Samba 3 Autenticando em um Domnio AD usando Debian Woody/Sarge Como Plataforma Este documento foi escrito tendo como base

um outro anteriormente gerado por Sulamita Garcia ( tos in!a"noisema ers#org $ por%m usando como base o Debian Woody/Sarge ( o original usa&a Slac 'are $ # ( Samba 3 nos trou)e &*rias no&idades+ uma delas % a capacidade de participar como ,embro -ati&o ( como se fosse uma m*.uina rodando Windo's /0/1P $ de um Domnio AD ( Acti&e Directory $ # As poss&eis aplica23es s4o muitas+ um ser&idor de impress4o por e)emplo+ ou um 5Atac!ed Storage6 barato e com pou.ussima necessidade de gerenciamento+ ou mesmo uma esta24o de trabal!o rodando 7inu) como des top+ se integrando ( e se infiltrando 89 $ ## $ em um ambiente Windo's : As necessidades tanto de ;ard'are .uanto de Soft'are s4o bem modestas+ ten!o um simples Pentium /33 ,,1 com <= ,> de ?A, e ;D de @ G> ser&indo duas impressoras Epson Stylus Color ABB para uma rede de /< m*.uinas e a performance % e)celente e sem .ual.uer problema ou reclama24o dos usu*rios+ .ue na sua maioria nem sabe . a m*.uina roda 7inu) e n4o Windo's :: Csei o Debian principalmente pela incr&el simplicidade de manuten24o proporcionada pelo gerenciador de pacotes apt+ e ele tamb%m % econDmico+ toda a instala24o ( incluindo o Cups e o Samba $ ocuparam apenas 3<B ,>+ mas al%m disto o Debian % uma dais mais completas distribui23es e)istentes ( tal&eE a mais completa mesmo : $ com mais de A#BBB pacotes testados e prontos p/uso : ,4os ao tecladoF Siga as instru23es de instala24o padr4o do Debian Woody+ e ent4o adicione um mirror do 5testing6 ( Sarge $ ao /etc/apt/sources#list ( detal!es no Guia Goca 7inu) $ e ent4o+ para facilitar as coisas crie o ar.ui&o /etc/apt/apt#conf e colo.ue os seguintes parHmetros F APIFFCac!e97imit 5=JKBAA=@6 8 APIFFDefault9?elease 5stable6 8 ( primeiro aumenta o taman!o do cac!e do apt+ pre&enindo .ual.uer problema de&ido ao acrescimo de toda a *r&ore de pacotes do Sarge ao Woody+ e o segundo faE com .ue os pacotes do Sarge seLam usados somente .uando &ocM especificar isto como parHmetro do apt # Para se comunicar com o ADS+ o Samba precisa do 7DAP e do 0erberos# ( 7DAP por sua &eE precisa do >er eleyD> (na &erdade de um D>+ mas a maioria utiliEa >er eleyD>$+ do Cyrus9SAS7+ e do (penSS7# Como o obLeti&o a.ui % tratar do Samba+ &amos mostrar rapidamente como instalar estes pacotes+ Iodos eles presentes nos repositNrios oficiais do Debian # Antes de come2ar+ atualiEe sua lista de pacotes F apt9get update (penSS7 9 Se &c escol!eu a instala24o mnima do Debian % pro&*&el . &c n4o ten!a a liblioteca (penSS7 instalada+ ent4o apro&eite e instale um s!ell seguro .ue l!e permita gerenciar o seu ser&idor 5escra&o6 remotamente F apt9get 9t testing install ss! ( libssl ser* instalado ao mesmo tempo pois % uma das dependMncias do ss! # ?epare no detal!e do 59t testing6 na lin!a de comando do apt+ % assim .ue &c 5for2a6 a instala24o de pacotes do Sarge+ apesar do sistema b*sico continuar sendo um Woody # >er eleyD> O Pnstale a mais recente &ers4o F apt9get 9t testing install libdb@ Cyrus9SAS7/ O A.u &ocM n4o precisa do Cyrus completo+ mas apenas as bibliotecas .ue permitem a autentica24o de usu*rios F apt9get 9t testing install libsasl/ (pen7DAP O Como no tem anterior+ &ocM n4o precisa do seri&idor (pen7DAP completo+ mas apenas das bibliotecas .ue permitem a autentica24o dos clientes baseados em 7DAP F apt9get 9t testing install ldap9gate'ays ldap9utils libldap/ 0erberos O Assim como nos dois tens anteriores &ocM sN precisa das bibliotecas de autentica24o para clientes+ mais o ar.ui&o de configura24o de e)emplo &aEio F apt9get 9t testing install lib rbQ3 rbQ9user rbQ9config Durante a instala24o destes pacotes o sistema de resolu24o de dependMncias sempre l!e pedir* uma confirma24o sobre estas dependMncias+ sempre diga sim+ o apt9dp g % bastante sNlido+ confie nele : ( ar.ui&o de configura24o do 0erberos foi automaticamente criado em /etc/ rbQ#conf+ edite9o F RrealmsS ?EA7, T U dc T ser&idor V

(nde ?EA7, % o seu realm do ADS+ em letras maiWsculas# Ieste sua comunica24o com o ser&idor ADS+ autenticando algum usu*rio e)istente neleF X init usuario"?EA7,#D(#ADS pass'ordF Se n4o retornar mensagem alguma+ est* tudo certo# Se ele retornarF init(&Q$F Cloc s e' too great '!ile getting initial credentials Yerifi.ue o !orario e/ou fuso !or*rio e marca23es de !or*rio de &er4o# Se for outro erro+ ou % erro de sen!a ou de configura24o+ re&ise seu rbQ#conf# Se for o caso adicione um utilit*rio de sincroniEa24o de relNgio F apt9get 9t testing install ntp9date ( .ue interessaF SA,>A Pnstale todos os mNdulos do SA,>A .ue ser4o necess*rios de uma sN &eE F apt9get 9t testing install samba smbclient smbfs 'inbind Depois disto+ temos .ue criar um smb#conf+ e acrescentar estas lin!asF security T ADS pass'ord ser&er T endere2oZdoZADS realm T ?EA7,#D(#ADS Para o ADS+ e estas abai)o para o 'inbindF idmap uid T KBBBB9/BBBB 'inbind gid T KBBBB9/BBBB 'inbind enum users T yes 'inbind enum groups T yes template !omedir T /tmp template s!ell T /bin/bas! ( prN)imo passo % adicionar a m*.uina ao Domnio F net ads Loin 9C Administrator (ou a conta de administrador do '/ $ Apos+ edite o ar.ui&o /etc/nss'itc!#conf+ e onde ele especifica a autentica24o do sistema substituaF pass'dF compat groupF compat por pass'dF files 'inbind s!ado'F files groupF files 'inbind Est* .uase pronto+ reinicie o samba e o 'inbindF X /etc/init#d/'inbind restart X /etc/init#d/samba restart Yerifi.ue a comunica24o do 'inbind+ com o comando 'binfo 9u# Ele de&e retornar os usuarios do ADS# ( mesmo com o comando 'binfo 9g+ sN .ue desta &eE retornando os grupos# Se tudo ocorreu bem+ com o comando getent pass'd de&e mostrar os usuarios do sistema seguidos dos usuarios do ADS# Se tudo ocorreu bem at% a.ui+ Ntimo+ seu samba estar* funcionando autenticando os usu*rios no ADS# Se n4o funcionou+ teste cada um dos passos+ principalmente a configura24o do erberos+ .ue % a grande pe2a de encai)e de tudo# G*bio ?abelo de Deus fabior"aLato#com#br