Active Directory para LDAP

22 de Setembro de 2008

Contedo
I Sobre essa apostila II Informaes Bsicas III GNU Free Documentation License IV De AD para LDAP
1 De AD para LDAP 2 Plano de ensino 2.1 Objetivo . . . 2.2 Pblico Alvo . 2.3 Pr-requisitos 2.4 Descrio . . 2.5 Metodologia . 2.6 Cronograma 2.7 Programa . . 2.8 Avaliao . . 2.9 Bibliograa .

3 5 10 19
20 21 21 21 21 21 21 21 22 22 23

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

3 Introduo 24 3.1 Pacotes utilizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2 Ambiente utilizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 4 Instalao 4.1 Instalando O Cyrus-Sasl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Instalando o OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Congurando o servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Populando LDAP,Migrando Grupos de Usurios e Nss ldap 5.1 Populando LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Migrando os grupos e usurios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Nss ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 27 27 27 29 29 30 30

6 Samba 32 6.1 Smbldap-tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 1

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

7 Perl,Apache2 + PHP5, LAM 7.1 Pacotes Perl . . . . . . . . . . 7.2 Nextuid . . . . . . . . . . . . . 7.3 Apache2 + PHP5 . . . . . . . . 7.4 LAM - Ldap Account Manager .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

. . . .

38 38 38 39 39 43 43 43 45 46 46

8 SSL e LDAP 8.1 Implementando SSL ao seu LDAP Server . 8.2 Gerando as chaves criptografadas . . . . . 8.3 O LDAP e seus arquivos de conguraes 8.4 Habilitando o SASL . . . . . . . . . . . . . 8.5 Seu sistema cou lento na inicializao? . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

. . . . .

9 Adicionando mquinas Windows e Squid 47 9.1 Adicionando mquinas Windows XP/2000/2003 no Samba . . . . . . . . . . . . . . 47 9.2 Integrando seu Squid ao LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

Parte I

Sobre essa apostila

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Contedo
O contedo dessa apostila fruto da compilao de diversos materiais livres publicados na internet, disponveis em diversos sites ou originalmente produzido no CDTC em http://www.cdtc.org.br. O formato original deste material bem como sua atualizao est disponvel dentro da licena GNU Free Documentation License, cujo teor integral encontra-se aqui reproduzido na seo de mesmo nome, tendo inclusive uma verso traduzida (no ocial). A reviso e alterao vem sendo realizada pelo CDTC (suporte@cdtc.org.br), desde outubro de 2006. Criticas e sugestes construtivas so bem-vindas a qualquer tempo.

Autores
A autoria deste contedo, atividades e avaliaes de responsabilidade de Luka Braule Lacerda de Araujo (luka@cdtc.org.br) . O texto original faz parte do projeto Centro de Difuso de Tecnolgia e Conhecimento, que vem sendo realizado pelo ITI em conjunto com outros parceiros institucionais, atuando em conjunto com as universidades federais brasileiras que tem produzido e utilizado Software Livre, apoiando inclusive a comunidade Free Software junto a outras entidades no pas. Informaes adicionais podem ser obtidas atrves do email ouvidoria@cdtc.org.br, ou da home page da entidade, atravs da URL http://www.cdtc.org.br.

Garantias
O material contido nesta apostila isento de garantias e o seu uso de inteira responsabilidade do usurio/leitor. Os autores, bem como o ITI e seus parceiros, no se responsabilizam direta ou indiretamente por qualquer prejuzo oriundo da utilizao do material aqui contido.

Licena
Copyright 2006,Luka Braule Lacerda de Araujo (luka@cdtc.org.br) . Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published by the Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOSTILA. A copy of the license is included in the section entitled GNU Free Documentation License.

Parte II

Informaes Bsicas

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Sobre o CDTC
Objetivo Geral O Projeto CDTC visa a promoo e o desenvolvimento de aes que incentivem a disseminao de solues que utilizem padres abertos e no proprietrios de tecnologia, em proveito do desenvolvimento social, cultural, poltico, tecnolgico e econmico da sociedade brasileira. Objetivo Especco Auxiliar o Governo Federal na implantao do plano nacional de software no-proprietrio e de cdigo fonte aberto, identicando e mobilizando grupos de formadores de opinio dentre os servidores pblicos e agentes polticos da Unio Federal, estimulando e incentivando o mercado nacional a adotar novos modelos de negcio da tecnologia da informao e de novos negcios de comunicao com base em software no-proprietrio e de cdigo fonte aberto, oferecendo treinamento especco para tcnicos, prossionais de suporte e funcionrios pblicos usurios, criando grupos de funcionrios pblicos que iro treinar outros funcionrios pblicos e atuar como incentivadores e defensores de produtos de software no proprietrios e cdigo fonte aberto, oferecendo contedo tcnico on-line para servios de suporte, ferramentas para desenvolvimento de produtos de software no proprietrios e de seu cdigo fonte livre, articulando redes de terceiros (dentro e fora do governo) fornecedoras de educao, pesquisa, desenvolvimento e teste de produtos de software livre.

Guia do aluno
Neste guia, voc ter reunidas uma srie de informaes importantes para que voc comece seu curso. So elas: Licenas para cpia de material disponvel Os 10 mandamentos do aluno de Educao a Distncia Como participar dos fruns e da wikipdia Primeiros passos muito importante que voc entre em contato com TODAS estas informaes, seguindo o roteiro acima.

Licena
Copyright 2006, Luka Braule Lacerda de Araujo (luka@cdtc.org.br) . 6

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

dada permisso para copiar, distribuir e/ou modicar este documento sob os termos da Licena de Documentao Livre GNU, Verso 1.1 ou qualquer verso posterior publicada pela Free Software Foundation; com o Captulo Invariante SOBRE ESSA APOSTILA. Uma cpia da licena est inclusa na seo entitulada "Licena de Documentao Livre GNU".

Os 10 mandamentos do aluno de educao online

1. Acesso a Internet: ter endereo eletrnico, um provedor e um equipamento adequado pr-requisito para a participao nos cursos a distncia. 2. Habilidade e disposio para operar programas: ter conhecimentos bsicos de Informtica necessrio para poder executar as tarefas. 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distncia conta muitos pontos, pois ir colaborar para o processo ensino-aprendizagem pessoal, dos colegas e dos professores. 4. Comportamentos compatveis com a etiqueta: mostrar-se interessado em conhecer seus colegas de turma respeitando-os e fazendo ser respeitado pelo mesmo. 5. Organizao pessoal: planejar e organizar tudo fundamental para facilitar a sua reviso e a sua recuperao de materiais. 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigaes e realiz-las em tempo real. 7. Curiosidade e abertura para inovaes: aceitar novas idias e inovar sempre. 8. Flexibilidade e adaptao: requisitos necessrio a mudana tecnolgica, aprendizagens e descobertas. 9. Objetividade em sua comunicao: comunicar-se de forma clara, breve e transparente ponto-chave na comunicao pela Internet. 10. Responsabilidade: ser responsvel por seu prprio aprendizado. O ambiente virtual no controla a sua dedicao, mas reete os resultados do seu esforo e da sua colaborao.

Como participar dos fruns e Wikipdia

Voc tem um problema e precisa de ajuda? Podemos te ajudar de 2 formas: A primeira o uso dos fruns de notcias e de dvidas gerais que se distinguem pelo uso: O frum de notcias tem por objetivo disponibilizar um meio de acesso rpido a informaes que sejam pertinentes ao curso (avisos, notcias). As mensagens postadas nele so enviadas a 7

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

todos participantes. Assim, se o monitor ou algum outro participante tiver uma informao que interesse ao grupo, favor post-la aqui. Porm, se o que voc deseja resolver alguma dvida ou discutir algum tpico especco do curso, recomendado que voc faa uso do Frum de dvidas gerais que lhe d recursos mais efetivos para esta prtica. . O frum de dvidas gerais tem por objetivo disponibilizar um meio fcil, rpido e interativo para solucionar suas dvidas e trocar experincias. As mensagens postadas nele so enviadas a todos participantes do curso. Assim, ca muito mais fcil obter respostas, j que todos podem ajudar. Se voc receber uma mensagem com algum tpico que saiba responder, no se preocupe com a formalizao ou a gramtica. Responda! E no se esquea de que antes de abrir um novo tpico recomendvel ver se a sua pergunta j foi feita por outro participante. A segunda forma se d pelas Wikis: Uma wiki uma pgina web que pode ser editada colaborativamente, ou seja, qualquer participante pode inserir, editar, apagar textos. As verses antigas vo sendo arquivadas e podem ser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece um timo suporte a processos de aprendizagem colaborativa. A maior wiki na web o site "Wikipdia", uma experincia grandiosa de construo de uma enciclopdia de forma colaborativa, por pessoas de todas as partes do mundo. Acesse-a em portugus pelos links: Pgina principal da Wiki - http://pt.wikipedia.org/wiki/ Agradecemos antecipadamente a sua colaborao com a aprendizagem do grupo!

Primeiros Passos
Para uma melhor aprendizagem recomendvel que voc siga os seguintes passos: Ler o Plano de Ensino e entender a que seu curso se dispe a ensinar; Ler a Ambientao do Moodle para aprender a navegar neste ambiente e se utilizar das ferramentas bsicas do mesmo; Entrar nas lies seguindo a seqncia descrita no Plano de Ensino; Qualquer dvida, reporte ao Frum de Dvidas Gerais.

Perl do Tutor
Segue-se uma descrio do tutor ideal, baseada no feedback de alunos e de tutores. O tutor ideal um modelo de excelncia: consistente, justo e prossional nos respectivos valores e atitudes, incentiva mas honesto, imparcial, amvel, positivo, respeitador, aceita as idias dos estudantes, paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar. 8

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

A classicao por um tutor desta natureza proporciona o melhor feedback possvel, crucial, e, para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem. Este tutor ou instrutor: fornece explicaes claras acerca do que ele espera, e do estilo de classicao que ir utilizar; gosta que lhe faam perguntas adicionais; identica as nossas falhas, mas corrige-as amavelmente, diz um estudante, e explica porque motivo a classicao foi ou no foi atribuda; tece comentrios completos e construtivos, mas de forma agradvel (em contraste com um reparo de um estudante: os comentrios deixam-nos com uma sensao de crtica, de ameaa e de nervosismo) d uma ajuda complementar para encorajar um estudante em diculdade; esclarece pontos que no foram entendidos, ou corretamente aprendidos anteriormente; ajuda o estudante a alcanar os seus objetivos; exvel quando necessrio; mostra um interesse genuno em motivar os alunos (mesmo os principiantes e, por isso, talvez numa fase menos interessante para o tutor); escreve todas as correes de forma legvel e com um nvel de pormenorizao adequado; acima de tudo, devolve os trabalhos rapidamente;

Parte III

GNU Free Documentation License

10

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

(Traduzido pelo Joo S. O. Bueno atravs do CIPSGA em 2001) Esta uma traduo no ocial da Licenaa de Documentao Livre GNU em Portugus Brasileiro. Ela no publicada pela Free Software Foundation, e no se aplica legalmente a distribuio de textos que usem a GFDL - apenas o texto original em Ingls da GNU FDL faz isso. Entretanto, ns esperamos que esta traduo ajude falantes de portugus a entenderem melhor a GFDL. This is an unofcial translation of the GNU General Documentation License into Brazilian Portuguese. It was not published by the Free Software Foundation, and does not legally state the distribution terms for software that uses the GFDLonly the original English text of the GFDL does that. However, we hope that this translation will help Portuguese speakers understand the GFDL better. Licena de Documentao Livre GNU Verso 1.1, Maro de 2000 Copyright (C) 2000 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA permitido a qualquer um copiar e distribuir cpias exatas deste documento de licena, mas no permitido alter-lo.

INTRODUO
O propsito desta Licena deixar um manual, livro-texto ou outro documento escrito "livre"no sentido de liberdade: assegurar a qualquer um a efetiva liberdade de copi-lo ou redistribui-lo, com ou sem modicaes, comercialmente ou no. Secundariamente, esta Licena mantm para o autor e editor uma forma de ter crdito por seu trabalho, sem ser considerado responsvel pelas modicaes feitas por terceiros. Esta Licena um tipo de "copyleft"("direitos revertidos"), o que signica que derivaes do documento precisam ser livres no mesmo sentido. Ela complementa a GNU Licena Pblica Geral (GNU GPL), que um copyleft para software livre. Ns zemos esta Licena para que seja usada em manuais de software livre, por que software livre precisa de documentao livre: um programa livre deve ser acompanhado de manuais que provenham as mesmas liberdades que o software possui. Mas esta Licena no est restrita a manuais de software; ela pode ser usada para qualquer trabalho em texto, independentemente do assunto ou se ele publicado como um livro impresso. Ns recomendamos esta Licena principalmente para trabalhos cujo propsito seja de introduo ou referncia.

APLICABILIDADE E DEFINIES
Esta Licena se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelo detentor dos direitos autorais dizendo que ele pode ser distribudo sob os termos desta Licena.

11

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do pblico um licenciado e referida como "voc". Uma "Verso Modicada"do Documento se refere a qualquer trabalho contendo o documento ou uma parte dele, quer copiada exatamente, quer com modicaes e/ou traduzida em outra lngua. Uma "Seo Secundria" um apndice ou uma seo inicial do Documento que trata exclusivamente da relao dos editores ou dos autores do Documento com o assunto geral do Documento (ou assuntos relacionados) e no contm nada que poderia ser includo diretamente nesse assunto geral (Por exemplo, se o Documento em parte um livro texto de matemtica, a Seo Secundria pode no explicar nada de matemtica). Essa relao poderia ser uma questo de ligao histrica com o assunto, ou matrias relacionadas, ou de posies legais, comerciais, loscas, ticas ou polticas relacionadas ao mesmo. As "Sees Invariantes"so certas Sees Secundrias cujos ttulos so designados, como sendo de Sees Invariantes, na nota que diz que o Documento publicado sob esta Licena. Os "Textos de Capa"so certos trechos curtos de texto que so listados, como Textos de Capa Frontal ou Textos da Quarta Capa, na nota que diz que o texto publicado sob esta Licena. Uma cpia "Transparente"do Documento signica uma cpia que pode ser lida automaticamente, representada num formato cuja especicao esteja disponvel ao pblico geral, cujos contedos possam ser vistos e editados diretamente e sem mecanismos especiais com editores de texto genricos ou (para imagens compostas de pixels) programas de pintura genricos ou (para desenhos) por algum editor de desenhos grandemente difundido, e que seja passvel de servir como entrada a formatadores de texto ou para traduo automtica para uma variedade de formatos que sirvam de entrada para formatadores de texto. Uma cpia feita em um formato de arquivo outrossim Transparente cuja constituio tenha sido projetada para atrapalhar ou desencorajar modicaes subsequentes pelos leitores no Transparente. Uma cpia que no "Transparente" chamada de "Opaca". Exemplos de formatos que podem ser usados para cpias Transparentes incluem ASCII simples sem marcaes, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML usando uma DTD disponibilizada publicamente, e HTML simples, compatvel com os padres, e projetado para ser modicado por pessoas. Formatos opacos incluem PostScript, PDF, formatos proprietrios que podem ser lidos e editados apenas com processadores de texto proprietrios, SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edio no estejam disponveis para o pblico, e HTML gerado automaticamente por alguns editores de texto com nalidade apenas de sada. A "Pgina do Ttulo"signica, para um livro impresso, a pgina do ttulo propriamente dita, mais quaisquer pginas subsequentes quantas forem necessrias para conter, de forma legvel, o material que esta Licena requer que aparea na pgina do ttulo. Para trabalhos que no tenham uma pgina do ttulo, "Pgina do Ttulo"signica o texto prximo da apario mais proeminente do ttulo do trabalho, precedendo o incio do corpo do texto.

12

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

FAZENDO CPIAS EXATAS

Voc pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou no comercial, desde que esta Licena, as notas de copyright, e a nota de licena dizendo que esta Licena se aplica ao documento estejam reproduzidas em todas as cpias, e que voc no acrescente nenhuma outra condio, quaisquer que sejam, s desta Licena. Voc no pode usar medidas tcnicas para obstruir ou controlar a leitura ou confeco de cpias subsequentes das cpias que voc zer ou distribuir. Entretanto, voc pode aceitar compensao em troca de cpias. Se voc distribuir uma quantidade grande o suciente de cpias, voc tambm precisa respeitar as condies da seo 3. Voc tambm pode emprestar cpias, sob as mesmas condies colocadas acima, e tambm pode exibir cpias publicamente.

FAZENDO CPIAS EM QUANTIDADE

Se voc publicar cpias do Documento em nmero maior que 100, e a nota de licena do Documento obrigar Textos de Capa, voc precisar incluir as cpias em capas que tragam, clara e legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, e Textos da Quarta Capa na capa de trs. Ambas as capas tambm precisam identicar clara e legivelmente voc como o editor dessas cpias. A capa da frente precisa apresentar o titulo completo com todas as palavras do ttulo igualmente proeminentes e visveis. Voc pode adicionar outros materiais s capas. Fazer cpias com modicaes limitadas s capas, tanto quanto estas preservem o ttulo do documento e satisfaam a essas condies, pode ser tratado como cpia exata em outros aspectos. Se os textos requeridos em qualquer das capas for muito volumoso para caber de forma legvel, voc deve colocar os primeiros (tantos quantos couberem de forma razovel) na capa verdadeira, e continuar os outros nas pginas adjacentes. Se voc publicar ou distribuir cpias Opacas do Documento em nmero maior que 100, voc precisa ou incluir uma cpia Transparente que possa ser lida automaticamente com cada cpia Opaca, ou informar, em ou com, cada cpia Opaca a localizao de uma cpia Transparente completa do Documento acessvel publicamente em uma rede de computadores, a qual o pblico usurio de redes tenha acesso a download gratuito e annimo utilizando padres pblicos de protocolos de rede. Se voc utilizar o segundo mtodo, voc precisar tomar cuidados razoavelmente prudentes, quando iniciar a distribuio de cpias Opacas em quantidade, para assegurar que esta cpia Transparente vai permanecer acessvel desta forma na localizao especicada por pelo menos um ano depois da ltima vez em que voc distribuir uma cpia Opaca (diretamente ou atravs de seus agentes ou distribuidores) daquela edio para o pblico. pedido, mas no obrigatrio, que voc contate os autores do Documento bem antes de redistribuir qualquer grande nmero de cpias, para lhes dar uma oportunidade de prover voc com uma verso atualizada do Documento.

13

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

MODIFICAES
Voc pode copiar e distribuir uma Verso Modicada do Documento sob as condies das sees 2 e 3 acima, desde que voc publique a Verso Modicada estritamente sob esta Licena, com a Verso Modicada tomando o papel do Documento, de forma a licenciar a distribuio e modicao da Verso Modicada para quem quer que possua uma cpia da mesma. Alm disso, voc precisa fazer o seguinte na verso modicada: A. Usar na Pgina de Ttulo (e nas capas, se houver alguma) um ttulo distinto daquele do Documento, e daqueles de verses anteriores (que deveriam, se houvesse algum, estarem listados na seo "Histrico do Documento"). Voc pode usar o mesmo ttulo de uma verso anterior se o editor original daquela verso lhe der permisso; B. Listar na Pgina de Ttulo, como autores, uma ou mais das pessoas ou entidades responsveis pela autoria das modicaes na Verso Modicada, conjuntamente com pelo menos cinco dos autores principais do Documento (todos os seus autores principais, se ele tiver menos que cinco); C. Colocar na Pgina de Ttulo o nome do editor da Verso Modicada, como o editor; D. Preservar todas as notas de copyright do Documento; E. Adicionar uma nota de copyright apropriada para suas prprias modicaes adjacente s outras notas de copyright; F. Incluir, imediatamente depois das notas de copyright, uma nota de licena dando ao pblico o direito de usar a Verso Modicada sob os termos desta Licena, na forma mostrada no tpico abaixo; G. Preservar nessa nota de licena as listas completas das Sees Invariantes e os Textos de Capa requeridos dados na nota de licena do Documento; H. Incluir uma cpia inalterada desta Licena; I. Preservar a seo entitulada "Histrico", e seu ttulo, e adicionar mesma um item dizendo pelo menos o ttulo, ano, novos autores e editor da Verso Modicada como dados na Pgina de Ttulo. Se no houver uma sesso denominada "Histrico"no Documento, criar uma dizendo o ttulo, ano, autores, e editor do Documento como dados em sua Pgina de Ttulo, ento adicionar um item descrevendo a Verso Modicada, tal como descrito na sentena anterior; J. Preservar o endereo de rede, se algum, dado no Documento para acesso pblico a uma cpia Transparente do Documento, e da mesma forma, as localizaes de rede dadas no Documento para as verses anteriores em que ele foi baseado. Elas podem ser colocadas na seo "Histrico". Voc pode omitir uma localizao na rede para um trabalho que tenha sido publicado pelo menos quatro anos antes do Documento, ou se o editor original da verso a que ela se rera der sua permisso; K. Em qualquer seo entitulada "Agradecimentos"ou "Dedicatrias", preservar o ttulo da 14

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

seo e preservar a seo em toda substncia e m de cada um dos agradecimentos de contribuidores e/ou dedicatrias dados; L. Preservar todas as Sees Invariantes do Documento, inalteradas em seus textos ou em seus ttulos. Nmeros de seo ou equivalentes no so considerados parte dos ttulos da seo; M. Apagar qualquer seo entitulada "Endossos". Tal sesso no pode ser includa na Verso Modicada; N. No reentitular qualquer seo existente com o ttulo "Endossos"ou com qualquer outro ttulo dado a uma Seo Invariante. Se a Verso Modicada incluir novas sees iniciais ou apndices que se qualiquem como Sees Secundrias e no contenham nenhum material copiado do Documento, voc pode optar por designar alguma ou todas aquelas sees como invariantes. Para fazer isso, adicione seus ttulos lista de Sees Invariantes na nota de licena da Verso Modicada. Esses ttulos precisam ser diferentes de qualquer outro ttulo de seo. Voc pode adicionar uma seo entitulada "Endossos", desde que ela no contenha qualquer coisa alm de endossos da sua Verso Modicada por vrias pessoas ou entidades - por exemplo, declaraes de revisores ou de que o texto foi aprovado por uma organizao como a denio ocial de um padro. Voc pode adicionar uma passagem de at cinco palavras como um Texto de Capa da Frente , e uma passagem de at 25 palavras como um Texto de Quarta Capa, ao nal da lista de Textos de Capa na Verso Modicada. Somente uma passagem de Texto da Capa da Frente e uma de Texto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade. Se o Documento j incluir um texto de capa para a mesma capa, adicionado previamente por voc ou por acordo feito com alguma entidade para a qual voc esteja agindo, voc no pode adicionar um outro; mas voc pode trocar o antigo, com permisso explcita do editor anterior que adicionou a passagem antiga. O(s) autor(es) e editor(es) do Documento no do permisso por esta Licena para que seus nomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquer Verso Modicada.

COMBINANDO DOCUMENTOS
Voc pode combinar o Documento com outros documentos publicados sob esta Licena, sob os termos denidos na seo 4 acima para verses modicadas, desde que voc inclua na combinao todas as Sees Invariantes de todos os documentos originais, sem modicaes, e liste todas elas como Sees Invariantes de seu trabalho combinado em sua nota de licena. O trabalho combinado precisa conter apenas uma cpia desta Licena, e Sees Invariantes Idnticas com multiplas ocorrncias podem ser substitudas por apenas uma cpia. Se houver mltiplas Sees Invariantes com o mesmo nome mas com contedos distintos, faa o ttulo de 15

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

cada seo nico adicionando ao nal do mesmo, em parnteses, o nome do autor ou editor origianl daquela seo, se for conhecido, ou um nmero que seja nico. Faa o mesmo ajuste nos ttulos de seo na lista de Sees Invariantes nota de licena do trabalho combinado. Na combinao, voc precisa combinar quaisquer sees entituladas "Histrico"dos diversos documentos originais, formando uma seo entitulada "Histrico"; da mesma forma combine quaisquer sees entituladas "Agradecimentos", ou "Dedicatrias". Voc precisa apagar todas as sees entituladas como "Endosso".

COLETNEAS DE DOCUMENTOS
Voc pode fazer uma coletnea consitindo do Documento e outros documentos publicados sob esta Licena, e substituir as cpias individuais desta Licena nos vrios documentos com uma nica cpia incluida na coletnea, desde que voc siga as regras desta Licena para cpia exata de cada um dos Documentos em todos os outros aspectos. Voc pode extrair um nico documento de tal coletnea, e distribu-lo individualmente sob esta Licena, desde que voc insira uma cpia desta Licena no documento extrado, e siga esta Licena em todos os outros aspectos relacionados cpia exata daquele documento.

AGREGAO COM TRABALHOS INDEPENDENTES

Uma compilao do Documento ou derivados dele com outros trabalhos ou documentos separados e independentes, em um volume ou mdia de distribuio, no conta como uma Verso Modicada do Documento, desde que nenhum copyright de compilao seja reclamado pela compilao. Tal compilao chamada um "agregado", e esta Licena no se aplica aos outros trabalhos auto-contidos compilados junto com o Documento, s por conta de terem sido assim compilados, e eles no so trabalhos derivados do Documento. Se o requerido para o Texto de Capa na seo 3 for aplicvel a essas cpias do Documento, ento, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capa do Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado. Seno eles precisaro aparecer nas capas de todo o agregado.

TRADUO
Traduo considerada como um tipo de modicao, ento voc pode distribuir tradues do Documento sob os termos da seo 4. A substituio de Sees Invariantes por tradues requer uma permisso especial dos detentores do copyright das mesmas, mas voc pode incluir tradues de algumas ou de todas as Sees Invariantes em adio s verses orignais dessas Sees Invariantes. Voc pode incluir uma traduo desta Licena desde que voc tambm inclua a verso original em Ingls desta Licena. No caso de discordncia entre a traduo e a

16

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

verso original em Ingls desta Licena, a verso original em Ingls prevalecer.

TRMINO
Voc no pode copiar, modicar, sublicenciar, ou distribuir o Documento exceto como expressamente especicado sob esta Licena. Qualquer outra tentativa de copiar, modicar, sublicenciar, ou distribuir o Documento nula, e resultar automaticamente no trmino de seus direitos sob esta Licena. Entretanto, terceiros que tenham recebido cpias, ou direitos de voc sob esta Licena no tero suas licenas terminadas, tanto quanto esses terceiros permaneam em total acordo com esta Licena.

REVISES FUTURAS DESTA LICENA

A Free Software Foundation pode publicar novas verses revisadas da Licena de Documentao Livre GNU de tempos em tempos. Tais novas verses sero similares em espirito verso presente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupaes. Veja http://www.gnu.org/copyleft/. A cada verso da Licena dado um nmero de verso distinto. Se o Documento especicar que uma verso particular desta Licena "ou qualquer verso posterior"se aplica ao mesmo, voc tem a opo de seguir os termos e condies daquela verso especca, ou de qualquer verso posterior que tenha sido publicada (no como rascunho) pela Free Software Foundation. Se o Documento no especicar um nmero de Verso desta Licena, voc pode escolher qualquer verso j publicada (no como rascunho) pela Free Software Foundation. ADENDO: Como usar esta Licena para seus documentos Para usar esta Licena num documento que voc escreveu, inclua uma cpia desta Licena no documento e ponha as seguintes notas de copyright e licenas logo aps a pgina de ttulo: Copyright (c) ANO SEU NOME. dada permisso para copiar, distribuir e/ou modicar este documento sob os termos da Licena de Documentao Livre GNU, Verso 1.1 ou qualquer verso posterior publicada pela Free Software Foundation; com as Sees Invariantes sendo LISTE SEUS TTULOS, com os Textos da Capa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cpia da licena est inclusa na seo entitulada "Licena de Documentao Livre GNU". Se voc no tiver nenhuma Seo Invariante, escreva "sem Sees Invariantes"ao invs de dizer quais so invariantes. Se voc no tiver Textos de Capa da Frente, escreva "sem Textos de Capa da Frente"ao invs de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para os Textos da Quarta Capa. Se o seu documento contiver exemplos no triviais de cdigo de programas, ns recomendamos a publicao desses exemplos em paralelo sob a sua escolha de licena de software livre,

17

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

tal como a GNU General Public License, para permitir o seu uso em software livre.

18

Parte IV

De AD para LDAP

19

Captulo 1

De AD para LDAP

Este curso um guia para tcnicos que desejam migrar sua base de usurios do Active Directory do MS Windows para OpenLDAP+Samba.

20

Captulo 2

Plano de ensino
2.1 Objetivo

Qualicar tcnicos a migrarem suas bases de usurios do Active Directory para LDAP+Samba.

2.2

Pblico Alvo

Tcnicos e administradores de redes.

2.3

Pr-requisitos

Os usurios devero ter conhecimentos bsicos de redes, LDAP, Samba e Active Directory.

2.4

Descrio

O curso de AD para LDAP ser realizado na modalidade EAD e utilizar a plataforma Moodle como ferramenta de aprendizagem. Ele composto de um mdulo de aprendizado e avaliao que ser dado em uma semana. O material didtico estar disponvel on-line de acordo com as datas pr-estabelecidas no calendrio. Este curso visa ajudar tcnicos e administradores de rede a migrarem suas bases de usurios da plataforma Windows para uma plataforma livre.

2.5

Metodologia

O curso est dividido da seguinte maneira:

2.6

Cronograma

Lio 1 - Introduo; Lio 2 - Instalao Lio 3 - Populando LDAP, Migrando Grupos de Usurios e Nss ldap

21

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Lio 4 - Samba Lio 5 - Perl,Apache2 + PHP5, LAM Lio 6 - SSL e LDAP Lio 7 - Adicionando mquinas Windows e Squid As lies contm o contedo principal. Elas podero ser acessadas quantas vezes forem necessrias, desde que estejam dentro da semana programada. Ao nal de uma lio, voc receber uma nota de acordo com o seu desempenho. Responda com ateno s perguntas de cada lio, pois elas sero consideradas na sua nota nal. Caso sua nota numa determinada lio for menor do que 6.0, sugerimos que voc faa novamente esta lio. Ao nal do curso ser disponibilizada a avaliao referente ao curso. Tanto as notas das lies quanto a da avaliao sero consideradas para a nota nal. Todos os mdulos caro visveis para que possam ser consultados durante a avaliao nal. Aconselhamos a leitura da "Ambientao do Moodle"para que voc conhea a plataforma de Ensino a Distncia, evitando diculdades advindas do "desconhecimento"sobre a mesma. Os instrutores estaro a sua disposio ao longo de todo curso. Qualquer dvida dever ser enviada no frum. Diariamente os monitores daro respostas e esclarecimentos.

2.7

Programa

O curso de PenLinux oferecer o seguinte contedo:

Introduo Instalao Populando LDAP, Migrando Grupos de Usurios e Nss_ldap Samba Perl,Apache2 + PHP5, LAM SSL e LDAP Adicionando mquinas Windows e Squid

2.8

Avaliao

Toda a avaliao ser feita on-line. Aspectos a serem considerados na avaliao: Iniciativa e autonomia no processo de aprendizagem e de produo de conhecimento; Capacidade de pesquisa e abordagem criativa na soluo dos problemas apresentados. Instrumentos de avaliao:

22

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Participao ativa nas atividades programadas. Avaliao ao nal do curso. O participante far vrias avaliaes referente ao contedo do curso. Para a aprovao e obteno do certicado o participante dever obter nota nal maior ou igual a 6.0 de acordo com a frmula abaixo: Nota Final = ((ML x 7) + (AF x 3)) / 10 = Mdia aritmtica das lies AF = Avaliaes

2.9

Bibliograa

Site: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5178&pagina=1

23

Captulo 3

Introduo
Reduzir custo gerencial papel de todo bom administrador. Nada mais recomendvel ento, para se iniciar uma boa gesto de TI, do que manter centralizado o mximo possvel de informaes. Tecnologicamente falando, uma base centralizada de usurios (e permisses a estes usurios) deixou de ser simplesmente uma opo de implementao e tornou-se uma necessidade real. Isso se tornou bastante popular, os sistemas operacionais Microsoft Windows NT e Windows 2000 fazem uso de uma base de dados centralizada para manter a organizao de todas as informaes da rede: trata-se do Active Directory, que o servio de diretrio implementado pela Microsoft para servir como depsito concentrador de informaes comuns (objetos). So exemplos de objetos do Active Directory: contas de usurios, grupos de usurios, impressoras de rede, polticas de controle, etc. O fato do sistema operacional Linux estar conquistando cada vez mais espao dentro das corporaes (atuando tanto como servidores quanto como estaes de trabalho), incentivou a comunidade Open Source a integr-lo as j existentes "redes Windows". exatamente a que entra o Samba, que faz a gerncia de sistemas heterogneos. bem verdade que mquinas com Linux e executando Samba podem completamente substituir os controladores de domnio (PDC e BDCs), mas AINDA no podem por si s implementar o Active Directory (caracterstica esta que certamente estar presente na verso 4 do Samba). Sendo assim vemos a necessidade de colocar ambos os sistemas operacionais para se comunicar em um ambiente de rede; e conseguimos tal feito graas ao protocolo SMB. Neste documento ser abordado todos os detalhes necessrios em como montar um Primary Domain Server (PDC) utilizando Samba + OpenLDAP. Este documento no aborda a explicao terica, mas sim a parte prtica de tudo isso. Minha inteno na elaborao dessa soluo a unicao da autenticao dos usurios da empresa, podendo assim os clientes acessarem todos os servios disponibilizados utilizando apenas 1 (um) usurio e senha. Este tutorial, criado por Braulio Gomes, aborda a criao de um servidor Samba baseado em banco de dados LDAP com suporte autenticao de usurios, tanto pelo Samba quanto pelo Squid.

3.1

Pacotes utilizados

A seguir os pacotes que foram necessrios nesta instalao. Neste instante considerarei que todo o sistema operacional esteja instalado e congurado, pois no abordaremos a instalao do 24

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Linux. Sugiro que voc crie um diretrio e armazene todos os pacotes dentro deste, o meu foi criado dentro do /opt: # mkdir -p /opt/ldap Para a nosso LDAP-Server Linux, deveremos obter: samba-3.0.20.tar.gz http://us5.samba.org/samba/ftp/stable/samba-3.0.20.tar.gz smbldap-tools_0.9.2.orig.tar.gz http://ftp.debian.org/debian/pool/main/s/smbldap-tools/smbldap-tools_0.9.2.orig.tar.gz cyrus-sasl-2.1.22.tar.gz http://sunsite.rediris.es/pub/mirror/cyrus-mail/cyrus-sasl-2.1.22.tar.gz openldap-2.3.24.tgz ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.3.24.tgz nss_ldap-251.tgz http://www.padl.com/download/nss_ldap.tgz MigrationTools-57.tgz http://www.padl.com/download/MigrationTools.tgz Authen-SASL-2.10.tar.gz http://www.cpan.org/authors/.../Authen-SASL-2.10.tar.gz Convert-ASN1-0.20.tar.gz http://search.cpan.org/CPAN/.../Convert-ASN1-0.18.tar.gz Crypt-SmbHash-0.12.tar.gz ftp://ftp.ntut.edu.tw/CPAN/authors/id/B/BJ/BJKUIT/Crypt-SmbHash-0.12.tar.gz Digest-SHA1-2.11.tar.gz http://search.cpan.org/CPAN/.../Digest-SHA1-2.11.tar.gz IO-Socket-SSL-0.97.tar.gz http://mirrors.ibiblio.org/pub/.../IO-Socket-SSL-0.97.tar.gz Jcode-2.05.tar.gz http://search.cpan.org/CPAN/.../Jcode-2.05.tar.gz Net_SSLeay.pm-1.25.tar.gz http://mirror.uta.edu/CPAN/.../Net_SSLeay.pm-1.25.tar.gz URI-1.33.tar.gz http://www.volity.org/frivolity/perl/URI-1.33.tar.gz

25

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Unicode-Map-0.112.tar.gz http://search.cpan.org/CPAN/.../Unicode-Map-0.112.tar.gz Unicode-Map8-0.12.tar.gz http://search.cpan.org/CPAN/.../Unicode-Map8-0.12.tar.gz Unicode-MapUTF8-1.11.tar.gz http://search.cpan.org/CPAN/.../Unicode-MapUTF8-1.11.tar.gz Unicode-String-2.09.tar.gz http://search.cpan.org/CPAN/.../Unicode-String-2.09.tar.gz XML-SAX-Base-1.04.tar.gz http://www.volity.org/frivolity/perl/XML-SAX-Base-1.04.tar.gz perl-ldap-0.33.tar.gz http://search.cpan.org/CPAN/.../perl-ldap-0.33.tar.gz httpd-2.0.58.tar.gz http://archive.apache.org/dist/httpd/httpd-2.0.58.tar.gz php-5.1.4.tar.gz http://museum.php.net/php5/php-5.1.4.tar.gz ldap-account-manager-1.0.2.tar.gz http://prdownloads.sourceforge.net/.../ldap-account-manager-1.0.2.tar.gz

3.2

Ambiente utilizado

Foi utilizado Slackware 10.2.0 com kernel 2.4.31, pois como j um kernel default no Slackware, certamente est estvel. O ambiente utilizado foi uma mquina virtual construda atravs do software Vmware Workstation. Foi utilizado o ldap-account-manager como front-end, pois eu o achei mais amigvel em relao aos outros front-ends utilizados, mas isso ca a critrio do administrador.

26

Captulo 4

Instalao
4.1 Instalando O Cyrus-Sasl

O Cyrus-Sasl um pacote de autenticao segura que vamos usar para o Samba: # tar -zxvf cyrus-sasl-2.1.22.tar.gz # cd cyrus-sasl-2.1.22 # ./congure with-bdb-libdir=/usr/lib with-bdb-incdir=/usr/include/db4 # make # make install Se tudo correu bem, vamos criar um link simblico para que o LDAP consiga acessar o DB. Para isso faa o comando: # ln -s /usr/local/lib/sasl2 /usr/lib/sasl2 OBS.: necessrio que seu sistema tenha o DB4 instalado. Atualize a biblioteca do seu sistema rodando o comando: # ldcong

4.2

Instalando o OpenLDAP

O LDAP (Lightweight Directory Access Protocol) um protocolo utilizado pelos servidores para concentrar informaes em um repositrio logicamente organizado. graas a ele que informaes comuns podem ser inseridas, alteradas, excludas e consultadas como uma espcie de "banco de dados de informaes". Ao se registrar um usurio no domnio, por exemplo, as informaes referentes a esse usurio estaro armazenadas e disponveis graas ao uso deste protocolo. Por sua vez, o OpenLDAP uma implementao OpenSource do LDAP. # tar -zxvf openldap-2.3.24.tgz # cd openldap-2.3.24 # env CPPFLAGS=-I/usr/include/db4"LDFLAGS= L/usr/lib"./congure enable-crypt # make depend # make # make install

4.3

Congurando o servidor LDAP

No pacote do Samba existe o "samba.schema", que ser necessrio aqui. Vamos apenas descompactar o Samba: # tar -zxvf samba-3.0.20.tar.gz Agora basta copiar o arquivo "samba.schema"para que seja carregado no LDAP: # cp /opt/ldap/samba-3.0.20/examples/LDAP/samba.schema /usr/local/etc/openldap/schemas Lembrando que o "qmail.schema"foi includo porque usarei esta mesma base para a autenticao no Postx, que instalarei futuramente.

27

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

O nosso slapd.conf, que est no diretrio /usr/local/etc/openldap/slapd.conf, dever car da seguinte forma: OBS: O rootpw deve ser gerado com slappasswd.

28

Captulo 5

Populando LDAP,Migrando Grupos de Usurios e Nss ldap

5.1 Populando LDAP

Como nossa base bem simples, basta criar um arquivo chamado /root/base.ldif com o seguinte contedo:

Agora s incluir essas entradas no LDAP usando o comando abaixo:

29

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Com isso nossa base j est inicializada, um simples "ldapsearch -x"mostra como ela cou. Agora migraremos nossas contas do sistema para o LDAP usando o MigrationTools.

5.2

Migrando os grupos e usurios

Agora migraremos nossas contas do sistema para o LDAP: # tar zxvf MigrationTools.tgz # cd MigrationTools-47 Edite o arquivo migrate_common.ph e altere as seguintes linhas: $NAMINGCONTEXTpasswd = "ou=Usuarios"; $NAMINGCONTEXTgroup = "ou=Grupos"; $DEFAULT_MAIL_DOMAIN = "linuxajuda.org"; $DEFAULT_BASE = "dc=linuxajuda,dc=org"; $DEFAULT_MAIL_HOST = "mail.linuxajuda.org"; Salve e execute o seguinte comando para gerar o arquivo "grupos.ldif", que conter todos os grupos do sistema: # ./migrate_group.pl /etc/group /root/grupos.ldif Com isso ele ir gerar o arquivo /root/grupos.ldif com as entradas necessrias para o LDAP. Agora vamos inserir as entradas dos grupos no LDAP: # ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/grupos.ldif Pronto! Ele adicionou todos os grupos do sistema no LDAP. No podemos esquecer de adicionar tambm os usurios: # ./migrate_passwd.pl /etc/passwd /root/usuarios.ldif # ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/usuarios.ldif Pronto, nossa base do sistema j esta ok, basta agora informarmos para o sistema se autenticar no LDAP.

5.3

Nss ldap

Instale o pacote de conguraes de contas: # tar zxvf nss_ldap.tgz # cd nss_ldap-251 # ./congure # make # make install necessrio modicar o arquivo /etc/ldap.conf: host 127.0.0.1 base dc=linuxajuda,dc=org rootbinddn cn=administrador,dc=linuxajuda,dc=org

30

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Vamos agora modicar as linhas do /etc/nsswitch.conf, esse arquivo onde o sistema busca as informaes de login. Altere as seguintes linhas para que que assim: passwd: les ldap shadow: les ldap group: les ldap passwd: compat ldap group: compat ldap Agora vamos testar o LDAP: # id root uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(oppy) Se voc vericar nos logs, vai ver que ele buscou as entradas no LDAP: # tail /var/log/debug Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH base="dc=tropical,dc=local"scope=2 deref=0 lter="(&(objectClass=posixGroup))" Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH attr=cn userPassword memberUid gidNumber Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SEARCH RESULT tag=101 err=0 nentries=44 text= Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH base="dc=tropical,dc=local"scope=2 deref=0 lter="(&(objectClass=posixGroup))" Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH attr=cn userPassword memberUid gidNumber Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SEARCH RESULT tag=101 err=0 nentries=44 text= Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH base="dc=tropical,dc=local"scope=2 deref=0 lter="(&(objectClass=posixGroup)(gidNumber=512))" Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH attr=cn userPassword memberUid gidNumber Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text= Jun 29 17:17:03 tropical slapd[2521]: conn=11 fd=12 closed (connection lost) Bom, o LDAP j est funcionando!

31

Captulo 6

Samba
Vamos agora parte que devemos ter mais ateno, que a do Samba. Como j o tnhamos descompactado anteriormente, vamos entrar no diretrio dele: # cd samba-3.0.20 # env CPPFLAGS=-I/usr/local/include/" # ./congure bindir=/usr/local/bin sbindir=/usr/local/sbin libexecdir=/usr/local/libexec with-congdir=/etc/samba with-mandir=/usr/local/man with-loglebase=/var/log/samba enable-cups with-smbmount with-ldapsam with-syslog with-quotas with-acl-support with-ads enable-debug with-winbind with-krb5=/usr enable-krb5developer OBS.: As duas ltimas opes, with-krb5=/usr e enable-krb5developer, use somente se voc tiver o kerberos instalado, caso contrrio no precisa. # make # make install Vamos agora ao smb.conf, depois de uns trs dias ralando em cima do Samba, pude realmente chegar a congurao ideal para ele implementado ao LDAP. Segue o smb.conf:

32

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

33

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Edite-o de acordo com suas necessidades. Agora vamos criar um script para iniciar o Samba:

34

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Crie o diretrio /var/log/samba e rode o script /etc/rc.d/rc.samba: # /etc/rc.d/rc.samba start

6.1

Smbldap-tools

Pronto, o Samba est no ar, agora vamos congurar o smbldap-tools, que uma ferramenta de administrao do LDAP. Eu particularmente prero usar um front-end, pois pode acontecer de dar alguns erros com ela, mas no deixa de ser uma boa ferramenta para administrao. # tar zxvf smbldap-tools_0.9.2.orig.tar.gz # cd smbldap-tools_0.9.2 # cp -f smbldap-* /usr/local/sbin/ # mkdir /etc/smbldap-tools/ # cp smbldap.conf smbldap_bind.conf /etc/smbldap-tools/

35

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

# chmod 644 /etc/smbldap-tools/smbldap.conf # chmod 600 /etc/smbldap-tools/smbldap_bind.conf Vamos editar o arquivo de congurao do smbladp-tools, que ca dentro do diretrio que voc acabou de criar. Lembrando que: o SID obtido com o seguinte comando:

36

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

E se notar, aps isso ele automaticamente cria uma entrada no LDAP:

Agora vamos armazenar a senha do admin do LDAP no secrets: # smbpasswd -w SENHA Edite o arquivo /etc/smbldap-tools/smbldap_bind.conf e congure da seguinte forma:

Aps isso necessrio copiar o arquivo smbldap_tools.pm para o diretrio /usr/lib/perl5/5.8.7/i486linux/: # cp smbldap_tools.pm /usr/lib/perl5/5.8.7/i486-linux/

37

Captulo 7

Perl,Apache2 + PHP5, LAM

7.1 Pacotes Perl

Agora vamos instalar os pacotes de mdulos para o Perl. Descompacte um por um e use logo abaixo os comandos para instalao:

Entre no diretrio de cada um e execute:

7.2

Nextuid

Pronto, agora precisamos informar qual ser o prximo uid disponvel para ele criar os usurios. Para isso, inserimos a seguinte entrada no LDAP. Salve as seguintes informaes em um arquivo chamado "nextuid.ldif":

38

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Inclua a entrada no LDAP: # ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org, -W -f root/nextuid.ldif Agora que temos nossa base praticamente pronta, vamos popular a base usando o comando abaixo: # smbldap-populate

7.3

Apache2 + PHP5

Pronto, nosso LDAP + Samba j est praticamente funcionando, bastando apenas administrlo. agora que entra o LDAP Administrator Manager (LAM). Primeiramente vamos instalar o servidor web (Apache):

Em seguida vamos instalar o PHP, resolvi usar o PHP5 que j est bem estvel:

Inclua as linhas abaixo no seu httpd.conf, que ca em /usr/local/apache2/confs/httpd.conf:

Feito isso vamos iniciar o Apache: # /usr/local/apache2/bin/apachectl start

7.4

LAM - Ldap Account Manager

Depois de muito estudar sobre um bom front-end que pudesse me dar todas as ferramentas para uma boa administrao do LDAP, acabei encontrando o LAM, mas existem vrias outras ferramentas, como o PhpLdapAdmin por exemplo. 39

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Agora vamos instalar o Ldap Account Manager. Primeiro crie o usurio e o grupo httpd:

Depois pegue o pacote ldap-account-manager-1.0.2.tar.gz e o mova para: # mv ldap-account-manager-1.0.2.tar.gz /usr/local/apache2/htdocs Descompacte-o: # tar -zxvf ldap-account-manager-1.0.2.tar.gz Renomeie-o: # mv ldap-account-manager-1.0.2 lam/ Entre no diretrio:

Agora vamos congur-lo. Entre no diretrio /usr/local/apache2/htdocs/lam/cong e copie os arquivos cong.cfg.example e lam.conf.example:

Agora vamos editar os arquivos cong.cfg e lam.conf. Deixe seu cong.cf exatamente assim:

40

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

41

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

42

Captulo 8

SSL e LDAP
8.1 Implementando SSL ao seu LDAP Server

Todo administrador sempre deve estar preocupado com a segurana de seus servidores, por isso aqui est uma boa soluo para acrescentar ao seu LDAP Server. A seguir vamos aplicar as conguraes ao LDAP usando os utilitrios do OpenSSL para gerar as chaves auto-assinadas para ele.

8.2

Gerando as chaves criptografadas

Note que as chaves devero ser geradas dentro do diretrio /usr/local/etc/openldap/certicates/. Foi desabilitada a vericao do certicado (se h alguma entidade certicadora que garanta que voc voc mesmo). Estamos apenas interessados em usar um tnel criptografado. Primeiramente vamos criar um diretrio dentro do /usr/local/etc/openldap chamado certicates e depois um script para gerar as chaves criptografadas. Utilize seu editor de textos preferido e crie o script gerador.sh:

43

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Use o comando a baixo para rodar o script: # sh gerador.sh Ele far algumas perguntas (veja abaixo) como requisio de senhas, escolha uma senha de maneira que voc no a esqueca, eu usei a mesma do admin. necessrio prover uma senha para a chave privada.

44

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

OBS.: Onde perdir "Enter pass phrase for client"ou server, digite uma senha.

8.3

O LDAP e seus arquivos de conguraes

So necessrias duas pequenas conguraes no OpenLDAP para que ele aceite o certicado criado. Em /etc/openldap/slapd.conf:

Aps isso modique o arquivo /etc/ldap.conf para:

Altere a linha no smb.conf de: passdb backend = ldapsam:ldap://ldap.linuxajuda.org/ para:

45

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

passdb backend = ldapsam:ldaps://ldap.linuxajuda.org/ Vamos alterar tambm o lam.conf: ServerURL: ldaps://ldap.tropical.local:636 /> Altere o smbldap.conf nas seguintes linhas: slavePort="636" masterPort="636" Depois de gerar o certicado, tive que incluir uma entrada no DNS para o LDAP porque ele estava reclamando o hostname, a bastou incluir ldap.linuxajuda.org no DNS e estava resolvido. Edite o arquivo /etc/resolv.conf e acrescente a linha: nameserver ldap.linuxajuda.org Edite tambm o /etc/hosts: 10.0.0.101 ldap.linuxajuda.org Agora basta inicializar o slapd com o seguinte comando: # /usr/local/libexec/slapd -h "ldap:/// ldaps:///"; -4 OBS.: Acrescente essa linha no seu rc.local para carregar seu LDAP no boot. Agora vamos aos testes: # ldapsearch -x -ZZ -h ldap.linuxajudaorg -b dc=linuxajuda,dc=org (objectclass=*)

8.4

Habilitando o SASL

Primeiro armazenamos a senha do usurio suporte com: # saslpasswd2 -c administrador Podemos listar os usurios com:

 

8.5

Seu sistema cou lento na inicializao?

Depois que instalei o LDAP e alterei o nsswitch.conf, percebi que o sistema operacional tinha cado lento tanto para iniciar quanto para fazer login e digitar alguns comandos, foi ento que quase sem querer encontrei a soluo para o meu problema. Creio que voc possa ter o mesmo problema que eu, mas vamos soluo: abra o arquivo /etc/rc.d/rc.S e localize o trecho "Create a fresh utmp le:"; comente a linha "chown root.utmp /var/run/utmp"; mude a linha "chmod 664 /var/run/utmp"para "chmod 666 /var/run/utmp"; abra o arquivo /etc/rc.d/rc.local e adicione as prximas duas linhas:

Pronto, seu sistema est rpido de novo! 46

Captulo 9

Adicionando mquinas Windows e Squid

1. Editar as propriedades de rede; 2. Editar as propriedades do "Cliente para redes Microsoft"; 3. Selecionar a opo "Efetuar logon no domnio do Windows NT"; 4. Na opo "Domnio do Windows NT", digitar o nome do domnio; 5. Selecionar a opo de "Logon rpido"e pressionar OK; 6. Na opo "Logon primrio da rede", selecionar clientes para redes Microsoft, aplicar as alteraes e reiniciar o computador. Para alterar a senha do usurio logado: 1. Entrar no "Painel de Controle"; 2. Entrar no cone "Senhas"; 3. Clicar em "Alterar a senha do Windows"; 4. Selecionar "Rede Microsoft"e pressionar OK; 5. Digitar a senha atual, digitar a nova senha e conrm-la; 6. Clicar no boto detalhes e selecionar a opo "Rede Microsoft"; 7. Pressionar OK e fechar todas as janelas. No servidor, rode o comando abaixo para cadastr-la no domnio: # smbldap-useradd -w Maq01

9.1

Adicionando mquinas Windows XP/2000/2003 no Samba

1. Logar como um usurio local e administrador do sistema; 2. Entrar no "Painel de Controle"em modo de exibio clssico, editar as propriedades do cone "Sistema"; 3. Clicar na aba "Nome do Computador"e no boto "ID da Rede"; 4. Na janela que ir aparecer, clicar em "Avanar"; 5. Selecionar a opo "Este computador faz parte de uma rede corporativa..."e clicar em "Avanar"; 47

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

6. Selecionar a opo "Minha empresa usa uma rede com um domnio", clicar em "Avanar"e clicar em "Avanar"novamente; 7. Digitar no "nome do usurio"um usurio que j exista no Samba, sua senha e o domnio e clicar em "Avanar"; 8. Digitar o nome do computador em questo, o domnio novamente e clicar em "Avanar"; 9. Digitar "root"no nome do usurio e sua senha e o domnio do Samba. 10. Deixar selecionado a opo "Inserir o seguinte usurio"e clicar em "Avanar"; 11. Selecionar o nvel de acesso "Outros", selecionar o grupo "Administradores"e clicar e "Avanar"e "Concluir", mas NO reiniciar o computador; 12. Entrar no "Painel de Controle"em modo de exibio clssico e entrar em "Ferramentas Administrativas"; 13. Entrar em "Diretiva de Segurana local"e depois abrir a chave "Diretivas locais"e clicar em "Opes de Segurana"; Dentro dessa janela as seguintes opes devem ser desabilitadas: Membro do domnio: criptografar ou assinar digitalmente os dados do canal seguro (sempre). Membro do domnio: desativar alteraes de senha de conta da mquina. Membro do domnio: requerer uma chave de sesso de alta segurana (Windows 2000 ou posterior).

No registro, alterar/incluir a chave: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices netlogonparameters"RequireSignOrSea

9.2

Integrando seu Squid ao LDAP

Bom, agora que j temos nosso servidor Samba com Active Directory usando o LDAP, pensei porque no colocar os usurios de internet para autenticar no LDAP para acessar a internet, lembrando que no vou abordar uma congurao mais afundo do Squid, para isso voc dever buscar em outras faqs ou manuais. Segue abaixo como instalar o Squid com suporte a LDAP:

Faremos a compilao bsica e depois compilaremos os programas de autenticao LDAP separadamente. Para tanto, use a famosa seqncia:

Mude a propriedade do diretrio Squid de root para nobody e crie o cache: # chown -R nobody.nobody /usr/local/squid/cache Com isso o seu Squid j estar instalado e pronto para ser congurado. 48

CDTC

Centro de Difuso de Tecnologia e Conhecimento

Braslia/DF

Agora passaremos para o passo seguinte, onde iremos acessar squid-2.5.STABLE8/helpers /basic_auth/LDAP e compilar o daemon squid_ldap_auth, que far a autenticao de usurios no AD:

Aps a compilao, copie o daemon squid_ldap_auth para dentro da libexec: # cp squid_ldap_auth /usr/local/squid/libexec Acesse squid-2.5.STABLE8/helpers/external_acl/ldap_group e compile o daemon squid_ldap_group:

Aps a compilao, copie o squid_ldap_auth para dentro da libexec: # cp squid_ldap_group /usr/local/squid/libexec Agora adicione as seguintes linhas no seu squid.conf:

Feito isso, reinicie todos os servios.

49