Instalao Ldap Samba

Lightweight Directory Access Protocol ou LDAP, um Protocol, protocolo para atualizar e pesquisar diretrios rodando sobre TCP/IP. Um diretrio LDAP geralmente segue o modelo X.500, que uma rvore de ns, cada um consistindo de um conjunto de atributos com seus respectivos valores. O LDAP foi criado como uma alternativa ao muito mais incmodo Directory Access Protocol (DAP).

____________________________________________________________________________________

Objetivo O objetivo final desse documento :

1. ter um servidor LDAP contendo todos usurios (exceto de sistemas - UID >= 1000), grupos ( GID >= 100) e
mquinasWindows;

2. 3. 4. 5.

Um nico usurio especial ser o administrador do ldap; Clientes devero utilizar-se do NSS com o mdulo PAM normalmente para autenticao; Somente o administrador ldap ter acesso s senhas criptografadas pelo NSS; As senhas do SAMBA sero sincronizadas com as do LINUX e vice-versa, ou seja, as alteraes de senhas versa, sero mantidas as mesmas tanto para SAMBA quanto para LINUX;

6.

O servidor ldap que iremos instalar ser o MASTER e o samba ser o PDC. Isso equivale a termos um nico servidor AD / PDC (da Microsoft). o Em outras palavras, o nosso servidor ser ao mesmo tempo servidor ldap, servidor samba e cliente ldap dele mesmo.

O ldap nos proporciona uma escalabilidade para posteriormente instalarmos outros servidores ldap+samba que iro atuar para como slave+bdc. Isso equivale a termos diversos servidores BDC (da Microsoft) instalados em vrios pontos onde se faz necessria a autenticao centralizada. Alm de permitir que mquinas Windows sejam utilizadas nesse domnio, outra facilidade de podermos utilizar desse uinas servidor ldap para autenticar outras mquinas com Ubuntu (Debian), tendo assim um nico repositrio para toda nossa rede. Atualizar seu Ubuntu Dapper

Uma das coisas que do mais trabalho para quem est iniciando entender/configurar o /etc/apt/sources.list para que todos os programas disponveis estejam a um passo do famoso apt-get install. Veja como atualizar sua lista de pacotes para Ubuntu Dapper. Instalao do Servidor Ldap root@gnad088809:~# apt-get install slapd ldap-utils db4.2-util libpam-ldap libnss-ldap nscd libpam-foreground

O DebConf ir fazer algumas perguntas, responda o default mesmo ( configurao j prontos no final desta pgina.

), pois iremos substituir pelos arquivos de

Instao do Servidor Samba root@gnad088809:~# apt-get install samba samba-common samba-doc smbclient smbfs smbldap-tools

Novamente o DebConf ir fazer algumas perguntas, responda o default mesmo ( arquivos de configurao j prontos no final desta pgina.

), pois iremos substituir pelos

Script de Configurao Para facilitar a tarefa de copiar os arquivos de configurao de alguns tutoriais e trocar as informaes que so apresentadas como exemplos para as suas especficas, desenvolvi um pequeno script em shell para tal. Baixando o script o Baixe o arquivo ( ) ldap+samba.tgz (em anexo esta pgina) no diretrio ( ) /tmp.

Descompactando o script o Destarreie no diretrio ( ) raiz do root ( /root/ ) conforme exemplo abaixo:

root@gnad088809:~# cd root@gnad088809:~# tar xzvf /tmp/ldap+samba.tgz bin/ bin/ldap+samba.sh bin/smbldap-populate-pt_BR.sh bin/startup.bat etc/

etc/smbldap-tools/ etc/smbldap-tools/smbldap_bind.conf etc/smbldap-tools/smbldap.conf etc/ldap/ etc/ldap/slapd.conf etc/ldap/ldap.conf etc/ldap.secret etc/nsswitch.conf etc/samba/ etc/samba/smb.conf etc/samba/smbusers etc/pam.d/ etc/pam.d/common-auth etc/pam.d/common-account etc/pam.d/common-password etc/pam.d/common-session etc/libnss-ldap.conf var/ var/lib/ var/lib/ldap/ var/lib/ldap/DB_CONFIG Executando o script o Agora s executar o script chamado bin/ldap+samba.sh que foi destarreado no /root/.

root@gnad088809:~# bin/ldap+samba.sh Voc est prestes a configurar de forma automtica um servidor: ***** Ldap MASTER ***** e ***** Samba PDC ***** =================================================================== 1) As respostas a algumas perguntas abaixo iro gerar os arquivos de

configurao adequados. 2) Aps todas as respostas voc dever confirmar as respostas. 3) Todos os arquivos de configurao existentes serao backupeados de forma que nenhuma informao seja apagada. 4) Se existir uma base de dados ldap, esta tambm ser backupeada. Configurando seus dados o Neste momento o script pede por algumas informaes para serem utilizadas nos arquivos de configurao.

Responda as perguntas (valores default esto entre [ ]) : ========================================================= 1 - IP do Servidor Ldap ( Este servidor MASTER tem seguinte IP: 10.76.0.162 ) Default: [10.76.0.162] Novo Valor...: =>127.0.0.1

2 - Netbios Name ( Nome do Servidor Samba na Rede Windows ) Default: [gnad088809] Novo Valor...: =>

3 - Dominio Samba ( Domnio onde os Windows iro se autenticar/logar ) Default: [MEU-DOMINIO] Novo Valor...: =>PS

4 - Comentario Samba ( Visto pelos Windows ao Navegar pela Rede Microsoft ) Default: [Servidor Samba - gnad088809] Novo Valor...: =>

5 - IP do Servidor Wins ( Um tipo de DNS da Microsoft ) Default: [10.0.134.223] Novo Valor...: =>

6 - Tipo do Database Ldap ( Pode ser ldbm, bdb ou hdb ) Default: [bdb] Novo Valor...: =>

7 - Sufixo Ldap ( a raiz do ldap ) Default: [dc=exemplo,dc=com,dc=br] Novo Valor...: =>dc=previdencia 8 - Administrador Ldap ( Geralmente root ou Manager ) Default: [root] Novo Valor...: =>

9 - Senha do administrador Ldap ( a senha do administrador Ldap ) Default: [senha-ldap] Confirmando seus dados Novo Valor...: =>root

O script pede a confirmao dos dados. Caso tenha digitado errado responda N que novamente sero solicitadas as informaes acima.

Confirma as informaes fornecidas? =================================== 1 - IP do Servidor Ldap = [127.0.0.1] -- ( Este servidor MASTER tem seguinte IP: 10.76.0.162 ) 2 - Netbios Name = [gnad088809] -- ( Nome do Servidor Samba na Rede Windows ) 3 - Dominio Samba = [PS] -- ( Domnio onde os Windows iro se autenticar/logar ) 4 - Comentario Samba = [Servidor Samba - gnad088809] -- ( Visto pelos Windows ao Navegar pela Rede Microsoft ) 5 - IP do Servidor Wins = [10.0.134.223] -- ( Um tipo de DNS da Microsoft ) 6 - Tipo do Database Ldap = [bdb] -- ( Pode ser ldbm, bdb ou hdb ) 7 - Sufixo Ldap = [dc=previdencia] -- ( a raiz do ldap ) 8 - Administrador Ldap = [root] -- ( Geralmente root ou Manager ) 9 - Senha do administrador Ldap = [root] -- ( a senha do administrador Ldap )

Confirma (S/N)? [N] S Parando os servios o Agora o script ir parar os servios necessrios.

Parando os servios: smb slapd nscd =================================== * Stopping Samba daemons... Stopping OpenLDAP: slapd. Stopping Name Service Cache Daemon: nscd. Executando suas configuraes o Em seguida ir copiar os arquivos configurados para seus devidos lugares. Note que o script ir fazer uma cpia dos arquivos de configurao existentes antes anexando nos arquivos existentes a data/hora atuais. Arquivos configurados [ ok ]

===================== /etc/ldap/slapd.conf /etc/ldap/ldap.conf /etc/ldap.secret /etc/libnss-ldap.conf /etc/nsswitch.conf /etc/smbldap-tools/smbldap.conf /etc/smbldap-tools/smbldap_bind.conf /etc/pam.d/common-account /etc/pam.d/common-auth /etc/pam.d/common-password /etc/pam.d/common-session /etc/samba/smb.conf etc/samba/smbusers Iniciando o servios o Finalmente o ldap/samba ser iniciado com suas informaes fornecidas.

Iniciando os servicos: slapd nscd ================================= Starting OpenLDAP: slapd. Starting Name Service Cache Daemon: nscd.

Iniciando o servico: samba ========================== Setting stored password for "cn=root,dc=previdencia" in secrets.tdb * Starting Samba daemons... Povoando a base ldap o Agora o povoamento da base inicial ser feito atravs do pacote smbldap-tools e outro script [ ok ]

(bin/smbldap-populate-pt_BR.sh) j incluso que ir trocar os nomes dos usurios/grupos a serem criados no ldap para o Portugus Brasileiro. Povoar a base ldap ================== Arquivo /usr/sbin/smbldap-populate traduzido em /usr/sbin/smbldap-populate.pt_BR Populating LDAP directory for domain PS (S-1-5-21-168405174-2206398753-3502093608) (using builtin directory structure)

adding new entry: dc=previdencia adding new entry: ou=Usuarios,dc=previdencia adding new entry: ou=Grupos,dc=previdencia adding new entry: ou=Computadores,dc=previdencia adding new entry: ou=Idmap,dc=previdencia adding new entry: uid=root,ou=Usuarios,dc=previdencia adding new entry: uid=nobody,ou=Usuarios,dc=previdencia adding new entry: cn=Administradores do Dominio,ou=Grupos,dc=previdencia adding new entry: cn=Usuarios do Dominio,ou=Grupos,dc=previdencia adding new entry: cn=Convidados do Dominio,ou=Grupos,dc=previdencia adding new entry: cn=Computadores do Dominio,ou=Grupos,dc=previdencia adding new entry: cn=Administradores,ou=Grupos,dc=previdencia adding new entry: cn=Operadores de Contas,ou=Grupos,dc=previdencia adding new entry: cn=Operadores de Impressao,ou=Grupos,dc=previdencia adding new entry: cn=Operadores de Backup,ou=Grupos,dc=previdencia adding new entry: cn=Duplicadores,ou=Grupos,dc=previdencia adding new entry: sambaDomainName=PS,dc=previdencia

Please provide a password for the domain root: Changing UNIX and samba passwords for root

New password: Retype new password:

Pronto! Seu LDAP+SAMBA esto configurados ========================================= Note que a senha do usuario administrador

ldap foi utilizada tambm como senha do administrador

samba. Para trocar a mesma por outra utilize smbldap-passwd root (ou Manager).
Algumas dicas iniciais o Em seguida umas informaes para voc mesmo testar o funcionamento dos servios.

Verifique o funcionamento do ldap e samba ========================================= # getent passwd # getent group # getent shadow (usuarios - equivale a /etc/passwd) (grupos - equivale a /etc/group) (senhas - equivale a /etc/shadow)

# smbclient -L 127.0.0.1 -U% (detalhes do samba) # pdbedit -Lv root (detalhes do administrador ldap "root") Finalmente umas dicas simples de como criar grupos e usuarios so fornecidas.

Para adicionar grupos: # smbldap-groupadd -a DATAPREV # smbldap-groupadd -a INSS

Temos tres tipos de usuarios: 1) Linux : Somente fazem login pelo Linux # smbldap-useradd -m -c "Nome do Usuario" login_linux

2) Windows : Fazem login pelo Linux ou pelo Windows # smbldap-useradd -a -m -c "Jarbas Peixoto Junior" d323209

3) Maquinas: Ingresso de maquinas Windows no dominio # smbldap-useradd -w user_maquina

Para colocar nome, grupo, email,etc nos usuarios: # smbldap-usermod -G DATAPREV -N "Jarbas Peixoto Junior - DATAPREV-GO" -S "UAGO - GO - Goiania" -M N S "jarbas.peixoto@previdencia.gov.br" d323209

Pronto! Seu LDAP e SAMBA esto prontos para o trabalho.

Ingressando mquinas Windows no Domnio Para ingressar mquinas Windows no Domnio voc deve fazer conforme as seguintes telas: quinas

1. Propriedades do Windows 2000:

2. Identificao da Rede Windows 2000:

3. Alteraes na Identificao da Rede Windows 2000:

4. Fornecendo Usurio/Senha para Alterar Identificao da Rede Windows 2000:

5. Bem Vindo ao Domnio:

6. Reinicio do Computador Requerido - 1:

7. Reinicio do Computador Requerido - 2:

8. Reinicio do Computador Requerido - 3:

Agora voc precisa dar um boot no Windows para que ele permita o acesso com usurios do domnio.

9. Login com Usurio Samba+Ldap no Domnio:

o o

Note que o usurio d323209 j deve ter sido criado de acordo com as orientaes acima, ou seja, ele te Eu fiz assim: root@gnad088809:~# smbldap smbldap-groupadd -a DATAPREV

o o o o o

root@gnad088809:~# smbldap smbldap-useradd -a -m -c "Jarbas Peixoto Junior" d323209 c

root@gnad088809:~# smbldap smbldap-usermod -G DATAPREV -N "Jarbas Peixoto Junior - DATAPREV-GO" -S "UAG N d323209

o o o o root@gnad088809:~# smbldap smbldap-passwd d323209 Changing UNIX and samba passwords for d323209 New password: (coloque aqui a senha do usurio)

Retype new password: (repita a senha do usurio)

10. Usuario d323209 logado mostrando os drives (F:\, T:\ e U:\) mapeados automaticamente: