Samba 4 como controlador de domínio

Após muitas pesquisas na Internet e muitas frustrações com artigos que prometem transformar o Samba 4 como controlador de domínio, resolvi criar este artigo. Percebi que muitos usuários do Viva o Linux buscavam também soluções e tutoriais capazes de satisfazer esta necessidade. Mesmo este sendo o meu primeiro artigo, espero que ajude a todos que buscam um tutorial completo sobre o assunto.

[ Hits: 125.144 ]

Por: Harley Costa em 17/01/2013


BIND - DHCP



BIND

Vamos configurar a parte mais importante deste tutorial, que é o BIND9. Neste caso, o nosso servidor DNS será atualizado automaticamente por DHCP, para que fique ainda mais fácil administrar nosso domínio.

1. Vamos considerar que você tenha um endereço de IP estático em sua placa de rede, caso não tenha, adicioná-lo, conforme seu IP e rede.

2. Editar o arquivo /etc/hosts e colocar o endereço do servidor com o domínio, conforme exemplo:

127.0.0.1           localhost
127.0.1.1           Server.shl.local   Server
192.168.75.156  Server.shl.local   Server

3. Também efetuar a mudança no arquivo /etc/resolv.conf, e deixá-lo conforme IP e domínio da rede:

nameserver 127.0.0.1
nameserver 192.168.75.156
search shl.local

4. Matar o processo do dhclient:

# killall -9 dhclient

5. Criar o domínio no /etc/bind/named.conf.local, segue o meu como exemplo, caso queira utilizá-lo é só mudar o nome do seu domínio e IP:

acl internals {
   127.0.0.0/8;
   192.168.75.0/24;
};

include "/etc/bind/rndc.key";
controls {
   inet 127.0.0.1 allow {localhost; } keys { "rndc-key"; };
};

zone "shl.local" {
   type master;
   file "/etc/bind/shl.db";
   allow-update { key "rndc-key"; };
   notify yes;
};

zone "75.168.192.in-addr.arpa" {
   type master;
   file "/etc/bind/rev.75.168.192.in-addr.arpa";
   allow-update { key "rndc-key"; };
   notify yes;
};

Criar o arquivo .bd conforme o meu exemplo, shl.bd, lembrando que esse arquivo deve ter o mesmo nome daquele criado no named.conf.local:

  $TTL    86400
  @       IN      SOA     shl.local. root.shl.local. (
                          1         ; Serial
                     604800         ; Refresh
                      86400         ; Retry
                    2419200         ; Expire
                      86400 )       ; Negative Cache TTL
  
  @       IN      NS      Server.shl.local.
Server     IN      A       192.168.75.156
  _kerberos._tcp.shl.local.        IN      SRV     0 0 88 Server.shl.local.
  _ldap._tcp.shl.local.            IN      SRV     0 0 389 Server.shl.local.
  _kpasswd._udp.shl.local.         IN      SRV     0 0 464 Server.shl.local.

6. Criar o arquivo rev.75.168.192.in-addr.arpa com os registros, saliento mais uma vez, que este arquivo deve ter o mesmo nome e caminho daquele configurado no name.conf.local:

;
; BIND reverse data file for broadcast zone
;
$TTL   604800
@   IN   SOA   Server.shl.local. root.shl.local. (
               1      ; Serial
          604800      ; Refresh
           86400      ; Retry
         2419200      ; Expire
          604800 )   ; Negative Cache TTL
;
@   IN   NS   Server.shl.local.
1   IN   PTR   Server.shl.local.

7. Criar o arquivo para gerenciar a chave gerada pelo BIND 9:

# touch /var/cache/bind/managed-keys.bind
# chown bind:bind /var/cache/bind/managed-keys.bind


8. Para terminar a configuração do DNS, devemos editar o arquivo name.conf.default-zones, acrescentando as seguintes linhas:

# vi /etc/bind/named.conf-default-zones

view "external" {
  match-clients { any; };
recursion yes;
};

Temos acima o arquivo do BIND, com os registros necessários, que são os servidores Kerberos e LDAP principalmente. Colocamos nosso servidor a utilizar o DNS da rede interna somente quem possuir a chave secreta, o que nos dá um pouco mais de segurança.

Não esqueça de reiniciar o servidor BIND e verificar os logs. Caso haja algum erro, você deve corrigi-los, pois os serviços do Samba 4 são altamente dependentes de um DNS bem configurado.

Para testar os serviços, basta digitar os seguintes comandos, e as saídas serão essas que estão exibidas abaixo. Caso não apareça estas informações, verificar o servidor DNS e verificar todos os passos até aqui:

# nslookup Server.shl.local
Server:  127.0.0.1
Address: 127.0.0.1#53
Name:    Server.shl.local
Address: 192.168.75.156

# dig -t srv _kerberos._tcp.shl.local +short
0 0 88 Server.shl.local.

# dig -t srv _ldap._tcp.shl.local +short
0 0 389 Server.shl.local.

# dig -t srv _kpasswd._udp.shl.local +short
0 0 464 Server.shl.local.

# dig Server.shl.local +short
192.168.75.156

Servidor DHCP

Definiremos qual interface o servidor DHCP vai escutar editando o arquivo, utilize conforme a interface do servidor:

# vi /etc/default/isc-dhcp-server

INTERFACES="eth0"

# mv /etc/dhcp/dhcpd.conf /etc/dhcp/dhcpd.old
# touch /etc/dhcp/dhcpd.conf
# vi /etc/dhcp/dhcpd.conf


authoritative;
server-identifier 192.168.75.156;
ignore client-updates;
subnet 192.168.75.0 netmask 255.255.255.0{
        range 192.168.75.20 192.168.75.220;
        option subnet-mask 255.255.255.0;
        default-lease-time 604800;
        max-lease-time 2592000;
        option broadcast-address 192.168.75.255;
        option routers 192.168.75.2;
        option domain-name-servers 192.168.75.156;
        option domain-name "shl.local";
        option netbios-name-servers 192.168.75.156;
        option netbios-node-type 8;
}


ddns-updates on;
update-static-leases on;   #clientes com IP estático estão incluídas nas atualizações
ddns-update-style interim;
ddns-domainname "shl.local";
ddns-rev-domainname "in-addr.arpa.";
include "/etc/bind/rndc.key";
zone shl.local {
        primary 192.168.75.156;
        key rndc-key;
        }
zone 75.168.192.in-addr.arpa. {
        primary 192.168.75.156;
        key rndc-key;
}


# IP fixo do PDC
   host Server {
   hardware ethernet 00:0c:29:fa:3c:55;
   fixed-address 192.168.75.156;
};

Conceder permissão na pasta do BIND, para o DHCP escrever nela:

# chmod 755 /etc/bind

Não colocarei as descrições das linhas, pois existem milhares de tutoriais de implementação do serviço de DHCP no Debian.

Página anterior     Próxima página

Páginas do artigo
   1. Serviços do Samba 4
   2. BIND - DHCP
   3. Kerberos e configurações finais
Outros artigos deste autor

Resara Server Configuration

Leitura recomendada

Controle de impressão por usuário

Permitindo o uso da internet usando o login do SAMBA

Samba e as "vulnerabilidades" encontradas

Ativar Log de Acessos do Samba no OpenMediaVault

Samba 4 - Configurado para reportar a diferentes redes

  
Comentários
[1] Comentário enviado por cruzeirense em 17/01/2013 - 14:51h

Bom artigo.

Acrescentando algumas dicas:
1-É possível utilizar o servidor DNS que acompanha o samba4. Ele é instalado automáticamente.
2-Para cadastrar um usuário no domínio você terá que respeitar as regras de validação de senha do servidor. Para mudar essas regras utilize os seguintes comandos:
Desativar a verificação de complexidade de senha (por padrão a senha de qualquer usuário deve ter pelo menos três dos quatro ítens: Maiúsculas, Minusculas, Números, Simbolos):
/usr/local/samba/bin/samba-tool domain passwordsettings set complexity=off

Mudar o tamanho mínimo da senha (definindo como 4):
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-length=4

Mudar o prazo mínimo em que o usuário pode mudar a senha (usuário só vai poder mudar a senha após 4 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-age=4

Mudar o tempo de vida máximo da senha do usuário (usuário terá que mudar a senha após 30 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set max-pwd-age=30

Mudar o histórico de senhas que impede que o usuário utilize uma senha repetida (usuário não vai poder repetir nenhuma das últimas 5 senhas)
/usr/local/samba/bin/samba-tool domain passwordsettings set history-length=5

3 - Para mudar a senha de um usuário do domínio dentro do windows xp basta logar com o usuário, pressionar ctrl+alt+del e clicar em alterar senha.

4 - Tem esse "como fazer" no site oficial do samba que também é bem completo:
http://wiki.samba.org/index.php/Samba4/HOWTO

Estou com o samba4 em um debian x64 a quase um mês e está funcionando perfeitamente. Ele funciona também como controle de acesso a internet (squid) integrado ao diretório (inclusive buscando os grupos) e também o acesso aos arquivos compartilhados. Funciona também como servidor de autenticação do nosso sistema interno.

[2] Comentário enviado por phrich em 17/01/2013 - 18:33h

Parabéns pela iniciativa, só tenho um comentário a fazer quando vc diz:

"* Mais uma coisa: Aqui, o Samba 4 não inicia junto com o S.O., precisa ser iniciado manualmente caso ocorra um desligamento ou reinício do servidor."

Basta fazer um script para ele iniciar junto do S.O. ou então criar uma chamada em /etc/rc.local apontando para o binário do SAMBA.

Mais uma vez parabéns!

[3] Comentário enviado por cruzeirense em 18/01/2013 - 09:36h

Para o samba4 iniciar automaticamente siga isto:

https://wiki.samba.org/index.php/Samba4/InitScript

[4] Comentário enviado por viniciusraupp em 18/01/2013 - 19:01h

Ótimo tutorial tche.
Abaixo um link de mais entradas no DNS, isto se não usar o dns interno do samba4, acho que são opcionais já que as descritas no tutorial já funcionam:
https://wiki.samba.org/index.php/Samba4/DNS
Também vale lembrar que ao configurar o bind9 com views nas zonas, é necessário colocar em todas as zonas, não apenas na "external" como representada no tutorial.

[5] Comentário enviado por dtux em 21/01/2013 - 08:46h

Já testei mto o Samba4, e nos teste ele está totalmente pronto para produção, já testei com servidor de e-mail, proxy, autenticação mista, meu TCC foi baseado nele, sua integração com outra plataformas (AD M$) está OK, podemos fazer redundância entre outras coisas.

[6] Comentário enviado por deividpilla em 22/01/2013 - 14:27h

Ótimo tutorial, bem explicado.
Mas estou com o seguinte problema ao iniciar o samba, ele inicia por no log.samba, consta:
/usr/local/samba/sbin/samba_dnsupdate: couldn't get address for 'domain.local': not found

E ao rodar o comando "/usr/local/samba/sbin/samba_dnsupdate --verbose":
couldn't get address for 'domain.com': not found
Failed nsupdate: 1
Calling nsupdate for SRV _gc._tcp.default-first-site-name._sites.domain.local samba-dc.domain.loca 3268
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.default-first-site-name._sites.domain.local. 900 IN SRV 0 100 3268 samba-dc.domain.local.

couldn't get address for 'domain.local': not found
Failed nsupdate: 1
Failed update of 17 entries

Está tudo funcionando, apenas o update de DNS que está com erro aparentemente.



[7] Comentário enviado por dbbrito em 23/01/2013 - 09:14h

Parabéns pelo artigo!

Da pra fazer com o centos 6?

[8] Comentário enviado por ctavares em 23/01/2013 - 09:44h

E quanto ao desempenho do AD, ele está na opinião dos que já utilizam e testaram pior, melhor ou igual ao da Microsoft?

[9] Comentário enviado por viniciusraupp em 23/01/2013 - 14:41h

Deividpilla, você esta usando o dns interno do samba4 ou o bind9 externo ? se for externo será necessário fazer alguns ajustes como atualizar pra uma versão mais nova >= 9.8.0 e acrescentar um include no named.conf
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO#DNS_Server
Se for o interno, não é necessário configurar nada mais além que o arquivo resolv.conf e hosts descritos no tutorial.


[6] Comentário enviado por deividpilla em 22/01/2013 - 14:27h:

Ótimo tutorial, bem explicado.
Mas estou com o seguinte problema ao iniciar o samba, ele inicia por no log.samba, consta:
/usr/local/samba/sbin/samba_dnsupdate: couldn't get address for 'domain.local': not found

E ao rodar o comando "/usr/local/samba/sbin/samba_dnsupdate --verbose":
couldn't get address for 'domain.com': not found
Failed nsupdate: 1
Calling nsupdate for SRV _gc._tcp.default-first-site-name._sites.domain.local samba-dc.domain.loca 3268
Outgoing update query:
;; ->>HEADER<<- opcode: UPDATE, status: NOERROR, id: 0
;; flags:; ZONE: 0, PREREQ: 0, UPDATE: 0, ADDITIONAL: 0
;; UPDATE SECTION:
_gc._tcp.default-first-site-name._sites.domain.local. 900 IN SRV 0 100 3268 samba-dc.domain.local.

couldn't get address for 'domain.local': not found
Failed nsupdate: 1
Failed update of 17 entries

Está tudo funcionando, apenas o update de DNS que está com erro aparentemente.




[10] Comentário enviado por r.garcia em 23/01/2013 - 15:44h

Configurei o Samba4 em VM e depois encontrei esse artigo. Utilizei o DNS interno do Samba. Acho que tá bacana, só penso que facilitaria integrar as ferramentas do Windows também para criação de usuários, visto que o administrador precisa se logar no servidor onde está o Samba e executar o comando /usr/local/samba/bin/samba-tool user add USERNAME (o que também não é o fim do mundo, só para administradores Windows que são preguiçosos...). Com excessão da criação de usuários, eu consegui criar grupos e OUs, aplicar GPOs, script de logon, etc, pelas ferramentas de administração remota do Windows. Como foi com pouquíssimos usuários, a performance foi ótima. Quando criamos as GPOs, o Windows às vezes demora para aplicar, com o Samba4 como AD DC a aplicação foi muito rápida. Enfim, ficou muito bacana.

[11] Comentário enviado por cruzeirense em 23/01/2013 - 16:46h

Prezado r.garcia,

Adicionar usuários, grupos, OU, etc... no Diretório basta, conforme dito no arquivo, instalar em algum computador que esteja no domínio, as ferramentas de administração da microsoft:
Windows XP: http://www.microsoft.com/en-us/download/details.aspx?id=15326
Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Depois de instalado basta acessar as ferramentas e criar seus usuários no modo gráfico.

Para mim funcionou perfeitamente.
()s

Renato

[10] Comentário enviado por r.garcia em 23/01/2013 - 15:44h:

Configurei o Samba4 em VM e depois encontrei esse artigo. Utilizei o DNS interno do Samba. Acho que tá bacana, só penso que facilitaria integrar as ferramentas do Windows também para criação de usuários, visto que o administrador precisa se logar no servidor onde está o Samba e executar o comando /usr/local/samba/bin/samba-tool user add USERNAME (o que também não é o fim do mundo, só para administradores Windows que são preguiçosos...). Com excessão da criação de usuários, eu consegui criar grupos e OUs, aplicar GPOs, script de logon, etc, pelas ferramentas de administração remota do Windows. Como foi com pouquíssimos usuários, a performance foi ótima. Quando criamos as GPOs, o Windows às vezes demora para aplicar, com o Samba4 como AD DC a aplicação foi muito rápida. Enfim, ficou muito bacana.


[12] Comentário enviado por Tacioandrade em 23/01/2013 - 20:38h


[11] Comentário enviado por cruzeirense em 23/01/2013 - 16:46h:

Prezado r.garcia,

Adicionar usuários, grupos, OU, etc... no Diretório basta, conforme dito no arquivo, instalar em algum computador que esteja no domínio, as ferramentas de administração da microsoft:
Windows XP: http://www.microsoft.com/en-us/download/details.aspx?id=15326
Windows 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887

Depois de instalado basta acessar as ferramentas e criar seus usuários no modo gráfico.

Para mim funcionou perfeitamente.
()s


Amigo no caos nesta ferramenta eu posso configurar por exemplo GPO para acesso a Terminal Server e coisas do tipo? Pergunto isso pois tenho um servidor 2003 Server com o TS e estou usando usuário locais pois não tenho AD e meus usuários estão configurados apenas para acessar 1 aplicação e não o desktop todo pelo TS.

Att. Tácio Andrade.

[13] Comentário enviado por cruzeirense em 24/01/2013 - 12:05h

Prezado Tácio,

Eu criei algumas GPOs e funcionaram perfeitamente. Não testei esta GPO referente ao TS mas acredito que funcione.

()s

Renato

[14] Comentário enviado por dbbrito em 27/01/2013 - 14:25h

Parabéns pelo Tutorial: estou fazendo em Centos6 (ext4) mas ele da um erro de ACL, mas faço igual você citou no etc/fstab mas da o erro, será que no centos 6 é diferente? o erro é:

Provision failed - ProvisioningError: Your filesystem or build does not support posix ACLs, which s3fs requires

Se alguém puder ajudar fico agradecido

[15] Comentário enviado por cruzeirense em 28/01/2013 - 11:57h

Prezado dbbrito,

Olhe nesta wiki, talvez possa te ajudar:

https://wiki.samba.org/index.php/Samba_4/OS_Requirements

[16] Comentário enviado por GleysonLF em 29/01/2013 - 15:42h

Estou com um pequeno problema... depois de ler muita documentação e apanhar muito consegui configurar tudo.

No entanto, a executar o comando "samba -i -M single" estou recebendo a seguinte mensagem:

samba version 4.1.0pre1-GIT-e104e5a started.
Copyright Andrew Tridgell and the Samba Team 1992-2013
samba: using 'single' process model
/usr/local/samba/sbin/samba_dnsupdate: response to GSS-TSIG query was unsuccessful
.
.
.
/usr/local/samba/sbin/samba_dnsupdate: response to GSS-TSIG query was unsuccessful
../source4/dsdb/dns/dns_update.c:294: Failed DNS update - NT_STATUS_OBJECT_NAME_COLLISION


Alguém sabe o que pode ser!?

[17] Comentário enviado por cruzeirense em 30/01/2013 - 11:53h

Prezado Gleyson,

No computador que você instalou o samba já tinha o servidor DNS instalado? Se não, sugiro que você reinstale o samba utilizando o DNS interno dele. Funciona sem problemas e já está tudo configurado.

[18] Comentário enviado por brunovictor86 em 30/01/2013 - 14:02h

Estou com uma duvida, fiz a intalação e funcionou normal, agora estou tentando configurar a sincronização de um serviço de impressão via ldap no ad do samba4, mas não consigo, será que terei que instalar o slapd ldap-utils, segue a conf para sync.

base dn = DC=dominio,DC=com,DC=br
admin dn = DC=administrator,DC=dominio,DC=com,DC=br

[19] Comentário enviado por brunovictor86 em 30/01/2013 - 15:15h

opa já consegui o problema era só alterar o admin dn
admin dn = DC=administrator,DC=Users,DC=dominio,DC=com,DC=br

[20] Comentário enviado por Alex Resende em 30/01/2013 - 17:08h

como instala o samba4 ja com o dns interno dele poderia me explica por-favor . Obriga Belo artigo

[21] Comentário enviado por Alex Resende em 30/01/2013 - 17:18h

estou recebendo o seguinte erro

samba version 4.0.1 started.
Copyright Andrew Tridgell and the Samba Team 1992-2012
samba: using 'single' process model
Failed to listen on 0.0.0.0:53 - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
Failed to bind to 0.0.0.0:53 TCP - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED
task_server_terminate: [dns failed to setup interfaces]
/usr/local/samba/sbin/samba_dnsupdate: Traceback (most recent call last):
/usr/local/samba/sbin/samba_dnsupdate: File "/usr/local/samba/sbin/samba_dnsupdate", line 507, in <module>
/usr/local/samba/sbin/samba_dnsupdate: get_credentials(lp)
/usr/local/samba/sbin/samba_dnsupdate: File "/usr/local/samba/sbin/samba_dnsupdate", line 121, in get_credentials
/usr/local/samba/sbin/samba_dnsupdate: creds.get_named_ccache(lp, ccachename)
/usr/local/samba/sbin/samba_dnsupdate: RuntimeError: kinit for DEBIANTESTE$@DEFINE failed (Cannot contact any KDC for requested realm)
/usr/local/samba/sbin/samba_dnsupdate:
../source4/dsdb/dns/dns_update.c:294: Failed DNS update - NT_STATUS_ACCESS_DENIED



estou usando o bind 9

[22] Comentário enviado por noir em 01/02/2013 - 11:07h

Boa Tarde Galera,

Seguinte consegui instalar de boa a maquina entra no dominio tranquilo com o windows xp.

agora como faço para criar os compartilhamentos ? tipo eu entro no smb.conf faço ele lah.

soh que os usuarios não tem direitos para acessar as pastas. no meu caso eu criei um grupo contabilidade e apenas os usuarios que estao no grupo contabilidade podem ter acesso a essa pasta.

no samba3 eu colocava o servidor pra autenticar no openldap e assim usava os grupos criados no ldap como donos das pastas.

agora no samba4 como fazer isso ?

att

gabriel

[23] Comentário enviado por gleysonlf em 02/02/2013 - 16:36h

Ola amigos... depois de muita luta consegui!

Me deparei com um erro de permissão de acesso que parecia nomino curioso pois tinha dados todas as permissões possiveis.

Acontece que fiz minha instalação no Ubuntu LTS 12.04.1 sendo necessária uma alteração no "apparmor" para que ele permitisse a utilização das libs do Samba para atualizar o Bind.

Segue abaixo as alterações, dica da Nátalia Vaz:

# vim /etc/apparmor.d/usr.sbin.named
/usr/local/samba/private/** rkw,
/usr/local/samba/private/dns/** rkw,
/usr/local/samba/lib/** rm,
# /etc/init.d/apparmor reload


Recomendo uma visita ao blog, ela foi muito atenciosa quanto minhas dúvidas.

Fonte: http://linuxnatyworking.wordpress.com

[24] Comentário enviado por viniciusraupp em 03/02/2013 - 22:17h


[22] Comentário enviado por noir em 01/02/2013 - 11:07h:

Boa Tarde Galera,

Seguinte consegui instalar de boa a maquina entra no dominio tranquilo com o windows xp.

agora como faço para criar os compartilhamentos ? tipo eu entro no smb.conf faço ele lah.

soh que os usuarios não tem direitos para acessar as pastas. no meu caso eu criei um grupo contabilidade e apenas os usuarios que estao no grupo contabilidade podem ter acesso a essa pasta.

no samba3 eu colocava o servidor pra autenticar no openldap e assim usava os grupos criados no ldap como donos das pastas.

agora no samba4 como fazer isso ?

att

gabriel


Sugiro dar uma lida nesta documentação:
https://wiki.samba.org/index.php/Samba4/Domain_Member#Make_domain_users.2Fgroups_available_locally_t...

e você sabe utilizar ACL's pra permissões de arquivos ? também será necessário este conhecimento.
Espero ajudar.

[25] Comentário enviado por galima em 22/02/2013 - 10:15h

Quando vou reiniciar o bind9 aparece o seguinte erro:

Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused .
Starting domain name service...: bind9 failed!


[26] Comentário enviado por galima em 22/02/2013 - 10:34h


[25] Comentário enviado por galima em 22/02/2013 - 10:15h:

Quando vou reiniciar o bind9 aparece o seguinte erro:

Stopping domain name service...: bind9rndc: connect failed: 127.0.0.1#953: connection refused .
Starting domain name service...: bind9 failed!



CONSEGUIR RESOLVER, O HOSTS ESTAVA ERRADO. RS

[27] Comentário enviado por galima em 25/02/2013 - 11:10h

Pessoal estou com o seguinte problema ao executar o comando: kinit administrator@DOMINIO.

Ele aparece o seguinte erro kinit: Cannot contact any KDC for realm 'DOMINIO' while getting initial credentials.

Alguem poderia me ajudar?

root@debian:~# cat /etc/krb5.conf
[libdefaults]
default_realm = GLOBALIT.NET
dns_lookup_realm = false
dns_lookup_kdc = true
root@debian:~# kinit administrator@GLOBALIT.NET
kinit: Cannot contact any KDC for realm 'GLOBALIT.NET' while getting initial credentials
root@debian:~#

[28] Comentário enviado por lucashlx em 06/03/2013 - 17:54h

dbbrito, vc deve está usando uma versão mais enxuta do CENTOS 6.0, use a versão mais completa, possivelmente
seu CENTOS não veio com suporte a acls. Tente outra versão, a DVD por exemplo.

[29] Comentário enviado por alex.osumi em 08/03/2013 - 12:44h

muito bom o artigo, mas eu não consegui concluir, como eu estou correndo para fazer um pdc para a empresa vou de samba3 por enquanto, mesmo porque não preciso das funções do AD por enquanto, eu tive diversos problemas na instalação mas fui resolvendo, só não conclui pela urgência =)

[30] Comentário enviado por atcella em 09/03/2013 - 10:18h

Como ficaria a atualizacao do BIND9.9,?

[31] Comentário enviado por viniciusraupp em 21/03/2013 - 01:58h


[30] Comentário enviado por atcella em 09/03/2013 - 10:18h:

Como ficaria a atualizacao do BIND9.9,?


Bom, eu estava usando o bind9 do debian, que esta na versão 9.7, utilizei o apt-get mesmo, então baixei source do bind 9.9, parei o serviço e compilei o pacote com o ./configure abaixo, depois só iniciar o serviço e verificar a versão, certamente estará atualizada.
Alguns dependências pra compilação:
apt-get install libdb4.8-dev libkrb5-dev libssl-dev -y

./configure --prefix=/usr --mandir=/usr/share/man --infodir=/usr/share/info --sysconfdir=/etc/bind --localstatedir=/var --enable-threads --enable-largefile --with-libtool --enable-shared --enable-static --with-openssl=/usr --with-gssapi=yes --with-gssapi=/usr/include/gssapi --with-gnu-ld --with-dlopen=yes --with-dlz-postgres=no --with-dlz-mysql=no --with-dlz-bdb=yes --with-dlz-filesystem=yes --with-dlz-ldap=yes --with-dlz-stub=yes --with-geoip=/usr --enable-ipv6 'CFLAGS=-fno-strict-aliasing -DDIG_SIGCHASE -O2'

[32] Comentário enviado por adilima28 em 03/06/2013 - 12:59h

Olá, como ficaria a configuração do arquivo "/etc/bind/named.conf.local" para o CentOS, pois este não tem o "/etc/bind/rndc.key"? No site do samba é referenciado o arquivo "/usr/local/samba/private/dns.keytab", ele é o mesmo "rndc.key"?
E já pode ser usado o BIN10?

[33] Comentário enviado por macgyver_rp em 16/06/2013 - 20:21h


[1] Comentário enviado por cruzeirense em 17/01/2013 - 14:51h:

Bom artigo.

Acrescentando algumas dicas:
1-É possível utilizar o servidor DNS que acompanha o samba4. Ele é instalado automáticamente.
2-Para cadastrar um usuário no domínio você terá que respeitar as regras de validação de senha do servidor. Para mudar essas regras utilize os seguintes comandos:
Desativar a verificação de complexidade de senha (por padrão a senha de qualquer usuário deve ter pelo menos três dos quatro ítens: Maiúsculas, Minusculas, Números, Simbolos):
/usr/local/samba/bin/samba-tool domain passwordsettings set complexity=off

Mudar o tamanho mínimo da senha (definindo como 4):
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-length=4

Mudar o prazo mínimo em que o usuário pode mudar a senha (usuário só vai poder mudar a senha após 4 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-age=4

Mudar o tempo de vida máximo da senha do usuário (usuário terá que mudar a senha após 30 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set max-pwd-age=30

Mudar o histórico de senhas que impede que o usuário utilize uma senha repetida (usuário não vai poder repetir nenhuma das últimas 5 senhas)
/usr/local/samba/bin/samba-tool domain passwordsettings set history-length=5

3 - Para mudar a senha de um usuário do domínio dentro do windows xp basta logar com o usuário, pressionar ctrl+alt+del e clicar em alterar senha.

4 - Tem esse "como fazer" no site oficial do samba que também é bem completo:
http://wiki.samba.org/index.php/Samba4/HOWTO

Estou com o samba4 em um debian x64 a quase um mês e está funcionando perfeitamente. Ele funciona também como controle de acesso a internet (squid) integrado ao diretório (inclusive buscando os grupos) e também o acesso aos arquivos compartilhados. Funciona também como servidor de autenticação do nosso sistema interno.



-- to tentando colocar Ubuntu 12.04 samba4 e controle com Squid3 você diz que conseguiu, pode dar força?
meu samba4 tá ok funcionando, só tento problemas do squid autenticar com Samba4 , poderia dar help?

[34] Comentário enviado por rengaf1 em 09/08/2013 - 09:49h


[33] Comentário enviado por macgyver_rp em 16/06/2013 - 20:21h:


[1] Comentário enviado por cruzeirense em 17/01/2013 - 14:51h:

Bom artigo.

Acrescentando algumas dicas:
1-É possível utilizar o servidor DNS que acompanha o samba4. Ele é instalado automáticamente.
2-Para cadastrar um usuário no domínio você terá que respeitar as regras de validação de senha do servidor. Para mudar essas regras utilize os seguintes comandos:
Desativar a verificação de complexidade de senha (por padrão a senha de qualquer usuário deve ter pelo menos três dos quatro ítens: Maiúsculas, Minusculas, Números, Simbolos):
/usr/local/samba/bin/samba-tool domain passwordsettings set complexity=off

Mudar o tamanho mínimo da senha (definindo como 4):
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-length=4

Mudar o prazo mínimo em que o usuário pode mudar a senha (usuário só vai poder mudar a senha após 4 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set min-pwd-age=4

Mudar o tempo de vida máximo da senha do usuário (usuário terá que mudar a senha após 30 dias da última mudança)
/usr/local/samba/bin/samba-tool domain passwordsettings set max-pwd-age=30

Mudar o histórico de senhas que impede que o usuário utilize uma senha repetida (usuário não vai poder repetir nenhuma das últimas 5 senhas)
/usr/local/samba/bin/samba-tool domain passwordsettings set history-length=5

3 - Para mudar a senha de um usuário do domínio dentro do windows xp basta logar com o usuário, pressionar ctrl+alt+del e clicar em alterar senha.

4 - Tem esse "como fazer" no site oficial do samba que também é bem completo:
http://wiki.samba.org/index.php/Samba4/HOWTO

Estou com o samba4 em um debian x64 a quase um mês e está funcionando perfeitamente. Ele funciona também como controle de acesso a internet (squid) integrado ao diretório (inclusive buscando os grupos) e também o acesso aos arquivos compartilhados. Funciona também como servidor de autenticação do nosso sistema interno.


-- to tentando colocar Ubuntu 12.04 samba4 e controle com Squid3 você diz que conseguiu, pode dar força?
meu samba4 tá ok funcionando, só tento problemas do squid autenticar com Samba4 , poderia dar help?




CARA no meu caso uso CentOS 6.4 minimal... basta adicionar no teu squid.conf as configurações abaixo:

# Autenticacao no Active Directory
auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b dc=cgpi,dc=local -f sAMAccountName=%s -h 192.168.1.4 -D cn=squid,cn=Users,dc=cgpi,dc=local -w 123123000

auth_param basic children 5
auth_param basic realm Digite sua senha
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off


# Acls Externas
# caminho da acl
#/usr/lib/squid/squid_ldap_group

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=cgpi,dc=local" -D cn=squid,cn=Users,dc=cgpi,dc=local -w 123123000 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=INTERNET,dc=cgpi,dc=local))" -h 192.168.1.4

# Regras
acl password proxy_auth REQUIRED


OBS: e claro so verificando os caminhos ( /usr/lib/squid/squid_ldap_auth e /usr/lib/squid/squid_ldap_group ) que tavez nao sejam os mesmos.

qualquer duvida e so pedir outro help.

[35] Comentário enviado por marceloeng em 10/08/2013 - 19:46h

Olá a todos...

Quando dou o comando nslookup MeuHostname.MeuDominio.local, aparece a mensagem:


** server can't find MeuHostname.MeuDominio.local: NXDOMAIN




As configurações dos arquivos /etc/hosts, /etc/resolv.conf e os demais arquivos do bind e DHCP estão ok...

Mesmo assim, ocorre esse problema.

Caso eu faça o comando: dig MeuHostname.MeuDominio.local, aparece a resposta:

; <<>> DiG 9.9.3-rl.13204.02-P2 <<>> MeuHostname.MeuDominio.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 11557
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;MeuHostname.MeuDominio.local. IN A

;; AUTHORITY SECTION:
MeuDominio.local. 604800 IN SOA MeuHostname.MeuDominio.local. root.MeuDominio.local. 1 604800 86400 2419200 604800

;; Query time: 1 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Aug 10 19:45:08 BRT 2013
;; MSG SIZE rcvd: 108




Se alguém puder ajudar, agradeço.


Abraço,
Marcelo

[36] Comentário enviado por jcosta55 em 14/07/2014 - 13:37h

Ajuda.

[2014/07/14 13:18:31.978922, 0] ../lib/util/fault.c:73(fault_report)
INTERNAL ERROR: Signal 11 in pid 1990 (4.0.19)
Please read the Trouble-Shooting section of the Samba HOWTO
[2014/07/14 13:18:31.978951, 0] ../lib/util/fault.c:75(fault_report)
===============================================================
[2014/07/14 13:18:31.978972, 0] ../source3/lib/util.c:810(smb_panic_s3)
PANIC (pid 1990): internal error
[2014/07/14 13:18:31.999778, 0] ../source3/lib/util.c:921(log_stack_trace)
BACKTRACE: 10 stack frames:
#0 0x215b2f42 <smb_panic_s3+130> at /usr/local/lib/libsmbconf.so.0
#1 0x21047e0a <smb_panic+42> at /usr/local/lib/libsamba-util.so.0
#2 0x21047ae1 <fault_setup_disable+449> at /usr/local/lib/libsamba-util.so.0
#3 0x21047b01 <fault_setup_disable+481> at /usr/local/lib/libsamba-util.so.0
#4 0x21b9af70 <_pthread_sigmask+1088> at /lib/libthr.so.3
#5 0x21b9b045 <_pthread_sigmask+1301> at /lib/libthr.so.3
#6 0xbfbfffb4
#7 0x223779fd <process_command+157> at /usr/local/lib/libinotify.so.0
#8 0x22377a7b <worker_thread+107> at /usr/local/lib/libinotify.so.0
#9 0x21b962ba <pthread_getprio+394> at /lib/libthr.so.3
[2014/07/14 13:18:31.999968, 0] ../source3/lib/dumpcore.c:312(dump_core)
unable to change to %N.core
refusing to dump core


Alguem poderia me ajudar com este erro.

[37] Comentário enviado por johncesar em 03/09/2014 - 15:07h

Olá, vcs sabem se o samba4 tem ferramenta, para fazer replicação de servidores, redundancia?

[38] Comentário enviado por Rodrigo.Sousa em 04/03/2015 - 14:57h


Boa Tarde,

Minha duvida seria na migração do samba3 para samba4.

Após fazer a migração do samba3 para o samba4, as máquinas que já estavam ingressadas no domínio, será preciso reingressar novamente para poder logar normalmente ?

Agradeço atenção de todos.

[39] Comentário enviado por antonioamazonas em 07/09/2015 - 14:14h


Enviado em 06/09/2015 - 15:07h

Olá a todos, estou fazendo um trabalho de faculdade, onde eu preciso criar um PDC em linux (debian ou ubuntu) estou usando o ubuntu server 14 em uma vm.
Preciso criar um PDC em linux, e um BDC microsoft ( server 2008 r2)
Instalei o samba 4, e no momento da promoção do DC Linux, o sistema me retorna uma mensagem de erro e eu não faço a minima ideia de como resolver.
Sou iniciante no MUITIVERSO LINUX, e por isso peço ajuda.


O processo segue ate me pedir a senha de administrador do Samba
e logo depois começam as mensagens de erro:

ldb: module schema_load initalization falied : no such object
ldb: module rootdse inicialization falied : no such object
ldb: module samba_dsdb initialization falied : no such object
ldb: Unable to load modules fot /var/lib/samba/private/sam.ldb: (null)
samdb_conect falied
VFS connect falied!

ERROR (<class ´samba.provision.ProvisioningError´>): Provission falied - ProvisioningError: Your filesystem or build does nt suporte posix ACLs, which s3fs requires. Try monting the filesystem whitthe ácl´option.
File "usr/lib/python2.7/dist-packges/samba/netcmd/domain.py", line 398, in run
use_rfc2307=use_rfc2307, ski´p_sysvolacl=False)
File "/usr/lib/python2.7/dist-packages/samba/provision/_init_.py", line 2052, in provision
raise provisonoingError("Your filesystem or build does not suport posix ACLs, which s3fs requiroes. Try the monting the filesystem whit the 'acl'options.

Tentei anexar um print com a mensagem de erros mas não consegui.
O que pode ser isso, alguem pode me ajudar no procedimento de trasformar esse pc em um pdc?
Muito obrigado

[40] Comentário enviado por kbecaobh em 26/01/2017 - 07:49h

estou com problemas no meu servidor...wbinfo -g mostra os grupos, porém getent -g, mostra somente os grupos locais...o que pode ser? em outra estação(pdc) também linux, mostra os usarios locais e do dominio...


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts