Você está na página 1de 12

Salve pessoal, estou reescrevendo alguns posts relacionados com o Samba 4 e desta vez

irei fazer a instalação via repositório para facilitar um pouco a vida de todos, mas calma,
irei reescrever os posts onde faço a compilação do Samba já adequando as novas
versões do Debian, Ubuntu LTS, e CentOS 7.
Para esse Post preciso de uma instalação do Debian com o Sistema Básico apenas, e no
meu caso instalei também o SSH. Vamos ao nosso ambiente.

Configuração do Servidor Samba:


Hostname: debsmbdc01
Tipo do Servidor (Role): Domain Controler
Endereço IP: 192.168.1.10/24
Domínio: empresa.net
Configuração Cliente DNS: Forwarding (IP: 192.168.1.1)
Default Gateway: 192.168.1.1
Verificar os atributos de sistema de arquivos:
# tune2fs -l /dev/sda1 | grep 'mount options'

Os opções de montagem ´acl,user_xattr´ devem estar ativos, caso não estejam usar o
comando abaixo.
# tune2fs -o acl,user_xattr /dev/sda1

Para remontar
# mount -o remount /

Vamos criar um mapeamento estático para o nosso servidor:


# vi /etc/hosts

127.0.0.1 localhost.localdomain localhost


192.168.1.10 debsmbdc01.empresa.net debsmbdc01

Instalar o Samba 4 e alguns outros pacotes


# apt-get install samba krb5-user winbind smbclient ldap-utils acl attr ntp
Preencha como nas imagens abaixo:
Vamos realizar alguns ajustes no servidor de hora NTP (adicione no final do arquivo)
# vi /etc/ntp.conf

# Relogio Local
server 127.127.1.0
fudge 127.127.1.0 stratum 10

# Configurações adicionais para o Samba 4


ntpsigndsocket /var/lib/samba/ntp_signd/
restrict default mssntp
disable monitor

Vamos reiniciar o servidor NTP


# systemctl restart ntp

Testando
# ntpq -p

Vamos parar alguns serviços antes de configurar o Samba 4


# systemctl stop smbd

# systemctl stop nmbd

# systemctl stop winbind

Agora vamos remover o smb.conf da distribuição


# cd /etc/samba

# mv smb.conf smb.conf.old

Vamos provisionar o Samba 4


# samba-tool domain provision --use-rfc2307 --interactive

samba-tool domain provision --use-rfc2307 --use-xattrs=yes --interactive

Preencha os campos conforme a sua necessidade, neste caso pressionei ENTER e


aceitei o valor padrão. A senha deve ser preenchida com o mínimo de 8 caracteres e deve
conter letras (maiúscula/minúscula), números e caracteres de pontuação devido ao
complexidade de senha estar ativa.

Vamos iniciar os serviços que foram parados anteriormente.


# /etc/init.d/samba-ad-dc restart

Vamos atualizar o resolv.conf.


# vi /etc/resolv.conf

search empresa.net
nameserver 192.168.1.10

Copiar o arquivo krb5.conf do samba 4 para o /etc e sobrescrever o existente.


# cp /var/lib/samba/private/krb5.conf /etc

Ainda temos um pequeno ajuste de permissão para o servidor NTP acessar o socket do
Samba 4
# chown root:ntp /var/lib/samba/ntp_signd/

# chmod 750 /var/lib/samba/ntp_signd/

Feito o ajuste vamos reiniciar o servidor NTP


# systemctl restart ntp

Vamos testar, e verificar se o serviço está ok.


Começando pelo DNS
# host -t A empresa.net
empresa.net has address 192.168.1.10
# host -t SRV _kerberos._udp.empresa.net
_kerberos._udp.empresa.net has SRV record 0 100 88 debsmbdc01.empresa.net.

# host -t SRV _ldap._tcp.empresa.net


_ldap._tcp.empresa.net has SRV record 0 100 389 debsmbdc01.empresa.net.

Algumas consultas externas:


# host mundotibrasil.com.br
mundotibrasil.com.br has address 193.34.144.172
mundotibrasil.com.br has IPv6 address 2a02:c205:2004:8003::1

# host -t MX debian.org
debian.org mail is handled by 0 mailly.debian.org.
debian.org mail is handled by 0 muffat.debian.org.

Pronto, nosso servidor DNS resolve endereços locais e encaminha os externos sem
problema e com os registros SRV _kerberos e _ldap validados podemos seguir com o
teste do mecanismo de autenticação Kerberos.
Para tal, faça:
# kinit administrator@EMPRESA.NET
Password for administrator@EMPRESA.NET:
Warning: Your password will expire in 41 days on Ter 12 Jul 2016 14:54:19 BRT
Caso nao funcione adicionar no final do arquivo krb5.conf

[realms]
SEU.DOMINIO = {
kdc = 172.16.22.3 #IP da sua máquina samba4
admin_server = 172.16.22.3 #IP da sua máquina samba4
}

Em seguida bloquear com chattr +i krb5.conf

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@EMPRESA.NET

Valid starting Expires Service principal


31-05-2016 16:43:45 01-06-2016 02:43:45 krbtgt/EMPRESA.NET@EMPRESA.NET
renew until 01-06-2016 16:43:38

Criar Usuario

/usr/local/samba/bin/samba-tool user add vendedor "senha"

Deletar

/usr/local/samba/bin/samba-tool delete "usuario

Habilitar
/usr/local/samba/bin/samba-tool user enable "usuario"

Definir o tempo da senha Expirar

/usr/local/samba/bin/samba-tool user setexpiry "usuario" --days=10

Para nao Expirar

/usr/local/samba/bin/samba-tool user setexpiry "usuario" --noexpiry

Criar Grupos

/usr/local/samba/bin/samba-tool group add "gruppo"

/usr/local/samba/bin/samba-tool group delete "grupo"

Adicionar usuario ao GRUPO

/usr/local/samba/bin/samba-tool group addmembers "grupo" "joao,pedro,paulo"

Remover um usuario

/usr/local/samba/bin/samba-tool group removemembers financeiro joao

Lista grupos ou usuarios

/usr/local/samba/bin/samba-tool group list

/usr/local/samba/bin/samba-tool user list

Listar GPO's

/usr/local/samba/bin/samba-tool gpo listall

ADICIONAR NO FSTAB

FSTAB
/dev/sdXX /mnt/samba/ ext4 user_xattr,acl,barrier=1 1 1
add no /usr/local/samba/etc/smb.conf

no Global

vfs objects = acl_xattr

map acl inherit = Yes

store dos attributes = Yes

interfaces = ethX

bind interfaces only = yes

Em seguida habilitar compartilhamento via windows remotamente

net rpc rights grant 'DATAREC\Domain Admins' SeDiskOperatorPrivilege -U'DATAREC\administrator'

Fonte: https://www.mundotibrasil.com.br/instalacao-descomplicada-do-samba-4-no-debian-8/

Fim !

################ Provision #############################################

* Reconfiguração do AD-DC com parâmetros para compartilhamento;

* Criação de unidade de Armazenamento;

* Montagem automática da unidade no boot ;


* Configurar o arquivo SMB.CONF;

* Criação de Usuários e Grupos no AD;

* Configuração de pastas compartilhadas e as devidas permissões;

samba-tool domain provision --use-rfc2307 --use-xattrs=yes --interactive

--use- RFC2307

este argumento acrescenta POSIX atributos (UID / GID) para o esquema AD . Isto será necessário se você pretende autenticar
Linux , BSD, ou clientes OS X (incluindo a máquina local ) , além de Microsoft Windows .

--use- xattrs = yes

esse argumento permite o uso de unix atributos estendidos (ACLs) para arquivos hospedados neste servidor. Se você não pretende
ter compartilhamentos de arquivos no controlador de domínio , você pode omitir essa opção (mas isso não é recomendado ) . Você
também deve garantir que quaisquer sistemas de arquivos que sediarão as partilhas do Samba são montados com suporte para
ACLs.

--interactive

este parâmetro força o script disposição para executar de forma interativa.

Ativar Serviço SAMBA

/usr/local/samba/sbin/samba

Verificação

/usr/local/samba/bin/smbclient --version

/usr/local/samba/bin/smbclient -L localhost -U%

Logar NetLogon

/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'SENHA'

Conigurar Resolv

/etc/resolv.conf

domain OMEGANET.DATA.COM

nameserver IP DO SERVER

Teste Se Nomes Estao Respondendo

host -t SRV _ldap._tcp.omeganet.data.com

host -t SRV _kerberos._udp.omeganet.data.com


host -t A _samba.omeganet.data.com

Editar Kerberos

/usr/local/samba/private/krb5.conf

Logar com kinit

kinit administrator@omeganet.data.com

Troca de Senha do Administrator

Exibir a conta do adm principal

klist -e

Troca Senha

/usr/local/samba/bin/samba-tool user setpassword administrator

New Password:

klist -e

Instalar Interface Para Administrar

RSAT para Windows

Remote Server Administrator Tools for Windows 7

Paineil de Controle

Programas

Ativaar/Desativar Recursos do Windows

add Ferramentas de Adm de Servidor

Marcar Todas Opções

Ingressar no Dominio SAMBA

setar mesmo IP do DNS

ID de rede

administrator

OMGANET.DATA.COM
Administrar Via Interface RSAT

Ferramentas Administrativas

Criar Unidades Organizacionais

FINANCEIRO

RH

DIRETORIA

Administrar Via SHell Samba4

Criar Usuario

/usr/local/samba/bin/samba-tool user add vendedor "senha"

Deletar

/usr/local/samba/bin/samba-tool delete "usuario

Habilitar

/usr/local/samba/bin/samba-tool user enable "usuario"

Definir o tempo da senha Expirar

/usr/local/samba/bin/samba-tool user setexpiry "usuario" --days=10

Para nao Expirar

/usr/local/samba/bin/samba-tool user setexpiry "usuario" --noexpiry

Criar Grupos

/usr/local/samba/bin/samba-tool group add "gruppo"

/usr/local/samba/bin/samba-tool group delete "grupo"

Adicionar usuario ao GRUPO

/usr/local/samba/bin/samba-tool group addmembers "grupo" "joao,pedro,paulo"

Remover um usuario

/usr/local/samba/bin/samba-tool group removemembers financeiro joao

Lista grupos ou usuarios

/usr/local/samba/bin/samba-tool group list

/usr/local/samba/bin/samba-tool user list

Listar GPO's
/usr/local/samba/bin/samba-tool gpo listall

Copiar com SCP Samba4 root@192.168.0.100:/etc/init.d/

Script de Inicialização Samba4

instalar dos2unix

dos2unix Samba4

chmod +x Samba4

insserv Samba4

FSTAB

/dev/sdXX /mnt/samba/ ext4 user_xattr,acl,barrier=1 11

add no /usr/local/samba/etc/smb.conf

no Global

vfs objects = acl_xattr

map acl inherit = Yes

store dos attributes = Yes

################

para gerenciar o compartilhamento via windows remotamente

/usr/local/samba/bin/./net rpc rights grant 'INTRANET\Domain Admins' SeDiskOperatorPrivilege -


U'DATAREC.COM\administrator'

para verificar se esta ok

/usr/local/samba/bin/./net rpc rights list accounts -U'INTRANET\administrator'

Reload samba config


smbcontrol all reload-config

Padrão de Definição de Segurança da Microsoft

SDDL = Secutity Descriptor Definition Language

Administrar via Shell

obs: Não viavel , nao pratico

samba-tool ntacl set <ACL> /pasta_compartilhada

samba-tool ntacl set'O:S-1-5-21-2159416005-224523052-165761012-1549G:DUD:

(A;OICI;0x001f01ff;;;S-1-5-21-2159416005-224523052-165761012-1549)

(A;OICI;0x001200a9;;;DU)(A;OICI;0x001200a9;;;WD)(A;;0x001200a9;;;DU)

(A;;0x001f01ff;;;S-1-5-21-2159416005-224523052-165761012-1549)

(A;OICIIO;0x001f01ff;;;CO)(A;OICIIO;0x001200a9;;;CG)' /pasta_compartilhada

http://networkadminkb.com/KB/a6/understanding-the-sddl-permissions-in-the-ace-string.aspx

Você também pode gostar