = yes
>      winbind use default domain = yes
>      winbind nested groups = yes
>      winbind refresh tickets = yes
>     template homedir = /home/CORP/%U
>     template shell = /bin/bash
>     # template homedir = /dev/null
>     # template shell = /dev/null
>      client use spnego = yes
>      client ntlmv2 auth = yes
>      encrypt passwords = yes
>      restrict anonymous = 2
>      log file = /var/log/samba/log.%m
>      max log size = 50
>
> Depois manda um testparm para ver se esta tudo em ordem
>
> service nmb start
> service smb start
> service winbind start
>
> e por ultimo faz um join no dominio
>
> net ads join -U administrador -S DOMINIO.COM
>
> e ve se criou a maquina la no AD e tambem faz um
>
> wbinfo -a usuario%(senha)
> Para ver se autentica.
>
> É esse o procedimento para fazer join de um maquina linux no AD, depois o squid fica mais facil de configurar.
Nullck,
No caso é requerido ter o Kerberos integrado com o Samba, ou esse 
exemplo que passou é para Active Directory da Microsoft  ?

Att. Paulo Henrique.

-- 
Paulo Henrique
BSD Brasil
Fone: (21) 9683-5433
Genuine user Unix/BSD :D

-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Mais detalhes sobre a lista de discussão freebsd