Passo a passo: Fedora autenticando usuários no Active Directory
Autenticar o Linux no Active Directory me tomou dias e dias de pesquisa e testes, mas no final acabou se mostrando uma tarefa mais simples do que eu poderia esperar (pelo menos no Fedora e no CentOS). Neste artigo mostro passo a passo como realizar essa configuração.
[ Hits: 88.000 ]
Por: Davidson Rodrigues Paulo em 09/10/2007 | Blog: http://davidsonpaulo.com/
Configurando o Windows Server
Neste artigo considero que o Active Directory esteja instalado no Windows Server 2003 R2 com base de dados de usuários e grupos configurada corretamente de forma que possa ser usada por clientes Windows. As distribuições Linux testadas foram Fedora Core 6 e CentOS 5.
O primeiro passo é instalar o Servidor NIS, componente do Windows Services for Unix (versão 3.5) no servidor Active Directory. Lembre-se: é só o Servidor NIS, não instale nenhum outro componente, pois não é necessário.
Após a instalação, você precisará reiniciar o servidor. Depois disso, abra o console de gerenciamento de usuários e computadores do Active Directory e, na seção Users (usuários), clique com o botão direito em algum usuário e clique em "Propriedades". Você notará a existência de uma aba que não existia antes da instalação o Services for Unix, intitulada UNIX Attributes. Nela, você deverá definir os atributos necessários para que o Linux possa autenticar seus usuários no Active Directory, a saber:
Agora que temos um usuário e um grupo com seus atributos Unix definidos, passemos à configuração do Linux.
O primeiro passo é instalar o Servidor NIS, componente do Windows Services for Unix (versão 3.5) no servidor Active Directory. Lembre-se: é só o Servidor NIS, não instale nenhum outro componente, pois não é necessário.
Após a instalação, você precisará reiniciar o servidor. Depois disso, abra o console de gerenciamento de usuários e computadores do Active Directory e, na seção Users (usuários), clique com o botão direito em algum usuário e clique em "Propriedades". Você notará a existência de uma aba que não existia antes da instalação o Services for Unix, intitulada UNIX Attributes. Nela, você deverá definir os atributos necessários para que o Linux possa autenticar seus usuários no Active Directory, a saber:
- NIS Domain: o mesmo nome de domínio do servidor, só que em letras minúsculas;
- UID: o número identificador de usuário, escolha um número maior que 500;
- Login Shell: o Shell de login. Para permitir que o usuário faça login em máquinas Linux, use /bin/bash e, para negar o acesso, use /sbin/nologin;
- Home Directory: o diretório pessoal do usuário. O padrão é /home/login, mas você pode usar qualquer diretório pessoal que quiser (eu uso /home/grupo/login);
- Primary group name/GID: o grupo primário do usuário. Só será possível utilizar grupos que tenham seus atributos Unix definidos, o que é feito de forma análoga.
Agora que temos um usuário e um grupo com seus atributos Unix definidos, passemos à configuração do Linux.
Páginas do artigo
1. Configurando o Windows Server2. Configurando o Linux: authconfig
3. Configurando o Linux: nss_ldap
4. Criação automática dos diretórios pessoais
Outros artigos deste autor
Instalando e atualizando pacotes no Fedora em computadores sem internet
Fundamentos do sistema Linux - Gerenciadores de inicialização
Zenwalk Core: Para quem só quer o essencial
Dual-boot: instalando o Windows depois do Linux
Leitura recomendada
Sujando as mãos ao instalar Arch Linux (método de instalação novo)
Balanceamento de links no OpenBSD 4.3
Configuração do Shaperd no Debian Lenny
Minix 3.2.0 no ESXi 5.0 - Instalação usando o vSphere Client 5.0
Fedora Core 1 :: Firewall e update
Comentários
[2] Comentário enviado por michel5670 em 09/10/2007 - 14:18h
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
Muito bom esse artigo parabéns, vou tentar aqui no debian!!!!
[3] Comentário enviado por foxrox em 09/10/2007 - 15:26h
Excelente artigo.
Testing on Debian
Depois posto resultado !!
Excelente artigo.
Testing on Debian
Depois posto resultado !!
[4] Comentário enviado por madurinho em 09/10/2007 - 15:54h
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
Amigo parabéns foi um excelente post!!!!!!
tbm testarei no debian e colocarei resultados
LINUS RULES!!!!!!!!!!
[5] Comentário enviado por carlosands em 10/10/2007 - 08:41h
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
Otimo Artigo Davdson
vou fazer um teste no ubuntu e depois coloco os resultados .
Vol.
Carlos.
[7] Comentário enviado por nemphilis em 10/10/2007 - 23:37h
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
Hey bozao!! Olhaih cara, artigo muito bom hein e ja vai ser usado aqui parceiro se eh que lembras dos parceiros "das antigas".
Aquele abraco,
Danyllo
[8] Comentário enviado por dfsantos em 18/10/2007 - 09:03h
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
Otimo artigo Davidson, parabens !
Mais estou com um problema logo na instalação no Service For unix 3.5 nao consigo instala o Servido Nis esta dando um erro, Preciso de ajuda pois acho que e por causa do meu PDC que Ruindows2003 "SP1", mais no site do Micro$oft fala que SFU 3.5 suporta Ruindow$ 2003 mais nao especifica se e somente o "R2"
"Supported Operating Systems: Windows 2000; Windows 2000 Service Pack 3; Windows 2000 Service Pack 4; Windows Server 2003; Windows XP"
Por Favor me ajudem preciso muito desse serviço! desde ja agradeço a todos !
[9] Comentário enviado por dalben em 19/10/2007 - 13:01h
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
Davidson, parabéns pela iniciativa em falar sobre este assunto, pois é bastante complexo e poucas pessoas fizeram esse tipo de integração.
Eu fiz o teu tutorial passo a passo, porém só consegui realizar o teste com o comando id (ou com o comando getent passwd, que faz uma listagem de usuarios), removendo as seguintes linhas do ldap.conf:
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
Sem essas linhas o comando id funciona. Não sei ao certo porque com essas linhas a integração não funciona.
Fiz duas instalações do zero, tanto do Windows Server 2003 R2 e do Fedora 7. No Windows Server, instalei através do painel de controle e selecionei Identity Managemente for Unix e Subsystem for Unix Based Applications.
Um abraço.
João Dalben.
[10] Comentário enviado por davidsonpaulo em 19/10/2007 - 13:14h
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
João,
O Windows Server 2003 R2 possui suporte integrado a autenticação Unix, que precisa ser habilitado, como você fez, quando então as duas linhas do ldap.conf que você citou não precisam ser instaladas e nem o Windows Services for Unix. Eu preferi no artigo descrever o método usando a instalação do Windows Services for Unix por servir para um número maior de versões do Windows, mas no caso do 2003 R2 o método que você usou é o mais indicado.
Um abraço e obrigado pelo dica.
[11] Comentário enviado por dalben em 19/10/2007 - 13:25h
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
Então é isso, a diferença é do S.O. usado por mim. Por enquanto esse ldap.conf é um arquivo meio, obscuro... preciso me familiarizar mais com ele. Com certeza acho que essa é a etapa mais "complicada" da integração.
Mais uma vez parabéns pelo artigo, me ajudou bastante.
[12] Comentário enviado por deuz em 24/10/2007 - 12:18h
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
ola, achei interessante o artigo, estou tentando implementar isso, mas uso o suse 10.3 e o server 2000, tem algum material a respeito? quero controlar os acessos do compartilhamento suse pelo samba através do 2000 server, isso pra nao ter que mexer nas restrições de acesso aos arquivos do linux, por ex. o chmod. Se tiver algo a respeito, e puder me informar, agradeço.
[13] Comentário enviado por marcoafv em 17/06/2009 - 21:27h
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
Cara, parabéns pelo tutorial. Realmente um tutorial que vai ajudar muitas pessoas.
[14] Comentário enviado por fabianorebelo em 09/09/2009 - 10:37h
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
Davidson, estou utilizando o Windows Server 2008 como controlador de dominio. Tive que fazer algumas alterações no ldap.conf e o comando id funciona, o usuario consegue logar, porem não consegue criar o diretorio. No WS 2008 utilizei um recurso do proprio windows em funções -- serviços de diretorio e mudei alguns parametros no ldap.conf, mas o usuario não consegue criar os diretorios no /home. Você sabe o que pode ser?
[15] Comentário enviado por fabianorebelo em 09/09/2009 - 10:52h
Pessol deu certo! Era um parametro no ldap.conf ...
Pessol deu certo! Era um parametro no ldap.conf ...
[16] Comentário enviado por mhiratasup em 17/12/2014 - 10:25h
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Sei que o post é antigo e os comentários também. Mas como ainda tem muita gente que procura por uma ajuda para ingressar o Fedora no domino windows, acho valido meu comentário.
Utilizo Debian como distro, porém resolvi me aventurar no Fedora 21 no computador da empresa. Vi esse tutorial, e apenas para testar, realmente funciona. Mas tem um serio problema. Falha de segurança. Não se deve colocar usuários e senhas em arquivos de configuração. Nos campos binddn UsuarioBind@DOMINIO.COM
bindpw senhadousuariobind, tenho que colocar usuário e senha do domínio que tenha permissão para ler a base do AD. Então, com a minha maquina no domínio, outra pessoa pode logar na maquina(desde que a conta esteja no AD) e então, simplesmente dando um cat no ldap.conf, esta la o usuário e a senha pra quem quiser ver.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Enviar mensagem ao usuário trabalhando com as opções do php.ini
Meu Fork do Plugin de Integração do CVS para o KDevelop
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Compartilhamento de Rede com samba em modo Público/Anônimo de forma simples, rápido e fácil
Cups: Mapear/listar todas as impressoras de outro Servidor CUPS de forma rápida e fácil
Criando uma VPC na AWS via CLI
Tópicos
Tem como instalar o gerenciador AMD Adrenalin no Ubuntu 24.04? (9)
Top 10 do mês
-
Xerxes
1° lugar - 68.092 pts -
Fábio Berbert de Paula
2° lugar - 50.239 pts -
Renato Michnik de Carvalho
3° lugar - 27.313 pts -
Buckminster
4° lugar - 17.148 pts -
Mauricio Ferrari
5° lugar - 15.087 pts -
Alberto Federman Neto.
6° lugar - 14.258 pts -
Diego Mendes Rodrigues
7° lugar - 13.652 pts -
Daniel Lara Souza
8° lugar - 13.668 pts -
edps
9° lugar - 11.618 pts -
Andre (pinduvoz)
10° lugar - 11.357 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
