Linux autenticando no AD e rodando LTSP com DHCP (Windows 2003)
Nesse artigo quero expôr detalhadamente um caso de sucesso em um cliente onde eu e outro amigo tivemos que colocar o Linux (Ubuntu Server 8.04 LTS) para autenticar no AD do Windows 2003 Server e rodar nele o LTSP 5, pegando do DHCP do 2003. Espero que gostem, pois deu muito trabalho fazer isso, mas ficou muito show!
[ Hits: 40.616 ]
Por: Davi Rodrigues em 08/01/2009 | Blog: http://br.linkedin.com/pub/davi-rodrigues/23/319/68b
Introdução
Como sabem, vamos falar aqui de um serviço que talvez alguém um dia tente fazer por necessidade mesmo, como foi nesse cliente que fomos atender.
O que vamos utilizar:
Essa vai ser a máquina que vamos colocar no domínio AD 2003.
Vamos ao assunto.
# apt-get update
# apt-get install ltsp-server-standalone openssh-server
Após feito, vamos conferir se o SSH esta configurado conforme necessário.
Precisamos que a diretiva "X11Forwarding yes" esteja setada no arquivo a seguir:
# vim /etc/ssh/sshd_config
# ltsp-build-client
Se o ambiente não for instalado com sucesso, tem que remover o diretório "/opt/ltsp/" e rodar de novo o comando.
# rm -rf /opt/ltsp
# ltsp-build-client
Após feitas as configurações é só colocar as máquinas para dar boot pela rede e pronto, o LTSP já é para esta funcionando corretamente.
Concluímos assim a nossa primeira parte do tutorial. O nosso próximo passo é fazer com que os usuários que irão utilizar o LTSP sejam autenticados no Active Directory, vamos lá.
O que vamos utilizar:
- Linux Ubuntu Server 8.04 LTS
- LTSP 5
- Samba
- Winbind
- Kerberos
Essa vai ser a máquina que vamos colocar no domínio AD 2003.
Vamos ao assunto.
Instalando LTSP 5
Vamos instalar o LTSP 5:# apt-get update
# apt-get install ltsp-server-standalone openssh-server
Após feito, vamos conferir se o SSH esta configurado conforme necessário.
Precisamos que a diretiva "X11Forwarding yes" esteja setada no arquivo a seguir:
# vim /etc/ssh/sshd_config
# Package generated configuration file
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
# See the sshd(8) manpage for details
# What ports, IPs and protocols we listen for
Port 22
# Use these options to restrict which interfaces/protocols sshd will bind to
#ListenAddress ::
#ListenAddress 0.0.0.0
Protocol 2
# HostKeys for protocol version 2
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
#Privilege Separation is turned on for security
UsePrivilegeSeparation yes
# Lifetime and size of ephemeral version 1 server key
KeyRegenerationInterval 3600
ServerKeyBits 768
# Logging
SyslogFacility AUTH
LogLevel INFO
# Authentication:
LoginGraceTime 120
PermitRootLogin no
StrictModes yes
RSAAuthentication yes
PubkeyAuthentication yes
#AuthorizedKeysFile %h/.ssh/authorized_keys
# Don't read the user's ~/.rhosts and ~/.shosts files
IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts
RhostsRSAAuthentication no
# similar for protocol version 2
HostbasedAuthentication no
# Uncomment if you don't trust ~/.ssh/known_hosts for RhostsRSAAuthentication
#IgnoreUserKnownHosts yes
# To enable empty passwords, change to yes (NOT RECOMMENDED)
PermitEmptyPasswords no
# Change to yes to enable challenge-response passwords (beware issues with
# some PAM modules and threads)
ChallengeResponseAuthentication no
# Change to no to disable tunnelled clear text passwords
#PasswordAuthentication yes
# Kerberos options
#KerberosAuthentication no
#KerberosGetAFSToken no
#KerberosOrLocalPasswd yes
#KerberosTicketCleanup yes
# GSSAPI options
#GSSAPIAuthentication no
#GSSAPICleanupCredentials yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
#UseLogin no
#MaxStartups 10:30:60
#Banner /etc/issue.net
# Allow client to pass locale environment variables
AcceptEnv LANG LC_*
Subsystem sftp /usr/lib/openssh/sftp-server
UsePAM yes
Configurando ambiente para terminais
Instalando o ambiente para os terminais:# ltsp-build-client
Se o ambiente não for instalado com sucesso, tem que remover o diretório "/opt/ltsp/" e rodar de novo o comando.
# rm -rf /opt/ltsp
# ltsp-build-client
Configurando DHCP do Windows 2003 para o LTSP
Para fazer isso acontecer basta marcar as opções de configuração do DHCP do Windows:- 17 Root Path - 192.168.1.5:/opt/ltsp/i386
- 66 Boot Server Host Name - 192.168.1.5
- 67 Bootfile Name- /ltsp/i386/pxelinux.0
Após feitas as configurações é só colocar as máquinas para dar boot pela rede e pronto, o LTSP já é para esta funcionando corretamente.
Concluímos assim a nossa primeira parte do tutorial. O nosso próximo passo é fazer com que os usuários que irão utilizar o LTSP sejam autenticados no Active Directory, vamos lá.
Páginas do artigo
1. Introdução2. Configurando Linux para autenticar no AD
3. Instalando e configurando o WINBIND e SAMBA
4. Configurando o PAM e commons
Outros artigos deste autor
OpenVPN Matriz > Filial com PPTP
Samba 4 (Active Directory) no Debian/Ubuntu Server
Leitura recomendada
Samba e as "vulnerabilidades" encontradas
Configurando Samba e Windows XP
Sobre WINS (Windows Internet Name Service)
Samba + Windows XP (perfil móvel)
Comentários
[2] Comentário enviado por matux em 10/01/2009 - 10:03h
Grande trabalho, está bem detalhado.
Parabéns pelo Artigo!
Grande trabalho, está bem detalhado.
Parabéns pelo Artigo!
[4] Comentário enviado por davirodrigues em 12/01/2009 - 09:54h
Pois é galera.... os Responsáveis da empresa que fizemos esse serviço, ficaram boquiabertos, simplesmente deslumbrados, realmente foi um serviço muito trabalhoso e muito gratificante....
vlw...
qualquer dúvida posta aew....
flw...
Pois é galera.... os Responsáveis da empresa que fizemos esse serviço, ficaram boquiabertos, simplesmente deslumbrados, realmente foi um serviço muito trabalhoso e muito gratificante....
vlw...
qualquer dúvida posta aew....
flw...
[5] Comentário enviado por edson_nasilva em 19/03/2009 - 11:56h
Olá davirodrigues
Eu li o seu tutorial que é muito bom, mas estou tendo um problema na empresa onde eu trabalho.
Quando eu executo o comando "net ads join -U usuárioadministrador", me retorna um erro que é: Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Disabled account for 'nomedamaquina' in realm 'dominio'.
O meu /etc/hosts está configurado:
ipdoservidor_ad dominio realm
ipdoservidor_ad dominio nomedamaquina
127.0.0.1 localhost.localdomain localhost prx
Também está configurado igualzinho o seu tutorial /etc/krb5.conf e /etc/samba/smb.conf com as modificações necessárias.
No comando "kinit usuarioadministrador_ad" funciona normalmente.
Precisaria solucionar este problema o mais rápido possível.
flw..........
Olá davirodrigues
Eu li o seu tutorial que é muito bom, mas estou tendo um problema na empresa onde eu trabalho.
Quando eu executo o comando "net ads join -U usuárioadministrador", me retorna um erro que é: Failed to set servicePrincipalNames. Please ensure that the DNS domain of this server matches the AD domain, Or rejoin with using Domain Admin credentials. Disabled account for 'nomedamaquina' in realm 'dominio'.
O meu /etc/hosts está configurado:
ipdoservidor_ad dominio realm
ipdoservidor_ad dominio nomedamaquina
127.0.0.1 localhost.localdomain localhost prx
Também está configurado igualzinho o seu tutorial /etc/krb5.conf e /etc/samba/smb.conf com as modificações necessárias.
No comando "kinit usuarioadministrador_ad" funciona normalmente.
Precisaria solucionar este problema o mais rápido possível.
flw..........
[6] Comentário enviado por davirodrigues em 20/03/2009 - 10:47h
Opa......
olha só pelo erro que vc postou, eu tenho 2 sugestões para lhe dar..., primeiro olhar se o DNS esta configurado corretamente(se o DNS for windows, ver os logs de alerta), e segundo verificar se a hora esta sincronizada com o servidor AD, tenta isso e posta aew....
flw...
Opa......
olha só pelo erro que vc postou, eu tenho 2 sugestões para lhe dar..., primeiro olhar se o DNS esta configurado corretamente(se o DNS for windows, ver os logs de alerta), e segundo verificar se a hora esta sincronizada com o servidor AD, tenta isso e posta aew....
flw...
[7] Comentário enviado por davirodrigues em 05/05/2009 - 16:55h
Então "edson_nasilva" como ficou o seu problema? conseguiu resolver esse problema?
posta aew dá notícias...flw...!!!!
Então "edson_nasilva" como ficou o seu problema? conseguiu resolver esse problema?
posta aew dá notícias...flw...!!!!
[8] Comentário enviado por swmxavier em 07/10/2009 - 21:32h
Olá, gostei do tuto mas tenho algumas dúvidas. Tenho ltsp instalado em um ubuntu 8.04, e com alguns terminais já funcionando.
Só que eu queria que todos os usuários tivessem um login e senha únicos, o que já acontece com outros micros(com windows) que estão conectados a uma rede com o win 2003 server, pois eles são autenticados no AD.
Logo, encontrei que a solução seria utilizar o winbind para a autenticação.
Minha rede encontra-se da seguinte forma. O LTSP(rodando DHCP 3) tem 2 interfaces de rede. uma está com um IP fixo(eth1) que faz a conexão com os Thin Clients(pegam o IP do DHCP do LTSP). A outra está configurada para obter o IP através do DHCP da rede.
Minhas dúvidas:
1ª Tenho que conectar os Thin clients na mesma rede onde estão os micros com o windows?
2ª Meu LTSP também tem de ser conectado a esta rede, mas ele precisa ter um IP fixo?
3ª Aquele IP 192.198.1.5 no seu tuto se refere ao IP do LTSP?
Por enquanto eh só.
Depois que os terminais estiverrem bootando através do DHCP do windows volto com mais duvidas com certeza. Obrigado.
Desculpe o detalhamento, sei que vcs entendem muito bem do assunto, mas queria deixar bem clara minha situação.
Olá, gostei do tuto mas tenho algumas dúvidas. Tenho ltsp instalado em um ubuntu 8.04, e com alguns terminais já funcionando.
Só que eu queria que todos os usuários tivessem um login e senha únicos, o que já acontece com outros micros(com windows) que estão conectados a uma rede com o win 2003 server, pois eles são autenticados no AD.
Logo, encontrei que a solução seria utilizar o winbind para a autenticação.
Minha rede encontra-se da seguinte forma. O LTSP(rodando DHCP 3) tem 2 interfaces de rede. uma está com um IP fixo(eth1) que faz a conexão com os Thin Clients(pegam o IP do DHCP do LTSP). A outra está configurada para obter o IP através do DHCP da rede.
Minhas dúvidas:
1ª Tenho que conectar os Thin clients na mesma rede onde estão os micros com o windows?
2ª Meu LTSP também tem de ser conectado a esta rede, mas ele precisa ter um IP fixo?
3ª Aquele IP 192.198.1.5 no seu tuto se refere ao IP do LTSP?
Por enquanto eh só.
Depois que os terminais estiverrem bootando através do DHCP do windows volto com mais duvidas com certeza. Obrigado.
Desculpe o detalhamento, sei que vcs entendem muito bem do assunto, mas queria deixar bem clara minha situação.
[9] Comentário enviado por swmxavier em 27/10/2009 - 18:56h
Olá. Gostaria de saber como ficou o logon das estações (Thin Clients)
Tipo, o login precisa ser usuário@dominio ou não ?
Olá. Gostaria de saber como ficou o logon das estações (Thin Clients)
Tipo, o login precisa ser usuário@dominio ou não ?
[10] Comentário enviado por davirodrigues em 13/11/2009 - 11:43h
precisa não....somente o usuário mesmo
precisa não....somente o usuário mesmo
[11] Comentário enviado por swmxavier em 17/11/2009 - 19:21h
OK.
Obrigado pela resposta Davi.
Já consegui fazer a autenticação e me logar através de uma estação cliente do LTSP.
Mas tenho uma dúvida ainda.
Tenho máquinas windows na rede, que autenticam no AD, todas estas máquinas possuem restrições de acesso a determinados locais da rede e a determinados recursos do sistema, como: painel de controle, executar, trocar o papel de parede e daí por diante. Todas estas estações fazem logon com o mesmo nome de usuário e senha. Porém quando faço login em um thin client com este usuário e senha, eu posso alterar papel de parede, e tenho acesso a todos os painéis de controle possíveis. Gostaria de saber como faço para que as GPO's do AD sejam aplicadas ao usuário quando ele está logado em uma máquina linux.
OK.
Obrigado pela resposta Davi.
Já consegui fazer a autenticação e me logar através de uma estação cliente do LTSP.
Mas tenho uma dúvida ainda.
Tenho máquinas windows na rede, que autenticam no AD, todas estas máquinas possuem restrições de acesso a determinados locais da rede e a determinados recursos do sistema, como: painel de controle, executar, trocar o papel de parede e daí por diante. Todas estas estações fazem logon com o mesmo nome de usuário e senha. Porém quando faço login em um thin client com este usuário e senha, eu posso alterar papel de parede, e tenho acesso a todos os painéis de controle possíveis. Gostaria de saber como faço para que as GPO's do AD sejam aplicadas ao usuário quando ele está logado em uma máquina linux.
[12] Comentário enviado por davirodrigues em 18/11/2009 - 11:13h
Ai é que esta o seu problema GPO não funciona no linux, você vai ter que fazer a configuração do servidor de LTSP mesmo...
achei isto na internet sobre o assunto veja:
De: Rafael Santos <rafa.assun@gmail.com>
Para: linux-br@bazar2.conectiva.com.br
Assunto: Re: (linux-br)Perfil único p/ usuarios
Data: Sat, 24 Dec 2005 12:54:37 -0200
Você poderá facilmente resolver o problema de logar com o mesmo
usuário em todas as máquinas use o conjunto NIS/NFS, é fácil e eficaz.
Procure no Google Linux que você achará muita informação sobre isso.
Para criar um perfil padrão, eu fiz o seguinte:
1 - Criei um usuário;
2 - Mudei o perfil dele da maneira que eu achei mais adequada;
3 - Copiei a pasta .kde e Desktop desse usuário para /etc/skel do
servidor NIS/NFS.
Pronto, todos os usuários que você criar terão essa configuração de perfil.
E para proibir o usuário de alterar o perfil você pode usar o Kiosk, é
um aplicativo para o KDE que você proibe/libera o usuário de alterar o
perfil, inclusive alterar papel de parede caso você queira.
Mais dúvidas pergunte.
Falou
Rafael Santos
=====
esta é o link da página que eu achei:
http://www.zago.eti.br/user-cadastro.txt
tem o email do cara que postou acho que se tiver alguma dúvida com relação a sugestão, vc pode mandar um email para ele, e qualquer outra dúvida me fala aew que eu te ajudo....blz..?
Ai é que esta o seu problema GPO não funciona no linux, você vai ter que fazer a configuração do servidor de LTSP mesmo...
achei isto na internet sobre o assunto veja:
De: Rafael Santos <rafa.assun@gmail.com>
Para: linux-br@bazar2.conectiva.com.br
Assunto: Re: (linux-br)Perfil único p/ usuarios
Data: Sat, 24 Dec 2005 12:54:37 -0200
Você poderá facilmente resolver o problema de logar com o mesmo
usuário em todas as máquinas use o conjunto NIS/NFS, é fácil e eficaz.
Procure no Google Linux que você achará muita informação sobre isso.
Para criar um perfil padrão, eu fiz o seguinte:
1 - Criei um usuário;
2 - Mudei o perfil dele da maneira que eu achei mais adequada;
3 - Copiei a pasta .kde e Desktop desse usuário para /etc/skel do
servidor NIS/NFS.
Pronto, todos os usuários que você criar terão essa configuração de perfil.
E para proibir o usuário de alterar o perfil você pode usar o Kiosk, é
um aplicativo para o KDE que você proibe/libera o usuário de alterar o
perfil, inclusive alterar papel de parede caso você queira.
Mais dúvidas pergunte.
Falou
Rafael Santos
=====
esta é o link da página que eu achei:
http://www.zago.eti.br/user-cadastro.txt
tem o email do cara que postou acho que se tiver alguma dúvida com relação a sugestão, vc pode mandar um email para ele, e qualquer outra dúvida me fala aew que eu te ajudo....blz..?
[13] Comentário enviado por thiagomdr27 em 10/05/2017 - 11:22h
Bom dia, estou em um projeto e para colocar em produção em uma grande quantidade de maquinas em uma instituição. O LTSP já está rodando mas foi solicitado que o servidor LTSP fosse autenticado no AD. Todos os clientes que se logassem no LTSP se autenticasse no AD, é possível?
Parabéns pelo artigo, ficou muito bom (ainda não implementei)
Bom dia, estou em um projeto e para colocar em produção em uma grande quantidade de maquinas em uma instituição. O LTSP já está rodando mas foi solicitado que o servidor LTSP fosse autenticado no AD. Todos os clientes que se logassem no LTSP se autenticasse no AD, é possível?
Parabéns pelo artigo, ficou muito bom (ainda não implementei)
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
A Fundação da Confiança Digital: A Importância Estratégica de uma PKI CA na Segurança de Dados
Como enviar dicas ou artigos para o Viva o Linux
Como Ativar a Aceleração por GPU (ROCm) no Ollama para AMD Navi 10 (RX 5700 XT / 5600) no Gentoo
Dicas
Cairo Dock ainda funcional nos dias de hoje
Configuração de IP fixo via nmcli e resolução de nomes via /etc/hosts no Gentoo
Removendo o bloqueio por erros de senha no Gentoo (systemd)
Papel de Parede Animado no KDE Plasma 6 (Com dicas para Gentoo)
Homebrew: o gerenciador de pacotes que faltava para o Linux!
Tópicos
Hardware (corpo), Software (mente) e Kernel (conexão) (0)
Tentando fazer um "linux ricing" mas falhando miseravelmente... (3)
Elilo e Sofrimento no Slackware (3)
Não consigo instalar as bibliotecas em Python pelo terminal. (1)
Top 10 do mês
-
Xerxes
1° lugar - 125.257 pts -
Fábio Berbert de Paula
2° lugar - 52.666 pts -
Buckminster
3° lugar - 29.933 pts -
Sidnei Serra
4° lugar - 21.329 pts -
Alberto Federman Neto.
5° lugar - 18.713 pts -
Mauricio Ferrari (LinuxProativo)
6° lugar - 18.142 pts -
Daniel Lara Souza
7° lugar - 18.207 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
8° lugar - 17.208 pts -
edps
9° lugar - 15.869 pts -
Diego Mendes Rodrigues
10° lugar - 13.679 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
