3
4
5
6
7
8
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
[Publico]
path = /arquivos/samba/publico
browseable = yes
writable = yes
Introduo
Numa pequena rede, manter as senhas dos usurios sincronizadas entre as estaes Windows e o
servidor Samba no chega a ser um grande problema. Mas, em redes de maior porte isto pode
tornar-se uma grande dor de cabea e passar a consumir uma boa parte do seu tempo.
Para solucionar o problema, existe a opo de usar o servidor Samba como um controlador
primrio de domnio (PDC), servindo como um servidor de autenticao para os clientes Windows.
Ao cadastrar um novo usurio no servidor Samba, ele automaticamente pode logar-se em
qualquer uma das estaes configuradas. Ao remover ou bloquear um login, ele automaticamente
bloqueado em todas as estaes. Isto elimina o problema de sincronismo entre as senhas no
servidor e nas estaes e centraliza a administrao de usurios e permisses de acesso no
servidor, simplificando bastante seu trabalho de administrao.
O primeiro passo modificar o arquivo de configurao do Samba. Existem algumas regras
adicionais para transformar o Samba num controlador de domnio. A seo "global" deve conter as
linhas " domain master = yes", "domain logons = yes" e "logon script = netlogon.bat" e
(importante) no deve conter a linha "invalid users = root" pois precisaremos usar a conta de root
no Samba ao configurar os clientes. preciso adicionar tambm um compartilhamento chamado
"netlogon", que conter o script de login que ser executado pelas estaes.
Este um exemplo de arquivo de configurao do Samba para um controlador de domnio. Ele no
contm as configuraes para compartilhamento de impressoras, que voc pode adicionar
(juntamente com os compartilhamentos desejados) depois de testar a configurao bsica:
[global]
workgroup
netbios
server
=
name
string
domain
preferred
local
domain
logon
[homes]
comment
valid
guest
browseable = No
Samba
master
master
master
logons
script
security
encrypt
os
[netlogon]
comment
path
guest
browseable
=
=
=
=
=
Dominio
GDH
PDC
yes
yes
yes
yes
netlogon.bat
=
=
passwords
level
=
user
yes
100
=
=
Servico
de
=
ok
=
=
=
users
ok
Diretorio
=
=
Logon
/var/samba/netlogon
Yes
No
Home
%S
Yes
Acostume-se a sempre rodar o comando "testparm" depois de fazer alteraes no arquivo, pois
ele verifica a sintaxe e indica erros de configurao. Ao configurar o Samba como PDC, ele deve
exibir a mensagem: "Server role: ROLE_DOMAIN_PDC".
Depois de configurar o arquivo, verifique se a conta root do sistema foi cadastrada no Samba e se
as senhas esto iguais. Caso necessrio, use o comando "smbpasswd -a root" para cadastrar o
root.
Aproveite para criar a pasta "/var/samba/netlogon" e configurar corretamente as permisses:
#
mkdir
# chmod 775 /var/samba/netlogon
-p
/var/samba/netlogon
Com o "775" estamos permitindo que alm do root, outros usurios que voc adicionar no grupo
possam alterar o contedo da pasta. Isso pode ser til caso existam outros administradores de
rede alm de voc.
Cadastre agora os logins dos usurios, com as senhas que eles utilizaro para se logar a partir das
mquinas Windows. Neste caso no preciso se preocupar em manter as senhas em sincronismo
entre o servidor e as estaes. Na verdade, as contas que criamos aqui no precisam sequer
existirem nas estaes, pois o login ser feito no servidor. Para adicionar um usurio de teste
"joao", use os comandos:
#
# smbpasswd -a joao
adduser
joao
importante criar tambm a pasta "profile.pds" dentro do diretrio home do usurio, onde o
cliente Windows armazenar as informaes de seo cada vez que o usurio faz logon:
# mkdir /home/joao/profile.pds
Alm das contas para cada usurio, preciso cadastrar tambm uma conta (sem senha) para cada
mquina. Voc deve usar aqui os mesmos nomes usados na configurao de rede em cada cliente.
Se a mquina se chama "athenas" por exemplo, preciso criar um login de mquina com o
mesmo nome:
#
useradd
-d
#
passwd
# smbpasswd -a -m athenas
/dev/null
-s
/bin/false
-l
athenas$
athenas$
Note que nos dois primeiros comandos adicionado um "$" depois do nome, que indica que
estamos criando um login de mquina, que no tem diretrio home (-d /dev/null), no possui um
shell vlido (-s /bin/false) e est travada (passwd -l). Esta conta vlida apenas no Samba, onde
cadastrada com a opo "-m" (machine). Estas contas de mquina so chamadas de "trusted
accounts" ou "trustee".
Por ltimo, necessrio criar o arquivo "/var/samba/netlogon/netlogon.bat", um script que
lido e executado pelos clientes ao fazer logon. Voc pode fazer muitas coisas atravs dele, mas um
exemplo de arquivo funcional :
net
net
use
net time \gdh /set /yes
use
x:
H:
\gdharquivos
/HOME
/yes
Este script faz com que a pasta home de cada usurio (compartilhada pelo Samba atravs da
seo "homes") seja automaticamente mapeada como a unidade "H:" no cliente, o que pode ser
bastante til para backups por exemplo. Naturalmente, cada usurio tem acesso apenas a seu
prprio home.
A segunda linha um exemplo de como fazer com que determinados compartilhamentos do
servidor sejam mapeados no cliente. O "net use x: \gdharquivos /yes" faz com que o
compartilhamento "arquivos" (que precisaria ser configurado no smb.conf) seja mapeado como o
drive "X:" nos clientes. A terceira linha sincroniza o relgio do cliente com o do servidor.
Lembre-se que o "gdh" dentro do netlogon.bat deve ser substitudo pelo nome do seu servidor
Samba, configurado na opo "netbios name =" do smb.conf.
Mais uma configurao til (porm opcional) fazer com que o servidor armazene os arquivos e
configuraes do usurio (recurso chamado Roaming Profiles), fornecendo-os estao no
momento em que o usurio faz logon. Isto permite que o usurio possa trabalhar em outras
mquinas da rede e faz com que seus arquivos de trabalho sejam armazenados no servidor,
diminuindo a possibilidade de perda de dados.
Por outro lado, isto faz com que seja consumido mais espao de armazenamento do servidor e
aumenta o trfego da rede, j que os arquivos precisam ser transferidos para a estao a cada
logon. Isto pode tornar-se um problema caso os usurios da rede tenham o hbito de salvar
muitos arquivos grandes na rea de trabalho.
Note que o servidor no armazena todos os arquivos do usurio, apenas as configuraes,
entradas do menu iniciar, cookies, bookmarks e arquivos temporrios do IE e o contedo das
pastas Desktop, Modelos e Meus Documentos.
Para ativar o suporte no Samba, adicione as duas linhas abaixo no final da seo "global" do
smb.conf (abaixo da linha "logon script = netlogon.bat"):
logon
home
logon path = \%Lprofiles%U
\%L%U.profiles
[profiles]
path
writeable
browseable
create
directory mask = 0700
=
=
=
mask
/var/profiles
Yes
No
0600
#
# chmod 1777 /var/profiles
mkdir
/var/profiles
Cada usurio passa a ter uma pasta pessoal dentro da pasta ("/var/profiles/joao" por exemplo)
onde as configuraes so salvas. Apesar das permisses locais da pasta permitirem que qualquer
usurio a acesse, o Samba se encarrega de permitir que cada usurio remoto tenha acesso apenas
ao seu prprio profile.
As estaes Windows 2000 e Windows XP utilizam os perfis mveis automaticamente quando o
recurso est disponvel no servidor Samba. Voc pode verificar a configurao e, caso desejado,
desativar o uso do perfil mvel no cliente no "Meu Computador > Propriedades > Perfis de Usurio
> Alterar tipo".
Neste ponto a configurao do servidor Samba est pronta. Falta apenas configurar os clientes
Windows para efetuarem logon no domnio.
Nem todas as verses do Windows suportam este recurso. Como controladores de domnio so
usados principalmente em redes de mdio ou grande porte em empresas, a Microsoft no inclui
suporte no Windows XP Home e no XP Starter (tambm chamado jocosamente de "Miserable
Edition"), de forma a pressionar as empresas a comprarem o XP Professional, que mais caro.
A configurao muda de acordo com a verso do Windows:
- No Windows 2000, acesse o "Meu Computador > Propriedades > Identificao de rede >
Propriedades". Coloque aqui o nome do computador (que precisa ser um dos logins de mquinas
adicionados na configurao do Samba) e o nome do Domnio, que definido na opo "
workgroup =" do smb.conf. Para ter acesso a esta opo voc deve estar logado como
administrador:
Na tela de identificao que ser aberta a seguir, logue-se como "root", com a senha definida no
Samba. normal que a conexo inicial demore dois ou trs minutos. Se tudo der certo, voc
saudado com uma mensagem como a abaixo:
necessrio identificar-se como root ao fazer a configurao inicial, para que seja criada a relao
de confiana entre o servidor e o cliente. A partir da aparece a opo opo "Efetuar logon em:
DOMINIo" na tela de login, permitindo que o usurio logue-se usando qualquer uma das contas
cadastradas no servidor. Continua disponvel tambm a opo de fazer um login local.
- No Windows 98 ou ME: Comece logando-se na rede (na tela de login aberta na inicializao)
com o mesmo usurio e senha que ser usado para fazer logon no domnio. Acesse agora o "Painel
de Controle > Redes > Cliente para redes Microsoft > Propriedades". Marque a opo "Efetuar
Logon num domnio NT", informe o nome do domnio e marque a opo "Efetuar logon e restaurar
conexes". Ao terminar, ainda preciso fornecer o CD de instalao e reiniciar a mquina.
Note que as mquinas com o Windows 98/ME no so compatveis com todos os recursos do
domnio, elas acessam o domnio dentro de uma espcie de modo de compatibilidade.
- No Windows XP Professional o procedimento um pouco mais complicado. Comece copiando
o arquivo "/usr/share/doc/samba-doc/registry/WinXP_SignOrSeal.reg" (do servidor), que fica
disponvel ao instalar o pacote "samba-doc". Esta uma chave de registro que precisa ser
instalada no cliente.
Acesse agora as propriedades do "Meu Computador" e na aba "Nome do Computador" clique no
boto "ID de rede". Ser aberto um Wizard que coleta o nome do domnio, nome da mquina e
login de usurio. Lembre-se que necessrio efetuar o primeiro logon como root.
Se no der certo da primeira vez, acesse o "Painel de controle > Ferramentas administrativas >
Diretiva de segurana local > Diretivas locais > Opes de segurana" e desative as seguintes
opes:
Para confirmar se os clientes esto realmente efetuando logon no servidor, use o comando
"smbstatus" (no servidor). Ele retorna uma lista dos usurios e mquina logadas, como em:
Samba
version
PID
Username
----------------------------------------------------4363
joao
joao
Service
pid
machine
----------------------------------------------------joao 4363 athenas Sat Jul 9 10:37:09 2005
Group
3.0.14a-Debian
Machine
athenas
(192.168.o.34)
Connected
at
path = /home/Meu-dominio/ti/suporte
valid users = @grif_suporte // acesso somente a usurios adicionada no grupo grif_suporte
write list = @grif_suporte // somente que faz parte da lista grif_suporte
read only = no
// somente leitura no
force create mode = 0777 // Permisso total para o dono, grupo e usurios
force directory mode = 0777 // Permisso total para o dono, grupo e usurios
vfs objects = recycle, full_audit // auditoria e lixeira
recycle:maxsize = 209715200
recycle:repository = .recycle
[controle]
comment = Controle de qualidade
path = /home/Meu-dominio/department/cq/controle
valid users = @grif_cq
// Recapitulando
write list = @grif_cq
// acesso somente para o grupo grif_cq
read only = no
// somente leitura no
force create mode = 0777 // Permisso total para o dono, grupo e usurios
force directory mode = 0777 // Permisso total para o dono, grupo e usurios
vfs objects = recycle, full_audit // arquivo de auditoria e lixeira
recycle:maxsize = 209715200
// tamanho Maximo lixeira
recycle:repository = .recycle
// nome da lixeira
[orcamento]
comment = Orcamentos
// Comentrio
path = /home/Meu-dominio/department/orc // Criar pasta
valid users = @grif_orc
// Somente
write list = @grif_orc
// Somente
read only = no
// somente leitura no
force create mode = 0777
// Permisso total para o dono, grupo e usurios
force directory mode = 0777
// Permisso total para o dono, grupo e usurios
vfs objects = recycle, full_audit
// auditoria e lixeira
recycle:maxsize = 209715200
// tamanho Maximo
recycle:repository = .recycle
// nome da lixeira
Aps essas configuraes, reinicie o Samba:
# /etc/init.d/samba restart (em Debian e Ubuntu)
# /etc/usr/local/etc/samba restart (derivaes BSD)
Vale lembrar que o arquivo de configurao do Samba igual para todos as distros. Aps concluir
a conf do Samba, aconselhvel nas mquinas clientes configurar em opes de pastas para no
visualizar pastas ocultas, sendo assim os usurios no vero a lixeira estando legvel apenas para
o administrador da rede.
Dvidas, estou online 24ho no MSN cLaudio@linuxtec.com.br.
Obrigado pelo espao...
Configurando o Samba
Primeiro modifique o smb.conf, que o arquivo de configurao do Samba,
adicionando umas regras necessrias para transformar o Samba num
controlador de domnio:
[global]
netbios name = SERVIDOR
workgroup = DOMINIO
server string = Samba %v
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
domain master = yes
domain logons = yes
preferred master = yes
logon path =
os level = 33
wins support = yes
Cadastre agora os usurios, com as senhas que iro utilizar para acessar
sua conta a partir das mquinas Windows.
root@cesar.augustus.nom.br's
# useradd -m -s /bin/false usuario
# smbpasswd -a usuario
NetLogon
O netlogon utilizado para executar um script pelo usurio ao fazer logon.
Adicione essa regra na seo global do smb.conf:
logon script = netlogon.bat
"set
fileformat"
ou
"set
ff"
para
definir
o
formato
de
arquivo DOS/Windows como mostra a ltima linha abaixo, e no esquea de
salvar depois:
root@cesar.augustus.nom.br's
net use h: /HOME
net use z: \\servidor\arquivos /yes
~
~
~
:set ff=dos
Profiles
Se voc quiser, pode fazer com que o servidor Samba armazene os arquivos
e configuraes do usurio, fornecendo ao usurio estao no momento
em que ele faz logon na mquina. Ele diminui a possibilidade de perda de
dados armazenando os arquivos de trabalho no servidor, mas tambm
consume mais espao de armazenamento do servidor e aumenta o trfego
da rede, pois os arquivos so transferidos para a estao a cada logon, e
acaba sendo um problema se o usurio tiver hbito de salvar muitos
arquivos grande na rea de trabalho.
Modifique essa regra da seo "global" do smb.conf:
logon path = \\%L\profiles\%U
Cada usurio vai ter uma pasta pessoal na pasta onde as configuraes
sero salvas, tendo acesso apenas a sua pasta profile.
Fedora/CentOS
Se estiver habilitado o SELinux, execute o seguinte comando:
root@cesar.augustus.nom.br's
Reiniciando o Servidor
Aps ter terminado
servidor Samba:
as
Debian/Ubuntu
root@cesar.augustus.nom.br's
# /etc/init.d/samba restart
Fedora/CentOS
root@cesar.augustus.nom.br's
# service smb restart
# service nmb restart
Slackware
root@cesar.augustus.nom.br's
# /etc/rc.d/rc.samba restart
Pronto.
Link YouTuBe
configuraes,
reinicie
os
servios
do
http://www.youtube.com/watch?v=_134Odkb5sY
http://www.youtube.com/watch?v=kOUpm68s5r4
http://www.youtube.com/watch?v=Xyn-5kH_egE