Samba + Kerberos + LDAP + Windows AD
Partindo do ponto que samba, Kerberos e LDAP estão instalados. Vamos adicionar uma estação linux ao Active Directory da MS.
Arquivo de configuração do samba. /etc/smb.conf
[global]
;Nome do nosso client
netbios name = SRVTESTE
server string = Servidor de Testes
;Grupo de trabalho, deve ser o nome do dominio
workgroup = mw
security = ads
domain master = no
encrypt passwords = yes
;IP do servidor AD
password server = 192.168.0.250
wins server = 192.168.0.250
;Nome completo do Dominio
realm = SSA.MEDICWARE.COM.BR
passdb expand explicit = no
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
log file = /var/log/samba/log.%m
max log size = 50
debug level = 1
[geral]
comment = Arquivos
path = /srv/samba/geral
read only = no
Arquivo /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: files
hosts: files dns winbind
Arquivo de configuração do Kerberos
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = SSA.MEDICWARE.COM.BR
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24000
clockskew = 300
kdc_timesync = 1
[realms]
SSA.MEDICWARE.COM.BR = {
kdc = 192.168.0.250:88
}
MW = {
kdc = 192.168.0.250:88
}
Apos editar esses arquivos adicione no /etc/hosts o nome da maquina com o dominio completo.
Exemplo:
192.168.0.26 srvteste.ssa.medicware.com.br srvteste
Agora confirme o funcionamento correto do kerberos:
$ kinit administrador
Após digitar a senha correta ele não retorna mensagem nenhuma.
Adicionar maquina ao dominio:
$ net ads join -U Administrador
No arquivo de configuração do samba para ter seu compartilhamento acessado somente por determinados usuários adicione o parametro valid user.
Exemplo:
[HP1020]
comment = Impressora CIC
path = /var/spool/samba
print ok = yes
guest ok = no
valid users = @mw\suporte mw\administrador mw\marcel mw\elisson
Esse compartilhamento é acessado pelo grupo suporte do sominio mw, e pelos usuarios administrador, elisson e marcel.
Desktop, Servidor, linux Active Diretory, samba