Ubuntu Documentation > STATUS FOR LANG Ubuntu NNN > Guia para Servidores Ubuntu > Rede Windows > Samba como um Controlador de Domínio

Samba como um Controlador de Domínio

Ainda que não possa atuar como um Controlador de Domínio Primário de Diretório Ativo (PDC), um servidor Samba pode ser configurado para aparecer como um controlador de domínio no estilo do Windows NT4. Uma grande vantagem desta configuração é a habilidade de centralizar credenciais de usuários e máquinas. Samba também pode utilizar múltiplas infraestruturas para guardar informações do usuário.

Controlador de Domínio Primário

Esta seção cobre a configuração do Samba como um Controlador de Domínio Primário (PDC) usando o infraestrutura padrão smbpasswd.

  1. Primeiro, instale o Samba, e libpam-smbpass para sincronizar as contas de usuário, digitando o seguinte em um terminal:

    sudo apt-get install samba libpam-smbpass

  2. A seguir, configure o Samba editando /etc/samba/smb.conf. O modo de segurança deve estar configurado para usuário, e o grupo de trabalho deve relacionar-se a sua organização.

       workgroup = EXAMPLE
   ...
   security = domain

  3. Nos “Domínios” comentados seção adicionar ou descomentar o seguinte:

       domain logons = yes
   logon path = \\%N\%U\profile
   logon drive = H:
   logon home = \\%N\%U
   logon script = logon.cmd
   add machine script = sudo /usr/sbin/useradd -n -g machines -c Machine -d /var/lib/samba -s /bin/false %u

    • logons de domínio: fornece o serviço netlogon fazendo com que o Samba aja como um controlador de domínio.

    • caminho de logon: coloca o perfil do Windows do usuário em sua pasta pessoal. Também é possível configurar um compartilhamento de [perfis] colocando todos os perfis em um único diretório.

    • drive de autenticação: especifica o caminho local para o diretório pessoal.

    • pasta pessoal de logon: especifica a localização da pasta pessoal.

    • script de logon: determina o script que será rodado localmente assim que um usuário fizer logon. O script deve ser colocado no compartilhamento [netlogon].

    • script de inclusão de máquina: um script que irá criar automaticamente a Conta de Confiança da Máquina necessária para a estação participar do domínio.

      Neste exemplo de Máquinas o grupo terá de ser criado utilizando o addgroup ver utilidade “Adicionando e Removendo Usuários” para detalhes.

    [Nota]

    Se você deseja usar Perfil Ambulante deixe as opções de logon home d logon path comentadas.

  4. Descomente o [homes] compartilhamento para permitir o logon home a ser mapeado:

    [homes]
   comment = Diretório Pessoal
   browseable = no
   read only = no
   create mask = 0700
   directory mask = 0700
   valid users = %S

  5. Quando configurado como controlador de domínio um compartilhamento [netlogon] deve ser configurado. Para permitir o compartilhamento, descomente:

    [netlogon]
   comment = Serviço de Logon da Rede
   path = /srv/samba/netlogon
   guest ok = yes
   read only = yes
   share modes = no
    [Nota]

    O caminho original de compartilhamento do netlogon é /home/samba/netlogon, mas de acordo com o Padrão de Hierarquia de Sistema de Arquivos (FHS), /srv é o lugar correto para dados específicos do site, fornecidos pelo sistema.

  6. Agora crie o diretório netlogon, e um arquivo de script vazio (por enquanto) logon.cmd:

    sudo mkdir -p /srv/samba/netlogon
sudo touch /srv/samba/netlogon/logon.cmd

    Você pode adicionar os comandos de qualquer script de logon normal do Windows em logon.cmd para modificar o ambiente do cliente.

  7. Com root estando desativado por padrão, para adicionar uma estação de trabalho ao domínio, um grupo do sistema deve estar mapeado ao grupo do Windows Administradores de Domínio. Utilizando o utilitário net , digite em um terminal:

    sudo net groupmap add ntgroup="Domain Admins" unixgroup=sysadmin rid=512 type=d
    [Nota]

    Troque sysadmin para qualquer grupo que você preferir. Além disso, o usuário utilizado para entrar no domínio deve ser um membro do grupo sysadmin , e também do grupo do sistema admin. O grupo admin permite o uso de sudo.

  8. Finalmente, reinicie o Samba para habilitar o novo controlador de domínio:

    sudo /etc/init.d/samba restart

  9. Você agora deverá ser capaz de adicionar clientes Windows ao Domínio da mesma forma que os adicionaria a um domínio NT4 rodando em um servidor Windows.

Cópia de Segurança do Controlador de Domínio

Com um Controlador de Domínio Primário (PDC) na rede é melhor possuir um Controlador de Domínio Reserva (BDC) também. Isso permitirá que os clientes se autentiquem no caso de o PDC ficar indisponível.

Para configurar o Samba como um BDC você precisará de uma forma de sincronizar as informações de contas com o PDC. Existem múltiplas formas de se conseguir isso: scp, rsync, ou utilizando LDAP como infraestrutura do passdb.

Utilizar LDAP é a forma mais robusta de sincronizar informações de conta, porque ambos os controladores de domínio podem usar as mesmas informações em tempo real. Entretanto, configurar um servidor LDAP pode ser desnecessariamente complicado para um número pequeno de contas de usuário e computadores. Veja “Samba e LDAP” para mais detalhes.

  1. Primeiro, instale o samba e libpam-smbpass. A partir de um terminal digite:

    sudo apt-get install samba libpam-smbpass

  2. Agora, edite /etc/samba/smb.conf e descomente o seguinte na [global]:

       workgroup = EXEMPLO
   ...
   security = user

  3. Nos Domínios comentados descomente ou adicione:

       domain logons = yes
   domain master = no

  4. Certifique-se de que um usuário tem permissão para ler os arquivos em /var/lib/samba. Por exemplo, para permitir que usuários do grupo admin usem scp nos arquivos, digite:

    sudo chgrp -R admin /var/lib/samba

  5. A seguir, sincronize as contas de usuário, utilizando scp para copiar o diretório /var/lib/samba a partir do PDC.

    sudo scp -r username@pdc:/var/lib/samba /var/lib
    [Nota]

    Substitua username por um nome de usuário válido e pdc pelo nome do servidor ou endereço de IP de seu PDC atual.

  6. Finalmente, reinicie o samba:

    sudo /etc/init.d/samba restart

Você pode testar se seu Controlador de Domínio de Backup está funcionando, parando o daemon (serviço) do Samba no PDC, e então tentando autenticar um cliente Windows pertencente ao domínio.

Outra coisa para ter em mente é que se você configurou a opção pasta pessoal de logon como um diretório no PDC e o PDC ficar indisponível, o acesso ao drive Pasta Pessoal também ficará indisponível. Por essa razão é melhor configurar a pasta pessoal de logon para que ela fique em um servidor de arquivos separado do PDC e do BDC.

Recursos

  • Para configurações mais aprofundadas do Samba veja a Coleção de HOWTO's do Samba

  • O guia também está disponível em formato impresso.

  • O livro de O'Reilly Using Samba é também uma boa referência.

  • O capítulo 4 da Coleção Samba HOWTO explica como configurar um Controlador de Domínios Primário.

  • O capítulo 5 da Coleção Samba HOWTO explica como configurar um Controlador de Domínios de Backup.

Anterior  Acima  Próxima
Tornando um Servidor de Arquivos e Impressoras Samba mais seguro  Principal  Samba Integração do Active Directory