Administrando seu servidor Samba com o User Manager

Introduo
O aplicativo User Manager, originrio do Windows NT Server, permite administrar facilmente as contas de usurios de um domnio, permitindo a criao/alterao/excluso de contas e tambm permitindo alterar polticas do domnio, tais como regras de alterao de senhas, bloqueio de contas, etc. O interessante que esta ferramenta funciona em cima do Samba, pois ele baseado no Windows NT. :-) Neste artigo, descreverei as etapas de configurao necessrias para que o aplicativo funcione, e mostrarei suas principais funcionalidades.

Requisitos
Para utilizar o User Manager, necessrio que:

A verso do Samba no servidor seja a 3.0.23 ou superior. O aplicativo funciona em verses mais antigas, porm de maneira mais limitada. O servidor esteja configurado para atuar como PDC (no pude testar estas dicas em um BDC, mas creio que no h problemas). A conta do usurio root exista na base do Samba. Se voc no a criou, use o comando "smbpasswd a root" para cri-la. Os grupos "Domain Admins", "Domain Users" e "Domain Guests" estejam mapeados aos seus respectivos grupos do Linux. Mais informaes podem ser obtidas neste artigo, de minha autoria: Configurando administradores de domnio no Samba.

E os itens abaixo so altamente recomendados:

Experincia prvia com o Samba. Leia este artigo por inteiro! Muita dor de cabea pode ser evitada se voc ler, entender e aplicar TODAS as partes deste texto.

Configurao do Samba
Insira/modifique as seguintes linhas na seo [global]: # Scripts para automao de tarefas add group script = /usr/sbin/groupadd '%g' add user script = /usr/sbin/useradd -m '%u' add user to group script = /usr/bin/gpasswd -a '%u' '%g' # check password script = ALGUM_PROGRAMA_DE_VERIFICAO delete group script = /usr/sbin/groupdel '%g' delete user from group script = /usr/bin/gpasswd -d '%u' '%g' delete user script = /usr/sbin/userdel -r '%u' rename user script = /usr/sbin/usermod -l '%unew' '%uold' set primary group script = /usr/sbin/usermod -g '%g' '%u'

Pequenas correes podem ser necessrias nos caminhos ou parmetros acima. Creio que no Debian nenhuma alterao ser necessria.

Baixando e utilizando o User Manager

Primeiro baixe o programa atravs deste link. Ao abr-lo sero extrados quatro arquivos: SRVMGR.EXE (Server Manager), SRVMGR.HLP (Ajuda do Server Manager), USRMGR.EXE (User Manager) e USRMGR.HELP (Ajuda do User Manager). Abra o USRMGR.EXE. OBS: Vale lembrar que para utilizar o programa necessrio que voc tenha efetuado logon em uma estao Windows do domnio com a conta root ou com uma conta que faa parte do grupo "Domain Admins". Tela principal:

Sero listados todos os usurios do domnio na parte superior da tela e na parte inferior sero listados todos os grupos. Opes de conta:

Ao dar um duplo clique em cima de um usurio, voc poder alterar vrias propriedades dele, como:

Full Name: nome completo. Description: descrio da conta. Password / Confirm password: campos para digitao de senha. User must change password at next logon: fora o usurio a alterar sua senha no seu prximo logon. User cannot change password: impede que o usurio altere sua prpria senha. Password never expires: faz com que a validade da senha nunca expire. Account Disabled: desabilita a conta. Desta forma, o usurio no consegue mais fazer logon. Account locked out: esta opo s fica disponvel quando a conta bloqueada por vrias tentativas de logon com senha invlida. Desmarque esta caixa para desbloquear a conta.

Alm disto, h mais alguns botes. Segue a explicao sobre o que cada um faz. Groups:

Permite gerenciar os grupos aos quais o usurio pertence. necessrio que ele pertena a pelo menos um grupo. A caixa "Member of" lista os grupos aos quais ele pertence, e a "Not member of" lista os grupos disponveis. Voc pode usar os botes Add e Remove para mudar os grupos. O boto "Set Primary Group" lhe permite dizer qual o grupo primrio do usurio. Observao: no possvel remover o usurio de um grupo se este for o seu grupo primrio. Neste caso, selecione outro grupo do qual ele faa parte e o defina como primrio. Profile:

Permite especificar o local onde ser guardado o perfil do usurio (campo "User profile path"), o script de logon a ser executado para ele ("Logon script") e o diretrio inicial (campos "Local path" ou Connect). Se estes campos no forem preenchidos, sero usadas as definies dos parmetros "logon path", "logon script" e "logon home"/"logon drive", respectivamente, do arquivo de configurao do Samba. Hours:

Permite especificar os horrios nos quais o usurio pode efetuar logon. Por padro, ele pode efetuar logon a qualquer horrio. Para mudar isto, selecione um perodo e clique em Allow (Permitir) ou Disallow (Negar). Logon to:

Permite especificar se o usurio pode efetuar logon em qualquer mquina do domnio ("User may log on to all workstations") ou apenas nas estaes especificadas ("User may logon to these workstations"). Se voc selecionar a segunda opo, voc pode especificar at 8 mquinas nas quais o usurio pode efetuar logon.

Account:

Na seo "Account expires", voc pode definir se a conta tem validade infinita (Never), ou se ela se autodestruir aps o prazo especificado (End of). A seo "Account Type" permite especificar se a conta global (domnio) ou local (BUILTIN). Dialin: Em um domnio com Windows NT Server, esta opo permite que o usurio efetue logon atravs de uma conexo dial-up. Em um domnio Samba, at onde eu sei, isto no tem utilidade. Voltando tela principal, ao dar um duplo clique em um dos grupos, voc poder definir a descrio dele, bem como os seus membros. A tela bastante intuitiva, logo eu no vou explicar os seus campos. Agora vamos aos menus, comeando pelo User:

New User: adiciona usurios ao domnio; New Group: adiciona um novo grupo; New Local Group: adiciona um novo grupo local (BUILTIN); Copy: copia o item selecionado (usurio ou grupo); Delete: deleta o item selecionado; Rename: renomeia o item selecionado; Properties: acessa as propriedades do item selecionado; Select Users: permite selecionar todos os usurios de um determinado grupo, para facilitar a administrao de mltiplos usurios simultaneamente; Select Domain: esta opo s tem utilidade se o seu servidor tem uma relao de confiana com outro controlador de domnio. Ela permite, nestes casos, selecionar qual domnio ser administrado; Exit: sai do programa (meio bvia esta, no? :-) ).

Menu View

Sort by full name: ordena a lista de usurios pelo nome completo; Sort by username: ordena a lista de usurios pelo login; Refresh: atualiza a tela. O programa no muito esperto, logo voc pode precisar atualizar a tela para visualizar as alteraes que voc fizer.

Menu Policies:

O item Accounts permite gerenciar certas polticas do domnio, que, portanto afetaro todos os usurios. uma das opes mais interessantes do programa. No item "Maximum password age", voc pode fazer com que as senhas no tenham validade ("Password never expires") ou que expirem em um determinado nmero de dias. O item "Minimum password age", voc pode dar uma validade mnima para as senhas, de forma que os usurios no possam alter-la antes deste prazo. O item "Minimum password length" permite especificar um tamanho mnimo para as senhas. Ao selecionar "Permit blank password", voc permitir que os usurios tenham senhas em branco. O item "Password uniqueness" serve para forar o usurio a usar senhas diferentes das anteriores. Por exemplo, se voc definir para o servidor se lembrar das trs ltimas senhas, a nova senha do usurio ter que ser diferente das trs ltimas senhas utilizadas por ele. til em ambientes que seguem boas prticas de segurana.

Ao ativar o item "Account lockout", voc pode bloquear a conta do usurio aps "n" tentativas mal sucedidas de logon. O campo "Lockout after" defina a quantidade de tentativas; o "Reset counter after" define quanto tempo o servidor ir esperar para zerar o contador de tentativas invlidas aps uma tentativa vlida; para a seo "Lockout duration", se for definido Forever, a conta permanecer bloqueada at um administrador desbloque-la; caso contrrio, voc pode definir quantos minutos o servidor ir aguardar para desbloquear a conta automaticamente. O item "Forcibly disconnect remote users from server when logon hours expire" serve para forar o logoff dos usurios ao terminar o seu horrio de utilizao. Por fim, temos o item "Users must logon in order to change password", que se selecionado, faz com que os usurios com senha expirada dependam do administrador para voltarem a utilizar suas contas. Por padro, o prprio usurio pode alterar sua senha. Voltando ao menu, temos a opo User Rights, que permite dar privilgios especficos a determinados usurios ou grupos. Para usar este recurso, a opo "enable privileges" precisa estar definida como "yes" na seo [global] do smb.conf (isto j o padro a partir da verso 3.0.23). Sua funo se assemelha do comando "net rpc rights". A opo "Audit Policy", teoricamente, definiria que eventos o Samba registraria em log. Porm, atualmente esta opo ignorada. Se voc precisa auditar tais eventos, use os mdulos VFS audit, extd_audit ou full_audit. A opo "Trust Relationships" permite configurar relaes de confiana entre domnios distintos. No vou me ater a explicaes sobre esta tecnologia, j que no o foco deste artigo; para isto, acesse: Interdomain Trust Relationships. Por fim, temos os menus Options e Help, que so auto-explicativos.

Concluso
Como podemos ver, muitas coisas interessantes podem ser feitas com esta ferramenta. Explore-a bastante! Uma observao importante: como esta ferramenta foi projetada para o Windows NT, bugs podem surgir. Nestes casos, a nica soluo verificar com a equipe do Samba se h uma correo para o problema, ou ento apelar para outras ferramentas.