Aprenda Linux, 302 (Ambientes Mistos): Controle de Domínio

Usando o Samba para autenticação da rede

No caso do SMB/CIFS, um domínio é semelhante a um grupo de trabalho: É um conjunto de computadores relacionados, existente geralmente em uma única rede local. Porém, um domínio inclui um computador especial conhecido como controlador de domínio que gerencia logons para todos os servidores no domínio. Ele também fornece alguns serviços adicionais. O Samba pode funcionar como um controlador de domínio, mas são necessárias diversas opções do Samba para que isso seja feito.

Roderick W. Smith, Consultant and author

Roderick Smith author photoRoderick W. Smith é consultor e autor de dezenas de livros sobre UNIX e Linux, incluindo The Definitive Guide to Samba 3, Linux in a Windows World e Linux Professional Institute Certification Study Guide. Ele é autor do software de particionamento GPT fdisk. Atualmente, Roderick reside em Woonsocket, Rhode Island.



31/Ago/2011

Sobre esta série

Esta série de artigos ajuda você a saber mais sobre as tarefas de administração de sistemas Linux. Também é possível usar o material desses artigos para se preparar para os exames de certificação do Linux Professional Institute nível 3 (LPIC-3).

Consulte o developerWorks roadmap for LPIC-3 para ver uma descrição de cada artigo da série e um link para cada um desses artigos. O roteiro está em andamento e reflete os objetivos atuais (novembro de 2010) em relação aos exames LPIC-3. À medida que cada artigo é concluído, eles são adicionados ao roteiro.

Visão geral

Neste artigo, saiba mais sobre estes conceitos:

  • Associação de domínio
  • Configuração de um controlador de domínio primário
  • Configuração de um controlador de domínio de backup
  • Inclusão de computadores em um domínio
  • Gerenciamento de scripts de logon
  • Gerenciamento de perfis móveis
  • Gerenciamento de políticas de sistema

Este artigo ajuda você a se preparar para o Objetivo 312.4 no Tópico 312 do exame de especialidade de Ambiente Misto do Linux Professional Institute (302). O objetivo tem peso 4.


Pré-requisitos

Este artigo pressupõe que você tenha um conhecimento de trabalho das funções de linha de comando do Linux e um entendimento dos conceitos básicos da configuração do Samba. Você deve se familiarizar com a estrutura geral do arquivo de configuração smb.conf e ser capaz de editá-lo no editor de sua preferência. Você deve ser capaz de ativar um servidor Samba para servir arquivos.


Configurando recursos de domínio básicos

Sobre o exame elegível LPI-302

O Linux Professional Institute Certification (LPIC) é como muitas outras certificações, pois também oferece certificações em níveis diferentes, e cada nível requer mais conhecimento e experiência que o anterior. O exame LPI-302 é um exame elegível especial no terceiro nível da hierarquia do LPIC, e requer um nível avançado de conhecimento de administração de sistema Linux.

Para obter a certificação LPIC nível 3 (LPIC-3), é necessário passar nos dois primeiros exames do primeiro nível (101 e 102), nos dois exames do segundo nível (201 e 202) e no exame principal do LPIC-3 (301). Depois de alcançar esse nível, é possível fazer os exames elegíveis especializados, como o LPI-302.

O propósito principal de um controlador de domínio é gerenciar a autenticação para outros computadores. Isso requer que o servidor Samba aceite determinados tipos de dados de autenticação de seus clientes e responda de maneira apropriada. A ativação desses recursos requer a configuração de algumas opções do smb.conf. Na prática, os controladores de domínio também tendem a executar funções adicionais na rede; portanto, pode ser necessário o ajuste de opções adicionais do Samba.

Antes de continuar, você deve estar ciente dos relacionamentos entre os computadores em um domínio no estilo Microsoft® Windows NT®. O controlador de domínio está no núcleo dessa rede. Se os clientes podem ser servidores de arquivos e de impressão que executam o Samba, o sistema operacional Windows® ou algum outro software. Esses computadores são conhecidos como servidores membros de domínio e eles funcionam como servidores (para usar estações de trabalho) e como clientes (para o controlador de domínio). A arquitetura da rede pode afetar esses relacionamentos. Por exemplo, em uma rede ponto a ponto, um único computador pode funcionar como um servidor membro de domínio e como um cliente de compartilhamento de arquivo. O controlador de domínio pode funcionar como um servidor de arquivo e até mesmo como um cliente.

Configurando recursos obrigatórios do controlador de domínio

A configuração mais básica do Samba para um controlador de domínio envolve a configuração das seguintes opções do smb.conf:

workgroup = EXAMPLE
security = User
encrypt passwords = Yes
passdb backend = tdbsam:/etc/samba/private/passdb.tdb
domain logons = Yes
admin users = ntadmin

Desenvolva sua própria alimentação

É possível desenvolver uma alimentação RSS, Atom ou HTML customizado para receber uma notificação sobre a inclusão de novos artigos ou a atualização do conteúdo. Acesse as Alimentações RSS do developerWorks. Selecione Linux como zona e Articles como tipo, e digite Linux Professional Institute como palavra-chave. Em seguida, escolha o tipo preferencial de alimentação.

Algumas dessas opções podem ser alteradas, dependendo das suas necessidades, enquanto outras, não. Especificamente:

  • A opção workgroup configura o nome de domínio do Windows NT. Um domínio é apenas um grupo de trabalho com recursos extras.
  • A opção security deve ser configurada como User.
  • A opção encrypt passwords deve ser configurada como Sim.
  • A opção passdb backend pode ser configurada para qualquer valor legal; entretanto, se você quiser usar os controladores de domínio primário e de backup, poderá ser necessário configurá-la de uma maneira particular, conforme descrito em Configurando um controlador de domínio de backup.
  • A opção domain logons deve ser configurada como Sim.
  • A opção admin users configura um ou mais usuários (ntadmin, neste exemplo) como usuários administrativos. Esses usuários possuem efetivamente privilégios de administrador para qualquer compartilhamento com os quais eles se conectam. Você deve configurar um usuário administrativo dessa maneira ou incluir a raiz para seu banco de dados da conta do Samba para unir novos computadores ao seu domínio.

Essas configurações possuem determinadas implicações. Seu computador servidor do Samba deve ter todas as contas Linux locais para os usuários que ele deve autenticar e essas contas devem ter entradas no banco de dados de senhas do Samba. Depois de ter configurado o Samba desta maneira, ele começará a aceitar os logons de domínio — , mas apenas para computadores com o Microsoft Windows 9x/Me antigos ou servidores configurados com a opção security = Server da coluna. Para os computadores Windows mais recentes ou para computadores Samba que usam a configuração security = Domain mais segura, você deve criar contas confiáveis para máquinas.

Criando contas confiáveis para máquinas

Diferentemente dos grupos de trabalho, aos quais qualquer computador em uma rede podem se associar, os domínios são exclusivos: para obter os benefícios completos de um domínio, um computador deve ser um membro completo do domínio. Do ponto de vista do usuário, o principal benefício da associação do domínio é a conexão única, que significa que um usuário precisa apenas digitar um nome de usuário e senha uma vez para obter acesso a qualquer servidor que seja membro do domínio. Do ponto de vista administrativo do Samba, a associação do domínio permite o uso da opção de configuração security = Domain nos servidores membros do domínio. Essa configuração é mais segura do que a configuração security = Server, mas a associação completa do domínio requer configuração adicional.

Para associar totalmente um domínio, o computador (servidor membro de domínio ou sistema do cliente) requer sua própria conta no controlador de domínio. O próprio controlador de domínio está isento desse requisito. Essa conta é independente da conta de qualquer usuário que possa usar o computador. Essa conta é conhecida como conta confiável para a máquina.

É melhor para todas as contas confiáveis para máquinas usar um único grupo Linux reservado para esse propósito. O comando a seguir cria um grupo chamado trust para esse propósito:

# groupadd -r trust

Com o grupo de confiança da máquina, é possível continuar a criação de contas confiáveis para máquinas — uma para cada membro de domínio (cliente ou servidor) na rede. Você deve usar os nomes de NetBIOS, convertidos para texto em minúscula e com cifrões ($) acrescentados, como nomes de usuário. Por exemplo, se o nome de NetBIOS do computador for WEMBLETH, seu nome de conta confiável para a máquina será wembleth$. É possível usar os comandos useradd e smbpasswd para criar essas contas, como em:

# useradd -d /dev/null -M -g trust -s /bin/false wembleth$
# smbpasswd -a -m wembleth$

Esse exemplo cria uma conta confiável para a máquina chamada wembleth$, configurando o diretório inicial da conta como /dev/null (-d /dev/null), informando ao utilitário para não criar um diretório inicial (-M), incluindo-o como um membro do grupo trust (-g trust) e configurando o shell padrão como /bin/false (-s /bin/false). O segundo comando cria uma entrada no banco de dados de senha do Samba para a conta, especificando que ela deve ser uma conta confiável para a máquina (-m).

Se tiver criado um novo usuário para o parâmetro admin user, você deverá configurar essa senha do usuário do Samba com smbpasswd, como em smbpasswd ntadmin, para configurar a senha do usuário. Essa conta será usada durante a inclusão de máquinas no domínio. Se você não tiver outro uso para esse privilégio elevado da conta no Samba, considere comentar a linha admin users no smb.conf depois de ter associado todos os seus clientes de domínio ao domínio.

Configurando recursos de domínio adicionais

Embora os recursos que foram descritos constituam os recursos críticos do controlador de domínio, os controladores geralmente também usam determinadas funções em uma rede de NetBIOS. Em particular, eles funcionam como navegadores principais do domínio, como sistemas Windows Internet Name Service (também conhecido como NetBIOS Name Server) e com frequência como servidores de tempo. É possível configurar esses recursos definindo as seguintes opções:

domain master = Yes
preferred master = Yes
os level = 65
wins support = Yes
time server = Yes

Depois de ter salvado suas mudanças no arquivo smb.conf, o Samba detectará as mudanças e as configurará novamente. Se você quiser agilizar a questão, poderá transmitir um sinal SIGHUP para o servidor ou usar os scripts SysV init de distribuição para recarregar a configuração.

Inclusão de computadores em um domínio

Neste ponto, seu servidor Samba está satisfatoriamente configurado para funcionar como um controlador de domínio, e você pode começar incluindo computadores ao domínio. Entretanto, o modo como isso é feito depende do sistema operacional instalado no servidor membro do domínio ou no cliente do domínio. No Windows 7, execute estas etapas:

  1. Insira as seguintes entradas de registro.

    HKEY_LOCAL_MACHINE\System\CCS\Services\LanmanWorkstation\Parameters
        DWORD  DomainCompatibilityMode = 1
        DWORD  DNSNameResolutionRequired = 0

    Se desejar, faça download do arquivo Win7_Samba3DomainMember.reg e clique duas vezes nele no sistema Windows. Essa etapa não é necessária para Windows Vista® ou sistemas operacionais Windows anteriores.

  2. Abra o item Control Panel System and Security.
  3. Clique em System.
  4. Clique em Change Settings no diretório Computer Name, Domain e Workgroup Settings .

    O Windows abre uma janela de propriedades de sistema.

  5. Clique em Change.

    O Windows abre a janela Computer Name/Domain Changes , mostrada na Figura 1.

    Figura 1. Você associa um domínio no Windows usando a janela Computer Name/Domain Changes
    Você associa um domínio no Windows usando a janela Computer Name/Domain Changes
  6. Selecione a opção Domain e digite seu nome de domínio na caixa de texto.
  7. Clique em OK.

    O Windows responde abrindo a janela Windows Security , mostrada na Figura 2.

    Figura 2. A janela Windows Security solicita o nome do usuário administrativo e a senha
    A janela Windows Security solicita o nome do usuário administrativo e a senha
  8. Digite o nome da conta administrativa do Samba (conforme configurado via admin users) e a senha na janela e, em seguida, clique em OK.

O Windows solicita que o computador seja reiniciado, e depois disso você deverá estar associado ao domínio.

Observação: Nem todas as versões do Windows podem se associar a um domínio. As versões Home, por exemplo, estão restritas ao uso nos grupos de trabalho.

Depois de ter associado um computador Windows ao seu domínio e tê-lo reiniciado, o computador solicitará que você pressione Ctrl-Alt-Del para efetuar logon. Você deve usar um nome de usuário e senha associados ao seu servidor Samba para efetuar logon. Posteriormente, você conseguirá acessar qualquer computador que faça parte do domínio e que autorize a conta que você usou no seu primeiro logon sem ter que redigitar sua senha. Se você configurar o computador para compartilhar arquivos ou impressoras, o computador dependerá do servidor Samba para autenticação.

Se você quiser que o servidor Samba funcione como um membro de domínio, deverá também associá-lo ao domínio. Para fazer isso, primeiro configure as seguintes opções no arquivo smb.conf do servidor do membro de domínio do Samba:

password server = SERVERNAME
domain logons = No
encrypt passwords = Yes
security = Domain
domain master = No
preferred master = No
os level = 1
wins support = No

Muitas dessas opções são o contrário das opções para o controlador de domínio, você deve configurá-las dessa maneira para garantir que não possui dois computadores competindo para os navegadores principais ou para distribuir nomes do NetBIOS. A opção password server deve apontar para o controlador de domínio que você pretende usar. A opção security pode ser configurada de uma das seguintes maneiras: É possível configurá-la como Domain, como neste exemplo, para associar totalmente o domínio, ou pode configurá-la como Server, e nesse caso o Samba não se associará totalmente ao domínio, mas enviará suas solicitações de senha ao controlador de domínio usando protocolos mais simples, sem domínio. Se você configurar security = Domain, deverá associar totalmente o domínio digitando o seguinte comando:

# net join member -U ntadmin

Altere ntadmin para o nome do usuário que você escolheu para a conta administrativa. O programa solicita uma senha; insira a senha associada com o usuário ntadmin. Se tudo der certo, você verá uma mensagem de que associou o domínio que especificou via opção workgroup no smb.conf.

Depois de ter associado um servidor Samba a um domínio, o computador dependerá do controlador de domínio para autenticação — , mas somente para o Samba. O tópico 313.3, Winbind, aborda a modificação de um computador Linux para usar um controlador de domínio para tarefas de autenticação que não sejam do Samba.


Criando compartilhamentos de domínio e configurações do usuário

Depois de testar a funcionalidade de logon de domínio básico, você pode ir adiante. Uma maneira de fazer isso é criar um compartilhamento de domínio especial denominado NETLOGON e configurar o Samba para armazenar configurações de desktop do Windows do usuário no controlador de domínio.

Criando compartilhamentos NETLOGON

Os scripts de logon de domínio são armazenados no compartilhamento NETLOGON. Esses scripts são executados no cliente de domínio sempre que um usuário efetua logon em um domínio. Portanto, você deve criar esses scripts no Windows e testá-los no Windows: Eles não são scripts do Linux.

Um compartilhamento NETLOGON é um compartilhamento de arquivo ordinário desse nome. (O objetivo 312.2 aborda a criação de compartilhamentos de arquivo). De modo geral, você deseja limitar quem pode gravar no compartilhamento NETLOGON. Uma definição típica pode ser semelhante a essa:

[netlogon]
   comment = Network Logon Service
   path = /var/samba/netlogon
   guest ok = No
   read only = Yes
   write list = abe

Este exemplo cria um compartilhamento somente leitura para ser armazenado em /var/samba/netlogon. O parâmetro write list fornece ao usuário abe acesso de gravação ao compartilhamento. Note que o abe deve ter acesso de gravação no Linux para /var/samba/netlogon; se as permissões do Linux impedirem que o abe grave nesse diretório, a listagem do usuário em write list do compartilhamento não será a ideal.

Os clientes do Windows devem saber quais scripts executar a partir do compartilhamento NETLOGON. Isso é feito por meio do parâmetro global logon script. Um exemplo básico configura um nome de arquivo simples:

logon script = LOGON.BAT

Esse exemplo informa a todos os clientes para executarem o arquivo LOGON.BAT. No entanto, algumas vezes é preciso fornecer scripts de logon diferentes para diferentes clientes. Por exemplo, podem ser necessários diferentes scripts para sistemas operacionais clientes diferentes. Este é um exemplo que faz isso:

logon script = LOGON-%a.BAT

Nesse exemplo, %a é uma variável que usa um valor diferente para sistemas operacionais clientes diferentes, conforme detalhado na A Tabela 1. É possível usar outras variáveis também, conforme descrito no Objetivo 312.1. Se você utilizasse o exemplo anterior, um cliente Windows 7 executaria o script denominado LOGON-Vista.BAT, considerando que um cliente Windows XP executaria o script denominado LOGON-WinXP.BAT. Note que nem todos os sistemas operacionais usam scripts de logon de rede. Por exemplo, o Linux não usa; portanto, não seria necessário criar um script LOGON-CIFSFS.BAT.

Tabela 1. Valores da variável %a
ValorTipo de cliente
SambaSamba
CIFSFSSistema de arquivos do Linux Common Internet File System (CIFS)
OS2IBM® Operating System/2® (OS/2)
WfWgWindows para Workgroups
Win95Windows 95, 98 ou Me
WinNTWindows NT
Win2KMicrosoft Windows 2000
WinXPWindows XP
WinXP64Windows XP 64 bits
Win2K3Windows Server® 2003
VistaWindows Vista ou Windows 7
UNKNOWNQualquer outro cliente

Além dos scripts de logon da rede, o compartilhamento NETLOGON pode reter um arquivo de políticas do sistema. Esse arquivo pode automaticamente fazer mudanças no arquivo de registro do Windows para ajudar o computador a se ajustar no domínio. No Windows 9x/Me, o arquivo de políticas é chamado Config.POL e é gerado em um computador Windows usando uma ferramenta chamada Editor de Políticas (Poledit.exe). No Windows NT, Windows 2000, Windows Server 2003, Windows XP, Windows Vista e Windows 7, o arquivo de políticas é chamado NTConfig.POL e é gerado clicando-se em Start > Programs > Administrative Tools. A geração desses arquivos está além do escopo deste artigo, mas você deve estar ciente da possível necessidade de colocar o arquivo no compartilhamento NETLOGON.

Criando perfis móveis

De modo geral, os computadores Windows armazenam informações sobre seus ambientes de desktop de usuários localmente. Isso é bom se cada indivíduo usar apenas um computador na maior parte do tempo; entretanto, esse nem sempre é o que acontece. Em um laboratório de computadores da universidade, por exemplo, os indivíduos podem efetuar logon usando um dos diversos computadores. Nessa situação, é desejável armazenar as configurações do desktop do usuário em um servidor remoto. Essa é a tarefa de um perfil móvel.

Para permitir perfis móveis para Windows NT, Windows 2000, Windows XP, Windows Vista e Windows 7, você deve criar um compartilhamento PROFILES. Esse compartilhamento geralmente não é navegável, de modo que ele não aparece nas listas de navegação e confunde os usuários. Ele também é configurado com permissões limitadas de arquivo e de diretório no Samba para impedir que os usuários leiam ou gravem os perfis uns dos outros. Porém, o diretório Linux usado para o compartilhamento deve permitir que todos os usuários leiam e gravem (as permissões 0777 podem ser necessárias, dependendo de suas políticas de grupo). O compartilhamento do Samba usado para armazenar os perfis móveis pode ser semelhante a este:

[profiles]
   comment = NT Profiles Share
   directory = /var/samba/profiles
   read only = No
   create mode = 0600
   directory mode = 0700
   browseable = No

Esse compartilhamento é convencionalmente criado no controlador de domínio do Samba; porém, ele pode, a princípio, aparecer em algum outro servidor de arquivos. Além da criação do compartilhamento PROFILE, você deve informar ao Windows onde localizá-lo. Isso é feito com a opção logon path global:

logon path = \\%L\PROFILES\%U

Este exemplo usa a variável %L (o nome do NetBIOS do servidor atual) e a variável %U (o nome do usuário associado à sessão) como parte do caminho para o diretório do perfil móvel. Verifique se os perfis móveis estão armazenados no compartilhamento PROFILES que você criou.


Configurando um controlador de domínio de backup

Os domínios do Windows NT podem ter diversos controladores de domínio para fornecer redundância no caso de um falhar. No caso do domínio do Windows NT, um controlador de domínio é designado como controlador de domínio primário (PDC), e o outro é o controlador de domínio de backup (BDC). Essa configuração implica a complexidade da configuração adicional, mas valerá a pena se a sua rede for altamente dependente do controlador de domínio.

No Samba, a ativação de um BDC é mais bem realizada com o uso do Protocolo LDAP para armazenar informações da conta. O LDAP foi projetado para suportar trocas de dados exigidas para esse tipo de configuração; portanto, faz sentido emparelhamento de um PDC com um servidor do LDAP principal, e de um BDC com um servidor do LDAP escravo. Os servidores do LDAP podem ser executados nos mesmos computadores dos servidores Samba ou em computadores diferentes. Outras configurações como o uso de um único servidor do LDAP com o PDC e o BDC, são possíveis, mas não são ideais, porque você perde no mínimo o recurso de failover — particularmente se o servidor do LDAP for executado no mesmo computador de um dos controladores de domínio.

Uma configuração de PDC mínima que usa um servidor do LDAP inclui diversas opções de configuração do Samba para identificar o servidor do LDAP. As opções globais novas ou alteradas para o PDC são, no mínimo:

passdb backend = ldapsam://localhost:389
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org

Esse exemplo diz ao Samba para usar um servidor do LDAP em execução no mesmo computador (passdb backend = ldapsam://localhost:389) e identifica diversos recursos críticos do LDAP usados para identificar e administrar as informações de conta.

Observação: A configuração do LDAP é um tópico complexo por si só. Neste artigo, suponho que seus servidores do LDAP principais e escravos já estão configurados corretamente. Consulte o catálogo Recursos para obter links das informações adicionais do LDAP.

Eu recomendo configurar seu PDC para usar o servidor do LDAP principal e testar completamente essa configuração antes de continuar. Com essa tarefa executada, é possível configurar o BDC, começando com algumas etapas preliminares:

  1. Digite net rpc getsid no computador do BDC.

    Esse comando recupera um identificador crítico que deve se corresponder em computadores de PDC e BDC.

  2. Digite smbpasswd -w mypass no BDC, onde mypass é a senha administrativa do LDAP.
  3. Sincronize o banco de dados de conta local no PDC e BDC.

    É possível fazer isso de diversas maneiras, entre as quais a mais simples é copiar /etc/passwd, /etc/group e /etc/shadow de um computador para outro. Se você usar o LDAP para manutenção da conta do Linux, essa etapa poderá não ser necessária.

  4. Duplique o compartilhamento NETLOGON do PDC no BDC.

    Lembre-se de copiar a definição de compartilhamento no smb.conf e no diretório de compartilhamento. Você deve sincronizar o diretório de compartilhamento em uma base regular para replicar mudanças que possam ser feitas no decorrer do tempo.

Com essas etapas executadas, é possível criar a configuração de BDC no smb.conf:

passdb backend= ldapsam:ldap://slave-ldap.example.org
domain master = No
domain logons = Yes
os level = 64
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org
idmap backend = ldap:ldap://master-ldap.example.org
idmap uid = 10000-20000
idmap gid = 10000-20000

Essas opções podem fazer com que o BDC atenda ao PDC nas eleições do navegador principal, para usar o servidor do LDAP escravo (slave-ldap.example.org) para seu banco de dados e para usar o servidor do LDAP principal (master-ldap.example.org) no armazenamento de informações de mapeamento entre as informações de conta do Linux e do Windows.


Configurando confianças interdomínios

Os domínios descritos aqui são do estilo Windows NT, que são os tipos de domínios que o Samba 3.x suporta. Porém, a partir do Windows 2000, a Microsoft começou a mudar para um novo estilo de domínio, conhecido como domínios do Diretório ativo®. O Samba 3.x suporta a associação de um domínio do Active Directory como um membro, mas o suporte do Samba 3.x para funcionamento como um controlador de domínio do Active Directory, na melhor das hipóteses, é limitado. O Samba 4.x fornece um suporte muito melhor para o Active Directory, mas atualmente (março de 2011) está com o status de teste alfa.

O Active Directory é basicamente uma mesclagem de três diferentes conjuntos de protocolos de rede: Server Message Block (SMB)/CIFS, LDAP e Kerberos. O SMB/CIFS fornece os protocolos de compartilhamento com arquivo e com impressora; o LDAP oferece uma maneira de armazenar informações da conta; e o Kerberos fornece a criptografia. Todas essas tecnologias estão disponíveis no Linux, mas sua integração pode ser um desafio. Conforme descrito anteriormente, é possível combinar o Samba e o LDAP para o gerenciamento de conta, e isso é altamente recomendável se você quiser manter um BDC. O Samba 3.x também oferece ganchos para Kerberos, embora eles não sejam descritos aqui. O Samba 4 funciona, em parte, com a integração de seus próprios recursos do LDAP e Kerberos no pacote principal do Samba.

O Objetivo 314.3 aborda a integração do Samba com os domínios do Active Directory com mais detalhes.

Em uma grande organização, diferentes departamentos podem ter seus próprios domínios do Windows NT. Essa configuração permite que cada departamento mantenha suas contas, mas ela pode limitar a capacidade de os departamentos usarem os recursos entre si. Por exemplo, dois departamentos fisicamente próximos entre si podem permitir que seus usuários utilizem as impressoras como um recurso compartilhado. Resumindo, esse tipo de compartilhamento de recurso de cross-domain pode ser implementado com a configuração de confianças interdomínios ou confianças .

Os relacionamentos confiáveis possuem duas propriedades importantes que você deve ter em mente. Primeiro, elas não são transitivas, ou seja, elas afetam somente os domínios para os quais foram explicitamente configuradas. Por exemplo, se o domínio PHYSICS confia em GEOLOGY, e GEOLOGY confia em BIOLOGY, PHYSICS não confia automaticamente em BIOLOGY. Segundo, os relacionamentos confiáveis são unidirecionais. Por exemplo, PHYSICS pode confiar em GEOLOGY sem que GEOLOGY confie em PHYSICS. Para permitir relacionamentos confiáveis bidirecionais, você deve configurar cada domínio para que estabeleçam confiança entre si.

Para configurar confianças interdomínios, cada domínio deve primeiro ser configurado de forma correta separadamente. O primeiro é o domínio de confiança, que hospeda recursos que devem ser acessíveis ao outro domínio, que é o domínio confiável. Por exemplo, suponha que PHYSICS tenha uma impressora matricial à qual os usuários de GEOLOGY devem ter acesso. PHYSICS é o domínio de confiança e GEOLOGY é o domínio confiável. Para começar a configurar um relacionamento confiável, você deve primeiro criar contas do Linux e do Samba no domínio de confiança (PHYSICS) para o domínio confiável (GEOLOGY):

# useradd -d /dev/null -M -g trust -s /bin/false geology$
# smbpasswd -a -i geology

Note que você deve incluir um cifrão inicial ($) ao criar a conta do Linux com useradd mas não ao criar a conta do Samba com smbpasswd. O comando smbpasswd solicita que você insira uma senha para a conta de confiança interdomínios. Lembre-se dessa senha, pois você precisará inseri-la novamente em breve. O controlador de domínio GEOLOGY usará essa conta tanto quanto se o controlador de domínio confiável for um membro ordinário do domínio de confiança para permitir que seus próprios membros acessem os recursos do PHYSICS.

Com a conta confiável interdomínios criada no controlador de domínio de confiança, agora é possível configurar o controlador de domínio confiável para usar essa conta:

# net rpc trustdom establish physics

Digite esse comando em um membro do Linux do domínio confiável (GEOLOGY, neste exemplo). Será solicitada uma senha; insira a mesma que você digitou para o comando smbpasswd no domínio de confiança. Se estiver correto, os membros do GEOLOGY serão capazes de acessar os servidores no PHYSICS. Se você quiser estabelecer uma confiança bilateral, deverá repetir essas etapas, invertendo as funções dos dois domínios.

Se você quiser finalizar uma confiança interdomínios, poderá fazer isso no domínio confiável:

# net rpc trustdom revoke physics

Se desejar, você pode digitar o seguinte comando no domínio de confiança:

# net rpc trustdom del geology

Progredindo

O próximo tópico nesta série, o objetivo 312.5 do LPIC-3, aborda a Ferramenta de Administração da Web do Samba, que permite a configuração do Samba baseada na Web.

Recursos

Aprender

Obter produtos e tecnologias

  • Faça download do Arquivo Win7_Samba3DomainMember.reg que é necessário para associar um computador com Windows 7 a um domínio do Samba.
  • Avalie produtos IBM da maneira que for melhor para você: faça download da versão de teste de um produto, avalie um produto on-line, use-o em um ambiente de nuvem ou passe algumas horas na SOA Sandbox aprendendo a implementar Arquitetura Orientada a Serviços de modo eficiente.

Discutir

  • Participe da comunidade do My developerWorks. Entre em contato com outros usuários do developerWorks, enquanto explora os blogs, fóruns, grupos e wikis orientados ao desenvolvedor.

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Linux
ArticleID=754923
ArticleTitle=Aprenda Linux, 302 (Ambientes Mistos): Controle de Domínio
publish-date=08312011