ACTIVE DIRECTORY: uma implementao prtica

envolvendo Samba 4
Jolson E. de Almeida, Alexssandro C. Antunes, Msc, Jferson M. de Limas, Msc
Instituto Federal De Educao, Cincia e Tecnologia Catarinense Campus Sombrio
(IFC) Rua Francisco Caetano Lummertz, 818 B. Januria 88960-00 Sombrio/SC
joelson84@hotmail.com.br, {alexssandro.antunes,jeferson}@ifcsombrio.edu.br

Abstract. This article describes the installation of a Directory Service (Active

Directory), using a network service called Samba 4. Samba is free software
which can be used in different environments of Microsoft Windows, for
example, Linux systems. Since this is a free tool, after 10 years of development
lies in its stable version. Thus, exploring its features and checking their
behavior as Active Directory Domain Controller. The version of Samba 4,
while maintaining compatibility with previous versions, have the directory
service, Based on the LDAP protocol (Lightweight Directory Access
Protocol), which in Portuguese means lightweight directory access protocol,
being the primary protocol for the development of the Active Directory. The
tests performed were all simulated in a virtual environment. Was added
Microsoft Windows clients to Samba 4, also control the Internet, integrating a
Squid Proxy server to Active Directory. Samba version 4 showed flexibility as
well as stability with respect to Active Directory. This solution Directory
Service can be implemented in small and medium-sized enterprises, because it
is a free tool. Thereby generating cost savings with respect to licenses to use
software and operating system, thus influencing the economy as a whole with
regard to solutions in Information Technology.
Resumo. Este artigo descreve a instalao de um Servio de Diretrio (Active
Directory), utilizando-se de um servio de rede chamado Samba 4. O Samba
software livre que pode ser utilizado em ambientes diferentes do Microsoft
Windows, por exemplo, em sistemas Linux. Tratando-se de uma ferramenta
grtis, aps 10 anos de desenvolvimento encontra-se em sua verso estvel.
Desta forma, explorando suas funcionalidades e verificando o seu
comportamento como Controlador de Domnio do Active Directory. A verso
4 do Samba, alm de manter a compatibilidade com as verses anteriores,
possui o Servio de Diretrio. Tendo como base o protocolo LDAP
(Lightweight Directory Access Protocol), que em portugus significa
protocolo leve de acesso a diretrios, sendo o principal protocolo para o
desenvolvimento do Active Directory. Os testes realizados foram todos
simulados em um ambiente virtual. Foi adicionado clientes Microsoft
Windows ao Samba 4, tambm controle de Internet, integrando um servidor
Proxy Squid ao Active Directory. O Samba verso 4 apresentou flexibilidade
bem como estabilidade, no que diz respeito ao Active Directory. Esta soluo
de Servio de Diretrio, pode ser implementada em empresas de pequeno e
mdio porte, por tratar-se de uma ferramenta livre. Com isso gerando

reduo de custos, com relao a licenas de uso de software e Sistema

Operacional, assim, influenciando na economia como um todo no que diz
respeito a solues em Tecnologia da Informao.

1. Introduo
Atualmente na rea da Tecnologia da Informao (TI), o Active Directory (AD)
desempenha um papel central para a TI. Seu propsito principal o de fornecer um
local de armazenamento centralizado para contas de usurio, adeses de grupos e
configuraes de softwares. Alm disso, disponibiliza autenticao de usurio, acesso a
objetos como: impressoras e arquivos, que ficam armazenados em seus diretrios com
seus devidos atributos.
AD um Servio de Diretrio desenvolvido pela empresa Microsoft, sendo,
portanto um software proprietrio. Utilizado em seus Sistemas Operacionais de Redes,
est presente desde a verso Windows Server 2000 at a verso atual Windows Server
2012. O AD foi implementado atravs do protocolo LDAP, principal protocolo utilizado
para acesso rpido s informaes de diretrios.
A ferramenta da Microsoft AD um software pago que gera custos para as
empresas. Alm do AD, necessrio o uso de um sistema operacional Windows Server,
gerando um custo adicional em relao licena do sistema operacional. Mais outro
agravante em relao a custos so as licenas cals (Licena de Acesso Cliente), ou seja,
permite o direito de acessar computadores na rede, servios e tecnologias
disponibilizadas em sistemas operacionais instaladas em servidores. Utilizadas por
mquinas clientes ou por usurios.
O Samba pode ser executado em uma plataforma diferente do Microsoft
Windows, por ser um software livre, por exemplo, UNIX, Linux, IBM System 390,
OpenVMS e outros sistemas operacionais. Samba utiliza o protocolo TCP/IP, que
instalado no servidor host. Quando configurado corretamente, ele permite o
compartilhamento de arquivos e impressoras entre mquinas Windows e Linux de
forma transparente. (SAMBA.ORG-1, 2013).
Neste artigo, aplica-se o Servio de Diretrio (AD) utilizando Samba verso 4, e
assim, integrando clientes Microsoft, alm de outros servios de rede local, como
compartilhamento de arquivos e controle de acesso a Internet, atravs do servidor Proxy
Squid.
Considerando ser livre de custos de licenas referente a sistema operacional e
licenas cals, o Samba 4, pode ser uma alternativa para empresas que necessitam de um
AD. Uma das suas vantagens a facilidade para o usurio final, autenticando uma nica
vez no AD. Com esta autenticao, o usurio vai dispor dos servios de rede local, bem
como servios de rede de longa distncia, no sendo necessrio autenticar a cada servio
requisitado com um login e senha diferente para os mesmos. Desta forma o usurio vai
poder autenticar nos servios que esto integrados junto ao AD com a sua conta local.

2. Objetivos Geral e Especfico

2.1. Geral
Implementar um Servio de Diretrio (Active Directory Domain Controller
AD DC) utilizando software livre.
2.2. Especficos
Realizar o referencial terico sobre Active Directory;
Selecionar as ferramentas de cdigo aberto disponveis para implantao de um
servidor Samba 4 Active Directory;
Demonstrar as ferramentas em um cenrio virtual;
Integrar o Active Directory com servio de rede local;
Validar a implementao do ambiente proposto.

3. Fundamentao Terica
A fundamentao terica a base para que possa chegar ao conhecimento do assunto
proposto, descrevendo um pouco sobre o papel de cada ferramenta, para posteriormente
colocar em prtica a ideia sugerida no artigo.
3.1. Active Directory
Segundo Stanek (2009), o AD um Servio de Diretrio que gerencia de forma eficaz
os recursos da rede, armazenando informaes generalizadas sobre todos os recursos
disponveis. Facilitando a pesquisa e a autenticao, um Servio de Diretrio pode
armazenar informaes de forma organizadas, para que assim facilite a recuperao das
mesmas.
Servios de Diretrio esto disponveis no mercado atravs de alguns softwares
proprietrios, a partir de um nmero de fornecedores. Em sua forma mais bsica,
consiste em pesquisas de chave e valor em informaes estruturadas. Estas informaes
so organizadas em uma hierarquia. (BARTLETT, 2005).
AD integra um conjunto de protocolos modernos de autenticao para redes de
computadores. Alm de manter todos os protocolos antigos como o NT4 Servio de
Diretrio NT. (METZMACHER, 2007).
O Servio de Diretrio emprega vrios protocolos para seu funcionamento,
conforme Stanek (2009, p.1027), o protocolo principal para acesso ao Active Directory
o LDAP (Lightweight Directory Access Protocol), um protocolo padro do setor para
acesso a diretrios administrados atravs do TCP/IP.
3.2. Protocolos Envolvidos
Protocolos de redes so regras usadas para que haja a comunicao de dados entre
computadores. Eles fazem com que dois ou mais computadores possam trocar
mensagens entre si. (COMER, 2007).
Os protocolos envolvidos para implementao do Samba 4 AD so: DNS,
LDAP, KERBEROS, NTP, SMB/CIFS, DHCP.

3.2.1. DNS
Segundo Tanenbaum e Wetherall (2011), em uma rede de computadores a comunicao
entre as mquinas feita atravs do endereamento IP. Alguns programas que
empregam o endereo IP (Internet Protocol) podem ser concebidos por pginas de
internet, correios eletrnicos, servios de rede local, entre outros servios. Por existirem
inmeras combinaes de endereos IPs, torna-se impossvel para as pessoas gravarem
os mesmos. Surgiu assim a necessidade do desenvolvimento de um mecanismo para
converter os IPs em nome e vice-versa. Para facilitar criou-se o DNS (Domain Name
System).
Conforme Kurose e Ross (2010) h duas maneiras de identificar um dispositivo:
atravs de seu nome na rede e por seu endereo IP. Para as pessoas, a forma mais fcil
de identificar um computador ou um site na internet lembrando seu nome, j para um
dispositivo de rede, como um roteador o endereo IP. Para que isso acontea, utilizase um Servio de Diretrio como o DNS, para fazer a traduo dos nomes em endereos
IP.
Para gerenciamento de um AD, necessrio a utilizao de um servio DNS. O
AD pode trabalhar com qualquer servidor DNS que tenha suporte a atualizaes
dinmicas e registros SRV (Service Location). Alguns servidores DNS a utilizar-se em
Servios de Diretrio so: BIND (Barkeley Internet Name Domain), OpenDNS,
Microsoft Windows DNS. O prprio Samba 4 possui um servidor de DNS interno.
3.2.2. LDAP
LDAP (Lightweight Directory Access Protocol ou Protocolo Leve de Acesso a
Diretrio), um protocolo de acesso rpido a Servios de Diretrio baseado nos padres
X.500. Suas especificaes e definies so descritas nos RFCs 2251/2256. Tambm
existem outros RFCs que tratam do assunto.
O Servio de Diretrio foi desenvolvido com base no LDAP um protocolo
que define o acesso aos servios de diretrios, onde diretria uma estrutura de
armazenamento organizada de forma hierrquica, que facilita o armazenamento e busca
de informaes. (RIBEIRO JUNIOR, 2008, p. 1).
Conforme Trigo (2007), o LDAP um protocolo cliente/servidor que
disponibiliza informaes contidas em um diretrio. O mesmo permite a navegao,
leitura, armazenamento, pesquisar informaes e tambm realiza determinadas tarefas
de gerenciamento em um Servio de Diretrio. considerado um banco de dados que
aperfeioa a leitura, navegao e pesquisas de dados.
O protocolo LDAP utilizado para organizar as informaes, visando facilidade
e agilidade na recuperao. Estas informaes so armazenadas em um banco de dados.
No especificado qual banco de dados em particular as informaes sero guardadas.
Sua organizao feita de forma hierrquica onde, a partir da raiz possvel chegar at
aos recursos, que podem ser computadores, servidores, usurios, etc. Assim, o LDAP
considerado um protocolo essencial para o Servio de Diretrio.
3.2.3. Kerberos
Conforme Calr Filho (2013), o Kerberos um protocolo que prev forte autenticao
entre aplicaes cliente/servidor. Utiliza-se de criptografia de chave simtrica no qual

servidores fornecem acesso aos servios solicitados pelos clientes, caso comprovem sua
autenticidade.
O Kerberos foi desenvolvido como parte do Projeto Athena, do MIT
(Massachussets Institute of Technology) e seu nome vm da mitologia. Para os gregos
um co com trs cabeas que tem por misso proteger a entrada de Hades, o Deus do
mundo inferior, soberano dos mortos. O Kerberos utilizado nas redes de computadores
para evitar que algum software malicioso libere acesso para fora da rede, deixando a
rede, computadores servidores e demais hosts desprotegidos. Ele permite comunicaes
individuais seguras e identificadas em uma rede insegura, proporcionando autenticao
para aplicaes cliente/servidor atravs do uso de criptografia de chave secreta, de
modo que um cliente prove sua identidade a um servidor e vice-versa. (STEINER,
NEUMAN, SCHILLER, 1988).
O Kerberos no faz a autenticao do prprio host no servidor, e sim, da
aplicao que oferece o servio. O esquema para autenticar feito atravs de tickets,
que servem para comprovar a autenticidade de um usurio, e assim, garantindo o acesso
aos servios e aplicaes. (KERBEROS V5, 2013).
Quando um cliente faz a requisio com um ticket para o KDC (Centro de
Distribuio de Chaves), ento criado um TGT (bilhete de concesso de bilhete) para
o cliente, que criptografado utilizando a senha secreta do usurio. Aps isso, o KDC
retorna o TGT para o cliente, que por sua vez, recebe e descriptografa com sua senha,
garantindo a sua identidade. (CALR FILHO, 2013).
Conforme descrito por Tanenbaum (2003), o protocolo Kerberos utilizado em
vrios sistemas operacionais, inclusive nos sistemas Microsoft Windows. Para que sua
utilizao seja bem sucedida, devem-se manter os relgios sincronizados para que no
ocorra falha na hora da autenticao. Ele permite que seus bilhetes sejam renovados e
tambm que os mesmos tenham um tempo de durao maior.
Cada domnio administrativo tem seu prprio banco de dados Kerberos, que
contm informaes sobre os usurios e servios para um determinado site ou
domnio. Este domnio administrativo chamado de realm (reino). Sendo que cada
realm tem seu servidor de autenticao e uma poltica de segurana, que permite que
uma organizao defina diferentes nveis de segurana. A diviso dos reinos tambm
pode ser hierrquica, permitindo assim que cada rea da organizao possua um reino
local vinculado ao reino central. (CALR FILHO, 2013).
3.2.4. NTP
NTP (Network Time Protocol) um protocolo usado para sincronizar relgios de
computadores na rede local ou na internet, a partir de uma referncia padro de tempo
aceita mundialmente, conhecida como UTC (Universal Time Coordinated). (RNP,
2000).
Para os administradores de redes, a utilizao do NTP importante, pois
possibilita a sincronizao automtica dos equipamentos conectados em uma rede,
assim facilitando a vida de quem a administra, desta forma, no necessrio ir de
mquina em mquina acertar o relgio local. (RNP, 2000).

3.2.5. SMB/CIFS
O protocolo SMB/CIFS (Server Message Block / Common Internet File System), um
protocolo de redes que permite a troca de informaes na rede, compartilhando arquivos
e impressoras. O CIFS uma atualizao do protocolo SMB. (HERTEL, 2003).
O termo SMB usado para fazer referncia no compartilhamento de arquivos
em si. O protocolo permite que o cliente manipule arquivos em rede, como se estivesse
utilizando localmente. O CIFS atua como cliente/servidor e requisio/resposta, o
cliente envia requisies e o servidor respondendo a cada uma das requisies enviadas.
O cliente pode fazer leitura, escrita e excluir arquivos como se estivesse na sua mquina
local. (BARREIROS, 2013).
3.2.6. DHCP
O BootP segundo Hunt (2004), um protocolo simples, que foi a base para o
desenvolvimento do DHCP (Dynamic Host Configuration Protocol). Ele atua sobre o
protocolo UDP, utiliza as portas de comunicao 67 e 68, a mesma utilizada no
protocolo que foi sua base, s com melhorias significativas.
O DHCP foi criado para trabalhar atravs do TCP/IP, fornecendo todas as
configuraes possveis aos clientes. Destaca-se uma melhoria importante com o uso do
DHCP, que permite a distribuio dinamicamente de endereos IPs na rede, so
designadas em uma faixa de IPs, que so configurados em seu arquivo de configurao,
a faixa de endereos conhecida como pool. O DHCP possibilita o aluguel de um
endereo IP para um host por um intervalo de tempo especfico. Quando este tempo
acaba o host obriga-se a pedir renovao para o servidor DHCP, ou caso contrrio deve
ser devolvido, para que possa ser utilizado em outro dispositivo. (HUNT, 2004).
O servio que um servidor DHCP faz responder aos pacotes de broadcast das
estaes, ele responde enviando um pacote com um endereo IP livre, seguindo com os
demais dados da rede. O broadcast endereado ao endereo 255.255.255.255, que
retransmitindo atravs de um switch ou hub em todas as suas portas. (MORIMOTO,
2009).
3.3. Servios de Rede
Uma forma de descrever o que uma rede, esclarece quando so conectados dois ou
mais computadores, compartilhando informaes entre si. Os clientes da rede so
computadores, os quais solicitam informaes. Essas informaes requisitadas podem
ser consideradas servios de rede. (SCRIMGER, et al, 2002).
As redes de computadores possuem servidores, que so computadores dedicados
a exercerem determinadas tarefas, ou seja, estes servidores so designados a oferecer
servios de rede aos clientes. Existem vrios tipos de servios de rede, alguns destes
necessitam de um servidor nico para o mesmo, mais isso no quer dizer que no possa
ter um nico servidor disponibilizando mais que um servio na rede. (SCRIMGER, et
al, 2002).
Abaixo segue uma lista com alguns servios de rede de forma simplificada.

Servio DHCP;
Servio de compartilhamento de arquivos;

Servio DNS;
Servio de Proxy
Servio de Web;
Servio de E-mail.

3.4. Samba
Como descrito anteriormente, o protocolo CIFS evolui-se do SMB passando por vrias
melhorias. O Samba nada mais do que uma implementao das mesmas funes para
sistemas do mundo UNIX. O seu desenvolvimento foi baseado no SMB, e assim, foi
evoluindo e atualizando-se, introduzindo suporte ao CIFS. Mantendo-se atualizado lado
a lado com as verses mais recentes do Windows. (MORIMOTO, 2009).
O servidor Samba possibilita o compartilhamento de arquivos e impressoras,
tambm atua como um PDC (Primary Domain Controller), autenticando os usurios em
redes locais. O Samba um servio de rede bem completo e flexvel, atende muito bem
clientes Linux, quanto clientes Windows. (MORIMOTO, 2009).
Samba composto por dois programas-chave, que so smbd e o nmbd. Suas
funes de trabalho so a implementao dos quatro servios bsicos CIFS, que so:
servios de arquivo e impresso, autorizao e autenticao, resoluo de nomes e por
ltimo, anncio de servio de navegao. (SAMBA.ORG-2, 2013).
Os servios de arquivo e impresso so o carro chefe da sute CIFS. Estes so
fornecidos pelo smbd, o SMB Daemon. Smbd tambm lida com o modo de autenticao
e autorizao. J as outras duas peas CIFS, resoluo de nomes e de navegao, so
tratados pelo nmbd. Estes dois servios envolvem basicamente a gesto e distribuio
de listas de nomes NetBIOS. A resoluo de nomes assume duas formas: de broadcast e
ponto-a-ponto. A mquina pode utilizar qualquer um ou ambos estes mtodos,
dependendo da sua configurao. (SAMBA.ORG-2, 2013).
3.5. Samba 4
O samba 4 AD a evoluo de suas verses anteriores. Com o passar de um trabalho de
dez anos, a equipe do Samba inclu-o junto com sua sute de servidor de arquivos,
impresso e autenticao para cliente do Microsoft Windows. A primeira
implementao de software livre de protocolos do AD da Microsoft. compatvel para
todas as verses de clientes Microsoft Windows atualmente suportada. (SAMBA.ORG3, 2013).
O Samba mantido por uma equipe, um grupo mundial de colaboradores,
profissionais de informtica, que trabalham juntos atravs da internet, produzindo os
servios que englobam todo o Samba. Mantendo constantemente atualizado os seus
repositrios. (SAMBA.ORG-4, 2013).
O servio AD bem utilizado em ambientes de TI corporativo, ele o corao
para implementaes de Servio de Diretrio. O Samba 4 continua a fornecer todas suas
funes das verses anteriores, para que elas funcionem, deve ser adicionado em seu
arquivo de configurao, smb.conf, os parmetros para elas entrarem em vigor. O
servidor Samba 4 apresenta eficincia e flexibilidade, com sua interface de programao
Python e um kit de ferramentas de administrao que ajuda o pessoal de TI nas
implementaes corporativas. (SAMBA.ORG-3, 2013).

O Samba 4 AD, foi desenvolvido com o apoio da Microsoft, que disponibilizou

publicando a documentao oficial do protocolo. A equipe Samba, tendo em mos o
material disponibilizado sobre AD da Microsoft, fez do Samba 4 uma ferramenta
interoperacional. A Microsoft est envolvida em apoiar a interoperabilidade entre as
plataformas. (SAMBA.ORG-3, 2013).
Samba 4.0 permite a comunicao usando os protocolos SMB1, SMB2 e SMB3.
Inclui servidor de diretrio LDAP, servidor de autenticao Kerberos, servidor DNS
dinmico seguro, servidor SMB/CIFS e implementaes para todo procedimento
remoto necessrio. Tambm oferece tudo que imprescindvel para servir como um
Active Directory Domain Controller. (SCHNEIDER, 2012).
Alm dos servios citados acima, o Samba 4 AD oferece outros recursos como:
Diretiva de Grupo, Perfis Mveis, ferramentas de administrao do Windows e integrase com o Microsoft Exchange e servios compatveis com software livre como
OpenChange. Tambm pode ser associado a um domnio existente do AD da Microsoft,
da mesma forma, um servio de AD da Microsoft pode estar associado como membro
de um Samba 4 AD. O que mostra uma verdadeira interoperabilidade entre Microsoft e
Samba. (SAMBA.ORG-3, 2013).
Samba 4 AD tambm vem com uma melhoria do winbind, que um daemon que
permite servidores de arquivos Linux, integrarem-se facilmente em servios do AD,
sendo compatvel tanto com Microsoft AD e Samba 4 AD. (SAMBA.ORG-3, 2013).
O Samba 4 possibilita a integrao de outros servios de rede junto ao AD,
como: E-mail, Web, Proxy, entre outros. Desta forma, centralizando vrios servios, e
assim, facilitando na hora da manuteno.

4. Materiais e Mtodos
A metodologia cientfica segundo Gil (2010) baseia-se em vrios tipos de pesquisas,
que so pontos cruciais para a elaborao de trabalhos cientficos. Conforme Gil (2010,
p. 1) a pesquisa pode ser definida como o procedimento racional e sistemtico que tem
como objetivo proporcionar respostas aos problemas que so propostos. A pesquisa em
si, busca obter o conhecimento sobre um determinado assunto. Eleva vrias tcnicas de
investigao para colher dados vlidos de fontes seguras para a elaborao de trabalhos.
4.1. Mtodos
Elaborou-se este artigo atravs de estudos bibliogrficos. Conforme descrito por
Marconi e Lakatos (2012), a pesquisa bibliogrfica so fontes de outros autores que j
foram publicadas em relao ao tema sobre o qual realiza-se a pesquisa. Essas
publicaes so encontradas de vrias formas como, em jornais, livros, artigos,
monografias, materiais disponibilizados pela internet, entre outros. Isso possibilita o
pesquisador a obter contato direto com todas essas opes, para fins de coletar
informaes para poder transcrever seu trabalho.
O embasamento terico de pesquisa deste artigo teve sua referncia baseada em
livros, artigos e sites. Desta forma coletando informaes importantes para servir como
fundamentao terica para o artigo.

4.2. Materiais
O ambiente utilizado para fins de estudos e prticas deste artigo baseado em um
ambiente virtual. Utilizou-se software Oracle VM VirtualBox verso 4.3.2, que uma
ferramenta grtis que possibilita a simulao de computadores reais em mquinas
virtuais. O Quadro 1 especfica a lista com os Sistemas Operacionais e suas respectivas
funes.
Quadro 1. Sistemas Operacionais Utilizados.

Sistemas Operacionais

Utilizaes

Linux Debian 7 Wheezy x64

Servidor Samba 4 AD

Linux Ubuntu Server 12.04.3 LTS x64

Servidor Internet, DHCP e Proxy Squid

Linux Ubuntu Desktop 12.04.3 LTS x64

Cliente do AD

Windows 8 Pro x64

Cliente do AD

Windows 7 Pro x64

Mquina utilizada para gerenciar o Samba

4 AD e tambm cliente do AD

O Quadro 2 a seguir detalha quais servios de rede Linux que foram utilizados
para a aplicao prtica do artigo bem como as verses que foram utilizadas.
Quadro 2. Servios Linux Utilizados.

Servios

Verses

Isc-dhcp-server

4.1

Squid cache

3.3.10

Iptables

1.4.12

Samba 4

4.1.0

4.3. Modelo Proposto

A implementao deste artigo ser realizada em um ambiente virtual de testes,
posteriormente podendo ser aplicada em empresas, que carecem de um Servio de
Diretrio, disponvel para sua rede local, com a vantagem de ser implementado em
software livre. Na Figura 1, ser mostrado o modelo proposto para implementar uma
rede local com Samba 4.

Figura 1. Implementao Samba 4.

4.4. Instalaes
4.4.1. Requisitos
Antes de iniciar-se o processo de instalao, deve-se primeiro verificar os requisitos
necessrios para a implementao de um servidor Samba 4 AD. Seguindo a parte
documentada do projeto Samba, instalando os pacotes, bibliotecas e preparando o
sistema de arquivos, onde necessrio para que sua compilao seja feita com sucesso.
Precisa-se tambm parar ou remover qualquer outra verso do samba anterior na
mquina em que ser instalado o Samba 4 AD, evitando assim conflitos de
configuraes mais tarde.

O primeiro passo instalar todas as bibliotecas e programas recomendados

conforme os requisitos. Para distribuies Debian ou Ubuntu, devem-se instalar as
seguintes bibliotecas com o seguinte comando, conforme mostra a Figura 2.
(SAMBA.ORG-5, 2013).

Figura 2. Dependncias para Samba 4.

Para usar os recursos avanados do Samba 4, precisa-se que o sistema de

arquivos tenha suporte a permisses adicionais como: xattr e acl, tanto para o usurio,
como tambm ao sistema de arquivos. Se o sistema de arquivos que estiver sendo usado
for do tipo ext3 ou ext4 precisa-se incluir essas opes no arquivo de configurao
/etc/fstab, conforme o exemplo abaixo:
/dev/hda3

/home

ext3

user_xattr,acl,barrier=1

1 1

4.4.2. Download e Instalao

Para fazer download da ltima verso do Samba 4 basta acessar a pgina principal do
site do projeto samba.org como mostra a Figura 3.

Figura 3. Download do Samba 4.

Aps o trmino do download, entre no local onde foi salvo o Samba 4, para dar
incio ao processo de compilao e instalao. Descompacte o arquivo, aps ser
extrado, acesse a pasta que contm todos os arquivos necessrios para a instalao.
Lembrando que para instalar, o usurio tem que ter permisso do root. O processo de
instalao manual, o samba por padro ser instalado em /usr/local/samba podendo
tambm ser direcionado a outro local no momento de sua configurao.
(SAMBA.ORG-6, 2013).
Os comandos e outros detalhes sobre a instalao encontram-se na pgina
oficial do projeto samba.org. Primeiro comando ./configure a ser digitado no Shell
que vai fazer a configurao de todos os pacotes do Samba 4, o segundo comando a ser
digitado make que compila todo o projeto gerando os binrios para a instalao e
por ltimo o comando make install que far a instalao. (SAMBA.ORG-6, 2013).
4.4.3. Configuraes
Para o funcionamento correto do Samba 4 AD preciso alguns ajustes para no
acontecer erros. Necessita-se fazer uma alterao no arquivo hosts do Linux que fica
localizado em /etc/hosts. Conforme mostra a Figura 4.

Figura 4. Arquivo hosts.

A terceira e quarta linha do arquivo visto na Figura 4, devem ser acrescentadas.

A terceira linha corresponde ao endereo IP do servidor Samba 4, seguido do nome do
hostname e o domnio utilizado no Samba 4 AD.
O prximo passo a configurao do arquivo resolv.conf, que tem a funo
configurar a resoluo de nomes para a mquina local. Este arquivo fica localizado
dentro do diretrio /etc, como ilustrado na Figura 5.

Figura 5. Arquivo resolv.conf.

Seguindo o processo de configurao, deve-se acrescentar a seguinte linha que

encontra-se destacada na Figura 6, no arquivo .bashrc que fica dentro de
/root/.bashrc, facilitando desta forma o trabalho com o Samba para o administrador da
rede.

Figura 6. Arquivo .bashrc.

O AD requer uma sincronizao de tempo exato entre os clientes e o controlador

de domnio (DC). Recomenda-se a instalao do NTP para gerenciar a sincronizao
entre ambos. (SAMBA.ORG-7, 2013).

4.4.4. Provisionamento
Para efeitos de teste, adotaram-se as seguintes configuraes para o Samba 4:

Hostname do Servidor: debianad;

DNS Domain Name: srvad.com;
NT4 Domain Name: srvad;
Endereo IP: 192.168.0.253;
Funo do Servidor: DC.

O provisionamento cria um banco de dados, que usado quando se est

configurando o Samba 4 pela primeira vez, em seu prprio domnio. Para poder
inicializar o domnio, deve-se estar com privilgios de usurio root. O seguinte
comando: samba-tool domain provision --use-rfc2307 --interactive, usado para criar
o AD de forma interativa como mostra a Figura 7. (SAMBA.ORG-7, 2013).

Figura 7. Provisionamento do AD.

A Figura 8 mostra o final do comando disparado mostrado anteriormente na

Figura 7, com os detalhes finais sobre Active Directory Domain Controller.

Figura 8. Detalhes do provisionamento.

Uma configurao de DNS de trabalho essencial para o funcionamento correto

do Samba 4 AD. Sem as entradas DNS corretas, Kerberos no ir funcionar, o que
significa que muitas das caractersticas bsicas tambm viro a falhar. Para o
provisionamento para fins de teste, utilizou-se o DNS interno do Samba 4 que o
padro, lembrando que para usar o Samba interno no deve ter mais nenhum outro
programa de gerenciamento de DNS em uso. (SAMBA.ORG-7, 2013).

Aps o processo estar quase completo, deve-se mover ou apagar o arquivo

krb5.conf que encontra-se no diretrio /etc, criado no momento da instalao das
dependncias do Samba 4 AD. Depois basta copiar o arquivo, que foi criado junto ao
provisionamento do Domnio do Samba 4 AD, que o arquivo de configurao do
Kerberos. Encontra-se no diretrio /usr/local/samba/private/ com o nome krb5.conf.
conforme mostra a Figura 9. (SAMBA.ORG-7, 2013).

Figura 9. Arquivo do kerberos.

Para finalizar, deve-se adicionar a linha /usr/local/samba/sbin/samba ao

arquivo /etc/rc.local, desta forma quando o sistema operacional for reiniciado ou
ligado, o servio do Samba 4 AD inicializar sem a interveno do usurio
(administrador).
4.5. Ingressando Clientes ao Samba 4 AD
O AD um servio de rede, que permite ao administrador gerenciar de forma
centralizada toda sua rede. Para permitir que clientes ingressem em um Samba 4 AD ou
at mesmo em um Microsoft AD, preciso associar o computador cliente a algumas
configuraes primrias, que so: configurar o DNS para responder ao Servidor AD,
verificar-se a data, hora e fuso horrio esto sincronizados com AD e por ltimo juntarse ao domnio. (SAMBA.ORG-8, 2013).
Clientes Linux tambm podem fazer parte do AD Samba 4, s que o processo
para ingressar mquinas Linux ao AD mais complexo. No decorrer deste artigo,
ingressaram-se clientes Linux ao AD para fins de testes, porm este processo no ser
detalhado neste artigo.
Ingressando cliente Windows 8 ao domnio:
1. Entre nas propriedades de meu computador;
2. Encontre a opo com o dizer (Nome do computador, domnio e configuraes de
grupo de trabalho) e clique em alterar configuraes;
3. Na guia nome do computador clique em alterar;
4. Na opo membro de, marque a opo Domnio e digite o domnio do AD, exemplo
SRVAD.COM em caixa alta e clique em OK;
5. Encontrando o AD vai aparecer uma tela pedindo login e senha, para ingressar
informe o usurio administrador do AD e sua senha e aperte o boto OK;
6. Ir aparecer uma mensagem de boas vindas ao domnio, em seguida ser solicitado
para reiniciar o sistema.

Aps o sistema ser reiniciado, basta fazer o login do domnio com seu usurio do
AD. A Figura 10 ilustra como ingressar um cliente Windows 8 ao AD.

Figura 10. Cliente Windows 8.

4.6. Gerenciando Samba 4 AD

A gesto do Samba 4 AD, pode ser feita atravs das ferramentas administrativas remota
do Windows, sendo disponibilizadas de forma gratuita no site da Microsoft. Para fazer a
gerncia do Samba 4 AD, a mquina a qual vai ser utilizada, tem que estar ingressada ao
mesmo, e com direitos administrativos, ento deve-se baixar e instalar as ferramentas
administrativas referentes verso do Sistema Operacional. (SAMBA.ORG-9, 2013).
O Samba 4 tambm possibilita a gerncia por meio de sua ferramenta de gesto
samba-tool, que disponibiliza vrios recursos, como adicionar e remover usurios, criar
e gerenciar grupos, fazer a gerncia do DNS, entre outros.
4.7. Outros Servios
Utilizaram-se outros servios de rede local para o desenvolvimento deste artigo, sendo
eles: DHCP, Iptables e Proxy Squid Cache, instalados na mquina com Sistema
Operacional Ubuntu Server. No ser descrito o processo de instalao e configurao,
pois eles no so o foco deste artigo. Ser exposta somente uma cpia dos arquivos de
configurao de cada servio.
DHCP - /etc/dhcp/dhcpd.conf
Quadro 3. Configurao DHCP

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 192.168.0.0 netmask 255.255.255.0 {

range 192.168.0.10 192.168.0.30;
option routers 192.168.0.254;
option domain-name-servers 192.168.0.253,192.168.0.254;
option broadcast-address 192.168.0.255;
option domain-name "srvad.com";
}
host AD {
hardware ethernet 08:00:27:92:06:18;
fixed-address 192.168.0.253;
}
Squid Cache - /usr/local/squid/etc/squid.conf
Quadro 4. Configurao Squid.

#
# Recommended minimum configuration:
#
visible_hostname servidor1.srvad.com
cache_effective_user squid
cache_effective_group squid
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8
# RFC1918 possible internal network
acl localnet src 172.16.0.0/12# RFC1918 possible internal network
acl localnet src 192.168.0.0/16
# RFC1918 possible internal network
acl localnet src fc00::/7
# RFC 4193 local private network range
acl localnet src fe80::/10
# RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80
# http
acl Safe_ports port 21
# ftp
acl Safe_ports port 443
# https
acl Safe_ports port 70
# gopher
acl Safe_ports port 210
# wais
acl Safe_ports port 1025-65535
# unregistered ports
acl Safe_ports port 280
# http-mgmt
acl Safe_ports port 488
# gss-http
acl Safe_ports port 591
# filemaker
acl Safe_ports port 777
# multiling http
acl CONNECT method CONNECT
####Fora do Cache
acl NOCACHE url_regex -i "/usr/local/squid/etc/outcache"

no_cache deny NOCACHE

###################################################
# autenticacao no AD
###################################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
##### Faz a verificao por grupos no AD #####
external_acl_type grupo_ad %LOGIN /usr/local/squid/libexec/ext_wbinfo_group_acl
###GRUPOS####
acl grp-diretores external grupo_ad diretores
acl grp-funcionarios external grupo_ad funcionarios
acl grp-estagiarios external grupo_ad estagiarios
### sites que estao liberados ###
acl sites_liberados url_regex -i "/usr/local/squid/etc/sites_liberados"
### fechar facebook ###
acl face dstdomain .facebook.com
acl face dstdomain .facebook.com.br
acl face dstdomain www.facebook.com
acl face dstdomain www.facebook.com.br
acl web src "/usr/local/squid/etc/ips_liberados"
http_access allow web
http_access allow grp-diretores
http_reply_access deny face
http_access deny CONNECT face
http_access allow grp-funcionarios !face
http_access deny grp-estagiarios !sites_liberados
http_access allow sites_liberados
#
# Recommended minimum Access Permission configuration:
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost

http_access allow localhost manager
http_access deny manager
# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS
#
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
# And finally deny all other access to this proxy
#http_access allow localnet
http_access allow localhost
http_access deny all
# Squid normally listens to port 3128
http_port 3128
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /usr/local/squid/var/cache/squid 256 16 256
# Leave coredumps in the first cache dir
coredump_dir /usr/local/squid/var/cache/squid
#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:
1440 20% 10080
refresh_pattern ^gopher:
1440 0%
1440
refresh_pattern -i (/cgi-bin/|\?) 0
0%
0
refresh_pattern .

20%

4320

Iptables - /etc/init.d/firewall.sh
Quadro 5. Configurao iptables.

# Inicio
echo " Iniciando o Firewall "
#Zerando o Firewall
iptables -F

iptables -X
iptables -t nat -F
iptables -t nat -X
#Carrega os modulos
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
# Compartilha a conexo mascarando
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Nat redirecionamento de Portas
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port
3128

5. Resultados
Neste artigo foram alcanados os objetivos propostos. Sendo estes, implementao de
um Servio de Diretrio envolvendo Samba 4, a integrao de um servio de rede local
ao AD, sendo que todos estes servios so exemplos de software livre.
Aps o processo de instalao do Samba 4 AD, tambm houve a necessidade de
configurar o servio DHCP e Squid. Um detalhe a considerar, para que o servio Proxy
funcione corretamente, que a mquina que est instalada o Squid Cache deve estar
integrada ao AD. Desta forma, quando os usurios autenticados no AD forem utilizar a
Internet, o Squid ir interagir fazendo a verificao junto aos grupos criados no Samba 4
AD. A Figura 11 ilustra o processo quando o cliente utiliza a Internet.

Figura 11. Squid integrado ao AD.

5.1. Unidades Organizacionais

Foram criadas Unidades Organizacionais (OUs), que facilitam a organizao dentro de
um domnio. Para estudos foi criada a OU de nome empresa, a partir dela, criaram-se
mais trs, diretores, funcionrios e estagirios.

Dentro da OU diretores criou-se um grupo com o nome de diretores, e dois

usurios que so: Huguinho e Zzinho que fazem parte deste grupo. Nas seguintes OUs
foi criado tambm um grupo para cada, com seus respectivos nomes, sendo que os
integrantes da OU funcionrios so: Luisinho e Pedrinho e os integrantes Boby e Alice
pertencem a OU estagirios. Conforme ilustrado na Figura 12.

Figura 12. OUs, Usurios e Grupos.

5.2. Diretivas de Grupos

Foram testadas as diretivas de grupos, e foram associadas as respectivas OUs criadas
anteriormente. Desta forma, as mesmas aplicam-se a todas as contas de usurios dentro
da OU. A Figura 13 mostra uma diretiva de grupo criada.

Figura 13. Diretiva de grupo.

Nos testes feitos com diretivas em clientes Windows, todas tiveram xito, j as
diretivas em clientes Linux no tiveram a funcionalidade desejada, quando comparada
as mquinas Windows. Foi criada uma diretiva para inserir o endereo do Servidor
Proxy (automaticamente) no navegador (Internet Explorer), e outra para impedir que
sejam alteradas as configuraes do Servidor Proxy, como por exemplo, endereo IP e
Porta do Proxy. Conforme exposta na Figura 14.

Figura 14. Funcionamento da diretiva.

5.3. Compartilhando Arquivos

Computadores conectados em redes precisam compartilhar arquivos. Como o Samba 4
manteve todas as caractersticas de suas verses anteriores, basta configur-lo para
prover este servio na rede.
Para fazer a configurao deste servio, criou-se um diretrio com nome
Arquivos, localizado dentro do diretrio /home. Depois desta etapa, basta somente
adicionar uma configurao simples no arquivo do Samba 4, smb.conf, localizado em
/usr/local/samba/etc/smb.conf. Acrescentando as seguintes linhas:
[Arquivos]
path = /home/Arquivos
read only = No

Depois desta configurao, basta logar-se no domnio com o usurio

Administrador, e dar permisso de acesso total ao diretrio Arquivos, assim ficando
disponvel para todos os usurios do AD. (SAMBA.ORG-10, 2013).

6. Consideraes Finais
O Samba 4 AD apresenta-se como uma ferramenta para Servio de Diretrio, encontrase em sua verso estvel e apresenta muita flexibilidade bem como estabilidade. Alm
dessas vantagens no que diz respeito ao AD, pode ser considerado concorrente direto ao
AD da Microsoft. Esta soluo de Servio de Diretrio com o Samba 4, pode ser
implementada em empresas de pequeno e mdio porte, por tratar-se de uma ferramenta
de cdigo aberto. Usualmente, em ambientes coorporativos, necessitaria de tempo hbil
maior, e assim, tambm um estudo mais aprofundado.
Desta forma, ir gerar a reduo de custos com relao a licenas de uso de
software, assim, influenciando na economia como um todo no que diz respeito a
solues em TI.
6.1. Dificuldades Encontradas
No desenvolver do artigo, encontrou-se algumas dificuldades com relao a materiais
para fundamentao terica sobre o Samba 4 AD, por tratar-se de algo novo. No foi
encontrado nenhum livro especfico sobre o mesmo, sendo que o material para
fundamentar e implementar o AD, foi basicamente encontrado no site oficial do projeto.
Outro ponto de dificuldade, foi achar documentao de fontes confiveis para
ingressar clientes Linux ao AD, da mesma forma, interagir com Diretivas de Grupos em
clientes Linux, um recurso que o AD disponibiliza, e que explorado pelos
administradores de redes.
6.2. Trabalhos Futuros
O projeto do Samba 4 AD, est em corrente manuteno, verificando e corrigindo erros
que surgem. Como esta ferramenta nova, ainda pode ser muito explorada por possuir
uma srie de recursos que podem ser estudados em trabalhos futuros.
Sugestes para trabalhos futuros: Perfil Mvel, replicao do Servidor Samba 4
AD, explorar Diretivas de Grupos para clientes Linux e tambm fazer do Samba 4 um
membro de um AD da Microsoft.

Referncias
BARTLETT,
Andrew.
(2005)
Samba
4
Active
http://www.samba.org/samba/news/articles/abartlet_thesis.pdf, Agosto.

Directory,

BARREIROS,
Caio
C.
(2013)
Redes
de
Computadores
http://www.gta.ufrj.br/grad/01_2/samba/samba.htm, Novembro.

I,

COMER, Douglas E. (2007) Redes de computadores e internet, 4. ed. Porto Alegre:

Bookman.
CALR
FILHO,
Marcos
M.
(2013)
http://www.gta.ufrj.br/grad/99_2/marcos/kerberos.htm, Novembro.

Kerberos,

GIL, Antonio C. (2010 ) Como elaborar projetos de pesquisa, 5. ed. - So Paulo:

Atlas.
HERTEL, Christopher R.
Novembro.

(2003) Implementing CIFS, http://www.ubiqx.org/cifs/,

HUNT, Craig. (2004) Linux: servidores de rede, Rio de Janeiro: Cincia Moderna.
KERBEROS V5. (2013) Kerberos V5 System Administrator's
http://web.mit.edu/~kerberos /krb5-1.10/krb5
-1.10.7
/doc/krb
admin.html#Network-Services-and-Their-Client-Programs, Novembro.

Guide,
5-

KUROSE, James F., ROSS, Keith W. (2010) Rede de computadores e a Internet: uma
abordagem top-down, 5. ed. So Paulo: Addison Wesley.
MARCONI, Marina de A., LAKATOS, Eva M. (2012) Tcnicas de pesquisa:
planejamento e execuo de pesquisas, amostragens e tcnicas de pesquisa,
elaborao, anlise e interpretao de dados, 7. ed. So Paulo: Atlas, 2012.
METZMACHER,
Stefan.
(2007)
Active
Directory
Replication,
http://www.samba.org/~metze/presentations/2007/thesis/StefanMetzmacher_Bachelo
rthesis_ENG_Draft-9811557.pdf, Setembro.
MORIMOTO, Carlos E. (2009) Servidores Linux, guia prtico, Porto Alegre: Sul
Editores.
RNP (2000) Implementando o servio NTP na sua rede local, CAIS - Centro de
Atendimento
a
Incidentes
de
Segurana,
http://www.rnp.br/_arquivo/cais/manual_ntp_v1b.pdf, Novembro.
RIBEIRO JUNIOR, Jaime. (2008) OpenLDAP: a chave a centralizao,
http://www.barbacena.ifsudestemg.edu.br/system/files/ldap-1.pdf, Novembro.
SAMBA.ORG-1.
(2013)
What
is
http://www.samba.org/samba/what_is_samba.html, Setembro.

Samba?,

SAMBA.ORG-2.
(2013)
Samba:
An
http://www.samba.org/samba/docs/SambaIntro.html, Novembro.

Introduction,

SAMBA.ORG-3.
(2013)
Samba
Team
Releases
https://www.samba.org/samba/news/releases/4.0.0.html, Outubro.
SAMBA.ORG-4. (2013) The
http://www.samba.org/samba/team/, Setembro.

Samba

Samba

4.0,
Team,

SAMBA.ORG-5.
(2013)
Samba
4/OS
Requirements,
https://wiki.samba.org/index.php/Samba_4_OS_Requirements, Novembro.
SAMBA.ORG-6.
(2013)
Build
https://wiki.samba.org/index.php/Build_Samba. Setembro.
SAMBA.ORG-7.
(2013)
Samba
AD
DC
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO, Setembro.

Samba,
HOWTO,

SAMBA.ORG-8.
(2013)
Configuring
a
windows
client
for
AD,
https://wiki.samba.org/ index.php/ Configuring_a _windows_client_for_AD,
Novembro.

SAMBA.ORG-9.
(2013)
Samba
AD
management
from
Windows,
https://wiki.samba.org/index.php/ Samba_AD_ management_ from_windows,
Setembro.
SAMBA.ORG-10.
(2013)
Setup
and
configure
file
shares,
https://wiki.samba.org/index.php/Setup_and_configure_file_shares, Outubro.
SCHNEIDER,
Andreas.
(2012)
https://fedoraproject.org/wiki/Features/Samba4, Novembro.

Features/Samba4,

SCRIMGER, Rob, LASALLE, Paul, PARIHAR, Mridula, GUPTA, Meeta. (2002)

TCP/IP - A Bblia, Rio de Janeiro: Elsevier.
STANEK, William R. (2009) Windows Server 2008: guia completo, Porto Alegre:
Bookman.
STEINER, Jennifer G., NEUMAN Clifford, SCHILLE Jeffrey I. (1988) Kerberos: An
Authentication
Service
for
Open
Network
Systems,
http://www.cse.nd.edu/~dthain/courses/cse40771/fall2004/papers/kerberos.pdf,
Outubro.
TANENBAUM, Andrew S. (2003) Redes de Computadores, Rio de Janeiro: Elsevier.
TANENBAUM, Andrew S., WETHERALL, David. (2011) Redes de Computadores,
So Paulo: Pearson Prentice Hall.
TRIGO, Clodonil H. (2007) OpenLDAP - Uma Abordagem Integrada, So Paulo:
Novatec.