Seminrio de Samba 4

Prof. Uir Ribeiro

Aviso Legal ESSE MATERIAL DE PROPRIEDADE DO PROF. UIR RIBEIRO E CERTIFICAO LINUX LTDA E PROTEGIDO PELA LEI DE DIREITOS AUTORAIS NMERO 9610/98.

SEU USO PESSOAL E INTRANSFERVEL PARA OS ALUNOS DEVIDAMENTE MATRICULADOS NESTE CURSO/SEMINRIO.

A CPIA E DISTRIBUIO SO EXPRESSAMENTE PROIBIDAS E SEU DESCUMPRIMENTO IMPLICA EM PROCESSO CVEL DE DANOS MORAIS E MATERIAS PREVISTOS NA LEGISLAO CONTRA QUEM COPIA E PARA QUEM DISTRIBUI.

Agenda da Aula Instalar o Samba 4 e o seu servio de diretrios; Ingressar mquinas Linux Windows XP / Windows 7 /

Windows 8 no domnio do Samba 4; Acessar o servio de diretrios do Samba 4; Criao de usurios e grupos no domnio do Samba 4; Configurao de Polticas de Grupo para usurios do

domnio do Samba 4; Configurao do servio de compartilhamento de

arquivos com autenticao no Samba 4; Configurao do servio de Proxy no Linux para

autenticao no Samba 4; Configurao do servio de e-mail no Linux para

autenticao no Samba; Configurao do servio Web no Linux para

autenticao no Samba 4;

Justificativa gua e leo. Laranja e Leite. H gente que

pensa que coisas distintas no se misturam. Mas no h coisas distintas em TI. Existe

interoperabilidade. Existe entregar servios cada vez mais rpido e de forma confivel.

Assim, surge o SAMBA 4 como uma proposta de criar um Active Directory de forma confivel e segura.

Justificativa A inteno de se utilizar o Active Directory integrado a estes servios prover uma administrao centralizada, onde independente do servio, independente do Sistema Operacional, sendo necessrio apenas um usurio e senha, cadastrados no Active Directory.

O Que o Samba? O Samba uma suite de software de

interperabilidade entre sistemas operacionais Linux e Windows.

Desde 1992 prov atravs dos protocolos SMB/CIFS servios de compartilhamento de arquivos e impressoras.

Na verso 4 entrega tambm o servio de diretrio Active Directory.

O Que um diretrio ? Um diretrio um servio de

armazenamento hierrquico de informaes otimizado para leitura, onde a pesquisa e busca destas informaes se torna mais fcil e gil e a insero de itens no diretrio ocorre de maneira ocasional.

um banco de dados que armazena informaes as quais so encontradas mais rapidamente devido sua estrutura hierrquica. (exemplo: DNS)

O Que um diretrio ?

O Que Active Directory? Active Directory um servio de diretrio da

Microsoft, desenvolvido atravs da implementao do protocolo LDAP (Lightweight Directory Access Protocol).

Esta presente desde a verso Windows Server 2000 e esta disponvel apenas para verses server, que so sistemas operacionais para servidores Microsoft.

O Que Active Directory? O Active Directory um banco de dados

que armazena informaes de usurios, mquinas e grande parte de informaes administrativas.

A base de dados do Microsoft Active Directory chama-se NTDS.DIT e armazena uma variedade muito ampla de informaes de usurios e recursos.

O Que Active Directory? um servio de rede que identifica e

mantm informaes sobre todos os recursos disponveis na rede. Estes recursos so chamados de objetos, que podem ser contas de usurios e computadores, grupos de usurios e grupos de computadores, polticas de segurana, impressoras, outros domnios, senhas, entre outros.

Todos os objetos possuem propriedades que so chamadas de atributos.

O Que Active Directory? Existem outras ferramentas que

complementam a implementao do protocolo LDAP, tais como:

Servios de rede DHCP (Dynamic Host Configuration Protocol)

DNS (Domain Name System) Kerberos (protocolo de autenticao que

prov forte segurana).

O Que Active Directory? Possui Schemas, que definem os atributos

dos objetos

Protocolos Envolvidos

DNS O servio de DNS essencial para o

funcionamento do AD. Sem ele o Kerberos no funcionar, o que

impedir a autenticao de usurios O samba permite usar o DNS interno ou

atravs do BIND. O DNS interno do samba permite um

FORWARD para um DNS externo, para resolver nomes da Internet.

LDAP Necessrio para acessar informaes

contidas em um diretrio. O openldap o pacote que precisa ser

instalado junto com o Samba 4 para que ele possa prover o servio de Active Directory.

Kerberos Prov autenticao segura entre aplicaes

cliente/servidor atravs de criptografia de chave simtrica.

Por ser padronizado, aplicaes diferentes podem conversar, como Windows e o Linux, uma vez que ambos usam Kerberos.

NTP Utilizado para sincronizar os relgios dos

computadores em uma mesma rede. necessrio para que o Active Directory

trabalhe de forma correta. Se os clientes e o servidor no esto sincronizados, erros iro ocorrer no AD.

SMB / CIFS O protocolo SMB/CIFS (Server Message

Block / Common Internet File System) utilizado para realizar o compartilhamento de diretrios, arquivos e impressoras.

Desde 1996 foi reescrito pela Microsoft (baseado no original SMB) e hoje conhecido apenas como CIFS (executado sobre TCP).

DHCP O DHCP (Dynamic Host Configuration

Protocol) permite que um dispositivo obtenha um endereo IP dinamicamente alm de informaes de configurao como, endereo de gateway e servidores DNS.

Portas do Samba

Instalao do Samba 4 findutils readline glibc-devel findutils-locate

gcc flex compat-readline4 db-devel gcc-c++ make python libacl-devel libblkid-devel gnutls-devel readline-devel python-devel gdb pkgconfig cups-devel pam-devel nss-pam-ldapd openldap2 openldap2-client krb5-client krb5-devel openldap2-devel python-ldap

Compilando ./configure --enable-debug --enable-selftest make make install

Criando o AD sudo /usr/local/samba/bin/samba-tool domain provision Realm [SITE]: CERTIFICACAO.COM.BR Domain [CERTIFICACAO]: Server Role (dc, member, standalone) [dc]: DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: DNS forwarder IP address (write 'none' to disable forwarding) [10.211.55.9]: 10.211.55.1

Alterando DNS Colocar o dominio do AD e o IP local do

servidor vi /etc/resolv.conf search certificacao.com.br nameserver 10.211.55.9

Configurando o ntp vi /etc/ntp.conf server a.ntp.br iburst prefer server b.ntp.br iburst prefer driftfile /var/lib/ntp/ntp.drift logfile /var/log/ntp ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/ restrict default kod nomodify notrap nopeer mssntp restrict 127.0.0.1 restrict a.ntp.br mask 255.255.255.255 nomodify notrap nopeer noquery restrict b.ntp.br mask 255.255.255.255 nomodify notrap nopeer noquery

Ligando o servidor /usr/local/samba/sbin/samba Testes host -t SRV _ldap._tcp.certificacao.com.br host -t SRV _kerberos._udp.certificacao.com.br host -t A linux-g3rv.certificacao.com.br

Conferindo o Kerberos vi /usr/local/samba/private/krb5.conf [libdefaults]

default_realm = CERTIFICACAO.COM.BR dns_lookup_realm = false dns_lookup_kdc = true

Teste de AD /usr/local/samba/bin/smbclient -L localhost -U% Domain=[CERTIFICACAO] OS=[Unix] Server=[Samba 4.0.3]

Sharename Type Comment --------- ---- ------- netlogon Disk sysvol Disk IPC$ IPC IPC Service (Samba 4.0.3)

Domain=[CERTIFICACAO] OS=[Unix] Server=[Samba 4.0.3]

Server Comment --------- -------

Workgroup Master --------- -------

Testando Autenticao smbclient //localhost/netlogon -Uadministrator%'1eimg2eimm!' -c 'ls' Domain=[CERTIFICACAO] OS=[Unix] Server=[Samba 4.0.3] . D 0 Tue Mar 12 12:47:05 2013 .. D 0 Tue Mar 12 12:47:16 2013

40831 blocks of size 524288. 28644 blocks available

No Windows Trocar o DNS para o IP do AD Propriedades de MEU COMPUTADOR Nome do Computador Ingressar em Domnio