issuhub.com

Manual do Hacker Especial - Volume 2 (2019-07)

(Antfer) #1

70 | Manual do Hacker Especial


pelo Samba 4. Supondo que, enquanto o
Samba 4 pode atuar como um NT Domain
Member automático ou como um Active
Directory Domain Controller, as duas
configurações são bem diferentes e, até
certo ponto, incompatíveis.
Porém, configurar o Samba como um
domínio de controle Active Directory é
bem simples, porque existe uma
ferramenta que realiza as tarefas de
definição:


samba-tool domain provision


Realm [MYDOMAIN.CO.UK]:
Domain [MYDOMAIN]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL,
BIND9_FLATFILE, BIND9_DLZ, NONE)
[SAMBA_INTERNAL]:
DNS forwarder IP address (write ‘none’ to
disable forwarding) [10.0.0.138]:
Administrator password:
Retype password:
Senhas precisam ser complexas: uma
letra em caixa alta, um dígito e, ao menos,
com oito caracteres. Pa$$wOrd é um
exemplo adequado que utilizamos em
nossos testes, embora não seja muito
seguro. Quando a configuração estiver
finalizada, você receberá uma explicação
dando conta de que gerou uma
configuração Kerberos compatível com o
Samba 4. Você precisará copiar este
arquivo para a seguinte pasta:


cp /var/lib/samba/private/krb5.conf /etc


Em seguida, o resolvedor DNS precisa
ser configurado para apontar para o
Samba, porque ele também é o DNS para
o novo domínio Windows. Faça isso
editando /etc/resolv.conf ou, se ele é
editado por um serviço como dhcpcd,
ajuste a configuração do serviço. De
qualquer forma, o /etc/resolv.conf deve
ficar desta assim:


domain mydomain.co.uk

nameserver 127.0.0.1

O Samba encaminha requisições que

não podem ser resolvidas sozinhas pelo

endereço DNS que foi especificado durante

o passo provisório. Ele usa seu próprio

servidor DNS interno, mas pode ser

configurado para utilizar um BIND DNS

externo em vez disso. Entretanto, pelo fato

de você conseguir tanto de graça com o

interno, provavelmente não vale a pena fazer

isso, ao menos que você realmente precise.

Com os passos de configuração

completos, nós podemos começar com o

controle de domínio e realizar alguns

testes. O modo Active Directory usa um

novo samba binário em vez do padrão

smbd. Aqui, nós começamos no primeiro

plano enquanto testamos:

# samba -i -M single mydomain

Copyright Andrew Tridgell and the Samba

Team 1992-2012

samba: using ‘single’ process model

# host -t SRV _ldap._tcp.mydomain.co.uk

_ldap._tcp.mydomain.co.uk has SRV

record 0

100 389 myhost.mydomain.co.uk.

# host -t SRV _kerberos._udp.mydomain.

co.uk

_kerberos._udp.mydomain.co.uk has SRV

record 0 100 88 myhost.mydomain.co.uk.

# host -t A myhost.mydomain.co.uk

host -t A myhost.mydomain.co.uk

Em seguida, teste o Kerberos (entre

com a senha de administrador quando

solicitado):

# kinit [email protected]

Password for administrator@MYDOMAIN.

CO.UK:

# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: administrator@

MYDOMAIN.CO.UK

Valid starting Expires Service principal

08/02/13 16:25:31 09/02/13 02:25:31 krbtgt/

[email protected]

renew until 09/02/13 16:25:21

Neste ponto, você deve ser capaz de

visualizar os compartilhamentos do

Samba e acessá-los:

$ smbclient -L localhost -U%

Domain=[MYDOMAIN] OS=[Unix]

Server=[Samba 4.0.3]

Sharename Type Comment

--------- ---- -------

netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.0.3)

$ smbclient //localhost/netlogon

-UAdministrator%’Pa$$w0rd’ -c ‘ls’

Domain=[MYDOMAIN] OS=[Unix]

Server=[Samba 4.0.3]

. D 0 Thu Feb 7 20:06:55 2013
.. D 0 Thu Feb 7 20:08:44 2013


Outro serviço fornecido por um Active

Directory Domain Controller é o tempo de

sincronização. Sendo opcional, fornecer

este tipo de serviço é altamente

recomendado, porque o Kerberos é muito

sensível a variações de tempo entre

clientes e o servidor.

O Windows Time Service (um controle

de domínio fornecido) é um servidor

Network Time Protocol (NTP) com

extensões para autenticação. Existe um

número de implementações em um Linux,

como o ntpd e open-ntpd, mas somente a

versão 4.2.6 do ntpd suporta a

autenticação necessária para extensões e

somente quando o suporte for compilado

(você deve verificar a versão ntpd com

ntpd - version). Uma configuração ntpd

adequada pergunta ao Samba para

realizar qualquer autenticação necessária.

A configuração ntpd está em /etc/ntpd.

conf. Eis um exemplo adequado:

server 127.127.1.0

fudge 127.127.1.0 stratum 12

ntpsigndsocket /var/lib/samba/ntp_signd/

restrict default mssntp

O Samba Web Administration Tool (SWAT) ainda está ativo,
mas não tem sido atualizado


Faça mais | Samba


Grupo Unico PDF Passe@diante

Free download pdf
Get our desktop app
Company
Features
Documentation
Resources
© ISSUHUB. 2024. All rights reserved.