Manual do Hacker Especial | 71
As linhas importantes, que podem não
estar em um existente ntpd.conf, são as
duas últimas. A entrada ntpsigndsocket
define o caminho do diretório onde o Samba
estabelece o arquivo de soquete, através do
qual receberá o requerimento de autentica-
ção. A entrada restrict diz ao ntpd que soli-
citações de entrada precisam ser autentica-
das. O caminho de soquete é determinado
pela configuração do Samba e você pode
confirmar o caminho correto com:
samba-tool testparm --verbose
--suppress-prompt | grep “ntp signd socket
directory”
ntp signd socket directory = /
var/lib/samba/ntp_signd
O Samba cria o diretório soquete, mas
é muito importante garantir que ele seja
editável pelo ntpd. Se o ntpd roda com um
uid:gid do ntp:ntp então você também
deve mudar o grupo ntp.
Reinicie o ntpd para garantir que
alguma mudança de configuração foi
inserida e verifique o arquivo de registro
para que um aviso de que o ntpd foi
configurado sem a opção de tempo
--enable-ntp-sign. Se você ver este aviso
significa que seu ntpd não suporta o
mecanismo de autenticação necessário.
Você precisará obter as fontes para o ntpd
e reconstruí-lo para incluir a configuração
de tempo supracitada. Infelizmente, não
há uma ferramenta para testar a
autenticação NTP para Linux.
Para testá-la em um computador
Windows que está em um domínio
membro, abra a janela do prompt de
comando como Administrador (para fazer
isso, clique em Iniciar, digite cmd e clique
com o botão direito do mouse para o
prompt de comando nos resultados das
buscas para selecionar “Executar como
administrador” e digite:
C:> w32tm /resync
Sending resync command to local computer
The command completed successfully.
Antes de conectar o cliente Windows
ao novo domínio, mude a configuração
de sua rede para que ela use o DNS do
Samba. Também é uma boa ideia ajustar
manualmente o relógio do cliente, de
modo que ele esteja dentro de poucos
segundos no domínio de controle. Se os
relógios não estiverem sincronizados,
erros podem ser reportados que não tem
nenhuma relação com o problema real. O
serviço de tempo do Windows manterá
os relógios sincronizados uma vez que o
cliente tornar-se membro do domínio.
Para adicionar um cliente ao domínio,
acesse Iniciar, clique com botão direito do
mouse em Computador e acione
Propriedade > Configurações. Isto fará
abrir a caixa de diálogo Computador >
Mudanças Nome/Domínio, em que você
pode selecionar Domínio na seção Membro
de e inserir o nome do domínio Samba (por
exemplo, mydomain) antes de clicar em
OK. Isto deve solicitar as credenciais da
conta de administrador (o nome de usuário
é Administrador e a senha é Pa$$wOrd
caso você tenha seguido nossos exemplos
de configuração).
A administração de domínio pode ser
realizada localmente no servidor utilizando o
a linha de comando samba-tool ou
remotamente a partir de um computador
Windows conectado ao domínio. Um
administrador, utilizando um computador
adequadamente configurado pode rodar
ferramentas e o Active Directory Users and
Computers. Isto oferece total controle sobre
todos os usuários, computadores e funções
exatamente da mesma forma como se
estivesse utilizando o administrador de
Active Directory da Microsoft.
Adicionar usuários ao AD é feito de
forma diferente do clássico Samba (que uti-
liza smbpasswd), mas é mais flexível por-
que pode ser feito a partir de um servidor
de prompt de comando utilizando samba-
-tool ou remotamente pelo Windows com o
Active Directory Users and Computers.
Quando os usuários do Active
Directory são criados, eles não são
relacionado a usuários existentes em /
etc/passwd, porque eles recebem
diferentes números de identificação. A
identificação pode ser alterada, e é bem
simples de fazê-lo:
# wbinfo --name-to-sid myuser
S-1-5-21-4099219672-1275272411-
291422405-
1104 SID_USER (1)
# ldbedit -H idmap.ldb cn=S-1-5-21-
4099219672-1275272411-291422405-1104
Isto permite que você edite uma
entrada do banco de dados de
mapeamento do Samba usando seu editor
padrão, assim você pode mudar a
identificação do usuário (a localização do
idmap.ldb depende da sua instalação, mas
será algo como /var/lib/samba/private
ou /usr/local/samba/private):
0 # editing 1 records
1 # record 1
2 dn: CN=S-1-5-21-4099219672-
1275272411-291422405-1105
3 cn: S-1-5-21-4099219672-1275272411-
291422405-1105
4 objectClass: sidMap
5 objectSid::
AQUAAAAAAAUVAAAA2CB
V9NscA0zFwF4RUQQAAA==
6 type: ID_TYPE_BOTH
7 xidNumber: 3000020
8 distinguishedName: CN=S-1-5-21-
4099219672-1275272411-291422405-1105
O valor para alterar é xidNumber, que
pode ser mudado para a identificação
correta do usuário. As mudanças serão
salvas no banco de dados quando a seção
de edição for encerrada.
Configurar arquivos compartilhados
pode ser feito de maneira similar ao
clássico Samba adicionando blocos
relevantes ao smb.conf. Você pode
adicionar [homes], como no clássico
Samba, mas você pode ir um passo
adiante e oferecer perfis roaming com um
compartilhamento [profiles]:
[profiles]
comment = Roaming Profiles
path = /var/lib/samba/profiles
writable = yes
browsable = no
A fim de configurar um perfil
roaming, utilize a ferramenta Active
Directory Users and Computers para
editar as configurações de usuário e
definir o caminho para os perfis para \\
mydomain\ profiles\%USERNAME%.
Seguindo dessa forma, o perfil de
usuário será copiado entre o disco local e
área de perfis no servidor quando eles
acessarem ou saírem de qualquer
domínio do cliente.
Independentemente das suas
necessidades, desde o
compartilhamento básico até um
ambiente completo com Active Directory,
o Samba 4 oferece uma alternativa viável
A adição de usuários pode ser feito por meio do Windows em código aberto frente a opções caras.
Grupo Unico PDF Passe@diante