[FUG-BR] Samba NET ADS JOIN
NullCk
nullck em yahoo.com.br
Sexta Dezembro 7 16:21:34 BRST 2012
Paulo, esse exemplo é para integrar ( fazer join ) com o AD, depois disso podemos usar o helper do proprio squid para autenticar os usuarios do AD
/usr/lib64/squid/squid_ldap_group
Esse helper ai ja funciona super bem
Att,
Thiago Dias aka nullck
Powered By Linux
LPIC 1| Novell CLA | ITILv3
Linux For Servers
Macintosh For Graphics
Windows For Play Solitaire
--- Em sex, 7/12/12, Paulo Henrique - BSD <paulo.rddck em bsd.com.br> escreveu:
De: Paulo Henrique - BSD <paulo.rddck em bsd.com.br>
Assunto: Re: [FUG-BR] Samba NET ADS JOIN
Para: freebsd em fug.com.br
Data: Sexta-feira, 7 de Dezembro de 2012, 16:09
Em 07/12/2012 14:26, NullCk escreveu:
> Eu sei que a lista é do FreeBSD e eu deveria passar a dica utilizando o FreeBSD, mas como eu quero ajudar e no momento não tenho como montar lab usando FreeBSD, vou mostrar como eu faço no Linux e o Guilherme adapta rs
>
> Instalação de pacotes necessários
>
> yum install -y ntpdate samba samba-client samba-winbind krb5-workstation policycoreutils-python krb5-kdc krb5-config krb5-clients libpam-krb5 krb5-user
>
>
> Edite o /etc/krb5.conf
>
>
> cp /etc/krb5.conf /etc/krb5.conf.orig
> vim /etc/krb5.config
>
> Deixe ele com o seguinte conteudo
>
> [logging]
> default = FILE:/var/log/krb5libs.log
> kdc = FILE:/var/log/krb5kdc.log
> admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
> default_realm = DOMINIO.COM
> ticket_lifetime = 24h
> renew_lifetime = 7d
> forwardable = true
>
> [realms]
> CORP.COM = {
> kdc = IP DO CONTROLADOR DE DOMINIO
> admin_server = IP DO CONTROLADOR DE DOMINIO:749
> default_domain = IP DO CONTROLADOR DE DOMINIO
> }
>
> [domain_realm]
> .dominio.com = DOMINIO.COM
> dominio.com = DOMINIO.COM
> Crie um ticket no kerberus
>
> kinit administrador em DOMINIO.COM
> * onde administrador é uma conta do AD com privilegio de fazer join no dominio
>
> veja se tudo deu certo
>
> klist
>
> Deve aparecer algo assim:
>
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: administrador em DOMINIO.COM
>
> Valid starting Expires Service principal
> 10/04/12 15:29:09 10/05/12 01:29:13 krbtgt/DOMINIO.COM em DOMINIO.COM
> renew until 10/11/12 15:29:09
>
> Agora vem a configuração do samba
>
> eu deixei o meu assim
>
> [global]
> workgroup = DOMINIO
> server string = Samba Server
> security = ads
> netbios name = nomedemaquinacontroladoradoad
> realm = DOMINIO.COM
> password server = nomedemaquinacontroladoradoad
> domain master = no
> local master = no
> preferred master = no
> idmap backend = tdb
> idmap uid = 10000-99999
> idmap gid = 10000-99999
> idmap config TEST:backend = rid
> idmap config TEST:range = 10000-99999
> winbind separator = +
> winbind enum users = yes
> winbind enum groups = yes
> winbind use default domain = yes
> winbind nested groups = yes
> winbind refresh tickets = yes
> template homedir = /home/CORP/%U
> template shell = /bin/bash
> # template homedir = /dev/null
> # template shell = /dev/null
> client use spnego = yes
> client ntlmv2 auth = yes
> encrypt passwords = yes
> restrict anonymous = 2
> log file = /var/log/samba/log.%m
> max log size = 50
>
> Depois manda um testparm para ver se esta tudo em ordem
>
> service nmb start
> service smb start
> service winbind start
>
> e por ultimo faz um join no dominio
>
> net ads join -U administrador -S DOMINIO.COM
>
> e ve se criou a maquina la no AD e tambem faz um
>
> wbinfo -a usuario%(senha)
> Para ver se autentica.
>
> É esse o procedimento para fazer join de um maquina linux no AD, depois o squid fica mais facil de configurar.
Nullck,
No caso é requerido ter o Kerberos integrado com o Samba, ou esse
exemplo que passou é para Active Directory da Microsoft ?
Att. Paulo Henrique.
--
Paulo Henrique
BSD Brasil
Fone: (21) 9683-5433
Genuine user Unix/BSD :D
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Mais detalhes sobre a lista de discussão freebsd