70 | Manual do Hacker Especial
pelo Samba 4. Supondo que, enquanto o
Samba 4 pode atuar como um NT Domain
Member automático ou como um Active
Directory Domain Controller, as duas
configurações são bem diferentes e, até
certo ponto, incompatíveis.
Porém, configurar o Samba como um
domínio de controle Active Directory é
bem simples, porque existe uma
ferramenta que realiza as tarefas de
definição:
samba-tool domain provision
Realm [MYDOMAIN.CO.UK]:
Domain [MYDOMAIN]:
Server Role (dc, member, standalone) [dc]:
DNS backend (SAMBA_INTERNAL,
BIND9_FLATFILE, BIND9_DLZ, NONE)
[SAMBA_INTERNAL]:
DNS forwarder IP address (write ‘none’ to
disable forwarding) [10.0.0.138]:
Administrator password:
Retype password:
Senhas precisam ser complexas: uma
letra em caixa alta, um dígito e, ao menos,
com oito caracteres. Pa$$wOrd é um
exemplo adequado que utilizamos em
nossos testes, embora não seja muito
seguro. Quando a configuração estiver
finalizada, você receberá uma explicação
dando conta de que gerou uma
configuração Kerberos compatível com o
Samba 4. Você precisará copiar este
arquivo para a seguinte pasta:
cp /var/lib/samba/private/krb5.conf /etc
Em seguida, o resolvedor DNS precisa
ser configurado para apontar para o
Samba, porque ele também é o DNS para
o novo domínio Windows. Faça isso
editando /etc/resolv.conf ou, se ele é
editado por um serviço como dhcpcd,
ajuste a configuração do serviço. De
qualquer forma, o /etc/resolv.conf deve
ficar desta assim:
domain mydomain.co.uk
nameserver 127.0.0.1
O Samba encaminha requisições que
não podem ser resolvidas sozinhas pelo
endereço DNS que foi especificado durante
o passo provisório. Ele usa seu próprio
servidor DNS interno, mas pode ser
configurado para utilizar um BIND DNS
externo em vez disso. Entretanto, pelo fato
de você conseguir tanto de graça com o
interno, provavelmente não vale a pena fazer
isso, ao menos que você realmente precise.
Com os passos de configuração
completos, nós podemos começar com o
controle de domínio e realizar alguns
testes. O modo Active Directory usa um
novo samba binário em vez do padrão
smbd. Aqui, nós começamos no primeiro
plano enquanto testamos:
# samba -i -M single mydomain
Copyright Andrew Tridgell and the Samba
Team 1992-2012
samba: using ‘single’ process model
# host -t SRV _ldap._tcp.mydomain.co.uk
_ldap._tcp.mydomain.co.uk has SRV
record 0
100 389 myhost.mydomain.co.uk.
# host -t SRV _kerberos._udp.mydomain.
co.uk
_kerberos._udp.mydomain.co.uk has SRV
record 0 100 88 myhost.mydomain.co.uk.
# host -t A myhost.mydomain.co.uk
host -t A myhost.mydomain.co.uk
Em seguida, teste o Kerberos (entre
com a senha de administrador quando
solicitado):
# kinit [email protected]
Password for administrator@MYDOMAIN.
CO.UK:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@
MYDOMAIN.CO.UK
Valid starting Expires Service principal
08/02/13 16:25:31 09/02/13 02:25:31 krbtgt/
[email protected]
renew until 09/02/13 16:25:21
Neste ponto, você deve ser capaz de
visualizar os compartilhamentos do
Samba e acessá-los:
$ smbclient -L localhost -U%
Domain=[MYDOMAIN] OS=[Unix]
Server=[Samba 4.0.3]
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.3)
$ smbclient //localhost/netlogon
-UAdministrator%’Pa$$w0rd’ -c ‘ls’
Domain=[MYDOMAIN] OS=[Unix]
Server=[Samba 4.0.3]
. D 0 Thu Feb 7 20:06:55 2013
.. D 0 Thu Feb 7 20:08:44 2013
Outro serviço fornecido por um Active
Directory Domain Controller é o tempo de
sincronização. Sendo opcional, fornecer
este tipo de serviço é altamente
recomendado, porque o Kerberos é muito
sensível a variações de tempo entre
clientes e o servidor.
O Windows Time Service (um controle
de domínio fornecido) é um servidor
Network Time Protocol (NTP) com
extensões para autenticação. Existe um
número de implementações em um Linux,
como o ntpd e open-ntpd, mas somente a
versão 4.2.6 do ntpd suporta a
autenticação necessária para extensões e
somente quando o suporte for compilado
(você deve verificar a versão ntpd com
ntpd - version). Uma configuração ntpd
adequada pergunta ao Samba para
realizar qualquer autenticação necessária.
A configuração ntpd está em /etc/ntpd.
conf. Eis um exemplo adequado:
server 127.127.1.0
fudge 127.127.1.0 stratum 12
ntpsigndsocket /var/lib/samba/ntp_signd/
restrict default mssntp
O Samba Web Administration Tool (SWAT) ainda está ativo,
mas não tem sido atualizado
Faça mais | Samba
Grupo Unico PDF Passe@diante