Escolar Documentos
Profissional Documentos
Cultura Documentos
DoLinux
Com este artigo eu digo adeus à comunidade FromLinux. Uma despedida especial para uma comunidade especial. A partir de agora
estarei no meu projeto pessoal que você poderá conhecer em http://www.gigainside.com.
O objetivo principal do post é oferecer um «Big Picture»Sobre os Serviços de Autenticação com Software Livre de que dispomos. Pelo
menos essa é a nossa intenção. Portanto, será longo, apesar de sabermos que é contra as regras gerais de redação de artigos.
Esperamos que os administradores do sistema apreciem isso.
Queremos salientar que o protocolo comum a muitos dos sistemas de autenticação modernos é o LDAP, e que não é inútil estudá-lo
cuidadosamente, a partir do material de estudo que encontraremos no site oficial http://www.openldap.org/.
Não daremos definições detalhadas -ou links- sobre os aspectos tratados em artigos anteriores, ou sobre aqueles cuja descrição pode
ser facilmente acessível na Wikipedia ou em outros sites ou artigos da Internet, para não perder a objetividade da mensagem que
queremos transmitir. Também usaremos uma combinação válida de nomes em inglês e espanhol, pois consideramos que a maioria dos
sistemas nasceu com nomes em inglês e é muito benéfico para um administrador de sistema assimilá-los em seu idioma original.
Anúncios
PAM: Módulo de autenticação plugável.
Enviar comentários Anúncio? Por quê?
NIS : Network_Information_Service.
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 1/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Índice
1 PAM
2 NIS
3 Nome do computador e domínio, interface de rede e resolvedor
4 Instalação de bind9, isc-dhcp-server e ntp
4.1 bind9
4.2 Bind9 verifica
4.3 isc-dhcp-server
4,4 ntp
4.5 Verificações globais para ntp, bind9 e isc-dhcp-server
5 Instalação do servidor NIS
5.1 Nós construímos o banco de dados NIS
5.2 Nós adicionamos usuários locais
5.3 Nós atualizamos o banco de dados NIS
5.4 Adicionamos opções de NIS ao isc-dhcp-server
6 Instalação do cliente NIS
7 LDAP
8 Serviço de diretório com OpenLDAP
8.1 Nós verificamos a configuração inicial
8.2 Modificamos o arquivo /etc/ldap/ldap.conf
8.3 Unidades organizacionais e grupo geral «usuários»
8.3.1 Nós verificamos as entradas adicionadas
8.4 Nós adicionamos vários usuários
8.4.1 Nós verificamos as entradas adicionadas
8.5 Gerenciamos o banco de dados slpad com utilitários de console
8.5.1 Adicionamos o usuário "bilbo" e o tornamos membro do grupo "usuários"
8.6 Gerenciamos o banco de dados slapd através de uma interface web
9 Cliente ldap
10 Kerberos
11 Desvantagens do Kerberos
12 Samba 4 Active Directory - controlador de domínio
13 Importante:
14 Samba 4 AD-DC com seu DNS interno
14.1 Verificações iniciais
14.2 Postfix por Exim e utilitários
14.3 Nós limpamos
14.4 Instalamos os requisitos para compilar o Samba 4 e outros pacotes necessários
14.5 Agora configuramos o arquivo / etc / ldap / ldap / conf
14.6 O sistema de arquivos deve suportar ACL - Lista de Controle de Acesso
14.7 Obtemos o código-fonte do Samba 4, compilamos e instalamos
14.8 Opções de configuração
14.9 Nós configuramos, compilamos e instalamos o samba-4.5.1
14.10 Provisioning Samba
14.11 Nós instalamos o NTP
14.12 Nós configuramos o Samba start using systemd
14.13 Localizações de arquivos Samba 4 AD-DC
14.14 Arquivo /Usr/local/samba/etc/smb.conf
14.15 Verificações mínimas
14.16 Gerenciamos o Samba 4 AD-DC recém-instalado
Anúncios
14.16.1 Adicionamos vários registros DNS
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 2/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
PAM
Dedicamos uma pequena série a este tipo de autenticação local, que você verá na prática diária que é amplamente utilizada quando,
por exemplo, associamos uma estação de trabalho a um Controlador de Domínio ou Active Directory; para mapear usuários
armazenados em bancos de dados LDAP externos como se fossem usuários locais; para mapear usuários armazenados no controlador
de domínio de um Active Directory como se fossem usuários locais e assim por diante.
começar
De Wikipedia:
Network Information System (conhecido pela sigla NIS, que em espanhol significa Network Information System), é o nome de um
protocolo de serviços de diretório cliente-servidor desenvolvido pela Sun Microsystems para o envio de dados de configuração em
sistemas distribuídos como nomes de usuários e hosts entre computadores em uma rede.O NIS é baseado no ONC RPC e consiste
em um servidor, uma biblioteca do lado do cliente e várias ferramentas de administração.
O NIS foi originalmente chamado de Yellow Pages, ou YP, que ainda é usado para se referir a ele. Infelizmente, esse nome é uma
marca comercial da British Telecom, o que exigiu que a Sun o abandonasse. No entanto, YP permanece um prefixo nos nomes da
maioria dos comandos relacionados ao NIS, como ypserv e ypbind.
O DNS atende a uma gama limitada de informações, sendo a mais importante a correspondência entre o nome do nó e o endereço
IP. Para outros tipos de informação, não existe esse serviço especializado. Por outro lado, se você estiver gerenciando apenas uma
pequena LAN sem conectividade com a Internet, não parece valer a pena configurar o DNS. É por isso que a Sun desenvolveu o
Network Information System (NIS). O NIS fornece recursos genéricos de acesso ao banco de dados que podem ser usados para
distribuir, por exemplo, as informações contidas nos arquivos passwd e groups para todos os nós da rede. Isso faz com que a rede
pareça um único sistema, com as mesmas contas em todos os nós. Da mesma forma, o NIS pode ser usado para distribuir as
informações do nome do nó contidas em / etc / hosts para todas as máquinas da rede.
Hoje o NIS está disponível em praticamente todas as distribuições Unix, e há até implementações gratuitas. O BSD Net-2 publicou
um que foi derivado de uma implementação de referência de domínio público doada pela Sun. O código da biblioteca para a parte
cliente desta versão existe no GNU / Linux libc há muito tempo, e os programas de administração foram portados para o GNU /
Linux por Swen Thümmler. No entanto, um servidor NIS está ausente na implementação de referência.
Peter Eriksson desenvolveu uma nova implementação chamada NYS. Ele suporta NIS básico e a versão aprimorada do Sun NIS +.
[1] O NYS não apenas fornece várias ferramentas NIS e um servidor, mas também adiciona um novo conjunto de funções de
biblioteca que você precisa compilar em sua libc se quiser usá-las. Isso inclui um novo esquema de configuração para resolução de
nome de nó que substitui o esquema atual usado pelo arquivo "host.conf".
O GNU libc, conhecido como libc6 na comunidade GNU / Linux, inclui uma versão atualizada do suporte NIS tradicional
desenvolvido por Thorsten Kukuk. Ele oferece suporte a todas as funções de biblioteca fornecidas pelo NYS e também usa o
esquema de configuração avançado do NYS. As ferramentas e o servidor ainda são necessários, mas usar o GNU libc economiza o
trabalho de corrigir e recompilar a biblioteca
.
Anúncios
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 3/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
dominar
master.swl.fan
root @ master: ~ # ip addr 1: lo: mtu 65536 qdisc noqueue state DESCONHECIDO grupo padrão link / loopback 00: 00: 00: 00: 00: 00 brd
root @ master: ~ # cat /etc/resolv.conf
bind9
opções {diretório "/ var / cache / bind"; // Se houver um firewall entre você e os servidores de nomes com os quais deseja // falar, pode
// Se o seu ISP forneceu um ou mais endereços IP para servidores de // nomes estáveis, você provavelmente deseja usá-los como e
// ====================================================== ====================== $ // Não
não habilitar dnssec;
// dnssec-validation auto; auth-nxdomain no; # em conformidade com RFC1035 listen-on-v6 {any; }; // Para verificações de localhos
allow-transfer {localhost; 192.168.10.1; };
Anúncios
zona "101.100.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; };
Enviar
zona "103.100.in-addr.arpa" {tipo mestre; arquivo comentários Anúncio?
"/etc/bind/db.empty"; };
Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 4/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
zona "104.100.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; };
zona "2.0.192.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "100.51.198.in-addr.arpa" {tipo mestre; arquivo "/etc/bind
// Intervalo de exemplo de IPv6 para documentação (RFCs 3849 e 6303)
zona "teste" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "exemplo" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "inválida"
// Teste de benchmark de roteador (RFCs 2544 e 5735)
zona "18.198.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "19.198.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.
// IANA Reservada - Old Class E Space (RFC 5735)
zona "240.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "241.in-addr.arpa" {tipo mestre; arquivo "/etc/bind/db.empty
// Endereços IPv6 não atribuídos (RFC 4291)
zona "1.ip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "3.ip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "4.ip
// ULA IPv6 (RFCs 4193 e 6303)
zona "cfip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "dfip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; };
zona "8.efip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "9.efip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona
// Endereços locais de site descontinuados IPv6 (RFCs 3879 e 6303)
zona "cefip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "defip6.arpa" {tipo mestre; arquivo "/etc/bind/db.empty"; }; zona "
// IP6.INT está obsoleto (RFC 4159)
// // Faça qualquer configuração local aqui // // Considere adicionar as zonas 1918 aqui, se elas não forem usadas em sua // organização
incluem "/etc/bind/zones.rfcFreeBSD";
// Declaração do nome, tipo, localização e permissão de atualização // das zonas de registro DNS // Ambas as zonas são zona MASTER "
root @ master: ~ # named-checkconf
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; série 1D; atualizar 1H; repetir 1W; expirar 3H); mínimo ou; Tempo de cache ne
root @ master: ~ # nano /var/lib/bind/db.10.168.192.in-addr.arpa
$ TTL 3H @ IN SOA master.swl.fan. root.master.swl.fan. (1; série 1D; atualização de 1H; repetição de 1W; expiração de 3H); mínimo ou; Te
root @ master: ~ # named-checkzone swl.fan /var/lib/bind/db.swl.fan
root @ master: ~ # named-checkconf -zp root @ master: ~ # systemctl restart bind9.service root @ master: ~ # systemctl status
Anúncios
Enviar comentários Anúncio? Por quê?
Bind9 verifica
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 5/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
root @ master: ~ # dig swl.fan axfr
Iniciando Nping 0.6.47 ( http://nmap.org/nping ) em 2017-05-27 09:32 EDT SENT (0.0037s) UDP 192.168.10.5:53> 192.168.10.245:53 ttl =
isc-dhcp-server
# Em quais interfaces o servidor DHCP (dhcpd) deve atender às solicitações DHCP? # Separe várias interfaces com espaços, por exemplo
INTERFACES = "eth0"
Formato de chave privada: v1.3 Algoritmo: 157 (HMAC_MD5) Chave: Ba9GVadq4vOCixjPN94dCQ == Bits: AAA = Criado: 2017052713365
root @ master: ~ # nano dhcp.key
key dhcp-key {
algoritmo hmac-md5;
}; root @ master: ~ # install -o root -g bind -m 0640 dhcp.key /etc/bind/dhcp.key root @ master: ~ # install -o root -g root -m 0
incluem "/etc/bind/dhcp.key";
};
provisório ddns-update-style; ddns-updates on; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorar atualizaçõe
root @ master: ~ # dhcpd -t
Servidor DHCP do Internet Systems Consortium 4.3.1 Copyright 2004-2014 Internet Systems Consortium. Todos os direitos reservados. P
Arquivo de configuração: /etc/dhcp/dhcpd.conf Arquivo de banco de dados: /var/lib/dhcp/dhcpd.leases Arquivo PID: /var/run/dhcpd.pid
root @ master: ~ # systemctl restart bind9.service
ntp
driftfile /var/lib/ntp/ntp.drift estatísticas loopstats peerstats clockstats filegen loopstats arquivo loopstats tipo dia habilitar filegen peerst
root @ master: ~ # systemctl restart ntp.service
27 de maio 10:04:01 ntpdate [18769]: ajustar servidor de tempo 192.168.10.1 deslocamento de 0.369354 s
Em um cliente Linux, BSD, Mac OS ou Windows, verifique se a hora está sincronizada corretamente. Que ele adquira um endereço IP
dinâmico e que o nome desse host seja resolvido por meio de consultas DNS diretas e reversas. Mude o nome do cliente e refaça todas
as verificações. Não prossiga até ter certeza de que os serviços instalados até agora estão funcionando corretamente. Para algo,
escrevemos todos os artigos sobre DNS e DHCP em Redes de computadores para PMEs.
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 6/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
root @ master: ~ # aptitude show nis
Conflitos com: netstd (<= 1.26) Descrição: clientes e daemons para o Network Information Service (NIS) Este pacote fornece ferramentas
root @ master: ~ # aptitude install nis
Isso atrasará o seu porque a configuração do serviço não existe como tal. Por favor, espere o processo terminar.
# Somos um servidor NIS e se sim, de que tipo (valores: falso, escravo, mestre)?
NISSERVER = mestre
root @ master: ~ # nano /etc/ypserv.securenets # securenets Este arquivo define os direitos de acesso ao seu servidor NIS # para cliente
255.255.255.0 192.168.10.0
root @ master: ~ # nano / var / yp / Makefile # Devemos mesclar o arquivo passwd com o arquivo shadow? # MERGE_PASSWD = true |
MERGE_PASSWD = verdadeiro
# Devemos mesclar o arquivo de grupo com o arquivo gshadow? # MERGE_GROUP = true | false
MERGE_GROUP = true
Neste ponto, temos que construir uma lista dos hosts que irão rodar os servidores NIS. master.swl.fan está na lista de hosts do servidor
root @ master: ~ # systemctl restart nis
Adicionando o usuário `bilbo '... Adicionando o novo grupo` bilbo' (1001) ... Adicionando o novo usuário` bilbo '(1001) com o grupo` bilb
root @ master: ~ # adduser strides root @ master: ~ # adduser legolas
Login: legolas Nome: Legolas Archer Diretório: / home / legolas Shell: / bin / bash Nunca logou. Sem correio. Sem plano.
make [1]: Entrando no diretório '/var/yp/swl.fan' Atualizando passwd.byname ... Atualizando passwd.byuid ... Atualizando group.byname
provisório ddns-update-style; ddns-updates on; ddns-domainname "swl.fan."; ddns-rev-domainname "in-addr.arpa."; ignorar atualizaçõe
opção nis-domain "swl.fan";
Anúncios
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 7/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
mail.swl.fan
2: eth0: mtu 1500 qdisc pfifo_fast estado UP grupo padrão qlen 1000 link / éter 00: 0c: 29: 25: 1f: 54 brd ff: ff: ff: ff: ff: ff
root @ mail: ~ # nano /etc/yp.conf # # yp.conf Arquivo de configuração para o processo ypbind. Você pode definir # servidores NIS ma
root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Exemplo de configuração da funcionalidade GNU Name Service Switch. # Se você tiver os pacotes `glibc-doc-re
root @ mail: ~ # nano /etc/pam.d/common-session
Fechamos a sessão e a iniciamos novamente, mas com um usuário registrado no banco de dados NIS em master.swl.fan.
Senha de legolas @ mail: Criando diretório '/ home / legolas'. Os programas incluídos no sistema Debian GNU / Linux são softwares livre
legolas @ mail: ~ $ pwd
/ home / legolas
legolas @ mail: ~ $
Alteração das informações da conta NIS para legolas em master.swl.fan. Insira a senha antiga: legolas Alterando a senha NIS para legola
legolas @ mail: ~ $ exit
Os programas incluídos no sistema Debian GNU / Linux são softwares livres; os termos de distribuição exatos para cada programa são d
legolas @ mail: ~ $
LDAP
Da Wikipedia:
LDAP é a sigla para Lightweight Directory Access Protocol (em espanhol Lightweight Directory Access Protocol) que se refere a um
protocolo de nível de aplicativo que permite o acesso a um serviço de diretório ordenado e distribuído para pesquisar várias
informações em um ambiente rede. O LDAP também é considerado um banco de dados (embora seu sistema de armazenamento
possa ser diferente) que pode ser consultado.Um diretório é um conjunto de objetos com atributos organizados de forma lógica e
hierárquica. O exemplo mais comum é a lista telefônica, que consiste em uma série de nomes (pessoas ou organizações) que são
organizados em ordem alfabética, com cada nome tendo um endereço e um número de telefone anexado a ele. Para entender
melhor, é um livro ou pasta, no qual estão escritos os nomes, números de telefone e endereços das pessoas, e está organizado em
ordem alfabética.
Uma árvore de diretório LDAP às vezes reflete vários limites políticos, geográficos ou organizacionais, dependendo do modelo
escolhido. As implantações atuais do LDAP tendem a usar nomes de DNS (Domain Name System) para estruturar os níveis mais
altos da hierarquia. Conforme você rola a lista para baixo, as entradas podem aparecer representando pessoas, unidades
organizacionais, impressoras, documentos, grupos de pessoas ou qualquer coisa que represente uma determinada entrada na
árvore (ou várias entradas).
Anúncios
Normalmente, ele armazena informações de autenticação (usuário e senha) e é usado para autenticar, embora seja possível
Enviar do
armazenar outras informações (dados de contato comentários Anúncio? Por
usuário, localização quê? recursos de rede, permissões, certificados, etc.).
de vários
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 8/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
A versão atual é LDAPv3 e é definida nos RFCs RFC 2251 e RFC 2256 (documento base LDAP), RFC 2829 (método de autenticação
para LDAP), RFC 2830 (extensão para TLS) e RFC 3377 (especificação técnica)
Por muito, o protocolo LDAP - e seus bancos de dados compatíveis ou não com OpenLDAP - é o mais utilizado na maioria dos
sistemas de autenticação atualmente. Como exemplo da afirmação anterior, damos a seguir alguns nomes de sistemas -Livre ou
Privado- que usam bancos de dados LDAP como backend para armazenar todos os seus objetos:
OpenLDAP
Apache Directory Server
Servidor Red Hat Directory - 389 DS
Novell Directory Services - eDirectory
SUN Microsystem Open DS
Red Hat Identity Manager
FreeIPA
Controlador de domínio Samba NT4 Classic.
Queremos esclarecer que este sistema foi um desenvolvimento do Team Samba com Samba 3.xxx + OpenLDAP como backend. A
Microsoft nunca implementou nada parecido. Saltou de controladores de domínio NT 4 para seus diretórios ativos
Samba 4 Active Directory - Controlador de Domínio
ClearOS
Zentyal
UCS Uninvention Corporate Server
Microsoft Active Directory
Cada implementação tem suas próprias características, e a mais padronizada e compatível é a OpenLDAP.
O Active Directory, seja o original da Microsoft ou do Samba 4, constitui uma união de vários componentes principais que são:
Não devemos confundir um Serviço de Diretório o Serviço de diretório com um Active Directory o Active Directory. Os primeiros
podem hospedar ou não a autenticação Kerberos, mas não oferecem o serviço Microsoft Network fornecido por um domínio do
Windows, nem possuem um controlador de domínio do Windows como tal.
Um serviço de diretório ou serviço de diretório pode ser usado para autenticar usuários em uma rede mista com clientes UNIX / Linux e
Windows. Para este último, deve ser instalado um programa em cada cliente que atue como intermediário entre o Directory Service e o
próprio cliente Windows, como o Software Livre. página.
Configuração do pacote
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 9/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
dn: cn = admin, dc = swl, dc = ventilador
objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin Descrição: LDAP administrador senhaUsuario :: e1NTSEF9em
Adicionamos as Unidades Organizacionais mínimas necessárias, bem como o grupo Posix «usuários» ao qual faremos todos os usuários
membros, seguindo o exemplo de muitos sistemas que possuem o grupo «usuários«. Denominamo-lo com o nome de «usuários» para
não entrar em possíveis conflitos com o grupo «usuário" do sistema.
dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people dn: ou = groups, dc = swl, dc = fan objectClass: organizatio
root @ master: ~ # ldapadd -x -D cn = admin, dc = swl, dc = fan -W -f base.ldif
Digite a senha do LDAP: adicionando uma nova entrada "ou = people, dc = swl, dc = fan" adicionando uma nova entrada "ou = groups,
# people, swl.fan dn: ou = people, dc = swl, dc = fan objectClass: organizationUnit ou: people
# groups, swl.fan dn: ou = groups, dc = swl, dc = fan objectClass: organizationUnit ou: groups
# users, groups, swl.fan dn: cn = users, ou = groups, dc = swl, dc = fan objectClass: posixGroup cn: users gidNumber: 10000
A senha que devemos declarar no LDAP deve ser obtida através do comando slappasswd, que retorna uma senha SSHA criptografada.
{SSHA}Fn8Juihsr137u8KnxGTNPmnV8ai//0lp
{SSHA}rC50/W3kBmmDd+8+0Lz70vkGEu34tXmD
dn: uid = strides, ou = people, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid:
uidNumber: 10000 gidNumber: 10000 mail: trancos@swl.fan
gecos: Strider El Rey loginShell: / bin / bash homeDirectory: / home / strider dn: uid = legolas, ou = people, dc = swl, dc = fan objectClas
uidNumber: 10001 gidNumber: 10000 mail: legolas@swl.fan
gecos: Legolas Archer loginShell: / bin / bash homeDirectory: / home / legolas dn: uid = gandalf, ou = people, dc = swl, dc = fan objectC
uidNumber: 10002 gidNumber: 10000 mail: gandalf@swl.fan
Digite a senha do LDAP: adicionando nova entrada "uid = strides, ou = people, dc = swl, dc = fan" adicionando nova entrada "uid = lego
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 10/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Nós selecionamos o pacote ldapscripts para tal tarefa. O procedimento de instalação e configuração é o seguinte:
/etc/ldapscripts/ldapscripts.conf.original
SERVER = localhost BINDDN = 'cn = admin, dc = swl, dc = fan' BINDPWDFILE = "/ etc / ldapscripts / ldapscripts.passwd" SUFFIX = 'dc =
Observe que os scripts usam os comandos do pacote LDAP-utils. Corre dpkg -L ldap-utils | grep / bin para saber o que são.
/etc/ldapscripts/ldapscripts.passwd "
/etc/ldapscripts/ldapadduser.template
dn: uid = , , objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount uid: cn: nome dado: sn: Nome em Exibiçã
[dn: uid = bilbo, ou = people, dc = swl, dc = fan] Insira o valor para "givenName": Bilbo [dn: uid = bilbo, ou = people, dc = swl, dc = fan]
root @ master: ~ # ldapsearch -x uid = bilbo
# bilbo, pessoas, swl.fan dn: uid = bilbo, ou = pessoas, dc = swl, dc = fan objectClass: inetOrgPerson objectClass: posixAccount objectCla
gecos: bilbo description: Conta de usuário
Para ver o hash da senha do usuário bilbo, é necessário realizar a consulta com autenticação:
root @ master: ~ # ldapdelete -x -D cn = admin, dc = swl, dc = fan -W uid = bilbo, ou = people, dc = swl, dc = fan
Temos um serviço de diretório funcional e queremos gerenciá-lo com mais facilidade. Existem muitos programas projetados para essa
tarefa, como o phpldapadmin, ldap-account-manager, etc., que estão disponíveis diretamente nos repositórios. Também podemos
gerenciar um serviço de diretório por meio do Apache Directory Studio, que devemos baixar da Internet.
Cliente ldap
Cenário:
Digamos que temos a equipe mail.swl.fan como um servidor de e-mail implementado como vimos no artigo Postfix + Dovecot +
Squirrelmail e usuários locais, que embora desenvolvido em CentOS, pode muito bem servir como um guia para Debian e muitas
outras distros Linux. Queremos que, além dos usuários locais que já declaramos, os usuários armazenados no banco de dados
OpenLDAP existente em master.swl.fan. Para conseguir isso, devemos «mapear»Para usuários LDAP como usuários locais no servidor
mail.swl.fan. Esta solução também é válida para qualquer serviço baseado na autenticação PAM. O procedimento geral para Debian, é
o seguinte:
Anúncios
Enviar comentários
┌───────────────────────┤ Configuração Anúncio?
de libnss-ldap Por quê?
├────────────────────────┐ │ Insira o URI (“Unifor
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 11/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
root @ mail: ~ # nano /etc/nsswitch.conf
# /etc/nsswitch.conf # # Exemplo de configuração da funcionalidade GNU Name Service Switch. # Se você tiver os pacotes `glibc-doc-re
grupo: compat ldap
gshadow: arquivos hosts: arquivos dns redes: arquivos protocolos: arquivos db serviços: arquivos db ethers: arquivos db rpc: arquivos db
Vamos editar o arquivo /etc/pam.d/common-password, vamos para a linha 26 e eliminamos o valor «use_authtok":
# # /etc/pam.d/common-password - módulos relacionados à senha comuns a todos os serviços # # Este arquivo é incluído de outros ar
senha [sucesso = 1 user_unknown = ignorar default = morrer] pam_ldap.so try_first_pass
# aqui está o fallback se nenhum módulo obtiver sucesso com o requisito de senha pam_deny.so # preparar a pilha com um valor de ret
Caso necessitemos o login local dos usuários armazenados no LDAP, e queremos que suas pastas sejam criadas automaticamente
Início, devemos editar o arquivo /etc/pam.d/common-session e adicione a seguinte linha ao final do arquivo:
No exemplo do OpenLDAP Directory Service desenvolvido anteriormente, o único usuário local criado foi o usuário zumbido,
enquanto no LDAP criamos os usuários passos largos, Legolas, gandalfe Bilbo. Se as configurações feitas até agora estiverem
corretas, devemos ser capazes de listar os usuários locais e aqueles mapeados como locais, mas armazenados no servidor LDAP
remoto:
buzz: x: 1001: 1001: Buzz Debian First OS ,,,: / home / buzz: / bin / bash
Após as alterações na autenticação do sistema, é válido reiniciar o servidor caso contrário estaremos diante de um serviço crítico:
Mais tarde, iniciamos uma sessão local no servidor mail.swl.fan com as credenciais de um usuário armazenadas no banco de dados
LDAP de master.swl.fan. Também podemos tentar fazer o login via SSH.
Senha de gandalf @ mail: Criando diretório '/ home / gandalf'. Os programas incluídos no sistema Debian GNU / Linux são softwares liv
gandalf @ mail: ~ $ su
password:
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 12/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
total 8 drwxr-xr-x 2 zumbido zumbido 4096 17 de junho 12:25 buzz drwx ------ 2 usuários gandalf 4096 17 de junho 13:05 gandalf
Kerberos
Da Wikipedia:
Kerberos é um protocolo de autenticação de rede de computadores criado pelo MIT que permite que dois computadores em uma
rede insegura provem com segurança sua identidade um ao outro. Seus designers se concentraram primeiro em um modelo
cliente-servidor e fornecem autenticação mútua: tanto o cliente quanto o servidor verificam a identidade um do outro. As
mensagens de autenticação são protegidas para prevenir espionagem y ataques de repetição.
Kerberos é baseado em criptografia de chave simétrica e requer um terceiro confiável. Além disso, existem extensões do protocolo
para permitir o uso de criptografia de chave assimétrica.
Kerberos é baseado no Protocolo Needham-Schroeder. Ele usa um terceiro confiável, chamado de "Centro de distribuição de
chaves" (KDC), que consiste em duas partes lógicas separadas: um "Servidor de autenticação" (AS ou Servidor de autenticação) e
um "servidor de emissão de tickets" (TGS ou servidor de concessão de tickets). O Kerberos funciona com base em "tickets", que
servem para comprovar a identidade dos usuários.
Kerberos mantém um banco de dados de chaves secretas; Cada entidade na rede - seja cliente ou servidor - compartilha uma
chave secreta conhecida apenas por ela mesma e pelo Kerberos. O conhecimento desta chave serve para comprovar a identidade
da entidade. Para uma comunicação entre duas entidades, o Kerberos gera uma chave de sessão, que eles podem usar para
proteger seus problemas.
Desvantagens do Kerberos
De Ecured:
A pesar de que Kerberos remove uma ameaça de segurança comum, pode ser difícil de implementar por vários motivos:
Migração de senhas de usuários de um banco de dados de senhas padrão UNIX, como / etc / passwd ou / etc / shadow, para um
banco de dados de senha Kerberos, pode ser entediante e não existe um mecanismo rápido para realizar essa tarefa.
O Kerberos assume que cada usuário é confiável, mas está usando uma máquina não confiável em uma rede não confiável. Seu
principal objetivo é evitar que senhas não criptografadas sejam enviadas pela rede. No entanto, se qualquer outro usuário,
diferente do usuário apropriado, tiver acesso à máquina de bilhetes (KDC) para autenticação, o Kerberos estará em risco.
Para um aplicativo usar o Kerberos, o código deve ser modificado para fazer as chamadas apropriadas para as bibliotecas do
Kerberos. Os aplicativos que são modificados dessa maneira são considerados kerberizados. Para alguns aplicativos, isso pode ser
um esforço excessivo de programação, devido ao tamanho do aplicativo ou seu design. Para outros aplicativos incompatíveis,
alterações devem ser feitas na maneira como o servidor de rede e seus clientes se comunicam; novamente, isso pode exigir um
pouco de programação. Em geral, os aplicativos de código fechado que não têm suporte ao Kerberos são geralmente os mais
problemáticos.
Finalmente, se você decidir usar o Kerberos em sua rede, você deve perceber que é uma escolha de tudo ou nada. Se você decidir
usar o Kerberos em sua rede, deve se lembrar que, se alguma senha for passada para um serviço que não usa o Kerberos para
autenticação, você corre o risco de o pacote ser interceptado. Portanto, sua rede não terá nenhum benefício com o uso do
Kerberos. Para proteger sua rede com Kerberos, você deve usar apenas as versões kerberizadas de todos os aplicativos cliente /
servidor que enviam senhas não criptografadas ou não usar nenhum desses aplicativos na rede.
Implementar e configurar manualmente o OpenLDAP como um back-end Kerberos não é uma tarefa fácil. Porém, posteriormente
veremos que o Samba 4 Active Directory - Controlador de Domínio integra-se de forma transparente para o Sysadmin, um servidor
DNS, a Rede Microsoft e seu Controlador de Domínio, servidor LDAP como Back-End de quase todos os seus objetos, e o serviço de
autenticação baseado em Kerberos como os componentes fundamentais de um Active Directory estilo Microsoft.
Até agora não tivemos a necessidade de implementar uma "Rede Kerberizada". É por isso que não escrevemos sobre como
Anúncios
implementar o Kerberos.
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 13/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Importante:
Não há documentação melhor do que o site wiki.samba.org. O Sysadmin que se preze deve visitar esse site -em inglês- e navegar
pelo grande número de páginas dedicadas inteiramente ao Samba 4, escritas pelo próprio Team Samba. Não creio que haja
documentação disponível na Internet para substituí-lo. A propósito, observe o número de visitas refletido no final de cada página. Um
exemplo disso é que sua página principal ou «Página principal» foi visitada 276,183 vezes até hoje, 20 de junho de 2017 às 10:10,
horário padrão do leste dos EUA. Além disso, a documentação é mantida muito atualizada, visto que essa página foi modificada em 6
de junho.
Da Wikipedia:
O Samba é uma implementação gratuita do Protocolo de Compartilhamento de Arquivos do Microsoft Windows (anteriormente
denominado SMB, recentemente renomeado CIFS) para sistemas semelhantes ao UNIX. Desta forma, é possível que computadores
com GNU / Linux, Mac OS X ou Unix em geral se pareçam com servidores ou atuem como clientes em redes Windows. O Samba
também permite validar usuários como um controlador de domínio primário (PDC), como um membro do domínio e até mesmo como
um domínio do Active Directory para redes baseadas em Windows; além de ser capaz de servir filas de impressão, diretórios
compartilhados e autenticar com seu próprio arquivo de usuário.
Entre os sistemas do tipo Unix nos quais o Samba pode ser executado estão as distribuições GNU / Linux, Solaris e as diferentes
variantes do BSD entre os que podemos encontrar o Mac OS X Server da Apple.
Verificações iniciais
dominar
master.swl.fan
1: o que: mtu 65536 qdisc noqueue state DESCONHECIDO grupo padrão link / loopback 00: 00: 00: 00: 00: 00 brd 00: 00: 00: 00: 00: 00 in
inet 192.168.10.5/24 brd 192.168.10.255 escopo global eth0
valid_lft forever preferred_lft forever inet6 fe80 :: 20c: 29ff: fe80: 3b3f / 64 scope link valid_lft forever preferred_lft forever
Com o qual declaramos a filial principal apenas, é mais do que suficiente para nossos propósitos.
Nós limpamos
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 14/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
p
Instalamos requisitos para compilar o Samba 4 e outros pacotes necessários
O processo acima demorou um pouco porque não temos nenhum serviço DNS instalado ainda. No entanto, você escolheu o domínio
corretamente pelas configurações do arquivo / Etc / hosts. Lembre-se que no arquivo / Etc / resolv.conf declaramos como um
servidor de nome de domínio para o IP 127.0.0.1.
Para consultas usando o comando ldapsearch feitas a partir do usuário root são do tipo ldapsearch -x -W cn = xxxx, devemos criar o
arquivo /root/.ldapsearc com o seguinte conteúdo:
# / etc / fstab: informações estáticas do sistema de arquivos. # # Use 'blkid' para imprimir o identificador exclusivo universal para um # d
# swap estava em / dev / sda5 durante a instalação UUID = cb73228a-615d-4804-9877-3ec225e3ae32 nenhum swap sw 0 0 / dev / sr0 /
# file: testing_acl.txt # owner: root # group: root user :: rw- group :: r-- group: adm: rwx mask :: rwx other :: r--
É altamente recomendado baixar o arquivo fonte da versão Estável do site https://www.samba.org/. Em nosso exemplo, baixamos a
versão samba-4.5.1.tar.gz em direção à pasta / opt.
Opções de configuração
e selecione com muito cuidado aqueles de que precisamos. É aconselhável verificar se o pacote baixado pode ser instalado na
Anúncios
distribuição Linux que estamos usando, que no nosso
Enviar caso é o Debian
comentários 8.6 Jessie:
Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 15/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
root @ master: /opt/samba-4.5.1# . / Configure distcheck
A partir dos requisitos previamente instalados e dos arquivos 8604 (que compõem o compacto samba-4.5.1.tar.gz) que pesam
cerca de 101.7 megabytes -incluindo as pastas source3 e source4 que pesam cerca de 61.1 megabytes- obteremos um substituto
para um Active Directory no estilo Microsoft, de qualidade e estabilidade mais do que aceitável para qualquer ambiente de
produção. Devemos destacar o trabalho da Equipe Samba na entrega do Software Livre Samba 4.
Os comandos abaixo são clássicos para compilar e instalar pacotes de seus fontes. Devemos ser pacientes enquanto dura todo o
processo. É a única maneira de obter resultados válidos e corretos.
Durante o processo de comando fazer, podemos ver que as fontes Samba 3 e Samba 4 são compiladas, por isso o Team Samba afirma
que sua versão 4 é a atualização natural da versão 3, tanto para controladores de domínio baseados em Samba 3 + OpenLDAP, quanto
servidores de arquivos ou versões anteriores do Samba 4.
Provisioning Samba
Antes de prosseguir com o provisionamento e para facilitar a vida, adicionamos o caminho dos executáveis Samba em nosso arquivo
.bashrcEm seguida, fechamos e entramos novamente.
# ~ / .bashrc: executado por bash (1) para shells sem login. # Nota: PS1 e umask já estão configurados em / etc / profile. Você não deve
declara -x PATH = "/ usr / local / sbin: / usr / local / bin: / usr / sbin: / usr / bin: \ / sbin: / bin: / usr / local / samba / sbin: / usr /
root @ master: ~ # exit logout Conexão com o master fechada. xeon @ sysadmin: ~ $ ssh root @ master
Endereço IP do encaminhador DNS (escreva 'nenhum' para desativar o encaminhamento) [192.168.10.5]: 8.8.8.8
Procurando endereços IPv4 Procurando endereços IPv6 Nenhum endereço IPv6 será atribuído Setting up share.ldb Setting up secrets.ld
Não vamos esquecer de copiar o arquivo de configuração Kerberos conforme indicado pela saída do Provisioning:
Para não digitar o comando ferramenta de samba com seu nome completo, criamos um link simbólico com o nome curto
ferramenta:
root @ master: ~ # ln -s / usr / local / samba / bin / samba-tool / usr / local / samba / bin / tool
Uma peça fundamental em um Active Directory é o Network Time Service. Como a autenticação é feita via Kerberos e seus Tickets, a
sincronização da hora com o Samba 4 AD-DC é vital.
driftfile /var/lib/ntp/ntp.drift ntpsigndsocket / usr / local / samba / var / lib / ntp_signd estatísticas loopstats peerstats clockstats filegen
root @ master: ~ # service ntp restart
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 16/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Se ao examinar o syslog usando o comando acima ou usando journalctl -f nós entendemos a mensagem:
19 de junho 12:13:21 mestre ntpd_intres [1498]: pai morreu antes de terminarmos, saindo
devemos reiniciar o serviço e tentar novamente. Agora vamos criar a pasta ntp_signd:
ls: / usr / local / samba / var / lib / ntp_signd não pode ser acessado: arquivo ou diretório não existe
root @ master: ~ # chown root: ntp / usr / local / samba / var / lib / ntp_signd /
root @ master: ~ # chmod 750 / usr / local / samba / var / lib / ntp_signd / root @ master: ~ # chmod gs, g + x / usr / local / sam
# Conforme solicitado em samba.wiki.org
drwxr-x --- 2 root ntp 4096 19 de junho 12:21 / usr / local / samba / var / lib / ntp_signd
[Serviço] Tipo = bifurcação PIDFile = / usr / local / samba / var / run / samba.pid LimitNOFILE = 16384 # EnvironmentFile = - / etc / conf
root @ master: ~ # systemctl enable samba-ad-dc
no melhor estilo UNIX. É sempre aconselhável navegar pelas diferentes pastas e examinar seu conteúdo.
Arquivo /Usr/local/samba/etc/smb.conf
# Parâmetros globais [global] netbios name = domínio MASTER = SWL.FAN workgroup = SWL dns forwarder = 8.8.8.8 server services =
Carregue os arquivos de configuração smb de /usr/local/samba/etc/smb.conf Seção de processamento "[netlogon]" Seção de processam
Verificações mínimas
Nível de função de domínio e floresta para o domínio 'DC = swl, DC = fan' Nível de função de floresta: (Windows) 2008 R2 Nível de funç
Válido iniciando expira serviço principal 19/06/17 12:53:24 19/06/17 22:53:24 krbtgt/SWL.FAN@SWL.FAN
Anúncios
root @ master: ~ # kdestroy
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 17/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Domínio = [SWL] OS = [Windows 6.1] Servidor = [Samba 4.5.1] Nome do compartilhamento Tipo Comentário --------- ---- ------- netlog
Digite a senha do administrador: Domínio = [SWL] OS = [Windows 6.1] Servidor = [Samba 4.5.1]. D 0 Seg 19 de junho 11:50:52 2017 .. D
root @ master: ~ # tool dns serverinfo master -U administrador
swl.fan tem registro SOA master.swl.fan. hostmaster.swl.fan. 1 900 600 86400 3600
Se quisermos modificar o vencimento em dias da senha do Administrador; a complexidade das senhas; o comprimento mínimo da
senha; a duração mínima e máxima -em dias- da senha; e alterar a senha do administrador declarada durante o Provisioning, devemos
executar os seguintes comandos com o valores ajustados às suas necessidades:
Uso: ferramenta samba Principal ferramenta de administração do samba. Opções: -h, --help mostra esta mensagem de ajuda e sai Opçõ
root @ master: ~ # tool user setpassword --filter = samaccountname = Administrador --newpassword = Passw0rD
Servidor de e-mail
root @ master: ~ # tool dns add master swl.fan mail Um administrador 192.168.10.9 -U
root @ master: ~ # tool dns add master swl.fan swl.fan MX "mail.swl.fan 10" -U administrador
root @ master: ~ # tool dns add master swl.fan sysadmin Um administrador 192.168.10.1 -U
root @ master: ~ # tool dns add master swl.fan fileserver A 192.168.10.10 -U administrator
root @ master: ~ # tool dns add master swl.fan proxy A 192.168.10.11 administrador -U
root @ master: ~ # tool dns add master swl.fan chat A 192.168.10.12 administrador -U
Zona Reversa
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 5 PTR master.swl.fan. -Uadministrador
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 9 PTR mail.swl.fan. -Uadministrador
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 1 PTR sysadmin.swl.fan. -Uadministrador
root @ master: ~ # tool dns add master 10.168.192.in-addr.arpa 11 PTR proxy.swl.fan. -Uadministrador
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 18/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Cheques
root @ master: ~ # tool dns query master swl.fan mail ALL -U administrador
Senha para [SWL \ administrador]: Nome =, Registros = 1, Filhos = 0 A: 192.168.10.9 (sinalizadores = f0, serial = 2, ttl = 900)
Para os curiosos
Uso: usuário da ferramenta samba Gerenciamento de usuários. Opções: -h, --help mostra esta mensagem de ajuda e sai Subcomandos d
Visite wiki.samba.org para obter informações detalhadas sobre como instalar o Microsoft RSAT o Ferramentas de administração de
servidor remoto. Se você não precisar das políticas clássicas oferecidas pelo Microsoft Active Directory, você pode instalar o pacote
ldap-account-manager que oferece uma interface simples de administração por meio de um navegador da web.
Janelas 8: http://www.microsoft.com/en-us/download/details.aspx?id=28972
Janelas 7: http://www.microsoft.com/en-us/download/details.aspx?id=7887
O conjunto de programas RSAT (Ferramentas de Administração de Servidor Remoto) da Microsoft está incluído nos sistemas
operacionais Windows Server.
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 19/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Como não temos servidor DHCP na rede, a primeira coisa que devemos fazer é configurar a placa de rede do cliente com um IP fixo,
declarar que o DNS primário será o IP do samba-ad-dc, e verifique se a opção "Registrar o endereço desta conexão no DNS" está
ativada. Não é ocioso verificar se o nome «Sete»Ainda não está registrado no DNS interno do Samba.
Depois de adicionarmos o computador ao domínio e reiniciá-lo, vamos tentar fazer o login com o usuário «passos largos«. Vamos
verificar se tudo funciona bem. Também é recomendável verificar os logs do cliente Windows e verificar como a hora está sincronizada
corretamente.
Os administradores com alguma experiência no Windows descobrirão que quaisquer verificações que fizerem no cliente produzirão
resultados satisfatórios.
Resumo
Espero que o artigo seja útil para os leitores da Comunidade FromLinux.
Adeus!
O conteúdo do artigo segue nossos princípios de ética editorial. Para relatar um erro, clique Clique aqui.
Caminho completo para o artigo: Do Linux » Tutoriais / manuais / dicas » PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes
SMB
Deixe um comentário
Seu endereço de email não será publicado. Campos obrigatórios são marcados com *
comentário
Anúncios
Nome*
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 20/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Correio eletrônico*
aceitar a termos de privacidade*
Publicar el comentario
1.
Artigo longo, mas detalhado, muito bom passo a passo de como fazer tudo.
Destaco o NIS, a verdade é que embora eu saiba da sua existência, nunca soube realmente como funciona, pois para ser sincero
sempre me deu a impressão de que estava praticamente morto ao lado do LDAP e do Samba 4.
PS: Parabéns pelo seu novo projeto pessoal! Pena que você não vai continuar escrevendo aqui, mas pelo menos há um lugar para
te seguir.
HO2Gi dito
atrás Anos 5
Responder a HO2Gi
3.
IWO dito
atrás Anos 5
A seção NIS é ótima, simpatizo com Gonzalo Martinez, conheci brevemente, mas não tinha ideia de como implementá-la e em que
situações é utilizada.
Responder a IWO
4.
federico dito
atrás Anos 4
lembranças
Responder a Federico
5.
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 21/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
o smb.conf que você mostra não tem nenhum link com LDAP, é assim de propósito ou deixei algo?
Responder ao mussol
6.
fico dito
atrás Anos 4
mussol: Este é um Samba 4 Active Directory Domain Controler que já tem seu servidor LDAP integrado.
Responder ao Fico
7.
Vicente dito
atrás Anos 4
Obrigado.
Responder a Vincent
8.
Jramirez dito
atrás Anos 3
Que tal;
Obrigado pelo manual, é ótimo. Tenho uma pergunta sobre uma mensagem que me aparece.
Falha ao resolver o nome de host / IP fornecido: ad.rjsolucionessac.com. Observe que você não pode usar intervalos de IP no estilo
'/ mask' E '1-4,7,100-'
Não é possível encontrar um alvo válido. Certifique-se de que os hosts especificados são endereços IP em notação padrão ou
nomes de host que podem ser resolvidos com DNS
root @ AD: ~ #
Responder a jramirez
Boletim Diário
Boletim semanal
Subscrever
Anúncios
Enviar comentários Anúncio? Por quê?
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 22/24
TTLER TOLEDO
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
METTLER
Lab
Automation
Guide
Make your workflows
guide now!
METTLER TOLEDO
Download
o Facebook
Twitter
Pinterest
Telegrama
E-mail
RSS
Notícias do iPhone
Eu sou do mac
Ajuda Android
Androidsis
Guias Android
Notícias de gadget
Fórum móvel
Tablet Zone
Notícias do Windows
Creativos Online
Todos os eReaders
Hardware Livre
Viciados em Linux
Ubunlog
Guias de wow
Downloads de cheats
Motor News
Bezzia
Portuguese
Categorias
aplicações
Distribuições
Comunidades
Repositório de dicas
Equipe editorial
Ética editorial
Torne-se editor
Assine o Newsletter
Anúncios
Aviso Legal
Enviar comentários Anúncio? Por quê?
Contato
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 23/24
24/12/2021 20:16 PAM, NIS, LDAP, Kerberos, DS e Samba 4 AD-DC - Redes SMB | Do Linux
Pesquisa ...
Buscar
perto
https://blog.desdelinux.net/pt/pam-nis-ldap-kerberos-ds-samba-4-ad-dc-redes-pymes/ 24/24