Apostila LDAP

Instalao e configurao de Servidor
Samba PDC
+ OpenLDAP + Debian Squeee
1. Domnio que vamos utilizar: douglas.wiki.br
2. Faixa de ip: 10.0.0.0/2
3. !p do "ervidor: 10.0.0.2#
$repare o seu sistema %om o seguinte s%ript &ttp://www.douglas.wiki.br/doku.p&p'
id(%on)ini%ialsqueeze para que n*o )alte nen&um pa%ote ou %on)igura+*o.
"empre quanto terminar a edi+*o de algum arquivo .ldi) no vim sempre pressione F, para ele
remover os espa+os nos )inais de lin&a que sempre da merda -.
/amos atualizar os reposit0rios e )azer um upgrade do sistema
a ptit ude update && a pti tude dist-upgrade -y
1gora vamos a instala+*o e %on)igura+*o do 2pen3D1$
/amos )azer a instala+*o dos pa%otes ne%ess4rios.
a ptit ude update && a pti tude dist-upgrade -y && a ptit ude ins t all slapd ldap-utils -y
#Aq ui v a m o s t er q u e inf or mar a s e n h a p ar a o A d mi ni s tr a d or d o n o s s o L DA P.
1gora vamos %&e%ar se o nosso servidor esta trabal&ando.
ldapsearch -LLL -Y EXTERNAL -H ldapi:]]] -b cn=config dn
SASL]EXTERNAL authentication started
SASL username: gIdNumber=0+uIdNumber=0,cn=peercred,cn=eternal,cn=auth
SASL SS!: 0
dn: cn=config
dn: cn=module0,cn=config
dn: cn=schema,cn=config
dn: cn=0core,cn=schema,cn=config
dn: cn=1cosine,cn=schema,cn=config
dn: cn=2nis,cn=schema,cn=config
dn: cn=3inetorgperson,cn=schema,cn=config
dn: oIc8ackend=0hd",cn=config
dn: oIcDatabase=-1frontend,cn=config
dn: oIcDatabase=0config,cn=config
dn: oIcDatabase=1hd",cn=config
1gora vamos inserir a sen&a do admin &db do 3D1$ e tro%ar a sen&a do admin do %on)ig
do 3D1$5 mas primeiro temos que gerar um &as& da sen&a.
slappass#d -s senha
SS$A!%oA&'cA()lNgRasc*+gR,-sp).]$/os
26": 782 $2D9 :1/9; 9"$1<2" 1$=" 1$=" 2 >3?!@2 A1;1A?9; D1 3!7:1 72 1;BC!/2
.3D!F "9782 /1@2" 26?9; 9;;2 71 !@$2;?1<82 D2" 1;BC!/2" 9D9@$32 D9 9;;2
ldap0add: 1n2alid s&nta (21) additional info: o"3ect4lass: 2alue #1 i nv ali d p e r s y nt a x
/amos %onsultar a nossa base 3D1$
ldapsearch -LLL -Y EXTERNAL -H ldapi:]]] -b cn=config olcRoot5N olcRoot(/
SASL SS!: 0
dn: cn=config









olcRoot5N: cn=admin,cn=config

olcRoot5N: cn=admin,dc=douglas,dc=#i6i,dc="r
olcRoot(/: SS$A14T7'189hEsmf8:8;dNuu3<=+2i>N?'p
26": 9m alguns %asos note que n*o temos um ol%;oot$E depois de dn:
ol%Database(F0G%on)ig5%n(%on)ig5 que H a sen&a da administra+*o da %on)igura+*o do 3D1$5
%om isso vamos ter que inserir uma5 %aso %ontr4rio podemos modi)i%ar ela.
1gora vamos %riar o arquivo para ser importado %om a sen&a do nosso admin do %on)ig 3D1$5
%aso ela ainda n*o exista.
vi m ]root]admin@mod@ldif
changet&pe: modif&
replace: olcRoot(/
olcRoot(/: SS$A!%oA&'cA()lNgRasc*+gR,-sp).]$/os
1gora vamos importar a nova sen&a para o 3D1$
ldapmodif& -Y EXTERNAL -H ldapi:]]] -I ]root]admin@mod@ldif
SASL SS!: 0
modif&ing entr& "oIcDatabase=0conIIg,cn=conIIg"
1gora se pre%isarmos tro%ar a sen&a do admin da instala+*o do 3D1$ temos que %riar o arquivo
para e)etuar a modi)i%a+*o da sen&a e importar ele aqui eu vou utilizar a mesma sen&a tanto
para o admin de %onsultas %omo para o admin interno do 3D1$
vi m A]root@ldif
changet&pe: modif&
replace: olcRoot(/
/amos agora importar a nossa sen&a.
ldapmodif& -Y EXTERNAL -H ldapi:]]] -I A]root@ldif
SASL SS!: 0
modif&ing entr& "oIcDatabase=0conIIg,cn=conIIg"
1gora vamos )azer uma %onsulta a respeito dos admins do nosso 3D1$
ldapsearch -LLL -Y EXTERNAL -H ldapi:]]] -b cn=config olcRoot5N olcRoot(/
SASL SS!: 0
dn: cn=config









olcRoot5N: cn=admin,cn=config

/amos agora %riar o nosso su)ixo para o nosso domnio e a %on)igura+*o de a%esso.
vi m A]config@ldif
changet&pe: modif&
replace: olcSuffi
olcSuffi: dc=douglas,dc=#i6i,dc="r
-
replace: olcRoot5N
-
replace: olcAccess
olcAccess: to attrs=user(ass#ord "& dn="cn=admIn,dc=dougIas,dc=wIkI,dc=br" writ e "&
anon&mous auth "& self writ e "& * none
olcAccess: to attrs=shado#Last4hange "& self writ e "& * r e ad
olcAccess: to dn@"ase="" "& * r e ad
olcAccess: to * "& dn="cn=admIn,dc=dougIas,dc=wIkI,dc=br" writ e "& * r e ad
1gora vamos inserir essas %on)igura+Ies no nosso servidor 3D1$.
ldapmodif& -Y EXTERNAL -H ldapi:]]] -I A]config@ldif
SASL SS!: 0
modif&ing entr& "oIcDatabase=1hdb,cn=conIIg"
/amos %&e%ar agora a %on)igura+*o do nosso servidor 3D1$.
ldapsearch -xLLL -b cn=config -D cn=admin,cn=config -W oIcDatabase=1hd"
Enter L5A( (ass#ord: senha
o"3ect4lass: olc5ata"ase4onfig
o"3ect4lass: olc$d"4onfig
olc5ata"ase: 1hd"
olc5"5irector&: ]2ar]li"]ldap
olcLast'od: TR?E
olcRoot(/: SS$AN:,Bp=)8gl(-p>/T!"8..7&ir;dC*+Rt
olc5"4hec6point: 512 30
olc5"4onfig: 0set0cachesiCe 0 2097152 0
olc5"4onfig: 1set0l60ma0o"3ects 1500
olc5"4onfig: 2set0l60ma0loc6s 1500
olc5"4onfig: 3set0l60ma0loc6ers 1500
olc5"1nde: o"3ect4lass eD
olcSuffi: dc=douglas,dc=#i6i,dc="r
olcAccess: 0to attrs=user(ass#ord "& dn="cn=admIn,dc=dougIas,dc=wIkI,dc=br" writ e "&
anon&mous auth "& self writ e "& * none
olcAccess: 1to attrs=shado#Last4hange "& self writ e "& * r e ad
olcAccess: 2to dn@"ase="" "& * r e ad
olcAccess: 3to * "& dn="cn=admIn,dc=dougIas,dc=wIkI,dc=br" writ e "& * r e ad
1gora vamos %riar o dominio do nosso 3D1$
vi m A]raiC@ldif
dn: dc=douglas,dc=#i6i,dc="r
o"3ect4lass: top
o"3ect4lass: dcB"3ect
o"3ectclass: organiCation
o: 5ouglas
dc: douglas
description: L5A( Ser2er
1gora vamos importar o nosso domnio para a base 3D1$
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]raiC@ldif
Enter L5A( (ass#ord:
adding ne# entr& "dc=dougIas,dc=wIkI,dc=br"
Aaso J4 ten&a sido %on)igurado pela instala+*o o domnio vamos obter a seguinte sada
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]raiC@ldif
adding ne# entr& "dc=dougIas,dc=wIkI,dc=br"
ldap0add: Alread& eists (68)
1gora vamos %riar os %ontKiner que v*o )i%ar armazenados os nossos usu4rios5
grupos e m4quinas
vi m A]ous@ldif
dn: ou=?suarios,dc=douglas,dc=#i6i,dc="r
ou: ?suarios
o"3ect4lass: organiCational?nit
o"3ect4lass: top

dn: ou=*rupos,dc=douglas,dc=#i6i,dc="r
ou: *rupos
o"3ect4lass: top

dn: ou='aDuinas,dc=douglas,dc=#i6i,dc="r
ou: 'aDuinas
o"3ect4lass: top
1gora temos que importar o nosso arquivo para o 3D1$
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]ous@ldif
adding ne# entr& "ou=UsuarIos,dc=dougIas,dc=wIkI,dc=br"

adding ne# entr& "ou=Crupos,dc=dougIas,dc=wIkI,dc=br"

adding ne# entr& "ou=MaquInas,dc=dougIas,dc=wIkI,dc=br"
9xemplo de erro de importa+*o da ous por %asa de espa+o no aquivo
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]ous@ldif
ldapadd: attri"ute5escription "dn": (possi"le missing ne#line after line 10, entr&
"ou=UsuarIos,dc=dougIas,dc=wIkI,dc=br"E)
ldapadd: attri"ute5escription "dn": (possi"le missing ne#line after line 11, entr&
"ou=UsuarIos,dc=dougIas,dc=wIkI,dc=br"E)
adding ne# entr& "ou=UsuarIos,dc=dougIas,dc=wIkI,dc=br"
ldap0add: T&pe or 2alue eists (20)
additional info: o"3ect4lass: 2alue #0 pr o vi d e d m o r e tha n o n c e
1gora vamos %riar o admin do 3D1$
/amos gerar a sen&a
slappass#d -s senha
SS$Ag1e/5Ds]m7#1*!uNe*"#gF*G]t>a2<dF
1gora que J4 temos a sen&a vamos %riar o arquivo para importar para o 3D1$
vi m A]admin@ldif
dn: cn=admin, dc=douglas,dc=#i6i,dc="r
o"3ect4lass: top
o"3ect4lass: simpleSecurit&B"3ect
o"3ectclass: organiCationalRole
cn: admin
description: L5A( administrator
user(ass#ord: SS$Ag1e/5Ds]m7#1*!uNe*"#gF*G]t>a2<dF
1gora vamos importar o arquivo do admin
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]admin@ldif
adding ne# entr& "cn=admIn, dc=dougIas,dc=wIkI,dc=br"
Aaso o nosso admin J4 ten&o sido %riado na instala+*o do ldap vamos ter o seguinte retorno no
%omando a%ima
ldapadd -x -c -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I A]admin@ldif
adding ne# entr& "cn=admIn, dc=dougIas,dc=wIkI,dc=br"
ldap0add: Alread& eists (68)
26": 1%&o mel&or ex%luir os usu4rios lo%ais deixar somente o usu4rio root para o sistema lo%al5
%aso a%&e ne%ess4rio utilize a seguinte padroniza+*o somente nome do usu4rio para e)etuar login
no servidor lo%al e nome.sobrenome para logar na base do 3D1$.
/ou disponibilizar um s%ript para e)etuar a migra+*o dos usu4rios lo%ais para um arquivo ldi) que
pode ser importado para a base 3D1$
vi m epldif@sh
#!/in/a s h
#Aq ui n e s t e s c ri pt e s t a m o s f a ! e n d o mi " r a # $ o d o s u s u %ri o s q u e t e m ui d c o m & di "it o s
SUFFX='dc=dougIas,dc=wIkI,dc=br'
LDF='usuarIosIdII.IdII'

f or line in H(gr ep "x:[1-9][0-9][0-9][0-9]:" ]etc]pa s s wd s e d -e "s] ]Z]")
do
UD1=H(e c ho $IIne c ut -d: -f=)
NAME=H(e c ho $IIne c ut -d: -I5 c ut -d, -f=)
if [ ! "$NAME" ]
t hen
NAME=$UD1
el s e
NAME=H(e c ho $NAME s e d -e "s]Z] ]")
fi
SN=H(e c ho $NAME a wk 'prInt $2')
if [ ! "$SN" ]
t hen
SN=$NAME
fi
CVEN=H(e c ho $NAME a wk 'prInt $1')
UD2=H(e c ho $IIne c ut -d: -f<)
CD=H(e c ho $IIne c ut -d: -f%)
PASS=H(gr ep $UD1 ]etc]shado# c ut -d: -f8)
SHELL=H(e c ho $IIne c ut -d: -f9)
HOME=H(e c ho $IIne c ut -d: -f.)
EXPRE=H(pa s s wd -S $UD1 a wk 'prInt $7')
FLAC=H(gr ep $UD1 ]etc]shado# c ut -d: -f;)
if [ ! "$FLAC" ]
t hen
FLAC="0"
fi
WARN=H(pa s s wd -S $UD1 a wk 'prInt $6')
MN=H(pa s s wd -S $UD1 a wk 'prInt $4')
MAX=H(pa s s wd -S $UD1 a wk 'prInt $5')
LAST=H(gr ep $UD1 ]etc]shado# c ut -d: -f<)
e c ho "dn: uId=$UD1,ou=usuarIos,$SUFFX" >> $LDF
e c ho "objectCIass: InetOrgPerson" >> $LDF
e c ho "objectCIass: posIxAccount" >> $LDF
e c ho "objectCIass: shadowAccount" >> $LDF
e c ho "uId: $UD1" >> $LDF
e c ho "sn: $SN" >> $LDF
e c ho "gIvenName: $CVEN" >> $LDF
e c ho "cn: $NAME" >> $LDF
e c ho "dIspIayName: $NAME" >> $LDF
e c ho "uIdNumber: $UD2" >> $LDF
e c ho "gIdNumber: $CD" >> $LDF
e c ho "userPassword: crypt$PASS" >> $LDF
e c ho "gecos: $NAME" >> $LDF
e c ho "IogInSheII: $SHELL" >> $LDF
e c ho "homeDIrectory: $HOME" >> $LDF
e c ho "shadowExpIre: $EXPRE" >> $LDF
e c ho "shadowFIag: $FLAC" >> $LDF
e c ho "shadowWarnIng: $WARN" >> $LDF
e c ho "shadowMIn: $MN" >> $LDF
e c ho "shadowMax: $MAX" >> $LDF
e c ho "shadowLastChange: $LAST" >> $LDF
e c ho >> $LDF
done
1gora vamos gerar o nosso arquivo ldi) %om os usu4rios lo%ais.
ba s h epldif@sh
1gora H s0 importar a base que )oi gerada para o 3D1$
ldapadd -x -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I usuariosldif@ldif
Enter L5A( (ass#ord: senhaadmin
adding ne# entr& "uId=dougIas,ou=usuarIos,dc=dougIas,dc=wIkI,dc=br"
1qui no meu %aso s0 tin&a um usu4rio %om um uid %om dgitos ent*o )oi s0 o que a min&a base
importou.
1gora vamos para o s%ript que )az a migra+*o de grupos lo%ais para um arquivo ldi)
vi m gruposldif@sh
#!/in/a s h
#Aq ui n e s t e s c ri pt e s t a m o s f a ! e n d o a mi " r a # $ o d o s "r u p o s q u e t e m "i d c o m & di "it o s
SUFFX='dc=dougIas,dc=wIkI,dc=br'
LDF='gruposIdII.IdII'

f or line in H(gr ep "x:[1-9][0-9][0-9][0-9]:" ]etc]group)
do
CN=H(e c ho $IIne c ut -d: -f=)
CD=H(e c ho $IIne c ut -d: -f<)
e c ho "dn: cn=$CN,ou=grupos,$SUFFX" >> $LDF
e c ho "objectCIass: posIxCroup" >> $LDF
e c ho "cn: $CN" >> $LDF
e c ho "gIdNumber: $CD" >> $LDF
e c ho >> $LDF
done
1gora vamos gerar o nosso ldi) %om os grupos
ba s h gruposldif@sh
1gora vamos importar os grupos para o ldap
ldapadd -x -D cn=admin,dc=douglas,dc=#i6i,dc="r -W -I gruposldif@ldif
Enter L5A( (ass#ord: senhaadmin
adding ne# entr& "cn=dougIas,ou=grupos,dc=dougIas,dc=wIkI,dc=br"
1gora vamos a instala+*o e %on)igura+*o do 3dap 1%%ount @anager
a ptit ude ins t all ldap-account-manager php,-ldap php,-gd php-fpdf li"3s-3Duer&
li"3s-3Duer&-ui debc onf php,-mcr&pt ldap-account-manager-lamdaemon -y
/amos %on)igurar ele agora o arquivo H /usr/s&are/ldapLa%%ountLmanager/%on)ig/lam.%on)
vi m ]usr]share]ldap-account-manager]config]lam@conf
[@@@]
admins: cn=admin,dc=douglas,dc=#i6i,dc="r
[@@@]
treesuffi: dc=douglas,dc=#i6i,dc="r
[@@@]
defaultLanguage: pt0)R@utfF:?T!-8:(ortuguIs ()rasil)
[@@@]
t&pes: suffi0user: ou=?suarios,dc=douglas,dc=#i6i,dc="r
[@@@]
t&pes: suffi0group: ou=*rupos,dc=douglas,dc=#i6i,dc="r
[@@@]
t&pes: suffi0host: ou='aDuinas,dc=douglas,dc=#i6i,dc="r
[@@@]
t&pes: suffi0sm"5omain: dc=douglas,dc=#i6i,dc="r
1gora vamos a%essar a nosso %onsole web &ttp://10.0.0.2#/lam
1gora in)orme a sen&a do admin do ldap
1qui vamos %riar um grupo e um usu4rio para testes.
/amos %riar o grupo
1. "ele%ione nessa tela prin%ipal na parte superior o item Mrupos
2. 1gora sele%ione novo grupo
N. !n)orme 7ome do grupo: tiLadmin
. 7umero M!D: n*o in)orme nada que vai ser gerado automati%amente
O. 1gora in)orme uma des%ri+*o: Mrupo de 1dmins
#. 1gora sele%ione salvar
,. 1gora sele%ione voltar a lista de grupos
P. Aomo pode ser notado o nosso grupo esta ali.
Q. $ara e)etuar alguma altera+*o nele basta sele%ionar o %one %om um blo%o de notas e um
l4pis.
1gora vamos %riar o usu4rio
1. "ele%ione Csu4rios
2. 1gora novo usu4rio.
N. !n)orme o que a%&ar ne%ess4rio aqui5 quanto mais in)orma+Ies mel&or.
. "ele%ione Cnix
O. !n)orme o nome de usuario dele ex: douglas.santos
#. 7ome %omun: Douglas Buintiliano dos "antos
,. 7Rmero uid: deixe vazio para ele gerar um automati%amente
P. "ele%ione de)inir sen&a
Q. Digite uma sen&a e %on)irme ela.
10."ele%ione ok
11."ele%ione "ombra que H quem %ontrola as sen&as
12."ele%ione 1di%ionar uma extens*o de Aonta "&adow
1N.9m aviso de sen&a sele%ione 10 SDias antes da sen&a expirar em que o usu4rio ser4
alertado sobre a expira+*o de sua sen&a. "e atribuir valor5 este deve ser maior que 0.
$ode ser vazio..
1.9m expira+*o de sen&a sele%ione 1 S7Rmero de dias que um usu4rio poder4 ini%iar uma
sess*o mesmo que sua sen&a ten&a expirado. L1(sempre. $ode ser vazio..
1O.9m idade mnima para sen&a sele%ione , S7Rmero de dias que um usu4rio ir4 esperar atH
que este esteJa &abilitado para tro%ar sua sen&a novamente. "e &abilitado5 deve ser um
valor maior que 0. $ode ser vazio..
1#.9m idade m4xima da sen&a in)orme 1O S7Rmero de dias que um usu4rio ir4 esperar atH
que este esteJa &abilitado para tro%ar sua sen&a novamente. "e &abilitado5 deve ser um
valor maior que 0. $ode ser vazio..
1,.1gora sele%ione salvar
1P.$ronto temos o nosso usuario
1Q."ele%ione /oltar T lista de usu4rios
1gora vamos ver %omo %on)iguramos o %liente5 %omo o nosso servidor 3D1$ vai ser
%liente 3D1$ tambHm vamos %on)igurar ele.
/amos a instala+*o de alguns pa%otes ne%ess4rios
a ptit ude ins t all li"nss-ldap li"pam-ldap ldap-utils -y
!n)orme a respostas %omo abaixo
1. ldap://12,.0.0.1/
2. d%(douglas5d%(wiki5d%(br
N. N
. %n(admin5d%(douglas5d%(wiki5d%(br
O. sen&aadmin
#. ok
,. Ues
P. no
Q. %n(admin5d%(douglas5d%(wiki5d%(br
10.sen&admin
1gora vamos )azer um ba%kup do arquivo que %ontrola aonde vai ser %onsultado os usu4rios5
grupos e sen&as no sistema
c p -RIa ]etc]nss#itch@conf,@"6p
/amos editar ele agora /et%/nsswit%&.%on)
vi m ]etc]nss#itch@conf
pass#d: compat ldap
group: compat ldap
shado#: compat ldap

hosts: files dns
net#or6s: files

protocols: d" files
ser2ices: d" files
ethers: d" files
rpc: d" files

netgroup: ldap
/amos a%ertar o arquivo que %ontrola o %liente 3D1$ /et%/ldap/ldap.%on)
vi m ]etc]ldap]ldap@conf
?R1 ldap:]]=G@G@G@8.]
)ASE dc=douglas,dc=#i6i,dc="r
/amos e)etuar um ba%kup da pam
c p -RIa ]etc]pam@d,@"6p
/amos e)etuar alguns aJustes na pam primeiro no arquivo que %ontrola as sen&as deixe o arquivo
/et%/pam.d/%ommonLpassword %omo abaixo
vi m ]etc]pam@d]common-pass#ord
pass#ord [success=2 deIauIt=ignore] pam0uni@so o"scure sha,=8
pass#ord [success=1 userunknown=ignore deIauIt=die] pam0ldap@so
tr&0first0pass
pass#ord reDuisite pam0den&@so
pass#ord reDuired pam0permit@so
1gora vamos e)etuar o aJuste no arquivo que %ontrola as sessIes %aso o diret0rio &ome n*o
exista o sistema vai %ria deixe o arquivo /et%/pam.d/%ommonLsession %omo abaixo
vi m ]etc]pam@d]common-session
session [deIauIt=1] pam0permit@so
session reDuisite pam0den&@so
session reDuired pam0permit@so
session reDuired pam0uni@so
session optional pam0ldap@so
session optional pam0m6homedir@so skeI=]etc]s6el umask=G77
1gora vamos e)etuar o aJuste do arquivo de autenti%a+*o do ss& H o arquivo /et%/pam.d/ss&d o
arquivo vai ter que )i%ar pare%ido %om o abaixo.
vi m ]etc]pam@d]sshd
auth reDuired pam0en2@so # '1(
auth reDuired pam0en2@so envIIIe=]etc]default]locale
include common-auth
account reDuired pam0nologin@so
#adi ci o n ar a s linha s a ai x o p ar a li mit ar mo s o a c e s s o a o s s h d e s s a m a q ui na s o m e nt e a o s u s u ari o s d o "r u p o
ti)a d mi n
account sufficient pam0succeed0if@so user ingroup root
account reDuisite pam0succeed0if@so user ingroup ti-admin
include common-account
include common-session
session optional pam0motd@so # '1(
session optional pam0mail@so standard noen2 # '1(
session reDuired pam0limits@so
include common-pass#ord
/amos tambHm limitar o a%esso ao %onsole do servidor limitando tambHm que somente o root e o
grupo tiLadmin ten&a a%esso vamos editar o arquivo /et%/pam.d/login o arquivo vai ter que )i%ar
pare%ido %om o abaixo.
vi m ]etc]pam@d]logi n
auth optional pam0faildela&@so deIay=3000000
auth [success=o6 newauthtokreqd=o6 Ignore=ignore userunknown="ad deIauIt=die]
pam0securett&@so
auth reDuisite pam0nologin@so
#adi ci o n ar e s s a s * n o v a s linh a s a ai x o
session [success=o6 Ignore=ignore moduIeunknown=ignore deIauIt="ad] pam0selinu@so
close
session reDuired pam0en2@so readenv=1
session reDuired pam0en2@so readenv=1 envIIIe=]etc]default]locale
include common-auth
auth optional pam0group@so
session optional pam0lastlog@so
session optional pam0motd@so
session optional pam0mail@so standard
open
1gora vamos reini%iar o servidor e testar
telinit 6
1gora ap0s ini%iar o servidor novamente logue %om o usu4rio root e vamos tro%ar para o usu4rio
douglas.santos
s u - douglas@santos
4riando o diretJrio ']home]dougIas.santos'@
douglas@santosdebIan88:AH
1gora vamos %on)igurar um %liente Debian "queeze /amos a instala+*o de alguns pa%otes
ne%ess4rios
a ptit ude ins t all li"nss-ldap li"pam-ldap ldap-utils -y
!n)orme a respostas %omo abaixo
1. ldap://10.0.0.2#/
2. d%(douglas5d%(wiki5d%(br
N. N
. %n(admin5d%(douglas5d%(wiki5d%(br
O. sen&aadmin
#. ok
,. Ues
P. no
Q. %n(admin5d%(douglas5d%(wiki5d%(br
10.sen&admin
1gora vamos )azer um ba%kup do arquivo que %ontrola aonde vai ser %onsultado os usu4rios5
grupos e sen&as no sistema
c p -RIa ]etc]nss#itch@conf,@"6p
/amos editar ele agora /et%/nsswit%&.%on)
pass#d: compat ldap
group: compat ldap
shado#: compat ldap

hosts: files dns
net#or6s: files

protocols: d" files
ser2ices: d" files
ethers: d" files
rpc: d" files

netgroup: ldap
/amos a%ertar o arquivo que %ontrola o %liente 3D1$ /et%/ldap/ldap.%on)
vi m ]etc]ldap]ldap@conf
?R1 ldap:]]=G@G@G@8.]
/amos e)etuar um ba%kup da pam
c p -RIa ]etc]pam@d,@"6p
/amos e)etuar alguns aJustes na pam primeiro no arquivo que %ontrola as sen&as deixe o arquivo
/et%/pam.d/%ommonLpassword %omo abaixo
vi m ]etc]pam@d]common-pass#ord
pass#ord [success=2 deIauIt=ignore] pam0uni@so o"scure sha,=8
pass#ord [success=1 userunknown=ignore deIauIt=die] pam0ldap@so
tr&0first0pass
pass#ord reDuisite pam0den&@so
pass#ord reDuired pam0permit@so
1gora e)etuar o aJuste no arquivo que %ontrola as sessIes %aso o diret0rio &ome n*o exista o
sistema vai %ria deixe o arquivo /et%/pam.d/%ommonLsession %omo abaixo
vi m ]etc]pam@d]common-session
session [deIauIt=1] pam0permit@so
session reDuisite pam0den&@so
session reDuired pam0permit@so
1gora vamos e)etuar o aJuste do arquivo de autenti%a+*o do ss& /et%/pam.d/ss&d o arquivo vai
ter que )i%ar pare%ido %om o abaixo
auth reDuired pam0en2@so # '1(
auth reDuired pam0en2@so envIIIe=]etc]default]locale
include common-auth
#adi ci o n ar a linha a ai x o p a r a li mit ar mo s o a c e s s o a o s s h d e s s a m a q ui n a s o m e nt e a o s u s u ari o s d o "r u p o ti)
a d mi n
session optional pam0motd@so # '1(
session optional pam0mail@so standard noen2 # '1(
/amos tambHm limitar o a%esso ao %onsole do %liente para os grupos tiLadmin e douglasLusuarios
que tem que ser %riado e inserido os usu4rios n*o administrativos para poder logar na maquina5
siga os mesmos passos para %riar o grupo tiLadmin e o usu4rio5 para %riar o grupo douglasL
usuarios e vamos permitir o login do root.
auth optional pam0faildela&@so deIay=3000000
auth [success=o6 newauthtokreqd=o6 Ignore=ignore userunknown="ad deIauIt=die]
pam0securett&@so
auth reDuisite pam0nologin@so
#adi ci o n ar e s s a s linha s n o ar q ui v o
account sufficient pam0succeed0if@so user ingroup ti-admin
account reDuisite pam0succeed0if@so user ingroup douglas-usuarios
close
session reDuired pam0en2@so readenv=1
session reDuired pam0en2@so readenv=1 envIIIe=]etc]default]locale
include common-auth
auth optional pam0group@so
session optional pam0lastlog@so
session optional pam0motd@so
session optional pam0mail@so standard
open
1gora vamos reini%iar o %liente e testar
telinit 6
1gora logue novamente no %liente %om o usu4rio root e vamos mudar para o usu4rio
douglas.santos
s u - douglas@santos
4riando o diretJrio ']home]dougIas.santos'@
Aomo podemos notar est4 )un%ionando tudo ok
/amos )azer um a%esso via ss& no %liente utilizando o usu4rio douglas.santos que temos somente
no 3D1$
H s s h =G@G@G@7< -I douglas@santos
douglas@santos=G@G@G@7<'s password:
LInux 02-debIan 2.6.32-5-686 #1 SMP Mon ]un 13 04:13:06 UTC 2011 I686

The programs IncIuded wIth the DebIan CNU]LInux system are Iree soItware;
the exact dIstrIbutIon terms Ior each program are descrIbed In the
IndIvIduaI IIIes In ]usr]share]doc]*]copyrIght.

DebIan CNU]LInux comes wIth A8SOLUTELY NO WARRANTY, to the extent
permItted by appIIcabIe Iaw.
[16:29:38] dougIas.santos02-debIan [~] $ pwd
]home]dougIas.santos
[16:30:49] dougIas.santos02-debIan [~] $
1gora um exemplo de log de a%esso de um usu4rio logando lo%almente na maquina5 porHm este
usu4rio perten%e ao grupo douglasLusuarios
t ail -I ]2ar]log]auth@log
!e" 29 14:30:38 debIan logi n[1166]: pam0uni(login:auth): authentication failureK
Iogname=LB*1N uId=0 euId=0 tty=]de2]tt&= ruser= rhost= user=3ose@sil2a
!e" 29 14:30:38 debIan logi n[1166]: pam0succeed0if(login:account): reDuirement "user
Ingroup root" not met "& user "jose.sIIva"
Ingroup tI-admIn" not met "& user "jose.sIIva"
Ingroup dougIas-usuarIos" #as met "& user "jose.sIIva"
!e" 29 14:30:38 debIan logi n[1166]: pam0uni(login:session): session opened for user
3ose@sil2a "& LB*1N(uId=0)
1gora vamos %on)igurar um %liente Aentos #
/amos instalar os pa%otes ne%ess4rios
yum ins t all openIdap-clients nss-pam-ldapd -y
1gora vamos aJustar os arquivos do sistema
/amos a%ertar o arquivo que %ontrola o %liente 3D1$ /et%/openldap/ldap.%on)
vi m ]etc]openIdap]ldap@conf
?R1 ldap:]]=G@G@G@8.]
1gora vamos a%ertar o arquivo /et%/nsl%d.%on)
vi m ]etc]nslcd@conf
#+n si r a n o fi nal d o ar q ui v o s s l n o
uri ldap:]]=G@G@G@8.]
"ase dc=douglas,dc=#i6i,dc="r
1gora vamos a %on)igura+*o do /et%/pamVldap.%on)
vi m ]etc]pam0ldap@conf
#,o m e nt e a linha s 1- d e i x e c o m o a ai x o
#ho s t 1*-.0.0.1
#.a linha *0 d e i x e c o m o a ai x o
"ase dc=douglas,dc=#i6i,dc="r
[@@@]
#A" o r a a c r e s c e nt e n o fi nal d o ar q ui v o
uri ldap:]]=G@G@G@8.]
ssl no
1gora vamos %on)igurar o /et%/pam.d/sUstemLaut& o seu arquivo vai ter que )i%ar pare%ido %om o
abaixo.
vi m ]etc]pam@d]s&stem-auth
#/PA 0) 1.0
# 1hi s fil e i s a ut o)" e n e r at e d.
# 2 s e r c h a n " e s 3ill e d e s tr o y e d th e n e xt ti m e a ut h c o nfi " i s r un.
auth reDuired pam0en2@so
auth sufficient pam0fprintd@so
auth sufficient pam0uni@so nullo6 tr&0first0pass
auth reDuisite pam0succeed0if@so uid >= 500 Duiet
#in sir a a linh a a ai x o
auth sufficient pam0ldap@so use0first0pass
auth reDuired pam0den&@so

account reDuired pam0uni@so
account sufficient pam0localuser@so
account sufficient pam0succeed0if@so uid < 500 Duiet
account [deIauIt="ad success=o6 userunknown=ignore] pam0ldap@so
account reDuired pam0permit@so

pass#ord reDuisite pam0crac6li"@so tr&0first0pass retry=3 type=
pass#ord sufficient pam0uni@so sha,=8 shado# nullo6 tr&0first0pass
use0authto6
pass#ord sufficient pam0ldap@so use0authto6
pass#ord reDuired pam0den&@so

session optional pam06e&init@so re2o6e
session [success=1 deIauIt=ignore] pam0succeed0if@so ser2ice in crond Duiet
use0uid
/amos a%ertar o arquivo /et%/nsswit%&.%on)
pass#d:files ldap # lin e 445 d e i x e c o m o n o e x e m pl o
shado#:files ldap # linha 4&5 d e i x e c o m o n o e x e m pl o
group:files ldap # linha 465 d e i x e c o m o n o e x e m pl o

netgroup:ldap # linh a 6-5 d ei x e c o m o n o e x e m pl o
automount: files ldap #linha 715 d e i x e c o m o n o e x e m pl o
1gora pre%isamos alterar o ultimo arquivo /et%/sUs%on)ig/aut&%on)ig
s e d -I "s]USELDAP=no]USELDAP=yes]" ]etc]s&sconfig]authconfig
1gora vamos deixar o nsl%d na ini%ializa+*o
ch6config nslcd on
telinit 6
1gora H s0 logar no sistema utilizando um usu4rio que esteJa %adastrado no 3D1$
1gora vamos %on)igurar o a%esso ao %liente via ss& vamos editar o arquivo /et%/pam.d/ss&d
#/PA 0) 1.0
#adi ci o n e e s s a linh a a ai x o
auth sufficient pam0ldap@so
auth reDuired pam0sepermit@so
auth include pass#ord-auth
#adi ci o n e e s s a linh a a ai x o n ot e q u e s o m e nt e o s u s u ari o s d o "r u p o ti)a d mi n v a o c o n s e " uir t e r a c e s s o vi a
s s h
account include pass#ord-auth
pass#ord include pass#ord-auth
# p a m8 s e li nu x. s o cl o s e s h o ul d e th e fir s t s e s s i o n r ul e
session reDuired pam0selinu@so close
session reDuired pam0loginuid@so
# p a m8 s e li nu x. s o o p e n s h o ul d o nl y e f oll o 3 e d y s e s s i o n s t o e e x e c ut e d in th e u s e r c o nt e xt
session reDuired pam0selinu@so open en20params
#adi ci o n a e s s a linh a a ai x o
session reDuired pam0m6homedir@so skeI=]etc]s6el umask=GG87
session optional pam06e&init@so force re2o6e
session include pass#ord-auth
/amos tambHm limitar o a%esso ao %onsole do %liente para os grupos tiLadmin e douglasLusuarios
que tem que ser %riado e inserido os usu4rios n*o administrativos para poder logar na maquina5
siga os mesmos passos para %riar o grupo tiLadmin e o usu4rio5 para %riar o grupo douglasL
usuarios e vamos permitir o login do root.
#/PA 0) 1.0
auth [userunknown=ignore success=o6 Ignore=ignore deIauIt="ad] pam0securett&@so
auth sufficient pam0ldap@so
auth include s&stem-auth
#adi ci o n e e s s a linh a a ai x o n ot e q u e s o m e nt e o s u s u ari o s d o "r u p o ti)a d mi n v a o c o n s e " uir t e r a c e s s o vi a
s s h
account sufficient pam0succeed0if@so user ingroup ti-admin
account reDuisite pam0succeed0if@so user ingroup douglas-usuarios
account include s&stem-auth
pass#ord include s&stem-auth
# p a m8 s e li nu x. s o cl o s e s h o ul d e th e fir s t s e s s i o n r ul e
session reDuired pam0selinu@so close
session reDuired pam0loginuid@so
session optional pam0console@so
# p a m8 s e li nu x. s o o p e n s h o ul d o nl y e f oll o 3 e d y s e s s i o n s t o e e x e c ut e d in th e u s e r c o nt e xt
session reDuired pam0selinu@so open
session reDuired pam0namespace@so
session reDuired pam0m6homedir@so skeI=]etc]s6el umask=GG87
session optional pam06e&init@so force re2o6e
session include s&stem-auth
-sessIon optional pam0c60connector@so
1gora vamos )azer um teste de %onex*o via ss& %om um usu4rio do grupo tiLadmin
s s h =G@G@G@<G -I douglas@santos
santos=G@G@G@<G's password:
Last IogIn: Wed Aug 10 17:31:33 2011 Irom dougIas.dougIas.wIkI.br
Integrando o Samba ao LDAP
1gora vamos para a %on)igura+*o do "amba %omo $DA utilizando os usu4rios do 3D1$
/amos instalar os pa%otes ne%ess4rios
a ptit ude -y ins t all sam"a sm"client sam"a-doc cifs-utils sm"fs
7as perguntas es%ol&a as padrIes pois vamos mudar tudo.
1gora vamos %opiar o s%&ema do samba para o 3D1$
c p ]usr]share]doc]sam"a-doc]eamples]L5A(]sam"a@schema@gC ]etc]ldap]schema]
/amos des%ompa%tar ele
gzi p -d ]etc]ldap]schema]sam"a@schema@gC
1gora vamos %riar o arquivo %om as re)eren%ias de s%&emas para o samba
vi m ]root]schema0con2ert@conf
include ]etc]ldap]schema]core@schema
include ]etc]ldap]schema]collecti2e@schema
include ]etc]ldap]schema]cor"a@schema
include ]etc]ldap]schema]cosine@schema
include ]etc]ldap]schema]duaconf@schema
include ]etc]ldap]schema]d&ngroup@schema
include ]etc]ldap]schema]inetorgperson@schema
include ]etc]ldap]schema]3a2a@schema
include ]etc]ldap]schema]misc@schema
include ]etc]ldap]schema]nis@schema
include ]etc]ldap]schema]openIdap@schema
include ]etc]ldap]schema]ppolic&@schema
include ]etc]ldap]schema]sam"a@schema
1gora vamos %riar o diretorio para a %onvers*o dos nossos s%&emas
c d ]root
mkdir -p @]tmp]ldif0output
1gora vamos %onverter o s%&ema
slapcat -I schema0con2ert@conf -F @]tmp]ldif0output -n0 -s
"cn=12samba,cn=schema,cn=conIIg" > @]tmp]cn=sam"a@ldif
1gora vamos a%ertar o nosso s%&ema antes de importar ele
vi m @]tmp]cn=sam"a@ldif
# .a s linh a s 1945 r e m o v a o :1*; <
dn: cn=sam"a,cn=schema,cn=config
o"3ect4lass: olcSchema4onfig
cn: sam"a

# A " o r a r e m o v e a s linha s 1=7 at > o fi nal d o ar q ui v o v $ o s e r linh a s s e m e l h a nt e s a s a ai x o.
structuralB"3ect4lass: olcSchema4onfig
entr&??15: "dFa9aF8-<c"F-=G8f-Fd,f-G7G"%e,d=.fF
creatorsName: cn=config
createTimestamp: 8G=GGF=,=8,;,<>
entr&4SN: 8G=GGF=,=8,;,<@=;F,G,>#000000#000#000000
modifiersName: cn=config
modif&Timestamp: 8G=GGF=,=8,;,<>
1gora vamos importar o s%&ema para o ldap
ldapadd -Y EXTERNAL -H ldapi:]]] -I @]tmp]cn=sam"a@ldif
SASL SS!: 0
adding ne# entr& "cn=samba,cn=schema,cn=conIIg"
1gora vamos %riar o !ndexes para o 3D1$
vi m ]root]sam"a0indees@ldif
changet&pe: modif&
add: olc5"1nde
olc5"1nde: uidNum"er eD
olc5"1nde: gidNum"er eD
olc5"1nde: loginShell eD
olc5"1nde: uid eD,pres,su"
olc5"1nde: mem"er?id eD,pres,su"
olc5"1nde: uniDue'em"er eD,pres
olc5"1nde: sam"aS15 eD
olc5"1nde: sam"a(rimar&*roupS15 eD
olc5"1nde: sam"a*roupT&pe eD
olc5"1nde: sam"aS15List eD
olc5"1nde: sam"a5omainName eD
olc5"1nde: default su"
1gora vamos importar os nosso indexes
ldapmodif& -Y EXTERNAL -H ldapi:]]] -I ]root]sam"a0indees@ldif
SASL SS!: 0
modif&ing entr& "oIcDatabase=1hdb,cn=conIIg"
1gora vamos reini%iar o nosso ldap
]etc]init@d]slapd restart
Stopping OpenLDAP: slapd@
Starting OpenLDAP: slapd@
1gora vamos instalar o smbldapLtools que H a )erramenta de apoio para trabal&ar "amba W 3D1$
a ptit ude -y ins t all sm"ldap-tools
1gora vamos )azer um ba%kup do arquivo de %on)igura+*o do samba
mv ]etc]sam"a]sm"@conf ]etc]sam"a]sm"@conf@"6p
1gora vamos %on)igurar o nosso samba
vi m ]etc]sam"a]sm"@conf
# ?l o al p ar a m e t e r s
[glo"al]
#or6group = 5B?*LAS
net"ios name = 5B?*LAS
e n a bl e pri2ileges = ye s
#int erf a c e s @ 1A*.17=.6.11
username map = ]etc]sam"a]sm"users
ser2er string = Sam"a Ser2er Z2
securit& = user
encr&pt pass#ords = :es
# mi n p a s s 3 d l e n "t h @ 4
uni pass#ord s ync = ye s
ldap pa s s wd s ync = ye s
pa s s wd program = ]usr]s"in]sm"ldap-pass#d -u "Zu"
pa s s wd chat = "ChangIng *\nNew password*" ZnLn "*Retype new password*" ZnLn"

Iog IeveI = 0
sysIog = 0
Iog IIIe = ]var]Iog]samba]Iog.ZU
max Iog sIze = 100000
tIme server = Yes
socket optIons = TCPNODELAY SORCV8UF=8192 SOSND8UF=8192
mangIIng method = hash2
Dos charset = CP932
UnIx charset = UTF-8

Iogon scrIpt = Iogon.bat
Iogon drIve = U:
Iogon home = \\ZL\ZU
Iogon path = \\ZL\proIIIes\ZU

domaIn Iogons = Yes
domaIn master = Yes
os IeveI = 100
preIerred master = Yes
wIns support = yes
passdb backend = Idapsam:Idap:]]127.0.0.1]
Idap admIn dn = cn=admIn,dc=dougIas,dc=wIkI,dc=br
Idap suIIIx = dc=dougIas,dc=wIkI,dc=br
Idap group suIIIx = ou=Crupos
Idap user suIIIx = ou=UsuarIos
Idap machIne suIIIx = ou=MaquInas
#Idap Idmap suIIIx = ou=dmap
add user scrIpt = ]usr]sbIn]smbIdap-useradd -m "Zu"
#Idap deIete dn = Yes
deIete user scrIpt = ]usr]sbIn]smbIdap-userdeI "Zu"
add machIne scrIpt = ]usr]sbIn]smbIdap-useradd -t 0 -w "Zu"
add group scrIpt = ]usr]sbIn]smbIdap-groupadd -p "Zg"
deIete group scrIpt = ]usr]sbIn]smbIdap-groupdeI "Zg"
add user to group scrIpt = ]usr]sbIn]smbIdap-groupmod -m "Zu" "Zg"
deIete user Irom group scrIpt = ]usr]sbIn]smbIdap-groupmod -x "Zu" "Zg"
set prImary group scrIpt = ]usr]sbIn]smbIdap-usermod -g 'Zg' 'Zu'
admIn users = domaInadm
Idap ssI = no
# prInters conIIguratIon
#prInter admIn = "(rint Bperators"
Ioad prInters = Yes
create mask = 0640
dIrectory mask = 0750
#Iorce create mode = 0640
#Iorce dIrectory mode = 0750
nt acI support = yes
prIntIng = cups
prIntcap name = cups
deadtIme = 10
guest account = nobody
map to guest = 8ad User
dont descend = ]proc,]dev,]etc,]IIb,]Iost+Iound,]InItrd
show add prInter wIzard = yes
; to maIntaIn capItaI Ietters In shortcuts In any oI the proIIIe IoIders:
preserve case = yes
short preserve case = yes
case sensItIve = no

[homes]
path = ]home]dIretorIos]ZU
comment = DIretorIo home
browseabIe = no
wrItabIe = yes
vaIId users = ZU
create mode = 0700
dIrectory mode = 0700
preexec = ]bIn]bash ]etc]samba]vaIIda.sh ZU ZC
preexec cIose = yes
[netIogon]
path = ]home]netIogon]
browseabIe = No
read onIy = yes

[proIIIes]
path = ]home]proIIIes
read onIy = no
create mask = 0600
browseabIe = No
guest ok = Yes
proIIIe acIs = yes
csc poIIcy = dIsabIe
# next IIne Is a great way to secure the proIIIes
#Iorce user = ZU
# next IIne aIIows admInIstrator to access aII proIIIes
#vaIId users = ZU "5omain Admins"

[prInters]
comment = Network PrInters
#prInter admIn = "(rint Bperators"
guest ok = yes
prIntabIe = yes
path = ]home]spooI]
browseabIe = No
read onIy = Yes
prIntabIe = Yes
prInt command = ]usr]bIn]Ipr -PZp -r Zs
Ipq command = ]usr]bIn]Ipq -PZp
Iprm command = ]usr]bIn]Iprm -PZp Zj
# prInt command = ]usr]bIn]Ipr -UZUZM -PZp -r Zs
# Ipq command = ]usr]bIn]Ipq -UZUZM -PZp
# Iprm command = ]usr]bIn]Iprm -UZUZM -PZp Zj
# Ippause command = ]usr]sbIn]Ipc -UZUZM hoId Zp Zj
# Ipresume command = ]usr]sbIn]Ipc -UZUZM reIease Zp Zj
# queuepause command = ]usr]sbIn]Ipc -UZUZM stop Zp
# queueresume command = ]usr]sbIn]Ipc -UZUZM start Zp

[prInt$]
path = ]home]prInters
guest ok = No
browseabIe = Yes
read onIy = Yes
vaIId users = "(rint Bperators"
wrIte IIst = "(rint Bperators"
create mask = 0664

[pubIIc]
path = ]srv]pubIIca
guest ok = yes
browseabIe = Yes
wrItabIe = yes
[T]
path = ]srv]Programas
comment = Programas T
browsabIe = yes
wrItabIe = yes
create mask = 0664
IockIng = no
vaIId users = tI-admIn
Ariando o arquivo de mapeamento de usu4rios "amba/Eindows
vi m ]etc]sam"a]sm"users
#AB C2+ DE DF 0A P F 0F .1 E DF 2 G 2A B+ E G
#Hor mat o 5 2ni x8+ D @ Ii n d o 3 s 8+ D
#FJF 0P L E5
# r o ot @ A d mi ni s tr at or
# d o u "l a s @ KDo u "l a s G a nt o s K
root = Administrator
root = Administrador
/amos %riar os diret0rios ne%ess4rios e a%ertar as permissIes
mkdir -p ]home]netlogon,profiles,diretorios
c hmod -R 777 ]home]netlogon
c hmod -R 1777 ]home]profiles,diretorios
/amos %riar o diret0rio de programas para a ?! e vamos %riar a pasta pRbli%a.
mkdir ]sr2](rogramas,pu"lica
c hmod -R 777 ]sr2](rogramas
c hmod -R 1777 ]sr2]pu"lica
1gora vamos %olo%ar no %ompartil&amento programas o registro para importar no Ein, para ele
poder )azer parte do domnio samba.
vi m ]sr2](rogramas]#in9@reg
/indo#s Registr& Editor Mersion 5.00
K /in90Sam"a<5omain'em"er
[$-E:0LB4AL0'A4$1NELS&stemL4urrent4ontrolSetLSer2icesLLan'an/or6stationL(a
rameters]
"DNSNameResoIutIonRequIred"=d#ord:GGGGGGGG
"DomaInCompatIbIIItyMode"=d#ord:GGGGGGG=

K Speedup settings
[$-E:0LB4AL0'A4$1NELSB!T/AREL(oliciesL'icrosoftL/indo#sLS&stem]
"SIowLInkDetectEnabIed"=d#ord:GGGGGGGG
"DeIeteRoamIngCache"=d#ord:GGGGGGG=
"WaItForNetwork"=d#ord:GGGGGGGG
"CompatIbIeRUPSecurIty"=d#ord:GGGGGGG=

K 4an dri2e &ou nuts
[$-E:0LB4AL0'A4$1NELSB!T/AREL'icrosoftL/indo#sL4urrentMersionL(oliciesLS&s
tem]
"EnabIeLUA"=d#ord:GGGGGGGG
Aaso ten&a maquinas Eindows , na rede e pre%isar %olo%ar no domnio samba pre%isa importar
este registro primeiro.
1gora vamos %riar o arquivo que valida se existe o diret0rio &ome do usu4rio e %ria %aso n*o
exista.
vi m ]etc]sam"a]2alida@sh
#!/in/a s h

DRETORO="]home]dIretorIos]$1"

if [ ! -d L:D+ B F 1E B+ E; ]K t hen
mkdir -p L:D+ B F 1E B+ E;
c hown -R L:1;:L:*; L:D+ B F 1E B+ E;
c hmod -R 750 L:D+ B F 1E B+ E;
fi
1gora vamos dar permiss*o para o nosso s%ript
c hmod 755 ]etc]sam"a]2alida@sh
1gora vamos %riar o s%ript de logon
vi m ]home]netlogon]logon@"at
e c ho off
echo@
e c ho AM1SB: NNo feche esta 3anela!!!
echo@
NET ?SE (: ]5ELETE
NET ?SE (: LL=G@G@G@8.Lpu"lic ](ERS1STENT::ES
NET T1'E LL=G@G@G@8. ]SET ]:ES
echo@
1gora vamos instalar um utilit4rio para )azer a %onvers*o do )ormato Cnix para D2"
a ptit ude ins t all tofrodos -y
1gora vamos %onverter o arquivo de registro e o arquivo de logon
todos ]home]netlogon]logon@"at
todos ]sr2](rogramas]#in9@reg
/amos instalar o servidor de 7?$ para que os %lientes possam sin%ronizar o &or4rio %om o
servidor $DA
a ptit ude ins t all ntp ntpdate -y
1gora vamos a%ertar o /et%/ntp.%on)
vi m ]etc]ntp@conf
[@@@]
ser2er 3@debIan@pool@ntp@org i"urst
#+n s e rir a s e " ui nt e linha
ser2er pdc@douglas@#i6i@"r i"urst
[@@@]
/amos %riar um arquivo ne%ess4rio para o 7?$
t ouch ]2ar]li"]ntp]ntp@drift
1gora vamos reini%iar o servi+o e ver %omo que ele est4.
]etc]init@d]ntp restart
Stopping NT( ser2er: ntpd@
Starting NT( ser2er: ntpd@
/amos ver %omo ele esta trabal&ando
ntpD -p =87@G@G@=
remote refid st t #hen poll reach dela& offset 3itter
==============================================================================
*sr2%@sp"rasil@c 8GG@=.G@7@=;< 2 u 19 64 1 10.694 99.759 8.996
sr29@sp"rasil@c 8GG@=.G@7@=;< 2 u 18 64 1 10.434 101.498 19.271
roma@coe@ufr3@" =%.@=.%@%F@, 2 u 17 64 1 26.731 107.312 1.786
d@st=@ntp@"r @BN)R@ 1 u 17 64 1 60.915 121.360 9.016
pdc@douglas@#i6 @STE(@ 16 u - 64 0 0.000 0.000 0.000
/amos sin%ronizar o nosso rel0gio %om o ntp da usp
ntpdate -u ntp@usp@"r
29 !e" 15:24:GG ntpdate[3116]: ad3ust ti me ser2er =%<@=G7@8,,@=, offset 0.126564
sec
1gora vamos a%ertar o arquivo /et%/se%uritU/limits.%on) para n*o )i%ar mostrando erro no samba
vi m ]etc]securit&]limits@conf
#c ol o c ar n o fi nal d o ar q ui v o
root hard nofile 131072
root soft nofile 65536
mioutente hard nofile 32768
mioutente soft nofile 16384
1gora vamos reini%iar o samba
]etc]init@d]sam"a restart
Stopping Sam"a daemons: nm"d sm"d@
Starting Sam"a daemons: nm"d sm"d@
1gora vamos armazenar o admin do 3D1$ no samba
sm"pass#d -W
Setting stored pass#ord f or "cn=admIn,dc=dougIas,dc=wIkI,dc=br" in secrets@td"
Ne# S') pass#ord: #s e n h a a d mi n d o L DA P
Ret&pe ne# S') pass#ord: #s e n h a a d mi n d o L DA P
1gora vamos desempa%otar o arquivo que vamos )azer a %on)igura+*o )inal do samba W 3D1$
gzi p -d ]usr]share]doc]sm"ldap-tools]configure@pl@gC
1gora vamos exe%utar o arquivo que vai %onter a base para popular o 3D1$ %om os dados do
"amba
perl ]usr]share]doc]sm"ldap-tools]configure@pl
$# is no longer supported at ]usr]share]doc]sm"ldap-tools]configure@pl line 314@
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
sm"ldap-tools script configuration
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
)efore starting, chec6
@ if &our sam"a controller is up and running@
@ if the domain S15 is defined (&ou can get it #ith the 'net getIocaIsId')

@ &ou can lea2e the configuration using the 4rtl-c 6e& com"ination
@ empt& 2alue can "e s e t #ith the "." character
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Loo6ing f or configuration files@@@

Sam"a 4onfiguration !ile (ath []etc]sam"a]sm"@conf] >

The default director& in whi ch the sm"ldap configuration files are stored is
sho#n@
1f &ou need to change this, enter the full director& path, then press enter to
continue@
Sm"ldap-tools 4onfiguration 5irector& (ath []etc]sm"ldap-tools]] >
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start conIIgurIng the smbIdap-tooIs scrIpts ...

. workgroup name: name oI the domaIn Samba act as a PDC
workgroup name [DOUCLAS] > #ENTER
. netbIos name: netbIos name oI the samba controIer
netbIos name [DOUCLAS] > #ENTER
. Iogon drIve: IocaI path to whIch the home dIrectory wIII be connected (Ior NT WorkstatIons). Ex:
'$:'
Iogon drIve [H:] > #ENTER
. Iogon home: home dIrectory IocatIon (Ior WIn95]98 or NT WorkstatIon).
(use ZU as username) Ex:'LL5B?*LASLZ?'
Iogon home (press the "." character II you don't #ant home5irector&) [LLZLLZ?] > @ #aqui
v ai u m .
@ logon path: director& #here roaming profiles are stored@ E:'\\DOUCLAS\proIIIes\
ZU'
logon path (press the "." character if &ou don't want roamIng proIIIe)
[\\DOUCLAS\proIIIes\ZU] > . #aquI vaI um .
. home dIrectory preIIx (use ZU as username) []home]ZU] > #ENTER
. deIauIt users' home5irector& mode [700] > #F.1 F B
@ default user netlogon script (use Z? a s username) [logon@"at] > #F.1 F B
default pass#ord 2alidation ti me (ti me in da&s) [45] > #F.1 F B
@ ldap suffi [dc=douglas,dc=#i6i,dc="r] > #F.1 F B
@ ldap group suffi [ou=*rupos] > #F.1 F B
@ ldap user suffi [ou=?suarios] > #F.1 F B
@ ldap machine suffi [ou='aDuinas] > #F.1 F B
@ 1dmap suffi [ou=1dmap] > #F.1 F B
@ sam"a?ni1d(ooldn: o"3ect #here &ou #ant to store the net uidNum"er
and gidNum"er a2aila"le f or ne# u s er s and group s
sam"a?ni1d(ooldn o"3ect (relati2e to L:s uffi x;) [sambaDomaInName=5B?*LAS] >
#F.1 F B
@ ldap master ser2er: 1( adress or 5NS name of the master (#rita"le) ldap ser2er
ldap master ser2er [=87@G@G@=] > #F.1 F B
@ ldap master port [389] > #F.1 F B
@ ldap master bi nd dn [cn=admin,dc=douglas,dc=#i6i,dc="r] > #F.1 F B
@ ldap master bi nd pass#ord [] > #s e n h a d o a d mi n d o L DA P
@ ldap sla2e ser2er: 1( adress or 5NS name of the sla2e ldap ser2er: can also "e
the master one
ldap sla2e ser2er [=87@G@G@=] > #F.1 F B
@ ldap sla2e port [389] > #F.1 F B
@ ldap sla2e bind dn [cn=admin,dc=douglas,dc=#i6i,dc="r] > #F.1 F B
@ ldap sla2e bind pass#ord [] > #s e n h a d o a d mi n d o L DA P
@ ldap tls support (1]0) [0] > #F.1 F B
@ S15 f or domain 5B?*LAS: S15 of the domain (can "e o"tained #ith 'net getIocaIsId
DOUCLAS')
S15 f or domain 5B?*LAS [S-1-5-21-134422187-1209443084-3402600680] > #F.1 F B
@ uni pass#ord encr&ption: encr&ption used f or uni pass#ords
uni pass#ord encr&ption (4R:(T, '5,, S'5,, SS$A, S$A) [SS$A] > '5, #0D6
@ default user gidNum"er [513] > #F.1 F B
@ default computer gidNum"er [515] > #F.1 F B
@ default logi n shell []"in]ba s h] > #F.1 F B
@ default s6eleton director& []etc]s6el] > #F.1 F B
@ default domain name to append to mail adress [] > #F.1 F B
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
?se of uninitialiCed 2alue $# in concatenation (@) or string at
]usr]share]doc]sm"ldap-tools]configure@pl line 314, <ST51N> line 33@
"ac6up old configuration files:
]etc]sm"ldap-tools]sm"ldap@conf->]etc]sm"ldap-tools]sm"ldap@conf@old
]etc]sm"ldap-tools]sm"ldap0"ind@conf->]etc]sm"ldap-tools]sm"ldap0"ind@conf@old
#riting ne# configuration file:
]etc]sm"ldap-tools]sm"ldap@conf done@
]etc]sm"ldap-tools]sm"ldap0"ind@conf done@
1gora vamos popular o nosso 3D1$ %om os dados do "amba
sm"ldap-populate
(opulating L5A( director& f or domain 5B?*LAS
(S-1-5-21-134422187-1209443084-3402600680)
(using builtin director& structure)

entr& dc=douglas,dc=#i6i,dc="r alread& eist@
entr& ou=?suarios,dc=douglas,dc=#i6i,dc="r alread& eist@
entr& ou=*rupos,dc=douglas,dc=#i6i,dc="r alread& eist@
entr& ou='aDuinas,dc=douglas,dc=#i6i,dc="r alread& eist@
adding ne# entr&: ou=1dmap,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: uId=root,ou=?suarios,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: uId=no"od&,ou=?suarios,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=5omain Admins,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=5omain ?sers,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=5omain *uests,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=5omain 4omputers,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=Administrators,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=Account Bperators,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=(rint Bperators,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=)ac6up Bperators,ou=*rupos,dc=douglas,dc=#i6i,dc="r
adding ne# entr&: cn=Replicators,ou=*rupos,dc=douglas,dc=#i6i,dc="r
entr& sambaDomaInName=5B?*LAS,dc=douglas,dc=#i6i,dc="r alread& eist@ ?pdating
it@@@

(lease pro2ide a pass#ord f or the domain root:
4hanging ?N1X and sam"a pass#ords f or root
Ne# pass#ord: #s e n h a p a r a o r o ot d o L DA P
Ret&pe ne# pass#ord: #s e n h a p ar a o r o ot d o L DA P
1gora vamos %riar o domain admin para o samba e 3D1$5 vamos %riar o grupo e depois o usu4rio
sm"ldap-groupadd -a domainadm
sm"ldap-useradd -am -g domainadm domainadm
1gora vamos setar a sen&a para o nosso domainadm
sm"ldap-pass#d domainadm
4hanging ?N1X and sam"a pass#ords f or domainadm
Ne# pass#ord: #s e n h a
Ret&pe ne# pass#ord: #s e n h a
/amos ver se o ldap J4 esta re%on&e%endo o nosso domainadm
s u - domainadm
domaInadmpdc:~$ pwd
]home]domainadm
1gora vamos adi%ionar o root ao grupos de administradores do domnio
sm"ldap-usermod --group "DomaIn AdmIns","DomaIn Users" root
1gora vamos setar uma sen&a para ele
sm"ldap-pass#d root
4hanging ?N1X and sam"a pass#ords f or root
Ne# pass#ord:
Ret&pe ne# pass#ord:
Aomo pode ser notado tudo ok
1gora vamos reini%iar o servi+o do samba e do 3D1$
]etc]init@d]slapd restart && ]etc]init@d]sam"a restart
Stopping OpenLDAP: slapd@
Starting OpenLDAP: slapd@
Stopping Sam"a daemons: nm"d sm"d@
Starting Sam"a daemons: nm"d sm"d@
1gora vamos %riar um novo usu4rio para testar o samba
1. Arie um novo usu4rio em &ttp://10.0.0.2#/lam
2. Arie um usu4rio %omo no exemplo anterior porHm antes de gravar
N. 7a guia C7!D in)orme o grupo prim4rio %omo tiLadmin
. 1gora vamos a%essar a guia samba N e sele%ione adi%ionar uma extens*o sambaN.
O. 1qui vamos in)ormar o nome para identi)i%a+*o pois o nome para login )oi de)inido na guia
Cnix
6. 1gora in)orme em %amin&o padr*o do usu4rio XX10.0.0.2#XnomeVusuario
7. 9m %amin&o do per)il in)orme XX10.0.0.2#Xpro)ilesXnomeVusuario
8. 1gora em s%ript de login in)orme logon.bat
9. $or Rltimo es%ol&a usu4rio espe%ial 1dmins do Domnio
10.7*o esque+a de de)inir a sen&a para o usu4rio.
1gora vamos listar os %ompartil&amentos %om o novo usu4rio
sm"client -L ]]=87@G@G@= -U douglas]maria@madalena
Enter douglas]maria@madalena's password:
DomaIn=[DOUCLAS] OS=[UnIx] Server=[Samba 3.5.6]

Sharename Type Comment
--------- ---- -------
PC$ PC PC ServIce (Samba Server 3.5.6)
T DIsk Programas T
pubIIc DIsk
prInt$ DIsk
marIa.madaIena DIsk DIretorIo home

Server Comment
--------- -------
DOUCLAS Samba Server 3.5.6

Workgroup Master
---------
1qui em LC H o nome do usu4rio utilizei dominio/nomeVusuario
1gora vamos logar no %ompartil&amento publi%o para testar
sm"client ]]=87@G@G@=]pu"lic -U douglas]maria@madalena
Enter douglas]maria@madalena's password:
smb: \> mkdIr novo
smb: \> Is
. D 0 Wed Feb 29 15:54:01 2012
.. D 0 Thu Feb 23 16:15:46 2012
.X11-unIx DH 0 Wed Feb 29 14:08:59 2012
Iost+Iound D 0 Thu Feb 23 15:57:21 2012
.CE-unIx DH 0 Wed Feb 29 14:08:59 2012
novo D 0 Wed Feb 29 15:54:01 2012

47100 bIocks oI sIze 8192. 43382 bIocks avaIIabIe
smb: \> quIt
$ronto %onseguimos %riar o nosso diret0rio novo sem problemas.
1gora vamos testar o %ompartil&amento que somente o grupo tiLadmin deve ter a%esso
sm"client ]]=87@G@G@=]T1 -U douglas]maria@madalena
Enter maria@madalena's password:
smb: \> Is
. D 0 Wed Feb 29 15:38:54 2012
.. D 0 Wed Feb 29 15:10:39 2012
wIn7.reg 353 Wed Feb 29 15:38:54 2012

smb: \> mkdIr MarIa
smb: \> Is
. D 0 Wed Feb 29 16:02:37 2012
.. D 0 Wed Feb 29 15:10:39 2012
wIn7.reg 353 Wed Feb 29 15:38:54 2012
MarIa D 0 Wed Feb 29 16:02:37 2012

smb: \> quIt
Aomo pode ser notado o usu4rio maria.madalena que %oloquei no grupo tiLadmin %onsegui
a%essar sem problemas e %riou um diret0rio %&amado @aria sem problemas.
;eini%ie o servidor para ele re%arregar todas as %on)igura+Ies.
/amos %olo%ar uma maquina Eindows D$ no domnio samba para testar
1. 3ogue %omo administrador
2. 1gora em @enu !ni%iar/9xe%utar digite: sUsdm.%pl
N. 1gora na guia 7ome do %omputador/1lterar
. 1qui in)orme um nome para o seu %omputador vou in)ormar douglasLxp
O. 1gora em domnio in)orme o nosso dominio: D2CM31"
#. in)orme o usu4rio e a sen&a do root que )oi de)inido no %omando smbldapLpopulate ou
utilize o usu4rio domainadm
,. 1gora se obteve su%esso H so reini%iar
P. 1gora logue %om o usu4rio que )oi %riado %om a extens*o sambaN.
Aaso o 6ind seJa %on)igurado para responder o servi+o do 3D1$ na porta NPQ ent*o n*o H para
ser ne%ess4rio usar 7et6ios sobre ?A$/!$ mais %aso seJa ne%ess4rio temos que )azer %omo abaixo
para aJustar.
1. Aaso o %liente n*o a%&e o servidor podemos resolver da seguinte )orma
2. /amos a%ertar a %on)igura+*o de ?A$/!$
N. 9m @enu !ni%iar/9xe%utar digite: n%pa.%pl
. "ele%ione a inter)a%e de rede %om o bot*o direito5 agora em propriedades
O. 1gora sele%ione $roto%olo ?A$/!$ 5 1gora sele%ione $ropriedades
#. 1gora sele%ione 1van+ado5 1gora sele%ione a guia E!7"
,. 1gora sele%ione 1tivar 7et6!2" sobre ?A$/!$5 1gora sele%ione 2Y
P. 2k novamente5 1gora )e%&ar.
Q. 1gora %omo administrador
10.1gora em @enu !ni%iar/9xe%utar digite: sUsdm.%pl
11.1gora na guia 7ome do %omputador/1lterar
12.1qui in)orme um nome para o seu %omputador vou in)ormar douglasLxp
1N.1gora em domnio in)orme o nosso dominio: D2CM31"
1.in)orme o usu4rio e a sen&a do root que )oi de)inido no %omando smbldapLpopulate ou
utilize o usu4rio domainadm
1O.1gora se obteve su%esso H so reini%iar.
1#.1gora logue %om o usu4rio que )oi %riado %om a extens*o sambaN.
1gora vamos listar a nossa maquina que )oi %olo%ada no domnio
ldapsearch -xLLL
[@@@]
dn: uId=douglas-pH,ou='aDuinas,dc=douglas,dc=#i6i,dc="r
o"3ect4lass: top
o"3ect4lass: account
o"3ect4lass: posiAccount
cn: douglas-pH
uid: douglas-pH
uidNum"er: 1001
gidNum"er: 515
home5irector&: ]de2]null
loginShell: ]"in]f al s e
description: 4omputer
gecos: 4omputer
1s %on)igura+Ies do ambiente Eindows do usu4rio v*o )i%ar salvas em
/&ome/pro)iles/nomeVusuario
2 usu4rio vai ter o mapeamento do diret0rio &ome dele no servidor para o usu4rio vai ser a
unidade C: e ela est4 lo%alizada no servidor em /&ome/diretorios/nomeVusuario.
;e)erKn%ias
1. &ttp://www.openldap.org/
2. &ttp://www.openldap.org/do%/admin2/
3. &ttp://www.openldap.org/do%/admin2/qui%kstart.&tml
4. &ttp://adoldap.%odeplex.%om/
5. www.openldap.org/do%/admin2/2pen3D1$L1dminLMuide.pd)
6. www.samba.org/samba/do%s/"ambaNL:2E?2.pd)
7. &ttps://wiki.samba.org/index.p&p/Eindows,

Apostila LDAP

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Apostila LDAP

Enviado por

Direitos autorais:

Formatos disponíveis

Instalao e configurao de Servidor

Você também pode gostar