Início > HowTo's, Linux, TI > Ubuntu Autenticando No AD

Ubuntu Autenticando No AD

Antes de tudo, quero deixar claro que o material contido neste post em sua grande parte pertence a um outro autor (que agora não me recordo de onde tirei). Eu apenas editei algumas parte do texto para melhor adaptá-lo a minha necessidade. Diga-se de passagem esse foi o melhor tutorial que achei, só apenas o incrementei.😀

Para começar, temos que configurar o arquivos hosts a fim de haver comunicação correta entre o host e o Servidor do AD, senão haverá um erro na hora de entrar no domínio.

# vim /etc/hosts
127.0.0.1 desktop.oseudominio.com.br dektop

Primeiro instale os pacotes necessários:

# apt-get install krb5-user libpam-krb5 krb5-config libkrb53 libkadm55
Servidores Kerberos para seu realm: –> (o nome do servidor AD)
Servidor administrativo para seu realm Kerberos: –> (o nome do servidor AD)
Para sincronizar o horário do seu pc com o servidor de AD faça:
# vi /etc/default/ntpdate
NTPSERVERS=”ad2003.oseudominio.com.br”
# additional options for ntpdate
NTPOPTIONS=”-u”

Vamos agora instalar os serviços samba e winbind e a livraria pam-mount que é usada para montar volumes windows no linux

# apt-get install samba smbfs smbclient libpam-mount winbind

Edit o smb.conf deixando-o assim:

[global]
workgroup = OSEUDOMINIO
netbios name = DESKTOP
realm = OSEUDOMINIO.COM.BR
password server = X.X.X.X (Ip do servidor AD)
server string = Minha estação
security = ADS
template homedir = /home/%U
allow trusted domains = No
template shell = /bin/bash
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = /
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
domain master = no
local master = no
preferred master = no
os level = 0

* Os valores uid e gid de idmap e winbind, devem ser o mesmo valor que está no servidor.

Altere o arquivo nsswitch.conf, acrescentando a opção winbind

# vim /etc/nsswitch.conf
passwd: compat winbind
shadow: compat winbind
group: compat winbind

Agora coloque a máquina no domínio com o seguinte comando

# net rpc join member -U admin

Se retornar algum erro você pode tentar o comando

# net rpc join -S SERVIDORAD -w OSEUDOMINIO -U admin

* admin é o usuário root que eu configurei no servidor
* SERVIDORAD é o nome do host do servidor samba pdc/ldap
* OSEUDOMINIO é o nome do domínio da sua rede
Será pedido uma senha, informe a senha do administrador do domínio
A resposta deve ser algo como

Joined domain OSEUDOMINO.

Reinicie o samba e o winbind

# invoke-rc.d samba restart
# invoke-rc.d winbind restart

Para certicificar que os dois estão funcionando

# ps -A | grep -i smb

Deve retornar algo como:

6730 ? 00:00:00 smbd
6735 ? 00:00:00 smbd

No caso do winbind

# ps -A | grep -i win
6979 ? 00:00:00 winbindd
6980 ? 00:00:00 winbindd

Verifique o log para ver se apresenta algum erro

# tail /var/log/syslog

Se estive tudo ok, você pode digitar os camandos abaixo para ver os usuários e grupos do servidor, respectivamente

# wbinfo -u
# wbinfo -g

ou ainda :

# getent passwd USUARIO_SERVIDOR
# getent group GRUPO_SERVIDOR

Correndo tudo bem, vamos à configuração do PAM, edite os seguintes arquivos
deixando apenas a configuração abaixo. Não esqueça de fazer um backup deste arquivos
antes de alterá-los.

no arquivo /etc/pam.d/common-auth altere para:

auth required pam_env.so
auth required pam_group.so
auth sufficient pam_unix.so nullok_secure likeauth
auth required pam_winbind.so use_first_pass
auth required pam_krb5.so nullok_secure use_authtok

no arquivo /etc/pam.d/common-account altere para:

account requisite pam_unix.so
account sufficient pam_localuser.so
account required pam_winbind.so use_first_pass

no arquivo /etc/pam.d/common-session, acrescente:

session optional pam_mkhomedir.so umask=0077 skel=/etc/skel
session required pam_limits.so
session required pam_unix.so
session required pam_winbind.so use_first_pass
session optional pam_umask.so

no arquivo /etc/pam.d/common-password, acrescente:

password sufficient pam_winbind.so
password requisite pam_pwcheck.so nullok cracklib
password required pam_unix.so use_authtok nullok

no arquivo /etc/pam.d/gdm, acrescente:

@include common-pammount

no arquivo /etc/pam.d/login acrescente:

@include common-pammount
@include common-auth
para executar o sudo no arquivo /etc/pam.d/sudo acrescente:

auth include common-auth
account include common-account
password include common-password
session include common-session
para logar na proteção de tela no arquivo /etc/pam.d/gnome-screensaver acrescente

@include common-auth

no arquivo /etc/security/pam_mount.conf, acrescente:

volume * smbfs 192.168.2.115 ONOMEDAPASTA /media/ONOMEDAPASTA
uid=&,iocharset=utf8,codepage=cp850,dmask=0700 – –

* a última linha está dizendo que vai montar o compartilhamento “ONOMEDAPASTA” em /media/ONOMEDAPASTA

no arquivo /etc/secutiry/group.conf, acrescente:

*; *;*;Al0000-2400;floppy, video, cdrom, audio, dialout, disk, games, cdrecording, plugdev, lp, powerdev, dip, fuse, vboxusers,
Para que os seu usuário do domínio tenham acesso ao comando sudo, crie um grupo (Ex: UnixAdmins) e acrescente essas informações com o seguinte comando:
#visudo
%UnixAdmins ALL=(ALL) ALL

 

getent passwd
getent group
chown –R ‘administrator:Domain Users’ /home/data

 

vi /etc/fstab
# /etc/fstab: static file system information.
#
# <file system> <mount point> <type> <options> <dump> <pass>
proc /proc proc defaults 0 0
/dev/mapper/fileserver-root / ext3 defaults,errors=remount-ro 0 1
/dev/sda1 /boot ext3 defaults 0 2
/dev/mapper/fileserver-home /home ext3 acl,defaults 0 2
/dev/mapper/fileserver-tmp /tmp ext3 defaults 0 2
/dev/mapper/fileserver-usr /usr ext3 defaults 0 2
/dev/mapper/fileserver-var /var ext3 defaults 0 2
/dev/mapper/fileserver-swap_1 none swap sw 0 0
/dev/hdc /media/cdrom0 udf,iso9660 user,noauto 0 0
/dev/fd0 /media/floppy0 auto rw,user,noauto 0 0

Pronto, agora basta reiniciar o X e você estára autenticando no servidor, montando seus compartilhamentos e ainda não terá problemas de permissão dos grupos como audio, vídeo, cd-rom e etc. OBS: o grupo fuse deve ser colocado depois de ter sido instalado o suporte a NTFS

Categorias:HowTo's, Linux, TI
  1. Pedro Paulo
    27 janeiro, 2008 às 5:43 pm

    Renato,

    Parabéns pelo post. Me ajudou muito a configurar a autenticação no AD aqui na rede.

    Estou usando Ubuntu Gusty (7.10) e o AD com windows 2003 Server. Para fazer o seu passo a passo funcionar eu tive que fazer algumas alterações. Espero que estas dicas ajudem futuros aventureiros.

    Na hora de colocar a máquina no domínio, seu 2º comando não funcionou (tentei o 1º e não funcionou também).
    # net rpc join -S SERVIDORAD -w OSEUDOMINIO -U admin

    Foi apenas substituir rpc por ads (active directory server) que funcionou perfeito.

    # net ads join -S SERVIDORAD -w OSEUDOMINIO -U admin

    No passo de alterar o arquivo /etc/pam.d/gdm, essa alteração me levou a um erro na hora que iniciava o gdm. O erro era o seguinte:

    “O administrador do sistema desabilitou o acesso ao sistema temporariamente”

    A solução foi logar via ssh ou terminal e voltar o arquivo a sua configuração original.

    De resto tudo funcionou perfeitamente. Obrigado por compartilhar sua experiência no post !

  2. Igor Matos
    13 outubro, 2008 às 9:38 pm

    Estou querendo que meu ubuntu seja um servidor de arquivos em uma rede com Active Directory. Quais passos não seriam necessários? E quais deveriam ter a mais?

    Poderia me ajudar. Obrigado.

    Igor Matos

  3. wellinton silva
    27 dezembro, 2008 às 9:34 pm

    amigo estou com problemas grave aqui viu, ja não sei mais o que faço sou novo no ubuntu e tal, eu tenho um servidor windows server 2003, e to querendo colocar o ubuntu nele, mais não consigo de jeito nenhum por exemplo em todos os lugares que eu vi manda mexer em /etc/resolv.conf ou /etc/hosts tudo bem vo e mexo mais depois que faça a alteração eu não sei salvar essa alteração dai quando mando entrar de novo esta como era nao como eu programei ja to ate cansado de mexer aqui e nada sera que vc pode me ajudar como salvar as alterações.

    att

    wellinton silva

    qualquer coisa vc pode me mandar um email te+

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: