Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Apostila VPN Linux AD

    Enviado por

    Claudio Castelo
    10 visualizações5 páginas

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOC, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    10 visualizações5 páginas

    Apostila VPN Linux AD

    Enviado por

    Claudio Castelo

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOC, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 5

    INSTALAO E CONFIGURAO

    SERVIDOR DE VPN LINUX UTILIZANDO USURIOS DO


    MICROSOFT ACTIVE DIRECTORY

    Autor: Cludio Castelo

    Instalando os programas
    $ su root
    # apt-get install samba-common samba smbclient winbind krb5-config krb5clients pptpd
    Entre no diretrio /etc/samba e faa um backup do arquivo smb.conf, apague
    todo o contedo do arquivo e adicione o contedo abaixo:
    [global]
    # Define o nome do domnio que a mquina ir participar
    workgroup = DOMINIO
    # Define o nome netbios da mquina
    netbios name = PV-CIN-LNX-01
    # Define o nome completo do domnio
    realm = DOMINIO.COM.BR
    # Descrio do Servidor
    server string = Servidor VPN
    # Define o diretrio dos logs
    log file = /var/log/samba/%m.log
    max log size = 50
    # Define o tipo de segurana que o samba ir utilizar
    security = ads
    # Endereo IP do controlador de domnio
    password server = IP_SERVER
    # Habilita criptografia das senhas
    encrypt passwords = yes
    # default socket options setting on older samba. It is not defined in v3.0.23c or
    above
    ;socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    # Muito importante, essas linhas no deixam que o samba derrube o domnio
    AD
    domain master = no
    preferred master = no
    # Endereo servidor WINS
    wins server = IP_SERVER
    dns proxy = no
    # Configuraes do WINBIND

    idmap uid = 50001-550000


    idmap gid = 50001-550000
    winbind separator = +
    winbind nested groups = Yes
    winbind enum users=yes
    winbind enum groups=yes
    template shell = /bin/false
    winbind use default domain = no

    Kerberos
    Entre no diretrio /etc e faa um backup do arquivo krb5.conf, apague o
    contedo do arquivo e adicione o contedo conforme abaixo, substitua o
    DOMINIO.COM.BR pelo nome do seu domnio e a linha com dcserver.dominio.com.br, que ser o nome completo de seu controlador de
    domnio.
    [logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
    [libdefaults]
    default_realm = DOMINIO.COM.BR
    dns_lookup_realm = false
    dns_lookup_kdc = false
    ticket_lifetime = 24h
    forwardable = yes
    [realms]
    DOMINIO.COM.BR = {
    kdc = dc-server.dominio.com.br:88
    # admin_server = kerberos.example.com:749
    default_domain = dominio.com.br
    }
    [domain_realm]
    .examplenet.org = DOMINIO.COM.BR
    examplenet.org = DOMINIO.COM.BR
    [kdc]
    profile = /var/kerberos/krb5kdc/kdc.conf
    [appdefaults]
    pam = {
    debug = false
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true

    krb4_convert = false
    }
    Aps realizar a configurao do kerberos, configure o horrio do Linux com o
    do domnio, e digite o comando abaixo:
    # kinit -V administrador
    Se aparecer a mensagem "Authenticated to Kerberos v5", as configuraes do
    kerberos foram realizadas com sucesso.
    Adicionando no domnio
    Primeiramente edite o arquivo /etc/hosts e adicione o ip da mquina VPN e o
    nome dns do domnio, conforme exemplo abaixo:
    192.168.0.1 vpn.dominio.com.br
    Como sua mquina ainda no tem relao de confiana com o domnio, ser
    necessrio adicionar a linha citada acima.
    Digite o comando:
    # net ads join -U administrador
    Caso suas configuraes estejam corretas, voc receber uma mensagem de
    sucesso, caso no receba, verifique as configuraes.
    Reinicie o samba e o winbind, para verificar se o samba est buscando os
    usurios no AD digite os comandos abaixo:
    # wbinfo -u (lista todos os usurios do domnio)
    # wbinfo -t (lista todos os grupos do domnio)
    Configurando o PPTPD
    Entre no diretrio /etc/ e faa um backup do arquivo pptpd.conf, apague o
    contedo do arquivo e adicione o contedo abaixo:
    option /etc/ppp/options.pptpd
    debug
    logwtmp
    speed 15002000
    localip 192.168.0.254
    remoteip 192.168.0.200-210
    Na parte localip (ip do seu servidor VPN) e remoteip (ips que o servidor VPN ir
    distribuir), configure com a sua range de ip da rede local. Salve as
    configuraes.

    Agora entre no diretrio /etc/ppp e faa um backup do arquivo pptpd-options.


    Apague o contedo do arquivo e adicione as linhas abaixo:
    # Authentication
    name pptp
    #Ativao da criptografia MPPE
    refuse-pap
    refuse-chap
    refuse-mschap
    require-mschap-v2
    require-mppe-128
    #Servidores DNS
    ms-dns 192.168.0.250
    ms-dns 192.168.0.251
    #Servidores WINS
    ms-wins 192.168.0.250
    ms-wins 192.168.0.251
    #Realiza o roteamento entre as redes VPN e a rede local
    proxyarp
    #Debuga todas as informaes de login
    debug
    lock
    #Desativa compresso
    nobsdcomp
    novj
    novjccomp
    nologfd
    #Duas linhas que realizam autenticao via Active Directory
    plugin winbind.so
    ntlm_auth-helper "/usr/bin/ntlm_auth --helper-protocol=ntlm-server-1
    --require-membership-of=dominio+VPN"
    Salve o contedo e inicie o servidor pptpd com o comando:
    # /etc/init.d/pptpd start
    Crie um grupo no AD chamado VPN e adicione os usurios que tero acesso a
    conexo VPN.

    Você também pode gostar