Samba 4 - Active Directory Open Source - Ubuntu 14.04.4

removido

Neste artigo quero mostrar como configurar o Samba 4 (AD) com o Ubuntu Server 14.04.4. Esta aplicação foi testada em ambiente virtualizado (VirtualBox, Vmware esxi) e fisicamente (servidor único). Ressalto que não conseguiria implementar a estabilidade que consegui sem os colaboradores da comunidade torture e davirodrigues.

[ Hits: 41.492 ]

Por: Perfil removido em 09/03/2016

18 0

Denuncie Favoritos Indicar Impressora

Compilação e instalação do Samba 4.1.13

Vamos efetuar o download do arquivo:

# wget http://www.samba.org/samba/ftp/stable/samba-4.1.13.tar.gz

Vamos descompactar o arquivo:

tar -xf samba-4.1.13.tar.gz

Acesse o diretório:

cd samba-4.1.13/

Execute:

# ./configure

Após:

# make

Geralmente este procedimento demora.

Verá algo parecido no final:

'build' finished successfully (7m59.319s)

Depois:

# make install

Verá algo parecido no final:

'install' finished successfully (1m37.254s)

# /usr/local/samba/bin/samba-tool domain provision

Neste momento você está provisionando o domínio.

O Samba irá te fazer perguntas.

O padrão é o que está entre colchetes.

Vamos lá:

Realm [SEUDOMINIO.LOCAL]: (aperte enter como padrão)
Realm [SEUDOMINIO.LOCAL]: (aperte enter como padrão)
Server Role (dc, member, standalone) [dc]: (aperte enter como padrão)
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (aperte enter como padrão)
DNS forwarder IP address (write 'none' to disable forwarding) [192.168.100.3]:8.8.8.8 (digite 8.8.8.8)

Acima você pode perceber que ele detectou o DNS que você está usando (192.168.100.3). O 8.8.8.8 será um DNS externo (Google).

Administrator password: Senha@sua (informe a senha do usuário Administrator de domínio)

Após isso verá algo parecido:

A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller Hostname: sdm01 NetBIOS Domain: SEUDOMINIO DNS Domain: seudominio.local DOMAIN SID: S-1-5-21-631880342-2659944935-475803411

# /usr/local/samba/sbin/samba
# /usr/local/samba/bin/smbclient --version
Version 4.1.13

# /usr/local/samba/bin/smbclient -L localhost -U%

Verá uma saída parecida:


Domain=[SEUDOMINIO] OS=[Unix] Server=[Samba 4.1.13]

	Sharename       Type      Comment
	---------       ----      -------
	netlogon        Disk      
	sysvol          Disk      
	IPC$            IPC       IPC Service (Samba 4.1.13)
Domain=[SEUDOMINIO] OS=[Unix] Server=[Samba 4.1.13]

	Server               Comment
	---------            -------

	Workgroup            Master
	---------            -------

Se não deu erro, está tudo certo até aqui.

Vamos testar a autenticação:

# /usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'Senha@sua -c 'ls'

Deverá ver algo bem parecido:


Domain=[SEUDOMINIO] OS=[Unix] Server=[Samba 4.1.13]
  .                                   D        0  Tue Mar  1 13:51:05 2016
  ..                                  D        0  Tue Mar  1 13:51:11 2016

		46677 blocks of size 524288. 40994 blocks available

Vamos testar agora o DNS.

Faça backup do seu resolv.conf:

# cp /etc/resolv.conf /etc/resolv.conf.old

Altero o seu arquivo de DNS:

# vim /etc/resolv.conf

Adicione:

domain SEUDOMINIO.LOCAL
nameserver 127.0.0.1

Provavelmente irá ficar assim:

domain SEUDOMINIO.LOCAL
nameserver 127.0.0.1
nameserver 192.168.100.3
nameserver 8.8.8.8

ATENÇÃO: não retire nenhum DNS de seu resolv.conf, apenas adicione.

No máximo três DNS devem ser informados no resolv.conf.

Agora iremos testar o DNS:

# host -t SRV _ldap._tcp.seudominio.local.
_ldap._tcp.seudominio.local has SRV record 0 100 389 sdm01.seudominio.local.

# host -t SRV _kerberos._udp.seudominio.local.
_kerberos._udp.seudominio.local has SRV record 0 100 88 sdm01.seudominio.local.

# host -t A sdm01.seudominio.local.
sdm01.seudominio.local has address 192.168.100.87 sdm01.seudominio.local has address 192.168.0.1

Configurando o Kerberos:

# cp /usr/local/samba/share/setup/krb5.conf /etc/

Vamos editar o arquivo de configuração do Kerberos:

# vim /etc/krb5.conf

Vamos substituir o REALM pelo seu domínio.

${"SEUDOMINIO.LOCAL"}

Vai ficar assim:

[libdefaults]
        default_realm = ${"SEUDOMINIO.LOCAL"}
        dns_lookup_realm = false
        dns_lookup_kdc = true

Vamos testar o Kerberos:

# kinit administrator@SEUDOMINIO.LOCAL

Insira sua senha do administrator, que você colocou na criação do domínio.

Deverá aparecer algo assim:

warning: Your password will expire in 41 days on Ter 12 Abr 2016 13:51:09 BRT

# klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: administrator@SEUDOMINIO.LOCAL Valid starting Expires Service principal 01-03-2016 15:05:34 02-03-2016 01:05:34 krbtgt/SEUDOMINIO.LOCAL@SEUDOMINIO.LOCAL renew until 02-03-2016 15:05:21

Se houve autenticação e o ticket foi gerado, está tudo ok com o kerberos.

Página anterior Próxima página

Páginas do artigo

   1. Preparando o ambiente
   2. Compilação e instalação do Samba 4.1.13
   3. Iniciando o Samba 4 com o sistema
   4. Compartilhando pastas na rede

Outros artigos deste autor

Armazenamento de arquivos em Linux: um estudo de caso

Vírus em Linux?

Deixando o Gnome bonitão em qualquer distribuição

Montando o cache de DNS

Segurança na Internet

Leitura recomendada

Implementando um servidor de domínio

Samba com autenticação simples e lixeira

Instalando o Samba + LDAP no Debian

Adicionando facilidades ao Samba

Samba standalone server com antivírus

Comentários

[1] Comentário enviado por removido em 09/03/2016 - 13:50h

Segue correção de uma linha no meio da página 2 do artigo:

/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'Senha@sua' -c 'ls'

Estava faltando uma aspas simples.

2 0

[2] Comentário enviado por duanioliveira em 09/03/2016 - 17:00h

Somente como um adendo, nas primeiras vezes em que fui implementar o Samba 4, percebi que ele sempre dava problema quando havia muito trafego ou muito acesso simultâneo.
Depois de pesquisar e verificar, notei que a partição /run/lock ficava sempre quase cheia, e quando chegava ao 100% ela travava o Samba.
Então indico a seguinte adição no fstab

tmpfs /run/lock tmpfs rw,noexec,nosuid,nodev,size=52428800 0 0
afim de aumentar a partição e não ocorrer mais esse travamento.
Muito bom artigo!

Abraço

1 0

[3] Comentário enviado por slack_history em 10/03/2016 - 08:30h

Obrigado pela dica duanioliveira .
Abraço.

0 0

[4] Comentário enviado por al0ne_battousai em 11/03/2016 - 07:07h

Somente como comentário a esse excelente artigo, eu pessoalmente não gosto de usar o DNS interno do Samba por dois motivos, personalização ( cache, views, proteção, etc) e capacidade de atender a grande demanda. Mas também por conta dele não suportar, nativamente, DNS reverso e consultas recursivas, infelizmente.

Sempre condiciono minha instalação com o Bind e o DHCP ( quando necessário) no Samba 4 para uma melhor experiência de uso.

Parabéns pelo artigo

2 0

[5] Comentário enviado por slack_history em 11/03/2016 - 11:37h

Obrigado pela sua opinião al0ne_battousai.

0 0

[6] Comentário enviado por Beastie em 07/04/2016 - 10:21h

Ótimo artigo amigo. Parabéns!
--------------------------------------------------------------------------------------------------
Mundo FreeBSD - Conteúdo 100% FreeBSD
http://mundofreebsd.com.br/
--------------------------------------------------------------------------------------------------

1 0

[7] Comentário enviado por Rbrtto em 20/04/2016 - 11:07h

Alguém Poderia me ajudar. sou iniciante em linux.

Na Hora de "testar o Kerberos" estar aparecendo o seguinte "kinit: KDC reply did not match expectations while getting initial credentials" . Obs: estou inserindo a mesma senha do administrator, que usei na criação do domínio, mas mesmo assim continua aparecendo isso. "kinit: KDC reply did not match expectations while getting initial credentials".

0 0

[8] Comentário enviado por slack_history em 20/04/2016 - 16:10h

Por favor, mostra a saída de # cat /etc/krb5.conf

0 0

[9] Comentário enviado por Rbrtto em 20/04/2016 - 16:48h

A saída de # cat /etc/krb5.conf

[libdefaults]
default_realm = ${house.local}
dns_lookup_realm = false
dns_lookup_kdc = true

0 0

[10] Comentário enviado por slack_history em 20/04/2016 - 17:16h

[9] Comentário enviado por Rbrtto em 20/04/2016 - 16:48h

A saída de # cat /etc/krb5.conf

[libdefaults]
default_realm = ${house.local}
dns_lookup_realm = false
dns_lookup_kdc = true

Faltou as aspas e deixar o domain maiúsculo.

Deixe como o abaixo e teste novamente.

[libdefaults]
default_realm = ${"HOUSE.LOCAL"}
dns_lookup_realm = false
dns_lookup_kdc = true

0 0

[11] Comentário enviado por vinnysquincaglia em 10/06/2016 - 19:49h

preciso ter um dns na rede para fazer ele funcionar? ou pode ser o dns padrao do roteador da minha rede tipo 192.168.1.1.

a senha precisa ser complexa?

qualquer computador consegue gerenciar tipo tenho um ruindows 7 consigo gerenciar um computador com ruindows 10?

1 0

[12] Comentário enviado por removido em 11/07/2016 - 16:01h

vinnysquincaglia
Sim. O samba 4 é exigente referente ao Dns.
Pode ser o dns do teu roteador sim.
A senha do administrator precisa ser complexa sim.
Você consegue gerenciar com Windows 7 , 8, 10 e edições server instalando o RSAT ( Administração remota de servidores) .
OBS: No caso do Windows Server , apenas habilite a função de Administração remota de Servidor.

0 0

[13] Comentário enviado por lucashlx em 21/09/2016 - 15:53h

Olá...seu samba4 as atualizações dinâmicas via DNS funciona normalmente ? no meu não tenho que inserir manualmente os registros A.

0 0

[14] Comentário enviado por wiliamtakashi em 28/06/2017 - 13:51h

Primeiramente gostaria de agradecer, nunca havia criado um ad antes, e com este artigo fui capaz de criar um com sucesso.
Aproveitando, há algumas partes do artigo em que tive problemas, e gostaria de citar aqui a solução que encontrei para cada caso, ajudando outros que venham a passar pelas mesmas dificuldades:

- Na preparação do ambiente, o libgnutls-dev já não estava presente no repositório do Debian 8.8, sistema que utilizei, por isso tive que instalar o libgnutls28-dev no lugar;

- Na instalação e configuração do SAMBA, tive que adicionar as linhas abaixo no arquivo /etc/krb5.conf, substituindo os IPs pelo IP do computador com SAMBA instalado para que o teste de DNS funcionasse:

[realms]
SEU.DOMINIO = {
kdc = 172.16.22.3
admin_server = 172.16.22.3
}

-Ainda na instalação e configuração do SAMBA, como já citado em comentários anteriores, está faltando uma aspa simples no teste de autenticação, o correto seria assim:

/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'Senha@sua' -c 'ls'

0 0

[15] Comentário enviado por aeps em 24/07/2017 - 10:17h

Bom dia,

Poderiam me ajudar com uma duvida, acredito que meu problema esteja no DNS.
Instalado e configurado o servidor não pinga mais por exemplo no uol.com.br, Uso um roteado que fornece acesso a internet.
Como verificar onde esta o erro e possível correção?

0 0

[16] Comentário enviado por clzera em 15/03/2018 - 14:06h

Você pode estar tendo um problema que tive também, bom pelo menos eu deleto o arquivo resolv.conf, crio na mão e em seguida uso o comando chattr +i resolv.conf, assim quando reinicia não muda o arquivo.

Aprendi isso nesse link https://www.vivaolinux.com.br/dica/Bloquear-modificacoes-em-um-arquivo-com-chattr

0 0