Vamos autenticar nossa maquina openfiler ao nosso AD com windows 2003. Vamos assumir que nosso dominio chama-se MEUDOMINIO.NET e a maquina que reponde por esse dominio chama-se adm.meudominio.net
vamos colocar a mão na massa.
Meu servidor AD oferece o DNS a rede, então primeiro configurei o meu /etc/resolv.conf
#vim /etc/resolv.conf
search meudominio.net
nameserver 192.168.1.100
Por via das duvidas adcione também em seu arquivo /etc/hosts o nome da maquina do dominio e seu endereço de ip.
192.168.1.100 adm.meudominio.net adm
127.0.0.1 localhost.localdomain localhost
Depois que foi feito isso devemos sincornizar a hora do nosso openfiler com o servidor AD que no meu caso e o adm.meudominio.net (192.168.1.100)
#ntpdate adm
talvez retorne alguma coisa assim...
Looking for host admlider and service ntp
host found : adm.meudominio.net
ntpdate[5488]: the NTP socket is in use, exiting
Edite seu arquivo /etc/nsswitch.conf apague o que estiver nele e adcione do jeito que está abaixo
# vim /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: files
Agora faça um backup das configurações originais do smb.conf
#cp /etc/samba/smb.conf /etc/samba/smb.conf.bkp
Edite o arquivo /etc/samba/smb.conf apague todas as linhas e substitua pelas linhas abaixo.
#vim /etc/samba/smb.conf
# PLEASE DO NOT MODIFY THIS CONFIGURATION FILE!
# This configuration file was autogenerated
# by Openfiler. Any manual changes will be overwritten
# Generated at: Thu Apr 22 7:51:22 BRT 2010
# Global settings
[global]
workgroup = meudominio // grupo de trabalho
server string = openfiler //nome do seu servidor de openfiler
netbios name = OPENFILER
wins server = adm.meudominio.net //servidor de wins
password server = adm.meudominio.net //servidor de senhas
realm = MEUDOMINIO.NET // DOMINIO escreva em caixa alta
log file = /var/log/samba/%m.log
max log size = 0
map to guest = Bad User
guest account = ofguest
display charset = LOCALE
unix charset = UTF-8
dos charset = CP850
encrypt passwords = yes
security = ads // tipo de segurança que devemos usar para essa autenticação
smb passwd file = /etc/samba/smbpasswd
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
pam password change = yes
; username map = /etc/samba/smbusers
obey pam restrictions = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = no
domain master = no
local master = no
preferred master = no
os level = 0
passdb backend = smbpasswd
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind cache time = 15
winbind enum users = yes
winbind enum groups = yes
template homedir = /
template shell = /bin/false
winbind use default domain = yes
## fim do arquivo smb.conf
Reinicie o serviço do samba
#/etc/samba/smb restart
Agora faça um backup do seu arquivo /etc/krb5.conf (kerberos)
#cp /etc/krb5.conf /etc/krb5.conf.bkp
Edite /etc/krb5.conf apague todas as linhas e adicione as linhas abaixo. Onde estiver como MEUDOMINIO.NET coloque seu domínio, e onde estiver como adm.meudominio.net coloque o nome completo de seu servidor de AD
#vim /etc/krb5.conf
[libdefaults]
clockskew = 300
default_realm = MEUDOMINIO.NET
[realms]
MEUDOMINIO.NET = {
kdc = adm.meudominio.net
default_domain = MEUDOMINIO.NET
kpasswd_server = adm.meudominio.net
}
[domain_realm]
.MEUDOMINIO.NET = MEUDOMINIO.NET
Reinicie o kerberos
# /etc/init.d/krb5 restart
Vamos pegar a credencial, lembrando que tem que ser com um usuário do servidor AD de preferencia com permissões de administrador.
# kinit administrator
Password for administrator@MEUDOMINIO.NET:
Digite o comando klist e você deverá ter um retorno parecido com esse abaixo.
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrador@MEUDOMINIO.NET
Valid starting Expires Service principal
01/28/10 08:58:59 01/28/10 18:59:15 krbtgt/MEUDOMINIO.NET@MEUDOMINIO.NET
renew until 01/29/10 08:58:59
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Agora e a parte que ingressamos do dominio.
#net ads join -S MEUDOMINIO.NET -U administrador
Feito isso espere uns 30 segundos e verifique se veio as informações de usuário e grupos do AD
#wbinfo -u
#wbinfo -g
se você conseguir vizualizar seus usuários e grupos do AD deu certo. Caso não consiga vou sugerir para você reiniciar sua maquina openfiler
qualquer duvida ou correção do post mande e-mail para: gilcerio.maduro@gmail.com
no proximo tutorial vamos ensinar a adcionar os discos e fazer os compartilhamento para os usuários e grupos do dominio.
fonte de pesquisa : http://centosbr.org
0 comentários:
Postar um comentário