Você está na página 1de 18

Configurao de mquina Linux no domnio Windows (AD)

As configuraes apresentadas foram testadas no CentOS 5.6 e no Ubuntu 8.04. 1. Pacotes necessrios:

Samba Kerberos (krb5-clients, krb5-users) Winbind

2. Instalao e configurao dos pacotes 2.1. Samba Instalao no CentOS: # yum install samba3x.x86_64 Instalao no Ubuntu: # apt-get install samba Segue arquivo de configurao do Samba apenas para integrao ao domnio, neste caso no foi configurado um servidor de arquivos, mas caso seja necessrio basta adicionar os compartilhamentos ao final do mesmo. Os parmetros que precisam ser alterados possuem comentrios ao final da linha identificando o que necessrio, os demais recebem as configuraes padro do servio. # vim /etc/samba/smb.conf [global] workgroup = teste // nome do grupo de trabalho/domnio server string = Teste de integrao com domnio netbios name = linux realm = TESTE.COM.BR // domnio completo log file = /var/log/samba/samba.log os level = 2 preferred master = no max log size = 50 debug level = 1 security = ads encrypt passwords = yes socket options = SO_KEEPALIVE TCP_NODELAY password server = 192.168.1.1 // ip do servidor de autenticao allow trusted domains = yes idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes hosts allow = 192.168. // faixa de ips liberados para acesso ao servidor Aps a configurao do smb.conf, necessrio associar a mquina ao domnio. Dependendo da verso do SO pode ser necessrio um comando mais "completo", segue dois exemplos com a mesma finalidade, em ambos os casos ser solicitada a senha do usurio:

net join -w <domnio> -S<nome_do_servidor_do_AD> -U <usurio>


Ex.: # net join -w teste -SPDC -U master

net rpc join <domnio> -U <usuario>

Ex.: # net rpc join TESTE -U master 2.2. Kerberos Instalao no CentOS: # yum install krb5-clients krb5-users Instalao no Ubuntu: # apt-get install krb5-clients krb5-users Segue arquivo de configurao do kerberos. Os parmetros que precisam ser alterados possuem comentrios ao final da linha identificando o que necessrio, os demais recebem as configuraes padro do servio. # vim /etc/krb5.conf [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = TESTE.COM.BR // domnio completo dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] TESTE.COM.BR = { //domnio completo kdc = kerberos.teste.com.br:88 // FQDN do servidor de autenticacao admin_server = kerberos.teste.com.br:749 // FQDN do servidor de autenticacao default_domain = teste.com.br //domnio completo } [domain_realm] .teste.com.br = TESTE.COM.BR //domnio completo teste.com.br = TESTE.COM.BR // domnio completo [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 2.3. Winbind Instalao no CentOS: # yum install winbind Instalao no Ubuntu: # apt-get install winbind No winbind s precisamos alterar as trs linhas seguintes, as demais devem permanecer com os parmetros originais. # vim /etc/nsswitch.conf

passwd: group: shadow:

files winbind files winbind files winbind

2.4. Configurar os servios para iniciar automaticamente CentOS: # chkconfig smb on # chkconfig winbind on Ubuntu: # update-rc.d samba multiuser # update-rc.d winbind multiuser 2.5. Iniciar/reiniciar os servios para iniciar automaticamente CentOS: # service smb {start|stop|restart|reload|status|condrestart} # service winbind {start|stop|restart|reload|status|condrestart} Ubuntu: # /etc/init.d/samba {start|stop|reload|restart|force-reload|status} # /etc/init.d/winbind {start|stop|restart|force-reload}

2 maneira
Introduo e Instalao Introduo
Vamos falar de Interoperabilidade. notrio, que o Sistema Operacional GNU/Linux extremamente vantajoso e que seria timo manter todos os Servidores e Servios rodando na plataforma Linux. Entretanto, sabemos que isso um pouco utpico, ademais, o servio de Active Directory da Microsoft, possui sim seus mritos, alm de ser o mais utilizado para controle de objetos ativos nas corporaes. Este tutorial tem por objetivo, mostrar os passos para integrao de estaes Linux Desktop com AD do Windows, permitindo assim, que os mesmos usurios do domnio possam efetuar Logon autenticado no domnio. J abordei em outra postagem, a interoperabilidade entre um Servidor Linux Samba e base de usurios do Active Directory. No obstante, este artigo mostrar como criar um perfil padro, para que usurios que acessarem as estaes Linux, tenham um perfil padro, e o mesmo seja carregado com todas as configuraes pr-definidas para a conta. Requisitos e escopo da instalao:

Windows Server 2008 Standart Edition

Active Directory e DNS Server GNU/Linux Ubuntu 12.04 LTS CentrifyDC

No ser abordada a instalao do ambiente Windows, sendo que ele ter como requisito, o Domnio instalado (Dcpromo) com uma conta de usurio Administrador do domnio.

Instalao Centrify Direct Control


No Linux, vamos fazer a instalao da seguinte maneira: Abra o terminal e adicione a seguinte chave de repositrio: $ sudo add-apt-repository "deb http://archive.canonical.com/ oneric partner" Depois, atualize a sua lista de repositrios: $ sudo apt-get update Instale agora o pacote com o seguinte comando: $ sudo apt-get install centrifydc Depois de instalado o CentrifyDC, basta inserir a estao Linux ao domnio. Certifique-se que a interface de rede esteja devidamente configurada com o Servidor de DNS, apontando para o Servidor de Active Directory. O comando para se juntar ao domnio : $ sudo addjoin w seudominio.local Obs.: Este comando passa por padro o usurio Administrator do Windows. Caso seu usurio administrador seja diferente, ou sua instalao seja em portugus e voc precisar alterar o usurio, entre com o seguinte comando e com a senha do usurio. $ sudo addjoin -w seudominio.local -u Administrador Depois de entrar com o comando, ser retornado a seguinte tela, avisando que a mquina foi inserida no domnio, e solicitando que a mquina seja reiniciada. Entretanto, no reinicie e nem finalize a sesso.

Para testar se a mquina foi corretamente adicionada, faa os seguintes testes, entre com o comando: # adinfo E o mesmo reportar a seguinte tela, com informaes referentes ao domnio:

Agora, v no seu Servidor Windows e abra o Active Directory (executar: das.msc) e verifique se a mquina foi adicionada corretamente ao domnio, conforme mostra a figura a baixo:

Configuraes - Criao de Perfil Ajustes e Configuraes


Com o atual cenrio, possvel logar-se com os usurios do domnio, porm, no terminal com o seguinte comando: $ su usuario Desta maneira, criada a pasta do usurio, porm, ainda no habilita a tela de Login para que ela mostre a opo para se logar com usurios do domnio. Para realizar esta configurao. necessrio editar o seguinte arquivo "lighdm.conf" que est no diretrio "/etc/lighdm/": $ sudo vim /etc/lightdm/lighdm.conf E adicione a seguinte linha, depois reinicie o servio: greeter-show-manual-login=true $ sudo /etc/init.d/lightdm restart

O sistema GDM (LighDM) ser automaticamente reiniciado e na Tela de Login, vai aparecer a opo de inserir novos usurios 'Iniciar sesso', como na figura abaixo. Mas, no entre ainda com nenhum usurio.

* Caso necessite de retirar uma estao do domnio por determinado motivo, como por exemplo, a criao de uma imagem (clone de instalao) para ser replicada em vrios computadores, ser necessrio depois de restaurada esta imagem, que sejam alteradas as configuraes de rede e nome da mquina. E tambm, ser necessrio remover a estao do domnio e ingress-la novamente com o seguinte comando: $ sudo adleave u Administrador A resposta esperada para o comando acima, o mostrada na figura abaixo:

Depois, coloque a mquina novamente no domnio com o novo nome.

Criao de Perfil Padro (skeleton)


Vamos agora, criar um perfil padro para que as configuraes padro possam ser carregadas para todos os novos usurios, da seguinte maneira: Crie um usurio modelo no AD e logue com este usurio no domino. Realize todas as configuraes pessoais, como plano de fundo, configuraes dos programas, atalhos, fique vontade (uma dica: use o Ubuntu Tweak para personalizar). Depois de feita a configurao efetue Logoff com o usurio e entre com um usurio do grupo Sudoers (o primeiro usurio da instalao). Agora, necessrio copiar todo o contedo da pasta "/home/modelo" (diretrio do usurio padro criado) para dentro do diretrio "/etc/skel" (skeleton), criando assim, seu esqueleto de configuraes padro, que sero aplicados a todos os novos usurios do sistema. Entre no terminal e logue-se com usurio root, com o comando: $ sudo su E copie da seguinte forma: # cp av /home/modelo/* /etc/skel Obs.: Tenha certeza de que todos os arquivos, inclusive os ocultos, foram copiados. Caso isso no acontea, nem todas as configuraes sero aplicadas. Se for necessrio, atribua permisso que no momento da cpia total aos dois diretrios, e depois volte as permisses s suas permisses de origem. Primeiro, utilize as permisses com 777 e retorne depois para 764, com o comando chmod. Utilize estes comandos apenas se souber o que estiver fazendo.

Concluso
Com esta configurao, conforme esperado e de maneira descomplicada, mquinas Linux autenticando no domnio Windows, alm de iniciarem com um perfil padro. Tal configurao de perfil padro muito til para que no seja necessria a configurao manual de papel de parede e configuraes de Proxy, dentre outros.

Referncias
http://pt.scribd.com http://davidmburke.com - Lnux and Active Directory http://www.ubuntugeek.com http://davidmburke.com - Ubuntu Deployment with Active Directory

3 maneira

Pr-requisitos e entendendo a finalidade de cada


As distribuies GNU/Linux esto cada vez mais populares no mundo corporativo e usadas em algumas empresas no s em servidores, mas tambm em desktops, substituindo sistemas operacionais que necessitam pagar por sua licena para poder fazer uso do sistema. Vrios so os motivos que podem levar a essa migrao. comum, em empresas, fazer uso de servidores rodando servio de rede para centralizar, gerenciar recursos e autenticar usurios para poderem fazer uso do recursos da mesma. Estes servidores so denominados de Controladores de Domnio. Muitos profissionais ainda no conseguem fazer uma mquina rodando um sistema GNU/Linux ingressar no domnio. Ento, nesse artigo, trato de mostrar como fazer este trabalho em distros Debian e Debian like. Ingressar uma mquina com sistema GNU/Linux no domnio pode ser uma tarefa trabalhosa ou simples, dependendo da forma como feita. Se for usar um programa como Likewise Open, pode ser bem simples como instalar o programa e execut-lo, para ento, ter a mquina ingressada no domnio Active Directory. Mas no artigo, abordarei a forma mais trabalhosa, pois todo o trabalho feito pela linha de comando. Fazendo uso da Internet, podemos encontrar tutoriais que mostram como o trabalho feito, no entanto, no explicam a finalidade de usar tal pacote, servio ou porque adicionar tais opes nos arquivos de configurao; e inclusive, incluindo configuraes desnecessrias para o trabalho, e a maioria so obsoletas. Obs.: Todo o trabalho tcnico apresentado neste artigo foi testado nas distros:

Debian Linux Mint Debian Edition (LMDE) Ubuntu

Pr-requisitos e finalidade de cada um para o trabalho


Antes de comear a trabalhar, necessrio saber quais so os servios que o desktop com o sistema GNU/Linux precisa ter rodando para ingressar no domnio. Abaixo descrevo os servios:

Kerberos Samba Winbind

Kerberos um protocolo usado para autenticao de servios e/ou usurios em servios de rede, como o Active
Directory. Ele usado para identificao e autenticao em tempo real, utilizando um sistema seguro e criptografado.

O Active Directory faz uso deste servio para autenticao em rede, logo, as mquinas clientes tero que ter informaes do KDC para autenticar-se no Active Directory. O Samba at a verso 3, que a que ser usada para ingressar a mquina cliente no domnio, um servio cuja principal funo disponibilizar recursos compartilhados em uma rede, tais como arquivos e impressoras. Mas pode ser usado para autenticao de usurios no servidor onde est rodando, ou em outro servidor. O mesmo faz uso de dois servios para este trabalho, so NMB e SMB. O servio NMB tem a principal finalidade de resoluo de nomes NetBIOS para que o servidor Samba possa enxergar e ser enxergado pelas outras mquinas. Ento, este servio permite a navegao pela rede, usando os hostnames das mquinas e o acesso s mesmas em rede. O servio SMB permite compartilhar tais recursos e autenticar os usurios no servidor Samba local, ou repassa as solicitaes de autenticao para outro computador, como um servidor controlador de domnio com o Active Directory.

E o Winbind um daemon usado pelo Samba e que no fornece servios para computadores remotos como faz o SMB e NMB, mas permite fazer a interface entre o PDC e o computador cliente rodando o servio Winbind, ingressando a mquina no domnio e autenticando os usurios no PDC.

Consideraes de ambiente de rede


No ambiente proposto no artigo, j existem os servidores DNS em execuo na rede, pois, para a autenticao ser feita, necessrio o uso do DNS e o servidor com Active Directory configurado como controlador de domnio principal j instalado e funcionando. Veja a disposio dos servidores na rede para explicao do artigo:

Domnio mistoli.net Servidor DNS primrio 192.168.215.3 Servidor DNS Secundrio 192.168.215.4 Servidor DHCP 192.168.215.4 Servidor controlador de domnio 192.168.215.1 winactive.mistoli.net

Como os clientes sero configurados pelo servio DHCP, s especificarei o nome da mquina cliente:

Desktop cliente mintvirt

Nas prximas pginas, ser abordada a parte tcnica do trabalho.

Arquivo /etc/hosts, instalao de pr-requisitos e Kerberos Arquivo /etc/hosts


Nesta parte iremos editar o arquivo /etc/hosts incluindo uma alias para o endereo do controlador de domnio e alterar o hostname do desktop cliente (mintvirt), acrescentando o fqdn, ou seja, o nome do domnio junto ao hostname da mquina cliente. No entanto, substitua os nomes abaixo pelos correspondentes na sua rede. # vim /etc/hosts Contedo a ser acrescentado:

127.0.0.1 192.168.215.1

mintvirt.mistoli.net winactive

localhost

mintvirt

Observe que "winactive" nome do controlador de domnio usado no artigo, troque pelo nome do controlador de domnio de sua rede. Execute o comando abaixo para ver o nome da mquina completo, ou seja, o hostname com o nome do domnio da mquina cliente: # hostname -f

Instalao de pacotes necessrios


Para que o desktop GNU/Linux possa migrar no domnio, necessrio fazer a instalao dos seguintes pacotes descritos a seguir, lembrando que os pacotes abaixo, so para distros Debian like:

# apt-get install krb5-user krb5-config winbind samba samba-comon smbclient cifs-utils libpamkrb5 Durante a instalao do kerberos, vai ser apresentado algumas telas com perguntas referentes ao KDC, mas pode d um ENTER e seguir com a instalao dos pacotes, pois a configurao do kerberos ser abordada mais a frente.

Servio NTP - Sicronizando data e hora com o servidor


Para que a mquina cliente possa comunicar-se sem problemas com o controlador de domnio Windows Server, necessrio que o horrio e data de ambas as mquinas estejam sincronizadas. Para isso, teremos que configurar o cliente NTP para atualizar data e hora pelo servidor Active Directory. Edite o arquivo de configurao do servio NTP usando o Vim: # vim /etc/ntp.conf Nas linhas do arquivo onde o contedo comea com a palavra "server", comente estas linhas com uma cerquilha "#", e adicione o seguinte contedo: # Controlador de domnio # server192.168.215.1 restrict192.168.215.1 Veja que ambos os endereos so do controlador de domnio. Agora, reinicie o servio de data e hora: # /etc/init.d/ntp stop # /etc/init.d/ntp start O Ubuntu usa o Upstart, ento, para reiniciar o servio diferente. Para uma leitura mais abrangente, leia o contedo desse link:

Upstart e a configurao dos servios no Ubuntu www.hardware.com.br

O ambiente proposto pelo artigo, existe um servidor DHCP, ento, no necessrio configurar o DNS, j que esse trabalho feito pelo servio DHCP. No entanto, se no estiver usando um servio DHCP, edite o arquivo /etc/resolv.conf indicando os endereos dos servidores de nome, como mostrado abaixo: # vim /etc/resolv.conf search mistoli.net nameserver 192.168.215.3 nameserver 192.168.215.4 Substitua os endereos acima e o nome do domnio informado pelos endereos de seus servidores DNS e o nome do seu domnio na rede onde est configurando a mquina cliente.

kerberos
Para um usurio ou servio autenticar-se no Active Directory, necessrio editar o arquivo /etc/krb5.conf e incluir informaes sobre o servidor KDC (controlador de domnio kerberos). Nesse caso, o controlador de domnio com o Active Directory possui um KDC. Use o Vim para editar o arquivo e inclua as seguintes linhas no arquivo: # vim /etc/krb5.conf Contedo acrescentado: [libdefaults] default_realm = MISTOLI.NET [realms]

MISTOLI.NET = { kdc = winactive.mistoli.net default_domain = MISTOLI.NET admin_server = winactive.mistoli.net } [domain_realm] .mistoli.net = MISTOLI.NET

Explicao da configurao
Este arquivo organizado em sees. As sees inclusas para autenticao no domnio so listadas abaixo junto com suas sub-sees:

[libdefaults] Seo que contm valores padro para o Kerberos V5, nessa seo s deixei uma nica sub-seo, explicada a seguir. default_realm Esta sub-seo identifica o domnio padro a ser usado pelo cliente kerberos. [realms] O kerberos divide a rede em domnios seguros, chamados de "realms", ento esta seo contm sub-sees informando nomes de "realms" do Kerberos, informando onde encontrar os servidores Kerberos para domnios seguros especficos e outras informaes.

Neste caso, criei uma sub-seo chamada de "MISTOLI.NET", que referente ao domnio seguro no qual a mquina ir ingressar. E dentro, criei as seguintes sub-sees:

kdc Aqui se configura o nome da mquina que est executando o controlador de domnio do kerberos mestre, como o controlador de domnio rodando o Active Directory est executando o KDC, ento inclui o nome completo da mquina aqui.

default_domain Nesta sub-seo se especifica o domnio seguro padro.

admin_server Esta sub-seo identifica o host onde o servidor que faz administrao do kerberos est sendo executado.

[domain_realm] Seo que indica os mapas de domnios e subdomnios.

Depois de configurar o kerberos, vamos testar a comunicao entre o servidor e desktop. Execute o comando abaixo, no exemplo estou usando o nome "mint", que um usurio do domnio criado, mas substitua pelo nome do usurio que estiver cadastrado no servidor. # kinit mint Se o comando no retornar nenhuma sada, porque a comunicao est sendo realizada com sucesso. Agora vamos listar o ticket obtido nessa comunicao usando o comando: # klist O comando klist dever retornar uma sada como a que est abaixo:

Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: mint@MISTOLI.NET Valid starting Expires 13-11-2012 15:48:35 14-11-2012 krbtgt/MISTOLI.NET@MISTOLI.NET renew until 16-11-2012 15:48:35 Service 01:49:08 principal

Configurando Samba, ingressando mquina no domnio e arquivo /etc/nsswitch.conf Configurando o Samba


Antes de colocar a mquina no domnio, necessrio configurar o Samba para que seja possvel mquina ingressar no domnio. Toda configurao feita no /etc/samba/smb.conf, o Winbind no precisa configurar pois o mesmo um daemon usado pelo Samba. Edite o arquivo /etc/samba/smb.conf com Vim: # vim /etc/samba/smb.conf Inclua as seguintes linhas no arquivo "smb.conf", caso algumas dessas linhas j estejam dentro do arquivo, edite e deixa-as como est abaixo. O arquivo est bem comentado com explicaes dos principais parmetros: [global] security = ads # O modo de operao ADS faz com que o Samba se comporte como um membro (cliente) de um domnio Windows realm= MISTOLI.NET # Informa o domnio que controlador de domnio Kerberos que ser usado workgroup = MISTOLI# Informa o grupo de trabalho, nesse caso informa o domnio idmap uid = 10000-15000# Especifica o intervalo de IDs de usurios que sero mapeados para o sistema local, coloquei um intervalo de cinco mil, mas pode colocar menor ou maior nmero idmap gid = 10000-15000# Especifica o intervalo de GIDs de grupos que sero mapeados para o sistema local winbind enum users = yes# Permiti o winbind enumerar usurios winbind enum groups = yes# Permiti o winbind enumerar grupos template homedir = /home/%D/%U# Informa aonde ser criado o diretrio home de cada usurio aps logar no sistema, o parmetro %D informa o nome do domnio e %U o nome do usurio template shell = /bin/bash# Informa qual shelll ser atribudo ao usurio, voc pode incluir /bin/false para impedir que o usurio faa uso do shell, mas ir ser usado por todos usurios do domnio client use spnego = yes# Este parmetro controla se os clientes do Samba iro usar negociao simples e protegido na autenticao, essa opo permite usar o Kerberos client ntlmv2 auth = yes# parmetro que determina se o Samba ir se autenticar usando o ntlvm2 ou no winbind use default domain = yes# Parmetro usado para omitir o nome do domnio a ser informado durante o login. Habilitando esse parmetro, ao invs de usar no login por exemplo MISTOLI\usurio, usaremos somente o nome do usurio como: usurio restrict anonymous = 2 winbind refresh tickets = yes # Este parmetro usado para controlar se o winbind deve atualizar os tickets do Kerberos usando o mdulo pam_winbind Observe que nem todos os parmetros so necessrios para ingressar a mquina no domnio. Depois de editar,

salve as alteraes e reinicie os servios do Samba e Winbind. # service winbind restart # service samba restart No Ubuntu, reinicie da seguinte forma: # service winbind restart # restart smbd # restart nmbd

Ingressando a mquina no domnio


Depois de configurar o Samba, hora de ingressar a mquina no domnio com o comando net. Execute o comando abaixo como root: # net ads join -U Administrador Veja que usei a opo "-U" no comando net, seguido do nome do usurio com permisso de ingressar mquinas no domnio, o usurio Administrador foi usado. Aps a execuo do comando, dever retornar uma mensagem como que est abaixo: Using short domain name - MISTOLI Joined 'MINTVIRT' to realm 'MISTOLI.NET' Agora, faa o teste e liste os grupos e usurios do domnio com o comando wbinfo. Para listar usurios execute: # wbinfo -u Para listar os grupos execute: # wbinfo -g Caso no retorne nenhum nome de usurio ou grupo, reinicie o Winbind.

Arquivo nsswitch.conf
Depois ingressar a mquina no domnio, vamos configurar o arquivo /etc/nsswitch.conf para que o sistema possa saber onde buscar informaes de login dos usurios que esto se autenticando. neste arquivo que iremos comunicar ao sistema que ele deve procurar nossas informaes de login usando o Winbind. Edite o arquivo usando o Vim e deixando as linhas abaixo como demonstrado. Em seguida, salve as alteraes: # vim /etc/nsswitch.conf Contedo alterado: passwd: compat winbind group: compat winbind shadow: compat winbind Veja que, como estamos lidando com usurios, grupos e senhas, apenas alteramos as linhas que correspondem aos mesmos, estamos informando ao sistema que ele deve procurar nossas informaes de login usando o Winbind nas linhas:

"passwd: compat" para user "group: compat" para group "shadow: compat" para senha

Concluindo o trabalho Alguns detalhes e esclarecimentos

Muitos howtos encontrados na Internet mostram configuraes adicionais desnecessrias, fazendo alteraes em vrios arquivos de autenticao do PAM. Mas a maioria destas configuraes no so necessrias, pois ao instalar os pacotes Winbind e o pacote que contm as bibliotecas do kerberos, o prprio sistema se encarrega de alterar os arquivos sem qualquer interveno dos usurios, com exceo de um arquivo. O nico arquivo que se faz necessrio a interveno do usurio o /etc/pam.d/common-session (em distros Debian like). Ento, edite o arquivo /etc/pam.d/common-session e aps linha abaixo: session required pam_unix.so Inclua esta: session required pam_mkhomedir.so umask=0022 skel=/etc/skel A linha mencionada anteriormente faz o diretrio home de cada usurio ser criado automaticamente no inicio de cada sesso aps a autenticao do usurio, setando as permisses para os arquivos e diretrios com a "umask 0022" e obtendo do diretrio /etc/skel seus sub-diretrios e arquivos padres. Caso esta linha no esteja adicionada, provavelmente ser apresentado a seguinte mensagem aps o login:

Solucionando o problema ao trocar senhas durante o login no Ubuntu


Todo o trabalho feito at ento far os usurios logarem nos desktops GNU/Linux sem problemas nas distros Debian e Linux Mint Debian Edition. No Ubuntu, no entanto, haver um problema quando for solicitado para o usurio trocar a senha no momento do login. Normalmente o administrador da rede mantm um diretiva interna que indica o tempo que uma senha ser vlida, aps esse perodo, a senha expira. As imagens abaixo indicam onde acontece o erro quando se tenta trocar a senha na tela de login. Quando digita-se a senha, o gerenciador de login pede para repetir a senha atual e em seguida, pede a repetio da senha atual. Depois de digitar e dar um ENTER, no pedido para entrar com a nova senha e a mesma no trocada, e volta em seguida para tela de login.

A soluo para poder alterar senha quando solicitada e autenticar-se, editar o arquivo /etc/pam.d/commonaccount alterando as duas linhas abaixo: account[sucess=2new_authtok_reqd=donedefault=ignore]pam_unix.so account[sucess=1new_authtok_reqd=donedefault=ignore]pam_winbind.so Deixando-as assim: account[sucess=2new_authtok_reqd=donedefault=ignore]pam_winbind.so account[sucess=1new_authtok_reqd=donedefault=ignore]pam_unix.so Veja que somente inverti a ordem dos mdulos, colocando o mdulo "pam_winbind.so" antes do mdulo "pam_unix.so". Assim, aps a alterao da senha e confirmao da autenticao, a classe de mdulos "account" ir primeiro consultar o mdulo "pam_winbind.so", permitindo o acesso e no dando o erro de antes. Veja nas imagens abaixo como fica a solicitao de alterao de senha. Digitando nome de usurio senha atual:

Solicitando a repetio da senha atual:

Pedindo para repetir outra vez a senha atual:

Solicitando a nova senha:

Pedindo para confirmar a nova senha:

Tela de login no Ubuntu


Uma dica para quem usa o Ubuntu, alterar a tela de login do mesmo fazendo com que seja possvel logar com qualquer usurio, e no somente o usurio criado na instalao do sistema, informando nome e senha. Para isso, edite o arquivo /etc/lightdm/lightdm.conf incluindo as alteraes mencionadas abaixo, no final do arquivo. allow-guest=false greeter-show-manual-login=true greeter-hide-users=true*

Depois de todas estas etapas, reinicie a mquina e ao logar, use somente o nome do usurio cadastrado no domnio. Este detalhe interessante por causa da configurao usada no arquivo /etc/samba/smb.conf, no necessrio colocar o nome do domnio junto com o nome do usurio que ir logar no domnio, coloque somente o nome de usurio e informe a senha.

Referncias
AutenticandoAD - Ubuntu Brazil wiki.ubuntu-br.org O Kerberos no um cachorro de 3 cabeas! [Artigo] Ubuntu 12.04 - Ingressando no AD pela Tela de Login [Dica]