03/01/2011

Samba como controlador de domnio

Samba como controlador de domnio + PDC

Autor: jose claudio v costa <claudio@linuxtec.com.br> Data: 20/12/2009 Samba como controlador de domnio + PDC Nessa configurao teremos uma boa ideia de como funciona o Samba atuando como controlador de domnio primrio em uma rede corporativa. Em uma rede acima de 10 mquinas, aconselho utilizar um controlador de domnio com perfil mvel para maior facilidade de administrao dos usurios. Mostrarei como configurar um controlador de domnio de maneira simples e com lixeira de arquivos, fazendo a recuperao dos arquivos delatados ser mais gil, nosso arquivo de configurao ter, alm de lixeira e excluses de arquivos tmp, grupos e nveis de acessos bem prticos para melhor entendimento. Um controlador de domnio controla os nveis de acesso dos usurios de uma rede corporativa e a funcionalidade do Samba como PDC de garantir a segurana e informao dos usurios. Sobre o perfil mvel, o usurio no precisa estar necessariamente no terminal de uso dele. Dentro do parque da mquinas da empresa, de qualquer estao ele pode fazer logon com seu usurio e senha, que carregar o perfil do usurios, com isso no nos preocuparemos no caso de ter que formatar uma estao de trabalho, pois as informaes contidas em cada conta de usurio est guardada no profile do usurio, na estao e tambm no servidor. A estao e o servidor ficam sincronizado 24 horas por dia. Quando o usurio efetua logon ou desliga a estao, a pasta do perfil do usurio salva dentro do servidor e mantendo o profile sempre seguro, pois alm de ter uma cpia local em "Documents and Settings", temos os profiles seguros no nosso servidor Samba PDC. O arquivo de configurao principal o smb.conf, ele encontra-se no /etc/samba (Debian ou Ubuntu Linux). Em derivaes BSD se encontra em /usr/local/etc/samba. Criaremos a pasta onde ficam guardados os Netlogon, que so os responsveis por fazer os mapeamentos e as sincronizaes do relgio das estaes. Imagine em uma rede com 100 mquinas, o administrador ter que ir uma a uma para fazer o mapeamento e ajustar a hora do PC de todos usurios? Para automatizar isso usaremos um bloco de notas e faremos a mapeamento e a sincronizao do relgio do terminal com o do servidor. Detalhe importante: para o relgio do terminal sincronizar com o do servidor o usurio do terminal ter que ser no mnimo usurio avanado do sistema, seno a hora no mudar. Lembre-se que estamos subindo alm de um PDC, um controlador de domnio, no adianta ter a sincronia dos relgios e no ter permisso de mudana no terminal. Vamos l! Crie em /home a pasta "samba", de permisso total ao dono: # cd /home
vivaolinux.com.br/dicas/impressora.ph 1/7

03/01/2011

Samba como controlador de domnio

# mkdir samba # chmod 700 samba Crie em /home/samba a pasta netlogon: # cd samba # mkdir netlogon D a sua devida permisso: # chmod 700 netlogon Ou seja, leitura, escrita e execuo para o dono. Dentro da pasta, cada usurio do sistema ter o seu netlogon com nome de usuario.bat. Ex.: Para o usurio cludio o arquivo bat ser claudio.bat. ren Logon Script ... NET TIME \\spbrsfs01 /set /yes // sincronizando a hora com a do server. NET USE N: \\spbrsfs01\geral // Fazendo o mapeamento automtico da pasta geral NET USE P: \\spbrsfs01\artes // Fazendo o mapeamento automtico da pasta artes NET USE Q: \\spbrsfs01\sistemas // Fazendo o mapeamento automtico da pasta sistemas. Salvar esse arquivo dentro da pasta netlogon. No se preocupe com a permisso do arquivo, pois voc j deu permisso na pasta. Agora vamos criar a pasta dos profiles, nelas ficam guardadas os profiles dos usurios. # mkdir /home/samba/profiles # chmod 700 profiles Criando os grupos para definirmos os acessos aos compartilhamentos: # vim /etc/group E adicione manualmente o grupo pertinente a cada usurio, ficando assim. root:x:0: grif_suporte:x:2012:claudio,thiago,root #Ou seja o claudio. thiago e root tero acesso a pasta suporte por fazer parte do grupo grif_suporte. Para melhor entender: Neste exemplo o grupo grif_suporte (o smbolo at [@] ao lado sinnimo de grupo para o Samba) quem pode escrever no diretrio. Por padro eu costumo deixar a mscara em 777, porque somente usurios do domnio NT (simulado pelo Samba) ou pertinentes ao grupo definido podem fazer tudo. A segurana ficaria para nvel de acesso, que eu acho mais simples gerenciar.
vivaolinux.com.br/dicas/impressora.ph 2/7

03/01/2011

Samba como controlador de domnio

Agora chegamos na parte principal e nela detalharemos bem a configurao do Samba, aqui o corao da funcionalidade de tudo. Dentro do /etc/samba, abrir o smb.conf com o editor preferido, eu gosto do VIM. # vim smb.conf [global] ## Nome do domnio e Grupo o mesmo ser para as estaes.. workgroup = Meu-dominio ## Forma que ser visvel na rede netbios name = SPBRSFS01 ## Nome e comentrio do servidor na rede server string = SPBRSFS01 SAMBA wins support = yes ## servidor responde por Dns tbm no nosso caso no dns proxy = no ## hora ajustvel do serve time server = yes ## Conf padro name resolve order = lmhosts host wins bcast ## Ip do maquina onde funcionar o serve interfaces = 127.0.0.0/8 192.168.1.12 ## Visibilidade na rede Sim bind interfaces only = yes ## arquivo de log padro log file = /var/log/samba/log.%m ## Tamanho Maximo a gravar log max log size = 5120 ## ver os log nos clientes no syslog only = no ## Nivel do log syslog = 0 ## arquivo padro do samba panic action = /usr/share/samba/panic-action %d ## criptografando a senha do usurio encrypt passwords = true ## Padro do samba passdb backend = tdbsam ## restringir usurios por acessos obey pam restrictions = yes ## fazer requisio de password nos acessos de compartilhamento unix password sync = yes ## Local onde buscara as senhas passwd program = /usr/bin/passwd %u ## pardro do samba passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n
vivaolinux.com.br/dicas/impressora.ph 3/7

03/01/2011

Samba como controlador de domnio

*password\supdated\ssuccessfully* . ## pardro do samba aconselhvel para PDC password level = 8 ## pardro do samba aconselhvel para PDC username level = 16 ## forar autenticao pam password change = yes ## aqui decide se controlador de domnio ou no domain logons = yes ## busca dos profiles que cada usurio ter logon path = \\%L\profiles\%U ## aqui determinamos os mapeamentos via .BAT logon script = %U.bat ## add usuarios no samba add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u ## add maquinas cliente no samba. add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /dev/null -s /bin/false %u add group script = /usr/sbin/addgroup --force-badname %g add user to group script = /usr/sbin/adduser %u %g delete user script = /usr/sbin/userdel %u delete group script = /usr/sbin/groupdel %g delete user from group script = /usr/sbin/deluser %u %g set primary group script = /usr/sbin/usermod -g %g %u load printers = no ## no ser servidor e impresso #printing = cups #printcap name = cups socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 ## primeiro servidor a responder na rede ## seguir essas conf. at o hosts preferred master = yes local master = yes domain master = yes os level = 255 log level = 2 unix charset = iso8859-1 display charset = cp850 max mux = 100 max open files = 100000 kernel oplocks = no oplocks = no remote announce = 192.168.1.255 ## brodcast da sua rede remote browse sync = 192.168.1.255 ## Range de ip da rede no meu caso local, rede interna e VPN hosts allow = 127., 192.168.1.,192.168.3. block size = 4096 level2 oplocks = no
vivaolinux.com.br/dicas/impressora.ph 4/7

03/01/2011

Samba como controlador de domnio

## aqui irei bloquear arquivos com essas extenses na minha rede veto files = /*.mp3/*.wmv/*.wma/*.ogg/*.mpeg/*.mpg ## Criao da auditoria do meu Samba.. vfs objects = full_audit full_audit:success = write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:failure = write, unlink, rename, mkdir, rmdir, chmod, chown full_audit:prefix = %u|%I|%S

## criao da minha lixeira da rede vfs objects = recycle recycle:versions = yes recycle:touch = yes recycle:keeptree = yes recycle:exclude = *.tmp *.temp *.o *.obj ~$* recycle:exclude_dir = tmp, cache #======= Share Definitions ======================= [homes] comment = Home escolher o nome que quiser apenas comentrio browseable = no // acessar via browser NO read only = no // visvel na rede NO create mask = 0700 // Total apenas para o dono directory mask = 0700 // Total apenas para o dono valid users = %S // valido somente para o usurio vfs objects = recycle, full_audit // aqui chamo a auditoria recycle:repository = .recycle // aqui chamo a lixeira

[netlogon] comment = Network Logon Service path = /home/samba/netlogon /Criar a pasta onde ficar os netlogon guest ok = yes read only = yes share modes = no [profiles] comment = Users profiles path = /home/samba/profiles read only = no guest ok = no browseable = no create mask = 0600 directory mask = 0700

// Comentrio // pasta do profile CRIAR // NO visivel // NO visvel // NO acessvel via browser // Permisso apenas para o dono // Permisso apenas para o dono

[geral] comment = Area de transferencia

vivaolinux.com.br/dicas/impressora.ph 5/7

03/01/2011

Samba como controlador de domnio

path = /home/Meu-dominio/misc/gera // Comentrio read only = no // somente leitura no guest only = yes // Visivel na rede guest ok = yes // Todos force create mode = 0755 // Permisso vale para todos force directory mode = 0755 // Permisso vale para todos vfs objects = recycle, full_audit // auditoria e lixeira recycle:maxsize = 524288000 // tamanho da lixeira nesse compartilhamento. recycle:repository = .recycle [sistemas] comment = Sistemas interno path = /home/Meu-dominio/systems/sistemas read only = no force create mode = 0777 force directory mode = 0777 guest only = yes guest ok = yes default case = upper delete readonly = yes vfs objects = recycle, full_audit recycle:maxsize = 524288000 recycle:repository = .recycle [suporte] comment = Suporte - Diretorio do TI path = /home/Meu-dominio/ti/suporte valid users = @grif_suporte // acesso somente a usurios adicionada no grupo grif_suporte write list = @grif_suporte // somente que faz parte da lista grif_suporte read only = no // somente leitura no force create mode = 0777 // Permisso total para o dono, grupo e usurios force directory mode = 0777 // Permisso total para o dono, grupo e usurios vfs objects = recycle, full_audit // auditoria e lixeira recycle:maxsize = 209715200 recycle:repository = .recycle [controle] comment = Controle de qualidade path = /home/Meu-dominio/department/cq/controle valid users = @grif_cq // Recapitulando write list = @grif_cq // acesso somente para o grupo grif_cq read only = no // somente leitura no force create mode = 0777 // Permisso total para o dono, grupo e usurios force directory mode = 0777 // Permisso total para o dono, grupo e usurios vfs objects = recycle, full_audit // arquivo de auditoria e lixeira recycle:maxsize = 209715200 // tamanho Maximo lixeira recycle:repository = .recycle // nome da lixeira [orcamento]
vivaolinux.com.br/dicas/impressora.ph 6/7

03/01/2011

Samba como controlador de domnio

comment = Orcamentos // Comentrio path = /home/Meu-dominio/department/orc // Criar pasta valid users = @grif_orc // Somente write list = @grif_orc // Somente read only = no // somente leitura no force create mode = 0777 // Permisso total para o dono, grupo e usurios force directory mode = 0777 // Permisso total para o dono, grupo e usurios vfs objects = recycle, full_audit // auditoria e lixeira recycle:maxsize = 209715200 // tamanho Maximo recycle:repository = .recycle // nome da lixeira Aps essas configuraes, reinicie o Samba: # /etc/init.d/samba restart (em Debian e Ubuntu) # /etc/usr/local/etc/samba restart (derivaes BSD) Vale lembrar que o arquivo de configurao do Samba igual para todos as distros. Aps concluir a conf do Samba, aconselhvel nas mquinas clientes configurar em opes de pastas para no visualizar pastas ocultas, sendo assim os usurios no vero a lixeira estando legvel apenas para o administrador da rede. Dvidas, estou online 24ho no MSN cLaudio@linuxtec.com.br. Obrigado pelo espao...

http://www.vivaolinux.com.br/dica/Samba-como-controlador-de-dominio-+-PDC Voltar para o site

vivaolinux.com.br/dicas/impressora.ph

7/7