Samba Ldap Squid

Projeto Servidor de ArquivosIntegração do Samba + Squid + LDAP

DOCUMENTAÇÃO DA INSTALAÇÃODO SISTEMA DE

COMPARTILHAMENTO DE ARQUIVOSE

CONTROLADOR DE DOMÍNIO

Por: Fábio Prando Bortolotto Analista de Segurança de Redes E- mail: [email protected]

Lidersul Comércio de Veículos LtdaResponsável Técnico: Fábio Prando Bortolotto

Data: 10 de Março de 2005


- Motivo dessa documentação.Após a leitura de inúmeros FAQ's, HOWTO's e documentações postadas na

INTERNET, resolvi eu mesmo montar uma documentação para essa soluçãointegrada onde tive que me preocupar também com a didatica, pois gostaria de vervárias pessoas utilizando essa solução boa e eficaz.

Aprendi muito com as documentações postadas por analistas e tambémadministradores de rede, onde disponibilizaram suas Documentações no sitehttp: / /www.ldap.org.br na seção Artigos.

As documentações que me auxiliaram a criar essa foram:– LDAP + SAMBA (PDC) de Camila Coelho– Samba+OpenLDAP de Fernando Ribeiro– Integração de redes Linux e Windows Com Samba e Openldap de Pedro

Santos Neto.

Acho MUITO IMPORTANTE!!

Agora peguei como base de minha documentação o seguinte endereço naINTERNET:

http://us2.samba.org/samba/docs/man/Samba-Guide/happy.htmlhttp://us2.samba.org/samba/docs/man/Samba-Guide/appendix.html

- Objetivo PropostoIntegrar a estrutura de servidores bem como compartilhar toda a hierarquia

de diretórios, permissões de acesso a INTERNET.Montar também diante da estrutura da INTRANET entre minha matriz e as

demais filiais um sistema único de logon de domínio de rede.Fazer com que o sistema Linux assuma definitivamente o papel do Windows

2003 Professional Server, na questão de Controlador de Domínio + Controlador derequisições de acessos a INTERNET.

- Estrutura da ImplementaçãoEssa implementação esta diretamente ligada as necessidades da empresa

bem como os softwares que existem na INTERNET para a homologação dessasolução.

– Conectiva Linux 10.– kernel26-2.6.5-63255U10_3cl– kernel26-smp-2.6.5-63077cl– openldap-server-2.1.30-63291cl– nss_ldap-216-53588cl– php4-ldap-4.3.10-72720U10_5cl– openldap-2.1.30-63291cl– openldap-client-2.1.30-63291cl– pam_ldap-167-47666cl– perl-ldap-0.31-54135cl– samba-clients-3.0.10-72731U10_7cl– samba-winbind-3.0.10-72731U10_7cl– samba-server-3.0.10-72731U10_7cl– samba-common-3.0.10-72731U10_7cl– smbldap-tools-0.8.7.tgz– squid-2.5.STABLE1-2




- Estrutura de Rede.Para a surpresa de muitos, hoje nossa estrutura de rede esta bem ampla,

onde possuimos uma série de soluções em Linux integradas na Rede, como porexemplo: VPN (Virtual Private Network) entre a filial de Paranaguá, e com a filial deSão José dos Pinhais possuímos um Link com a Brasil Telecom.

A disponibilidade dos serviços de nossa INTRANET, esta sendo controladainteiramente pela DMZ da Matriz, onde possuímos praticamente 4 servidores Linuxe 1 servidor Windows 2003 rodando o cliente de Terminal Server.

Nosso objetivo proposto é de apenas documentar por equanto essa soluçãode integração da base de usuários juntamente aos serviços prestados na rede bemcomo auxiliar na exportação da base de usuários para as demais filiais.

- Informando o Hardware utilizadoInformaremos aqui o nosso padrão de hardware utilizado para essa solução

onde apresetamos um esboço geral de toda a estrutura do servidor necessária paraa compreensão desse projeto proposto.




• Processador

[root@srv05-cwb root]# cat /proc/cpuinfo processor : 0vendor_id : GenuineIntelcpu family : 15model : 2model name : Intel(R) Xeon(TM) CPU 3.06GHzstepping : 5cpu MHz : 3057.608cache size : 512 KBphysical id : 0siblings : 2fdiv_bug : nohlt_bug : nof00f_bug : nocoma_bug : nofpu : yesfpu_exception : yescpuid level : 2wp : yesflags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pgemca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cidbogomips : 6029.31

processor : 1vendor_id : GenuineIntelcpu family : 15model : 2model name : Intel(R) Xeon(TM) CPU 3.06GHzstepping : 5cpu MHz : 3057.608cache size : 512 KBphysical id : 0siblings : 2fdiv_bug : nohlt_bug : nof00f_bug : nocoma_bug : nofpu : yesfpu_exception : yescpuid level : 2wp : yesflags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pgemca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cidbogomips : 6094.84




• Memória[root@srv05-cwb root]# cat /proc/meminfo MemTotal: 4018228 kBMemFree: 323912 kBBuffers: 119452 kBCached: 3092260 kBSwapCached: 0 kBActive: 1062896 kBInactive: 2278740 kBHighTotal: 3145536 kBHighFree: 262016 kBLowTotal: 872692 kBLowFree: 61896 kBSwapTotal: 819272 kBSwapFree: 707116 kBDirty: 148 kBWriteback: 0 kBMapped: 244204 kBSlab: 335148 kBCommitted_AS: 1164316 kBPageTables: 5120 kBVmallocTotal: 114680 kBVmallocUsed: 9844 kBVmallocChunk: 104736 kBHugePages_Total: 0HugePages_Free: 0Hugepagesize: 4096 kB

• Disco[root@srv05-cwb root]# fdisk -l

Disk /dev/sda: 146.8 GB, 146815733760 bytes255 heads, 63 sectors/track, 17849 cylindersUnits = cilindros of 16065 * 512 = 8225280 bytes

Dispositivo Boot Start End Blocks Id System/dev/sda1 * 1 10 80293+ 83 Linux/dev/sda2 11 1285 10241437+ 83 Linux/dev/sda3 1286 2560 10241437+ 83 Linux/dev/sda4 2561 17849 122808892+ f W95 Ext'd (LBA)/dev/sda5 2561 6384 30716248+ 83 Linux/dev/sda6 6385 6486 819283+ 82 Linux swap/dev/sda7 6487 17849 91273266 83 Linux

Disk /dev/sdb: 146.8 GB, 146815733760 bytes255 heads, 63 sectors/track, 17849 cylindersUnits = cilindros of 16065 * 512 = 8225280 bytes

Dispositivo Boot Start End Blocks Id System/dev/sdb1 1 4864 39070048+ 83 Linux/dev/sdb2 10000 17849 63055125 83 Linux




[root@srv05-cwb root]# df Sist. Arq. 1K-blocos Usad Dispon. Uso% Montado em/dev/sda2 10080520 2274004 7294448 24% //dev/sda1 77749 18113 55622 25% /boot/dev/sda5 30233896 21266188 7431896 75% /opt/dev/sda3 10080520 2129108 7439344 23% /usr/dev/sda7 89839840 45322176 39954004 54% /home/dev/sdb1 38456308 29986768 6516040 83% /cnp

- Por que Conectiva Linux 10?Os motivos de utilizar essa distribuição é porque os administradores da rede

da Metrosul Sr. André Nogueira e o Sr. Marcos Szezech, possuim um sistema deconcessionária cuja a empresa fez uma versão cliente do sistema para ambientesGNU/Linux, porém a mesma só funciona em versões Red Hat, Conectiva eSlackware, pois a ferramenta é compilada em Kylx.

E junto a esse servidor nós também possuiamos já a solução de BOOTRemoto, onde já existem cerca de 20 máquinas operando com essa soluçãorodando XDMCP para montar uma estrutura Terminal Server Linux.

Também temos nessa solução o Oracle 9.2.0.4 instalado para fazer tunningda solução do nosso banco de dados do Oracle onde roda no nosso servidor deprodução.

Agora os motivos também se estendem pela fácil e rápida atualização com aferramenta apt- get diante do sistema Conectiva Linux 10.

- A respeito da lógica da Rede a ser utilizada.IP do servidor: 172.21.0.5Máscara do Servidor: 255.255.0.0Gateway do Servidor: 172.21.0.254Nome da máquina: srv05-cwbDomínio: metrosul.intranetDomínio PDC: METROSUL.intranetGerenciador do LDAP: cn=informatica,dc=metrosul,dc=intranetDomínoi LDAP: dc=metrosul,dc=intranet

- Configurando o apt- getBem, toda a vez que instalamos o Conectiva Linux 10, o mesmo já bem

instalado o aplicativo apt- get, porém eu utilizei algumas configuraçõespersonalizadas nas seguintes circunstâncias:[root@srv05-cwb root]# vi /etc/apt/sources.list #<Arquivo /etc/apt-get/sources.list>rpm [cncbr] ftp://ftp.unicamp.br/pub/conectiva/ 10/i386 allrpm-src [cncbr] ftp://ftp.unicamp.br/pub/conectiva/ 10/i386 allrpm [cncbr] ftp://ftp.conectiva.com/pub/conectiva 10/i386 all rpm-src [cncbr] ftp://ftp.conectiva.com/pub/conectiva 10/i386 allrpm ftp://ftp.polinux.upv.es/Mirrors/conectiva/snapshot/ i386 allrpm [cncbr] ftp://ftp.unicamp.br/pub/conectiva/atualizacoes 10/i386 updatesrpm-src[cncbr] ftp://ftp.unicamp.br/pub/conectiva/atualizacoes 10/i386 updates

Após a configuração desse arquivo do apt- get, você precisará fazer o updatee também ajustar todas as tabelas do apt- get de forma que ele atualize toda a suaestrutura mediante a nossa necessidade na aplicação.




Comandos:[root@srv05-cwb root]# apt-get updatesGet:1 ftp://ftp.unicamp.br 10/i386 release [1881B]Get:2 ftp://ftp.unicamp.br 10/i386 release [685B] Get:3 ftp://ftp.polinux.upv.es i386 release [10,1kB] Get:4 ftp://ftp.conectiva.com 10/i386 release [1881B]Obtidos 14,6kB em 12s (1126B/s)Hit ftp://ftp.unicamp.br 10/i386/all pkglist Hit ftp://ftp.unicamp.br 10/i386/all release Hit ftp://ftp.polinux.upv.es i386/all pkglist Hit ftp://ftp.unicamp.br 10/i386/all srclist Hit ftp://ftp.unicamp.br 10/i386/updates pkglist Hit ftp://ftp.polinux.upv.es i386/all release Hit ftp://ftp.unicamp.br 10/i386/updates release Hit ftp://ftp.unicamp.br 10/i386/updates srclist Hit ftp://ftp.conectiva.com 10/i386/all pkglistHit ftp://ftp.conectiva.com 10/i386/all releaseHit ftp://ftp.conectiva.com 10/i386/all srclistLendo Listas de Pacotes... FeitoConstruindo Árvore de Dependências... Feito

Uma OBSERVAÇÃO muito importante, caso o seu servidor não tenha umacomnunicação direta com a INTERNET, “meus pesames”, pois precisamos de umacomunicação de preferência de banda- larga para essa ferramenta apt- get fucionar.

Vale lembrar também que esse resultado seria um resultado final quandotodos os seus pacotes do servidor estiverem realmente todos atualizados. No caso,caso ele tenha necessidade de fazer os updates necessários, você terá que iraceitando todas as confirmações de atualização dos aplicativos instalados namáquina.

Porém o resultado final de tudo isso baseia- se nessa estrutura que vemosacima.

Após digitar esse comando passamos agora a verificar também o comandodo upgrade.

[root@srv05-cwb root]# apt-get upgradeLendo Listas de Pacotes... FeitoConstruindo Árvore de Dependências... Feito0 atualizados, 0 novos instalados, 0 removidos.

Segue também a mesma idéia de atualizações onde passamos por vários evários updates.O upgrade também terá que fazer uma séria de atualizações paraque possamos ter com sucesso os necessários para essa instalação como vimos noITEM ESTRUTURA DE IMPLEMENTAÇÃO acma.

Caso aconteça dele não atualizar algum pacote como por exemplo:[root@srv05-cwb root]# apt-get upgradeLendo Listas de Pacotes... FeitoConstruindo Árvore de Dependências... FeitoOs seguintes pacotes foram mantidos xine-lib xine-lib-oggvorbis0 atualizados, 0 novos instalados, 0 removidos e 2 não atualizados.

Não tem problema, pois essas bibliotecas em nossa solução não sãoimportantes, em nosso caso se acontecer isso com algum pacote openldap, sambaou squi, ae você terá que procurar uma documentação na INTERNET para resolveresse problema.

Mantido isso agora devemos instalar os pacotes do samba, openldap e




também do squid, caso vc não tenha instalados e atualizados mediante do apt- get.[root@srv05-cwb root]# apt-get upgrade samba-server[root@srv05-cwb root]# apt-get upgrade samba-clients[root@srv05-cwb root]# apt-get upgrade samba-common[root@srv05-cwb root]# apt-get upgrade samba-winbind[root@srv05-cwb root]# apt-get upgrade openldap[root@srv05-cwb root]# apt-get upgrade openldap-server[root@srv05-cwb root]# apt-get upgrade samba-client[root@srv05-cwb root]# apt-get upgrade samba-doc

Bem, essas referências são necessárias para o aplicativo samba+ ldap doservidor onde irá rodar a estrutura de base de diretórios e usuários na rede. Nomeu caso eu tenho esse dois aplicativos em um único servidor e o meu sistema deProxy esta instalado em outro servidor apenas com ferramentas deProxy+Monitoramento+Auditoria de Rede+MailServer+WebServer.

Por enquanto vamos nos atentar na solução Samba+Ldap, após a migraçãodesse serviço vamos discutir um pouco sobre Ldap+Squid+Samba, onde teremosvárias e várias soluções de integração, onde citarei duas.

Bem, instaladas as ferramentas, atualizadas de uma maneira simples e fácilagora vamos ao que Interessa...

- Configurando o OPENLDAP.Vamos seguir a lógica de nossa documentação e atendar no detalhe de que

precisamos de um escape para gerarmos os log's de tudo o que esta acontecendocom o aplicativo openldap.

1. Inserir a seguinte linha no arquivo /etc/syslog.conf:local4.* /var/log/ldap

2. Inserir as seguintes configurações no /etc/openldap/slapd.conf:# ---- Configurações LDAP. ----# ---- Data: 10 de março de 2005. ----# ---- Autor: Fábio Prando Bortolotto. ----# ---- E-mail: [email protected]# ---- Bibliotecas SCHEMA que o LDAP pode utilizar. ----include /etc/openldap/schema/core.schemainclude /etc/openldap/schema/cosine.schemainclude /etc/openldap/schema/inetorgperson.schemainclude /etc/openldap/schema/java.schemainclude /etc/openldap/schema/krb5-kdc.schemainclude /etc/openldap/schema/misc.schemainclude /etc/openldap/schema/nis.schemainclude /etc/openldap/schema/openldap.schemainclude /etc/openldap/schema/samba.schema# ---- Habilita a versão 2 do protocolo LDAP. ----allow bind_v2# ---- Arquivos que serão gerados para os processos de LDAP. ----pidfile /var/run/slapd/slapd.pidargsfile /var/run/slapd/slapd.args# ---- Definições da Estrutura da Base. ----schemacheck ondatabase bdbsuffix "dc=metrosul,dc=intranet"rootdn "cn=informatica,dc=metrosul,dc=intranet"rootpw {SSHA}QAgBAls+jSQrRBemeSS5qUbsua412lsVdirectory /var/lib/openldap-datalastmod on




idletimeout 30checkpoint 1024 5cachesize 10000# ---- Estruturas de Index. ----index objectClass eqindex cn pres,sub,eqindex sn pres,sub,eqindex uid pres,sub,eqindex displayName pres,sub,eqindex uidNumber eqindex gidNumber eqindex memberUID eqindex sambaSID eqindex sambaPrimaryGroupSID eqindex sambaDomainName eqindex default sub# ---- Atributos de Acesso a Base. ----access to dn.base=""

by self write by * auth

access to attr=userPassword by self write

by * authaccess to attr=shadowLastChange

by self write by * read

access to * by * read by anonymous auth

# ---- Fim. ----

Para criar a senha encriptada (rootpw), você precisa rodar o seguintecomando slappasswd, onde ele irá mostrar na sua tela um código encriptado.

[root@srv05-cwb root]# slappasswd New password: Re-enter new password: {SSHA}QAgBAls+jSQrRBemeSS5qUbsua412lsV

Onde esta linha que ele gera, você precisará copiá- la da mesma maneira queesta na sua tela para o campo de onde ele requer a senha que no nosso caso é ocampo rootpw.

Caso queira maiores detalhes sobre cada funçãoreferente ao processo doopenldap, você pode acessar o sites seguintes sites: http://www.openldap.org ou http://www.ldap.org.br

Em questão você precisará rodar as configurações mediante a suanecessidade em relação a infra- estrutura na qual você, dispõem. No meu caso euestou utilizando: cn=informatica,dc=metrosul,dc=intranet

Um outro detalhe IMPRESSINDÏVEL e de suma IMPORTÂNCIA, é que vocêprecisa ter todas as bibliotecas schema dispostas do diretório /etc/openldap/schema, para que sua aplicação funcione corretamente.

Caso você não tenha a principal que seria a que seria a samba.schema, vocêpode procurar dentro da instalação do seu aplicativo samba mesmo.

[root@srv05-cwb root]# updatedb [root@srv05-cwb root]# locate samba.schema




Agora você só precisa copiar essa biblioteca para o diretório corrente do ldap/etc/openldap/schema.

Caso você não encontre ela em seu sistema operacional, procure em algumsite na INTERNET, ou no próprio http: / /www.google.com.br . Um local onde você iráencontrar essa schema é no próprio site do samba http: / /www.samba.org ou nopróprio site da comunidade LDAP Brasil http: / /www.ldap.org na sessão schemas.

3. Configurar agora o Cliente do ldap: /etc/ ldap.conf# ---- Configurações LDAP. ----# ---- Data: 10 de março de 2005. ----# ---- Autor: Fábio Prando Bortolotto. ----# ---- E-mail: [email protected] 127.0.0.1base dc=metrosul,dc=intranet#binddn cn=informatica,dc=metrosul,dc=intranetbindpw MINHA_SENHA#timelimit 50bind_timelimit 50bind_policy hardidle_timelimit 3600pam_password exopssl off#nss_base_passwd ou=Usuarios,dc=metrosul,dc=intranet?onenss_base_shadow ou=Usuarios,dc=metrosul,dc=intranet?onenss_base_group ou=Grupos,dc=metrosul,dc=intranet?one# - Fim.

Um detalhe importante é que a senha onde o campo bindpw refere emalgumas circunstâncias não funciona encriptada, então o que aconselho é vocêinserí- la da mão mesmo, por exemplo: Digamos que a senha que você inseriu fora:MINHA_SENHA, então no campo bindpw você irá tirar a senha encriptada e iráinserir a senha manual mesmo.

4. Digitar o comando strings /lib/libnss_ldap.so.2 | grep confTerá que apresentar uma saída da seguinte forma:

/etc/ldap.conf$Id: dnsconfig.c,v 2.40 2004/03/16 01:02:47 lukeh Exp $

5. Inserir as devidas linhas do arquivo: /etc/nsswitch.confpasswd: files ldapshadow: files ldapgroup: files ldaphosts: files dns wins

6. Inserir as linhas no arquivo: /etc/pam.d/ login#%PAM-1.0auth required /lib/security/pam_securetty.soauth required /lib/security/pam_stack.so service=system-authauth required /lib/security/pam_nologin.so#auth sufficient /lib/security/pam_ldap.soaccount required /lib/security/pam_stack.so service=system-auth#account sufficient /lib/security/pam_ldap.sopassword required /lib/security/pam_stack.so service=system-auth#password required /lib/security/pam_ldap.so use_first_pass use_authtoksession required /lib/security/pam_stack.so service=system-auth




session optional /lib/security/pam_console.so

Caso suas configurações no PAM tenham mais linhas que isso não háproblema algum, pois essas são necessárias para o bom fucinamento do openldapna PAM, ou melhor apenas as linhas das quais inserem a biblioteca pam_ldap.so.

Após todo esse emaranhado de configurações do openldap, agora vamos osque interessa que seria fazê- lo funcionar de vez.

– Iniciando processos de funcionamento do OpenLDAP.– Digitar o seguinte comando:– [root@srv05-cwb root]# service ldap start

– chown: impossível acessar `/var/lib/openldap-data/*': Arquivo oudiretório não encontrado

– chgrp: impossível acessar `/var/lib/openldap-data/*': Arquivo oudiretório não encontrado

– Iniciando ldap: [ OK ]

Esses erros apresentados quando inicia- se pela primeira vez o ldap é porquevocê não possui nenhuma base configurada e instalada, então ele apresenta esseerros de chown e chgrp, mas isso não tem problema algum, e necessariamente issofaz parte da solução. Caso você rode novamente o comando para resetar o serviçovocê verá que ele não apresenta mais o erro.

[root@srv05-cwb root]# service ldap restart

Um outro fator muito importante é ficar a partir daí analisando tudo que sepassa no arquivo de log do ldap.

[root@srv05-cwb root]# tail -f /var/log/ldap

Agora caso ele não possua esse arquivo para vc ficar analisando o log doserviço do ldap, você deverá seguir os seguintes procedimentos:

[root@srv05-cwb root]# touch /var/log/ldap[root@srv05-cwb root]# service syslog restart

Com isso agora você poderá ver os log's normalmente do serviço ldap demaneira tranquila e simples. E basta apenas digitar as teclas CRTL+Z para sair doarquivo de log.

Vimos na configuração do /etc/openldap/slapd.conf que ele aponta para umdiretório chamado /var/ l ib /openldap- data , onde nesse diretório terá toda aestrutura do LDAP mencionado para a base que iremos criar diante da estrutura darede.

Pronto!! Caso você tenha lido e seguido todos os passos certinho seu LDAPesta 100%. Parabéns!!

Bem só para você que esta lendo essa documentação eu na verdade estouescrevendo toda essa documentação vendo um amigo meu aqui indo fazer oscomandos que estou colocando na documentação onde vou capturando as telasdele e colocando aqui. Até os erros que fui colocando eu fui inserindo nadocumentação para que a mesma ficasse show de bola.!!!

Escrevi isso apenas para descontrair. Nada sério.!!

- Configurando o SAMBA : METROSULAgora vamos a parte muito interessante que é integrar o samba com o ldap.Primeiramente devemos fazer alguns testes com o servidor samba e para




isso precisamos que ele esteja desligado ou seja, que o serviço samba esteja forado ar. Você terá que digitar a linha service smb stop até aparecer as seguinteslinhas.

[root@srv05-cwb root]# service smb stopInterrompendo SMB services (smbd): [FALHOU]Interrompendo NMB services (nmbd): [FALHOU]

Depois disso siga os seguintes comandos:[root@srv05-cwb root]# cd /etc/samba[root@srv05-cwb root]# cp smb.conf smb.conf.bkp-10-03-2005

Onde bkp- 10- 03- 2005 é a data do backup do arquivo.[root@srv05-cwb root]# cat /dev/null > smb.conf

Insira as seguintes linhas no arquivo smb.conf, porém seguindo sua linhalógica para o domínio que vc esta criando.[global] unix charset = LOCALE workgroup = METROSUL netbios name = WDC interfaces = lo, eth0 bind interfaces only = Yes passdb backend = ldapsam:ldap://srv05-cwb.metrosul.intranet username map = /etc/samba/smbusers log level = 2 syslog = 0 log file = /var/log/samba/%m max log size = 5000 smb ports = 139 445 name resolve order = wins bcast hosts name resolve order = bcast hosts time server = Yes printcap name = CUPS show add printer wizard = No add user script = /usr/local/sbin/smbldap-useradd -m "%u" delete user script = /usr/local/sbin/smbldap-userdel "%u" add group script = /usr/local/sbin/smbldap-groupadd -p "%g" delete group script = /usr/local/sbin/smbldap-groupdel "%g" add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u" add machine script = /usr/local/sbin/smbldap-useradd -w "%u" logon script = %U.bat logon drive = H: domain logons = Yes prefered master = Yes wins support = Yes ldap suffix = dc=metrosul,dc=intranet ldap machine suffix = ou=Computadores ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap idmap suffix = ou=Idmap ldap admin dn = cn=informatica,dc=metrosul,dc=intranet idmap backend = ldap:ldap://srv05-cwb.metrosul.intranet idmap uid = 10000-20000 idmap gid = 10000-20000 map acl inherit = Yes printing = cups




printer admin = root, administrator, administrator os level = 32 domain master = Yes strict locking = Yes dos charset = cp850 display charset = UTF8 unix charset = cp850#

[homes] comment = Home Directories valid users = %S read only = No browseable = No[printers] comment = SMB Print Spool path = /var/spool/samba guest ok = Yes printable = Yes browseable = No[netlogon] comment = Network Logon Service path = /opt/samba/netlogon guest ok = Yes locking = No[profiles] comment = Profile Share path = /home/%U/profiles read only = No profile acls = Yes[print$] comment = Printer Drivers path = /var/lib/samba/drivers browseable = yes guest ok = no read only = yes write list = root

Agora precisamos fazer o teste do arquivo smb.conf para que não tenhamosque passar por riscos mais tarde.

Executar o comando:[root@srv05-cwb root]# testparm

Onde teremos como resultado:Load smb config files from /etc/samba/smb.confProcessing section "[homes]"Processing section "[printers]"Processing section "[netlogon]"Processing section "[profiles]"Processing section "[print$]"Loaded services file OK.Server role: ROLE_DOMAIN_PDCPress enter to see a dump of your service definitions

Após ele parar nessa tela pressionamos a tecla ENTER, onde irá aparecer todaa configuração que fizemos do smb.conf.

Agora precisamos de uma maneira simples e eficaz deletar alguns arquivosde base de senhas e também de log do samba.




[root@srv05-cwb root]# rm /etc/samba/*tdb[root@srv05-cwb root]# rm /var/lib/samba/*tdb[root@srv05-cwb root]# rm /var/lib/samba/*dat[root@srv05-cwb root]# rm /var/log/samba/*

Pronto, o que precisamos agora é gerar a senha nova para o samba. Lembraaquela senha que criamos lá no ldap que depois utilizamos o comando slappasswd,então agora você terá que criar a mesma senha para o samba, com o seguintecomando:

[root@srv05-cwb samba]# smbpasswd -w MINHA_SENHA

Onde teremos como resultado:Setting stored password for "cn=informatica,dc=metrosul,dc=intranet" in secrets.tdb

Com todas essas configurações e também detalhes que tivemos que seguirvamos iniciar o serviço do samba na rede.

[root@srv05-cwb samba]# service smb statussmbd está paradonmbd está parado

[root@srv05-cwb samba]# service smb start Iniciando SMB services (smbd): [ OK ]Iniciando NMB services (nmbd): [ OK ]

OK, iniciamos o processo do samba. Teremos que visualizar toda aconfiguração que efetuamos no arquivo /etc/samba/smb.conf e também aquelaconfiguração, quando digitamos testparm ,porém agora com o serviço no AR.Devemos prestar muita atenção para saber se realmente o resultado do arquivo écompatível com o que inserimos.[root@srv05-cwb samba]# smbclient -L localhost -U%

Domain=[METROSUL] OS=[Unix] Server=[Samba 3.0.10]

Sharename Type Comment

--------- ---- -------

accounts Disk Accounting Files

service Disk Financial Services Files

pidata Disk Property Insurance Files

netlogon Disk Network Logon Service

profiles Disk Profile Share

profdata Disk Profile Data Share

print$ Disk Printer Drivers

IPC$ IPC IPC Service (Samba 3.0.10)

ADMIN$ IPC IPC Service (Samba 3.0.10)

Domain=[METROSUL] OS=[Unix] Server=[Samba 3.0.10]

Server Comment

--------- -------

WDC Samba 3.0.10

Workgroup Master




--------- -------

METROSUL PDC

Com os serviços samba e ldap no ar (Caso você não tenha certeza e desejavisualizá- los se estão ou não no AR, basta apenas digitar: service ldap status ouservice smb status, ambos devem estar rodando)você precisará nesse momentogerar o SID do sistema samba.

[root@srv05-cwb samba]# net getlocalsid

Se ele apresentar o seguinte erro:[2005/03/10 21:57:06, 0] lib/smbldap.c:smbldap_search_suffix(1155)

smbldap_search_suffix: Problem during the LDAP search: (No such object)

Não fique assutando pois esse erro irá desaparecer quando criarmos asentidades do domínio dentro do LDAP. Mas no final das contas ele terá que enviarpara você o SID da máquina.

SID for domain PDC is: S-1-5-21-2857088929-2129263254-937994244

Após você gerar o SID, ele irá dispor o mesmo em nosso arquivo desegurança do samba, que no caso é: /etc/samba/secrets.tdb . Caso ele não informeo SID para você, você precisa seguir os passos para deletar os arquivos do SID, nocaso o arquivo secrets.tdb.

Com isso agora devemos desligar o processo samba novamente.[root@srv05-cwb samba]# service smb stop Interrompendo SMB services (smbd): [ OK ]Interrompendo NMB services (nmbd): [ OK ]

INFORMATIVO: Gostaria de deixar bem sucinto que se você leu adocumentação, passo a passo e também seguiu todas as instruções nela inseridasacho difícil você chegar até aqui, ou melhor chegar até esse evento e não ter tidosucesso.

Agora caso você realmente não teve sucesso em alguma atividade ondenessa documentação esteja descrita, acho melhor você parar por aqui, pois nãoadianta você ir adiante pois agora é a parte que requer maiores detalhes, mas sevocê obteve sucesso até aqui PARABÉNS, agora precisamos ir para a parte maisdelicada da instalação porém não há maiores complicações.

Eu tive a paciência de fazer um BACKUP inteiro de minha estrutura para quepossamos ter todas as informações e resultados daqui para frente. Acredito queseja interessante tambem agora que estamos com o LDAP e o SAMBA instaladodepois de não muitos esforços, que você vá dar uma descansada e também relaxarum pouco pois daqui para frente você precisará de muita anteção.!!

Como sempre tudo há sugestões, eu deixaria uma sugestão super peculiar:“Revise tudo que você vez até agora e veja se tudo esta de acordo com o que vocênecessita e se possível faça você mesmo denovo para fins educativos e paraentender cara processo no qual você criou o seu LDAP e o seu SAMBA.”

Pronto!!




- Configurando os scripts's IDEALX.

Vamos instalar agora os scripts's do IDEALX. Antes de tudo devemos verificarse a versão que vem juntamente com o Conectiva 10 esta instalado:

[root@srv05-cwb smbldap-tools]# rpm -qa | grep smbldap-toolssmbldap-tools-0.8.5-50747U10_3cl

Aconselho a remover essa instalação pois esse pacote que vem junto com oConectiva 10 não esta confiável, pois eu executei alguns testes com o pacotesmbldap- tools- 0.8.7 e o mesmo apresentou maior estabilidade e também atendeumuito melhor minhas necessidades.

Então você deve acessar o site http: / /samba.idealx.org/dist / e fazer umdownload do pacote smbldap- tools- 0.8.7.tgz. Claro que você poderá estar lendoessa documentação e ter uma nova atualização do pacote, mas eu digo que nessanessas circunstâncias esta se apresentando muito estável.

Feito isso descompacte em uma área aonde você pode trabalhar com osarquivos de maneira tranquila. Eu no caso utilizarei como exemplo o diretório /opt/smbldap- tools- 0.8.7 .

[root@srv05-cwb root]# cd /opt[root@srv05-cwb opt]# tar xzvf /root/Backup/smbldap-tools-0.8.7.tgz

smbldap-tools-0.8.7/smbldap-tools-0.8.7/FILESsmbldap-tools-0.8.7/smbldap.confsmbldap-tools-0.8.7/TODOsmbldap-tools-0.8.7/smbldap-populatesmbldap-tools-0.8.7/configure.plsmbldap-tools-0.8.7/smbldap-userdelsmbldap-tools-0.8.7/Makefilesmbldap-tools-0.8.7/smbldap_bind.confsmbldap-tools-0.8.7/smbldap-usershowsmbldap-tools-0.8.7/READMEsmbldap-tools-0.8.7/CONTRIBUTORSsmbldap-tools-0.8.7/smbldap-passwdsmbldap-tools-0.8.7/smbldap-usermodsmbldap-tools-0.8.7/COPYINGsmbldap-tools-0.8.7/doc/smbldap-tools-0.8.7/doc/html/smbldap-tools-0.8.7/doc/html/smbldap-tools003.htmlsmbldap-tools-0.8.7/doc/html/previous_motif.gifsmbldap-tools-0.8.7/doc/html/smbldap-tools005.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools004.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools001.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools007.htmlsmbldap-tools-0.8.7/doc/html/index.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools006.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools008.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools002.htmlsmbldap-tools-0.8.7/doc/html/smbldap-tools009.htmlsmbldap-tools-0.8.7/doc/html/contents_motif.gifsmbldap-tools-0.8.7/doc/html/next_motif.gifsmbldap-tools-0.8.7/doc/html/smbldap-tools010.htmlsmbldap-tools-0.8.7/doc/smbldap-migrate-groupssmbldap-tools-0.8.7/doc/smbldap-tools.pdfsmbldap-tools-0.8.7/doc/smbldap-migrate-unix-groupssmbldap-tools-0.8.7/doc/smbldap-migrate-unix-accountssmbldap-tools-0.8.7/doc/smbldap-migrate-accounts




smbldap-tools-0.8.7/smb.confsmbldap-tools-0.8.7/INSTALLsmbldap-tools-0.8.7/smbldap-groupmodsmbldap-tools-0.8.7/smbldap_tools.pmsmbldap-tools-0.8.7/ChangeLogsmbldap-tools-0.8.7/smbldap-useraddsmbldap-tools-0.8.7/smbldap-userinfosmbldap-tools-0.8.7/INFRAsmbldap-tools-0.8.7/smbldap-groupdelsmbldap-tools-0.8.7/smbldap-groupshowsmbldap-tools-0.8.7/smbldap-groupadd

Renomeie o diretório smbldap- tools- 0.8.7 para smbldap- tools [root@srv05-cwb opt]# mv smbldap-tools-0.8.7/ smbldap-tools

Após a descompactação to sistema de script's do smbldap- tools, devemosacessar o diretório para configurarmos toda a estrutura dos script's para a inserçãodo nosso sistema.

Antes de mais nada devemos dar uma lida ou pelo menos uma olhada noarquivo “INSTALL”, pois nele contém uma informação muito importante, que seria ainstalação de um módulo do perl “Crypt::SmbHash”. Para você instalá- lo, bastaapenas você digitar o seguinte comando:

[root@srv05-cwb log]# apt-get install perl-crypt-smbhashLendo Listas de Pacotes... FeitoConstruindo Árvore de Dependências... FeitoOs seguintes pacotes NOVOS serão instalados: perl-crypt-smbhash0 atualizados, 1 novos instalados, 0 removidos e 2 não atualizados.É preciso obter 13,3kB de arquivos.Após desempacotar 22,0kB de espaço adicional serão utilizados.Get:1 ftp://ftp.unicamp.br 10/i386/updates perl-crypt-smbhash 0:0.02Obtidos 13,3kB em 4s (2960B/s) Aplicando modificações...Preparando... ############################# [100%] 1:perl-crypt-smbhash ############# [100%]Feito.

Temos instalado a biblioteca perl- crypt- smbhash instalada e pronta paraatender nossas necessidades da estrutura de script's do smbldap- tools.

Siga os seguintes passos agora: [root@srv05-cwb smbldap-tools]# mkdir /etc/smbldap-tools [root@srv05-cwb smbldap-tools]# cp smbldap-* /usr/local/sbin/ [root@srv05-cwb smbldap-tools]# cp smbldap_tools.pm /usr/local/sbin/ [root@srv05-cwb smbldap-tools]# cp smbldap*conf /etc/smbldap-tools/ [root@srv05-cwb smbldap-tools]# chmod 644 /etc/smbldap-tools/*

Precisamos editar o arquivo smbldap_tools.pm para mudar as linhas queconfiguram o diretório “/etc/smbldap- tools/ ” e seus respectivos arquivosinseridos.[root@srv05-cwb smbldap-tools]# vi smbldap_tools.pm

Você deve alterar os seguintes campos:my $smbldap_conf="/etc/opt/IDEALX/smbldap-tools/smbldap.conf";my $smbldap_bind_conf="/etc/opt/IDEALX/smbldap-tools/smbldap_bind.conf";




As alterações devem ser as seguintes:my $smbldap_conf="/etc/smbldap-tools/smbldap.conf";my $smbldap_bind_conf="/etc/smbldap-tools/smbldap_bind.conf";

Com isso precisamos rodar o script “configure.pl” na shell paraconfigurarmos a estrutura de scripts's que iremos utilizar.

[root@srv05-cwb smbldap-tools]# ./configure.pl Unrecognized escape \p passed through at ./configure.pl line 194.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=- smbldap-tools script configuration -=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=Before starting, check . if your samba controller is up and running. . if the domain SID is defined (you can get it with the 'net getlocalsid')

. you can leave the configuration using the Crtl-c key combination . empty value can be set with the "." caracter-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-Looking for configuration files...

Samba Config File Location [/etc/samba/smb.conf] >

Certifique- se de que os script's estão linkados diretamente para o arquivo“smb.conf”.smbldap Config file Location (global parameters) [/etc/smbldap-tools/smbldap.conf] >

Veja se a localidade do “smbldap.conf” esta apontando dessa maneira.smbldap Config file Location (bind parameters) [/etc/smbldap-tools/smbldap_bind.conf] >

Mesma coisa para o “smbldap_bind.conf”.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=Let's start configuring the smbldap-tools scripts ...

. workgroup name: name of the domain Samba act as a PDC workgroup name [METROSUL] >

Veja se é isso domínio que você criou para sua rede.. netbios name: netbios name of the samba controler netbios name [PDC] >

Veja se esse é o nome da máquina que vc esta criando para o domínio.. logon drive: local path to which the home directory will be connected (for NT Workstations).Ex: 'H:' logon drive [X:] > H:

Esse é o drive do controlador de domínio que irá mapear o diretório dousuário na rede. Eu no caso utilizei a leta “H”. Essa opção você também podeajustar conforme a sua necessidade.. logon home: home directory location (for Win95/98 or NT Workstation). (use %U as username) Ex:'\\PDC\home\%U' logon home (leave blank if you don't want homeDirectory) [\\PDC\home\%U] > \\PDC\%U

Essa opção fará com que o diretório do usuário seja acessado diretamenteatravés do sistema de arquivos do controlador de domínio, como nós informamos




na configuração do arquivo “/etc/samba/smb.conf”, referente a opção [homes] . logon path: directory where roaming profiles are stored. Ex:'\\PDC\profiles\%U' logon path (leave blank if you don't want roaming profile) [\\PDC\profiles\%U] > \\PDC\%U\profiles

Essa opção é para você indicar onde será o diretório de logon da rede. Eudeixei o diretório corrente do usuário, tendo um profiles para cada um específico.. home directory prefix (use %U as username) [/home/%U] > . default user netlogon script (use %U as username) [%U.cmd] > %U.bat

Indica a variável do script padrão para que execute no momento dainicialização do usuário. default password validation time (time in days) [45] > 30

Informa a validade de expiração da senha dos usuários criados no login.. ldap suffix [dc=metrosul,dc=intranet] >

Infoma a estrutura base do LDAP. ldap group suffix [ou=Grupos] >

Informa a base dos Grupos padrões.. ldap user suffix [ou=Usuarios] >

Informa a base dos Usuários padrões.. ldap machine suffix [ou=Computadores] >

Informa a base dos Computadores padrões. Idmap suffix [ou=Idmap] >

Informa a base dos Idmap padrões.. sambaUnixIdPooldn: object where you want to store the next uidNumber and gidNumber available for new users and groups sambaUnixIdPooldn object (relative to ${suffix}) [cn=NextFreeUnixId] >

Informa um novo grupo para geração automática do ID do usuário a sercriado na base do LDAP.. ldap master server: IP adress or DNS name of the master (writable) ldap serverUse of uninitialized value in scalar chomp at ./configure.pl line 138, <STDIN> line 17.Use of uninitialized value in hash element at ./configure.pl line 140, <STDIN> line 17.Use of uninitialized value in concatenation (.) or string at ./configure.pl line 144, <STDIN> line17.Use of uninitialized value in string at ./configure.pl line 145, <STDIN> line 17. ldap master server [] > 127.0.0.1

Você deve informar o IP do servidor LDAP ou o próprio loopback.. ldap master port [389] > . ldap master bind dn [cn=informatica,dc=metrosul,dc=intranet] > . ldap master bind password [] > MINHA_SENHA

Necessita informar a senha que você colocou no LDAP e no SAMBA.. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master oneUse of uninitialized value in scalar chomp at ./configure.pl line 138, <STDIN> line 21.Use of uninitialized value in hash element at ./configure.pl line 140, <STDIN> line 21.Use of uninitialized value in concatenation (.) or string at ./configure.pl line 144, <STDIN> line21.Use of uninitialized value in string at ./configure.pl line 145, <STDIN> line 21. ldap slave server [] > 127.0.0.1

Você também deve criar a estrutura slave caso você não tenha um servidorLDAP secundário. Essa estrutura slave você pode apontar diretamente para oservidor master.. ldap slave port [389] >




. ldap slave bind dn [cn=informatica,dc=metrosul,dc=intranet] >

. ldap slave bind password [] > MINHA_SENHA

. ldap tls support (1/0) [0] >

TLS é uma ferramenta de encriptação, pode desligá- la porque nós iremos umsistema de criptografia SSHA.. SID for domain METROSUL: SID of the domain (can be obtained with 'net getlocalsid PDC') SID for domain METROSUL [S-1-5-21-2857088929-2129263254-937994244] >

Aqui ele verifica o SID que deve ser o mesmo apresentado quando você digia“net getlocalsid” e gera o SID da máquina em questão.. unix password encryption: encryption used for unix passwords unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >

Deixar nativo o padrão de encriptação “SSHA”.. default user gidNumber [513] > . default computer gidNumber [515] > . default login shell [/bin/bash] > . default domain name to append to mail adress [] > metrosul.com.br

Informe o domínio que seus usuários irão utilizar para envio e recebimentode E-mail, onde você poderá criar uma estrutura tanto para comunicar E-mailapenas pela INTRANET ou também para a INTERNET. No meu caso estoumencionando o domínio da INTERNET para que o mesmo seja controlado tantointernamente quando externamente.-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=backup old configuration files: /etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old /etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.oldwriting new configuration file: /etc/smbldap-tools/smbldap.conf done. /etc/smbldap-tools/smbldap_bind.conf done.

Nesse processo final ele gera os arquivos mediante as configurações quevocê inseriu na configuração do arquivo executável “./configure.pl”.

Pronto, agora além de estarmos com o LDAP configurado, o SAMBAconfigurado estamos com os script's que gerenciam os serviços também postospara o controle e gerenciamento da estrutura.

- Criando as bases do sistema LDAP para o SAMBA.

Poderiamos estar utilizando as ferramentas que se encontram disponíveispara o LDAP (chamada migration- tools), migrando minha base de dados hojeexistente no ambiente samba- 2.x.x para a base desse nova samba- 3.0.10, porémnesse caso em específico que estamos lidando, estou criando uma base compostapela estrutura de diretórios onde irá consistir minha real infra- estrutura no quisitoadministração dos usuários da rede. Deixando claro também que caso hajainteresse de alguém migrar eu aconselharia a passar por um processo de leitura dosistema de script's que existe já disponível na INTERNET chamado Migration- Tools.

Uma outra questão só para deixar explicado também é que existem váriasmaneiras para administrar usuários, grupos e computadores, porém a maneiramais simples que achei fora através dos script's do smbldap- tools. Existe umadocumentação no site do samba dizendo para vc criar script's na mão mesmo,




pode se utilizar também pois eu criar das duas maneiras, porém a mais simples eeficaz para quem quer despejar a solução completa seria essa. O site seria:“http://us2.samba.org/samba/docs/man/Samba-Guide/happy.html#ch6-bigacct”

O script que cria a base dos usuaios no LDAP é o “smbldap- populate”, elevem junto com o pacote do “smbldap- tools- 0.8.7.tgz”

Nós iremos enconrar dentro do diretório “/usr/ local/sbin” o arquivo“smbldap- populate”, onde se alguém quiser se arriscar a criar a base de usuáriospersonalizadas em português mediante a estrutura, basta apenas editar o arquivo emudar a estrutura de criação dos diretórios.

Irei nessa documentação informar as linhas que se deve Alterar:[root@srv05-cwb sbin]# vi /usr/local/sbin/smbldap-populate

Editado o arquivo digitar os seguintes comandos::%s/Domain Admins/Administradores Dominio/g:%s/Domain Users/Usuarios Dominio/g:%s/Domain Guests/Convidados Dominio/g:%s/Domain Computers/Computadores Dominio/g:%s/Administrators/Administradores/g:%s/Print Operators/Operadores Impressao/g:%s/Backup Operators/Operadores Backup/g:%s/Replicators/Replicadores/g

Após essas alterações salve e saia do arquivo “smbldap- populate” e executeele, digitando “smbldap- populate”.[root@srv05-cwb root]# smbldap-populateUsing workgroup name from smb.conf: sambaDomainName=METROSUL-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==> Warning: you must update smbldap.conf configuration file to :=> sambaUnixIdPooldn parameter must be set to "sambaDomainName=METROSUL,dc=metrosul,dc=intranet"-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=Using builtin directory structureadding new entry: dc=metrosul,dc=intranetadding new entry: ou=Usuarios,dc=metrosul,dc=intranetadding new entry: ou=Grupos,dc=metrosul,dc=intranetadding new entry: ou=Computadores,dc=metrosul,dc=intranetadding new entry: ou=Idmap,dc=metrosul,dc=intranetadding new entry: sambaDomainName=METROSUL,dc=metrosul,dc=intranetadding new entry: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranetadding new entry: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranetadding new entry: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranetadding new entry: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet

Agora ele criou toda a estrutura que iremos utilizar para o controle da base edo controlador de domínio que estamos criando.

Temos também que tomar nota de que o aviso que ele informa no momentoem que ele cria a base devemos executar também.




Vamos verificar a mensagem de aviso:

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==> Warning: you must update smbldap.conf configuration file to :=> sambaUnixIdPooldn parameter must be set to "sambaDomainName=METROSUL,dc=metrosul,dc=intranet"-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

Isso quer dizer que no arquivo “smbldap.conf” dentro do diretório“/etc/smbldap- tools” teremos que alterar a linha “sambaUnixIdPooldn” para anova regra criada pelos script's. [root@srv05-cwb root]# vi /etc/smbldap-tools/smbldap.conf

Procuraremos a linha: “sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"”.E alterá- la para:

“sambaUnixIdPooldn=” sambaDomainName=Metrosul,dc=metrosul,dc=intranet”OK!! Agora executado todas essas alterações, vamos reiniciar todos os

serviços que necessitamos para o funcionamento da solução total.[root@srv05-cwb root]# service ldap restart Desligando ldap: [ OK ]Iniciando ldap: [ OK ]

Reiniciando processo LDAP.[root@srv05-cwb root]# service smb restartInterrompendo SMB services (smbd): [FALHOU]Interrompendo NMB services (nmbd): [FALHOU]Iniciando SMB services (smbd): [ OK ]Iniciando NMB services (nmbd): [ OK ]

Reinciando o processo do SAMBA.Agora vamos para os testes para saber se o aplicativo SAMBA esta integrado

do a base do LDAP.[root@srv05-cwb root]# slapcatdn: dc=metrosul,dc=intranetobjectClass: dcObjectobjectClass: organizationo: metrosuldc: metrosulstructuralObjectClass: organizationentryUUID: 71b52522-26a1-1029-8c9f-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174755ZentryCSN: 2005031117:47:55Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174755Z

dn: ou=Usuarios,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: UsuariosstructuralObjectClass: organizationalUnitentryUUID: 71faa8cc-26a1-1029-8ca0-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174756ZentryCSN: 2005031117:47:56Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174756Z




dn: ou=Grupos,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: GruposstructuralObjectClass: organizationalUnitentryUUID: 721dbc90-26a1-1029-8ca1-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174756ZentryCSN: 2005031117:47:56Z#0x0002#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174756Z

dn: ou=Computadores,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: ComputadoresstructuralObjectClass: organizationalUnitentryUUID: 723e06c6-26a1-1029-8ca2-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174756ZentryCSN: 2005031117:47:56Z#0x0003#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174756Z

dn: ou=Idmap,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: IdmapstructuralObjectClass: organizationalUnitentryUUID: 725d8a78-26a1-1029-8ca3-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174757ZentryCSN: 2005031117:47:57Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174757Z

dn: sambaDomainName=METROSUL,dc=metrosul,dc=intranetobjectClass: sambaDomainobjectClass: sambaUnixIdPoolsambaDomainName: METROSULsambaSID: S-1-5-21-2857088929-2129263254-937994244uidNumber: 1000gidNumber: 1000structuralObjectClass: sambaDomainentryUUID: 72949a72-26a1-1029-8ca4-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174757ZentryCSN: 2005031117:47:57Z#0x0002#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174757Z

dn: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranetcn: Administratorsn: AdministratorobjectClass: inetOrgPersonobjectClass: sambaSAMAccountobjectClass: posixAccountobjectClass: shadowAccountgidNumber: 512uid: AdministratoruidNumber: 998homeDirectory: /home/AdministratorsambaPwdLastSet: 0




sambaLogonTime: 0sambaLogoffTime: 2147483647sambaKickoffTime: 2147483647sambaPwdCanChange: 0sambaPwdMustChange: 2147483647sambaHomePath: \\PDC\netlogonsambaHomeDrive: H:sambaProfilePath: \\PDC\Administrator\profiles\sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-512sambaLMPassword: XXXsambaNTPassword: XXXsambaAcctFlags: [U ]sambaSID: S-1-5-21-2857088929-2129263254-937994244-2996loginShell: /bin/falsegecos: Netbios Domain AdministratorstructuralObjectClass: inetOrgPersonentryUUID: 731da63c-26a1-1029-8ca5-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174758ZentryCSN: 2005031117:47:58Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174758Zdn: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranetcn: nobodysn: nobodyobjectClass: inetOrgPersonobjectClass: sambaSAMAccountobjectClass: posixAccountobjectClass: shadowAccountgidNumber: 514uid: nobodyuidNumber: 999homeDirectory: /dev/nullsambaPwdLastSet: 0sambaLogonTime: 0sambaLogoffTime: 2147483647sambaKickoffTime: 2147483647sambaPwdCanChange: 0sambaPwdMustChange: 2147483647sambaHomePath: \\PDC\netlogonsambaHomeDrive: H:sambaProfilePath: \\PDC\nobody\profilessambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXXsambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXXsambaAcctFlags: [NU ]sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998loginShell: /bin/falsestructuralObjectClass: inetOrgPersonentryUUID: 739f9e1c-26a1-1029-8ca6-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174759ZentryCSN: 2005031117:47:59Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174759Z

dn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 512




cn: Administradores DominiomemberUid: Administratordescription: Netbios Domain AdministradoressambaSID: S-1-5-21-2857088929-2129263254-937994244-512sambaGroupType: 2displayName: Administradores DominiostructuralObjectClass: posixGroupentryUUID: 73ac580a-26a1-1029-8ca7-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174759ZentryCSN: 2005031117:47:59Z#0x0002#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174759Zdn: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 513cn: Usuarios Dominiodescription: Netbios Usuarios DominiosambaSID: S-1-5-21-2857088929-2129263254-937994244-513sambaGroupType: 2displayName: Usuarios DominiostructuralObjectClass: posixGroupentryUUID: 73f6a086-26a1-1029-8ca8-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174759ZentryCSN: 2005031117:47:59Z#0x0003#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174759Z

dn: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 514cn: Convidados Dominiodescription: Netbios Convidados Dominio UserssambaSID: S-1-5-21-2857088929-2129263254-937994244-514sambaGroupType: 2displayName: Convidados DominiostructuralObjectClass: posixGroupentryUUID: 7400bdfa-26a1-1029-8ca9-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174759ZentryCSN: 2005031117:47:59Z#0x0004#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174759Z

dn: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 515cn: Computadores Dominiodescription: Netbios Computadores Dominio accountssambaSID: S-1-5-21-2857088929-2129263254-937994244-515sambaGroupType: 2displayName: Computadores DominiostructuralObjectClass: posixGroupentryUUID: 740a06ee-26a1-1029-8caa-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174759Z




entryCSN: 2005031117:47:59Z#0x0005#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174759Z

dn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 544cn: Administradoresdescription: Netbios Domain Members can fully administer the computer/sambaDom ainNamesambaSID: S-1-5-32-544sambaGroupType: 5displayName: AdministradoresstructuralObjectClass: posixGroupentryUUID: 7427448e-26a1-1029-8cab-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174800ZentryCSN: 2005031117:48:00Z#0x0001#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174800Z

dn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 550cn: Operadores Impressaodescription: Netbios Domain Operadores ImpressaosambaSID: S-1-5-32-550sambaGroupType: 5displayName: Operadores ImpressaostructuralObjectClass: posixGroupentryUUID: 7436fcd0-26a1-1029-8cac-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174800ZentryCSN: 2005031117:48:00Z#0x0002#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174800Z

dn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 551cn: Operadores Backupdescription: Netbios Domain Members can bypass file security to back up filessambaSID: S-1-5-32-551sambaGroupType: 5displayName: Operadores BackupstructuralObjectClass: posixGroupentryUUID: 74497db0-26a1-1029-8cad-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174800ZentryCSN: 2005031117:48:00Z#0x0003#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174800Z

dn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 552




cn: Replicadoresdescription: Netbios Domain Supports file replication in a sambaDomainNamesambaSID: S-1-5-32-552sambaGroupType: 5displayName: ReplicadoresstructuralObjectClass: posixGroupentryUUID: 745a2566-26a1-1029-8cae-aba83bbe2ca1creatorsName: cn=informatica,dc=metrosul,dc=intranetcreateTimestamp: 20050311174800ZentryCSN: 2005031117:48:00Z#0x0004#0#0000modifiersName: cn=informatica,dc=metrosul,dc=intranetmodifyTimestamp: 20050311174800Z

Esse seria o resultado que o comando “slapcat”, deverá informa para você.Lógico que seu SID será praticamente diferente do que esta no exemplo. No casotodos os SID's que ele irá gerar serão específicos da sua máquina.

Temos que saber também se foi criado o repositório “idmap”[root@srv05-cwb root]# slapcat | grep -i idmapdn: ou=Idmap,dc=metrosul,dc=intranetou: Idmap

Esse resultado mostra que fora criado um repositório de dados para aestrutura do “idmap”.

Agora para finalizarmos tanto os testes como também saber se esta tudo deacordo com nossa instalação, iremos fazer um teste com o LDAP.

[root@srv05-cwb root]# ldapsearch -x -b "dc=metrosul,dc=intranet" "(ObjectClass=*)"

Irá gerar um resultado de todas as saídas do repositório de dados do LDAP.# extended LDIF## LDAPv3# base <dc=metrosul,dc=intranet> with scope sub# filter: (ObjectClass=*)# requesting: ALL#

# metrosul.intranetdn: dc=metrosul,dc=intranetobjectClass: dcObjectobjectClass: organizationo: metrosuldc: metrosul

# Usuarios, metrosul.intranetdn: ou=Usuarios,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: Usuarios

# Grupos, metrosul.intranetdn: ou=Grupos,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: Grupos

# Computadores, metrosul.intranetdn: ou=Computadores,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: Computadores




# Idmap, metrosul.intranetdn: ou=Idmap,dc=metrosul,dc=intranetobjectClass: organizationalUnitou: Idmap

# METROSUL, metrosul.intranetdn: sambaDomainName=METROSUL,dc=metrosul,dc=intranetobjectClass: sambaDomainobjectClass: sambaUnixIdPoolsambaDomainName: METROSULsambaSID: S-1-5-21-2857088929-2129263254-937994244uidNumber: 1000gidNumber: 1000

# Administrator, Usuarios, metrosul.intranetdn: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranetcn: Administratorsn: AdministratorobjectClass: inetOrgPersonobjectClass: sambaSAMAccountobjectClass: posixAccountobjectClass: shadowAccountgidNumber: 512uid: AdministratoruidNumber: 998homeDirectory: /home/AdministratorsambaPwdLastSet: 0sambaLogonTime: 0sambaLogoffTime: 2147483647sambaKickoffTime: 2147483647sambaPwdCanChange: 0sambaPwdMustChange: 2147483647sambaHomePath: \\PDC\netlogonsambaHomeDrive: H:sambaProfilePath: \\PDC\Administrator\profiles\sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-512sambaLMPassword: XXXsambaNTPassword: XXXsambaAcctFlags: [U ]sambaSID: S-1-5-21-2857088929-2129263254-937994244-2996loginShell: /bin/falsegecos: Netbios Domain Administrator

# nobody, Usuarios, metrosul.intranetdn: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranetcn: nobodysn: nobodyobjectClass: inetOrgPersonobjectClass: sambaSAMAccountobjectClass: posixAccountobjectClass: shadowAccountgidNumber: 514uid: nobodyuidNumber: 999homeDirectory: /dev/nullsambaPwdLastSet: 0sambaLogonTime: 0sambaLogoffTime: 2147483647sambaKickoffTime: 2147483647




sambaPwdCanChange: 0sambaPwdMustChange: 2147483647sambaHomePath: \\PDC\netlogonsambaHomeDrive: H:sambaProfilePath: \\PDC\nobody\profilessambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXXsambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXXsambaAcctFlags: [NU ]sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998loginShell: /bin/false

# Administradores Dominio, Grupos, metrosul.intranetdn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 512cn: Administradores DominiomemberUid: Administratordescription: Netbios Domain AdministradoressambaSID: S-1-5-21-2857088929-2129263254-937994244-512sambaGroupType: 2displayName: Administradores Dominio

# Usuarios Dominio, Grupos, metrosul.intranetdn: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 513cn: Usuarios Dominiodescription: Netbios Usuarios DominiosambaSID: S-1-5-21-2857088929-2129263254-937994244-513sambaGroupType: 2displayName: Usuarios Dominio

# Convidados Dominio, Grupos, metrosul.intranetdn: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 514cn: Convidados Dominiodescription: Netbios Convidados Dominio UserssambaSID: S-1-5-21-2857088929-2129263254-937994244-514sambaGroupType: 2displayName: Convidados Dominio

# Computadores Dominio, Grupos, metrosul.intranetdn: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 515cn: Computadores Dominiodescription: Netbios Computadores Dominio accountssambaSID: S-1-5-21-2857088929-2129263254-937994244-515sambaGroupType: 2displayName: Computadores Dominio

# Administradores, Grupos, metrosul.intranetdn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroup




objectClass: sambaGroupMappinggidNumber: 544cn: Administradoresdescription: Netbios Domain Members can fully administer the computer/sambaDom ainNamesambaSID: S-1-5-32-544sambaGroupType: 5displayName: Administradores

# Operadores Impressao, Grupos, metrosul.intranetdn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 550cn: Operadores Impressaodescription: Netbios Domain Operadores ImpressaosambaSID: S-1-5-32-550sambaGroupType: 5displayName: Operadores Impressao

# Operadores Backup, Grupos, metrosul.intranetdn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 551cn: Operadores Backupdescription: Netbios Domain Members can bypass file security to back up filessambaSID: S-1-5-32-551sambaGroupType: 5displayName: Operadores Backup

# Replicadores, Grupos, metrosul.intranetdn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranetobjectClass: posixGroupobjectClass: sambaGroupMappinggidNumber: 552cn: Replicadoresdescription: Netbios Domain Supports file replication in a sambaDomainNamesambaSID: S-1-5-32-552sambaGroupType: 5displayName: Replicadores

# search resultsearch: 2result: 0 Success

# numResponses: 17# numEntries: 16

Esse é o repositório que geramos no LDAP. Isso significa que se você chegouaté aqui.... PARABÉNS!!!

Você mandou muitoooo bem...!!Vamos fazer outros testes agora com a base de usuários e grupos.[root@srv05-cwb root]# getent passwd | grep DomainAdministrator:x:998:512:Netbios Domain Administrator:/home/Administrator:/bin/false

Esse é o relacionamento do usuário que criamos com o “smbldap- tools”[root@srv05-cwb root]# getent group | grep Dominio




Administradores Dominio:x:512:AdministratorUsuarios Dominio:x:513:Convidados Dominio:x:514:Computadores Dominio:x:515:

E esses são os grupos que criamos para a estrutura do repositório do LDAP.O último teste que podemos fazer para finalizar nossa instalação e certificar

que o SAMBA e LDAP estão 100%. seria com o comando: [root@srv05-cwb root]# smbclient -L localhost -U%Com isso aparecerá vários resultados a respeito do seu SAMBA.

Algumas pessoas tem curiosidade de saber o que a outra utiliza, então ireimostrar minha interface de trabalho com a imagem do meu DeskTop.

É gente essa é minha interface de trabalho. Coloquei isso aqui apenas paradescontrarir nessa documentação também. Agora vamos ao que interessa!

- Criação e manutenção de usuários e Grupos na rede.

Bem eu sei que muita gente adora ferramentas para gerenciamento gráfico.Na verdade eu também gosto, mas em muitos casos ela atrapalha ou melhorprejudica você a aprender mesmo como é que realmente a ferramenta trabalha ourealmente como é que você pode ter resultados da ferramenta instalada.

Como vimos anteriormente nós montamos a ferramenta de script's para oservidor “smbldap- tools”. Esses scripts são muito importantes você aprender atrabalhar com eles. Em nosso caso irei mostrar como é que você cria, modifica ou




administra um usuário ou um grupo com essas ferramentas tão interessantes, apósisso irei uma ferramenta gráfica também para controle. Mas como é de prache euprefiro realmente para minha interatividade e controle real mesmo as ferramentastextos. Chega de PAPO e vamos ao trabalho.

Primeiramente devemos criar no diretório “/etc/skel” a estrutura que serágerada quando um usuário for criado no sistema:

[root@srv05-cwb root]# mkdir /etc/skel/profiles

Agora vamos aos utilitários que criar e gerenciam o repositório LDAP.[root@srv05-cwb root]# ls -al /usr/local/sbin/ | cut -d: -f2 | cut -d" " -f 2

144...smbldap-groupaddsmbldap-groupdelsmbldap-groupmodsmbldap-groupshowsmbldap-passwdsmbldap-populatesmbldap-useraddsmbldap-userdelsmbldap-userinfosmbldap-usermodsmbldap-usershowsmbldap_tools.pm

Esses são os script's existentes para a administração das informações dorepositório LDAP. Irei comentar um a um e fazer exemplos com cada um deles, masantes irei mencionar uma determinada tarefa.

Digamos que além de utilizar toda a estrutura de diretórios usado pelopadrão do sistema do SAMBA-3.x.x, agora nós gostariamos de criar também umaestrutura pessoal da empresa onde teriamos os seguintes departamentos etambém os seguintes usuários:

Departamentos: Administrativo, Comercial, Oficina, Atacado, Peças.Usuários: André Nogueira, Fábio Bortolotto, Fernando Veloso, Carlos Motta, RodrigoVicente, Moises Cardoso, José Frederico e Marta Lima.

Esses usuários estariam dispostos em determinados grupos do sistema etambém vinculados aos seus departamentos. No seguinte exemplo:

Departamentos Usuários

Administrativo André Nogueira,

Marcos Oliveira,

Claudia Morales,

Fábio Bortolotto

Comercial Fernando Veloso,

Marcos Freitas.

Oficina Carlos Motta,

Rodrigo Vicente.

Atacado Moises Cardoso,

José Frederico.




Departamentos Usuários

Peças Marta Lima.

Então primeiramente vamos criar os grupos no sistema com o comando“smbldap- groupadd”[root@srv05-cwb root]# smbldap-groupadd -a Administrativo[root@srv05-cwb root]# smbldap-groupadd -a Comercial [root@srv05-cwb root]# smbldap-groupadd -a Oficina [root@srv05-cwb root]# smbldap-groupadd -a Atacado[root@srv05-cwb root]# smbldap-groupadd -a Pecas

Com isso nós criamos nossa estrutura dos grupos que iremos utilizar.Agora iremos visualizar os grupos criados, com o seguinte comando:

[root@srv05-cwb root]# getent group

No resultado irá aparecer os grupos que estão criados para você no sistema,ou seja poderão aparecer tanto os grupos que você criou na base do sistema“/etc/group” como também os grupos que estão no repositório LDAP.Administradores Dominio:x:512:AdministratorUsuarios Dominio:x:513:Convidados Dominio:x:514:Computadores Dominio:x:515:Administradores:x:544:Operadores Impressao:x:550:Operadores Backup:x:551:Replicadores:x:552:Administrativo:x:1000:Comercial:x:1001:Oficina:x:1002:Atacado:x:1003:Pecas:x:1004:

IMPORTANTE!! Nunca coloque no LDAP letras ou consoantes como porexemplo: ç, á, à, ã õ, é, ü, ou caracteres especiais. No caso esses caracteres ele nãoaceita porém um fator agradável é que o espaço ele aceita numa boa.!!

Depois de criados os grupos você pode observá- los com o comando“smbldap- groupshow”, onde esse comando mostra o resultado.[root@srv05-cwb root]# smbldap-groupshow Usuarios Dominio[root@srv05-cwb root]# smbldap-groupshow Convidados Dominio[root@srv05-cwb root]# smbldap-groupshow Computadores Dominio[root@srv05-cwb root]# smbldap-groupshow Administrativo[root@srv05-cwb root]# smbldap-groupshow Comercial[root@srv05-cwb root]# smbldap-groupshow Oficina[root@srv05-cwb root]# smbldap-groupshow Atacado[root@srv05-cwb root]# smbldap-groupshow Pecas

Outros comandos que eu denomino como importantes e fundamentaistambém o administrador da rede ter noção seriam: “smbldap- groumod” e“smbldap- groudel”

O “smbdalp- groupmod” ele modifica as informações do grupo em questão.Podemos pegar como exemplo, que você digitou o grupo “Administrativo” como“Amistravo” e você agora quer alterar ou melhor modificar o nome.

[root@srv05-cwb root]# smbldap-groupmod -n administrativo amistravo




Criados os grupos, modificado caso tenha digitado algo errado e visualizadostodos os grupos criados, agora iremos criar os usuários para acessar o sistema.Para criar esse usuários temos como comando “smbldap- useradd”. Agora vamospegar pelas seguintes estruturas tanto do sistema quando dos grupos da empresa.

Os departamentos da empresão são: Administrativo, Comercial, Oficina,Atacado e Pecas.

Agora nós temos os grupos do sistema LDAP: Administradores Dominio,Usuarios Dominio, Convidados Dominio, Computadores Dominio, Administradores, Operadores Impressao, Operadores Backup, Replicadores.

Com isso teremos que colocar o usuário no departamento em que eletrabalha e também no grupo que ele fará parte no sistema.

Criei como exemplo uma outra tabela para termos como base paramontarmos essa criação de usuários com o programa “smbldap- useradd”.

Departamentos Usuários Grupo

Administrativo Andre Nogueira,

Marcos Oliveira,

Claudia Morales,

Fabio Bortolotto

Usuarios Dominio

Usuarios Dominio

Convidados Dominio

Administradores Dominio

Comercial Fernando Veloso,

Marcos Freitas.

Usuarios Dominio

Usuarios Dominio

Oficina Carlos Motta,

Rodrigo Vicente.

Usuarios Dominio

Usuarios Dominio

Atacado Moises Cardoso,

Jose Frederico.

Usuarios Dominio

Usuarios Dominio

Peças Marta Lima. Usuarios Domínio

[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1000 -c "Andre Nogueira" -a andre.n[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1000 -c "Marcos Oliveira" -a marcos.o[root@srv05-cwb root]# smbldap-useradd -m -g 514 -G 1000 -c "Claudia Morales" -a claudia.m[root@srv05-cwb root]# smbldap-useradd -m -g 512 -G 1000 -c "Fabio Bortolotto" -a fabio.b[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1001 -c "Fernando Veloso" -a fernando.v[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1001 -c "Marcos Freitas" -a marcos.f[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Carlos Motta" -a carlos.m[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Rodrigo Vicente" -a rodrigo.v[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1003 -c "Moises Cardoso" -a moises.c[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Jose Frederico" -a jose.f[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Marta Lima" -a marta.l

Foram criados os usuarios diante das necessidades dos grupos edepartamentos da empresa. Vamos descrever sobre o comando “smbldap- useradd”

Opção: - m - Cria o diretório HOME do Usuário.- g - Cria o grupo principal do usuário, no eu criei pelo gid do

grupo no caso 513 que significa que é o grupo “Usuarios Convidados”.- G - Cria o grupo secundário do usuário no caso eu coloquei

o usuário no departamento dele. Novamente eu especifiquei o gid do grupo “1000”ao invés de digitar “Administrativo”.

- c - Coloca no parametro “geos” do repositório LDAP aespecificação completa do usuário, em nosso caso colocar o nome completo do




usuário entre “ “.- a - O nome do usuário a ser criado.

Nós temos também os script's “smbldap- usermod”, “smbldap- usershow” e“smbldap- userdel” que seria interessante você dar uma olhada para saberadministratar totalmente com as ferramentas via texto. Irei comentar um poucosobre esses script's mas seria muito interessante você mesmo aprender a lidar comos mesmos, pois administrar via prompt de comando para mim é muito maissimples e eficaz do que qualquer ferramenta WEB ou GUI, no caso gráfica.

Falando dos script's de administração dos usuários do LDAP + SAMBA.– “smbldap- usermod”

– Altera as informações do usuário em questão. Onde vocêpode alterar toda e qualquer tipo de informação do usuário“LDAP”. Para help do comando basta digitar o mesmo.

– “smbldap- usershow”– Mostra todas as informações do usuário solicitado. Ex:

smbldap- usershow fabio.b– “smbldap- userdel”

– Remove toda e qualquer informação do usuário do sistemaLDAP + SAMBA. Só tome cuidado com a opção “- r” dessecomando.

Existem vários comandos onde você poderá gerenciar, administrar econsutlar os usuários também, irei citar alguns comandos:

– getent;– id;– pdbedit;– net groupmap list;– smbldap- userinfo;– smbldap- passwd.

Porém esses comandos seria muito importante você mesmo dar uma olhadano “help” dele. Mas acredito que irá tirar de letra.

- Instalação do PHPLDAPADMIN para administração WEB do LDAP.

Bem eu encontrei várias ferramentas para administração WEB do serviçoLDAP, mas a que eu mais me simpatizei foi o phpldapadmin. Achei ela supersimples e eficaz, porém com um único defeito eu não encontrei uma maneira dequando ele criar o usuário no sistema o mesmo criar também o diretório dousuário. Pelo menos com a versão que estou utilizando que seria o “phpldapadmin-0.9.5.tar.gz” a mesma não consegue efetuar a criação do diretório do usuáriocorrespondente, mas pelos scripts do “smbldap- tools” ele cria 100%. Eu não seinecessariamente se é o phpldapadmin ou porque estou acessando ele de outramáquina, pois a minha máquina de produção eu decidi não rodar o Apache, Mysql,módulos do PHP e tudo mais. Eu tenho uma máquina hoje da minha INTRANET quetem esses módulos exatamente para rodar a INTRANET. Então resolvi instalar nelamesmo para administrar essa minha máquina com o LDAP.

RESUMINDO: Eu acredito que a melhor maneira para você utilizar essaferramenta seria apenas para administrar os usuários do sistema através de umaferramenta WEB. Mas para criar e remover usuários eu aconselharia os script's do




smbldap- tools, onde realmente eles são mais eficazes e melhores para vocêgerenciar esses usuários do sistema.

Vamos os que interessa:Primeiramente baixar o pacotes do “phpldapadmin”.

http://phpldapadmin.sourceforge.net/download.phpApós isso vamos primeiramente dar uma revisada nos pacotes necessários

para o phpldapadmin diante do servidor WEB.apache-htpasswd-2.0.49-61251U10_2cl

apache-2.0.49-61251U10_2clphp4-ldap-4.3.10-72720U10_5clphp4-4.3.10-72720U10_5clExecutar o seguinte comando para instalar os pacotes necessários:[root@srv05-cwb root]# apt-get install apache php4 php4-ldapLendo Listas de Pacotes... FeitoConstruindo Árvore de Dependências... FeitoOs seguintes pacotes NOVOS serão instalados: apache php4 php4-ldap0 atualizados, 3 novos instalados, 0 removidos e 2 não atualizados.É preciso pegar 0B/4757kB de arquivos.Após desempacotar 11,8MB de espaço adicional serão utilizados.Aplicando modificações...Preparando... ##################### [100%]1:apache ########################### [ 33%] 2:php4 ########################## [ 67%] 3:php4-ldap ######################### [100%]Feito.

A instalação dos pacotes feita da maneira correta, agora precisamos apenasverificar se o apache esta de acordo com nossas necessidades.

Executar os seguintes passos:[root@srv05-cwb /]# vi /etc/apache/conf/httpd.confAdicionar essa linha para:

#ServerName www.example.com:80ServerName srv05-cwb.metrosul.intranet

Adicionar a Linha:#DocumentRoot “/srv/www/default/html”DocumentRoot "/usr/share/phpldapadmin"

Adicionar a Linha:#<Directory "/srv/www/default/html"><Directory "/usr/share/phpldapadmin">

Demais configuração são menos importantes o que realmente é importante éa base que você irá direcionar para o phpldapadmin. Feita essas alteração oumelhor criada uma área para inserir o phpldapadmin, vamos a sua configuraçãoque é mais importante do que a configuração do APACHE.

[root@srv05-cwb /]#cd /usr/share[root@srv05-cwb share]# tar xzvf /root/phpldapadmin-0.9.5.tar.gz[root@srv05-cwb share]# mv phpldapadmin-0.9.5 phpldapadmin[root@srv05-cwb share]# cd phpldapadmin [root@srv05-cwb share]# cp config.php.example config.php [root@srv05-cwb share]# vi config.php

Agora vamos editar o arquivo “config.php”, ou seja aqui também existemuma série de variáveis onde você poderá personalizar de acordo com suanecessidade. Então ao invés de ficar copiando eu irei pelo menos colocar meu




exemplo feito no arquivo.

$blowfish_secret = '';

// Your LDAP servers$i=0;$servers = array();$servers[$i]['name'] = 'Lidersul LDAP'; $servers[$i]['host'] = 'srv05-cwb.metrosul.intranet'; $servers[$i]['base'] = 'dc=metrosul,dc=intranet'; $servers[$i]['port'] = 389; $servers[$i]['auth_type'] = 'config';$servers[$i]['login_dn'] = 'cn=informatica,dc=metrosul,dc=intranet';$servers[$i]['login_pass'] = 'MINHA_SENHA';$servers[$i]['tls'] = false; $servers[$i]['low_bandwidth'] = false; $servers[$i]['default_hash'] = 'crypt';$servers[$i]['login_attr'] = 'dn'; $servers[$i]['login_string'] = 'uid=<username>,ou=Usuarios,dc=metrosul,dc=intranet';$servers[$i]['login_class'] = ''; $servers[$i]['read_only'] = false;$servers[$i]['show_create'] = true; $servers[$i]['enable_auto_uid_numbers'] = false;$servers[$i]['auto_uid_number_mechanism'] = 'search';$servers[$i]['auto_uid_number_search_base'] = 'ou=Usuarios,dc=metrosul,dc=intranet';$servers[$i]['auto_uid_number_min'] = 1000;$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=uidPool,dc=metrosul,dc=intranet';$servers[$i]['auto_uid_number_search_dn'] = '';$servers[$i]['auto_uid_number_search_dn_pass'] = '';$servers[$i]['disable_anon_bind'] = false;$servers[$i]['custom_pages_prefix'] = 'custom_';$servers[$i]['unique_attrs_dn'] = '';$servers[$i]['unique_attrs_dn_pass'] = '';

Feita essas alterações necessárias você pode dar mais uma olhada no seuarquivos e após todas essas modificação você só irá precisar iniciar o serviço do“APACHE”.

[root@srv254-cwb root]# service httpd restartStopping httpd: [ OK ]Starting httpd: [ OK ]

Agora só precisamos acessar o site do phpldapadmin que executamos, ondevocê irá encontrar toda a estutura de localização do serviço do LDAP + SAMBA +PHPLDAPADMIN.

Mas volto a dizer uma coisa é muito importante você ter como base deaplicação para administração de criação de usuários e grupos, modificação etambém controle dos mesmo com as ferramentas do “smbldap- tools”. Eu acreditoque essas ferramentas são mais eficientes do que o phpldapadmin que na verdadeele é mais bonito.




Agora vamos nos preocupar com o SQUID para terminar essa nossaintegração e depois falaremos das estações de trabalho Windows XP, 2000 e 2003.

- Configurando o SQUID para suporte a autenticação LDAP.

Bem agora vamos para o mais simples da solução e e muito interessante.Fazer nosso sistema de cache de páginas e também de controle de acesso aINTERNET autenticar os usuários no PROXY.

Caso você ainda não tem uma solução de PROXY instalada em seu ambienteeu o aconselho, por ser uma ferramenta muito interessante de monitoramento etambém configuração acesso a sites. Por exemplo: Digamos que você tenha na suaempresa mais de 200 computadores acessando a INTERNET e sites indevidos etambém você sabe que uma galera da empresa também passa o tempo vendo sitesde horóscopo, joguinhos, sexo e fulerajem que não tem nada haver com o intuitoda empresa. Então o que você pode fazer? ( Essa é a solução).

Eu não irei descrever aqui toda a solução do ambiente RPOXY mas na verdadeirei deixar uma pequena e misera contribuição para que vc tenha um PROXY na sua




empresa Linux trabalhando bem bacaninha.Também gostaria de deixar muito claro que eu não rodo o proxy dessa

solução na mesma máquina em que esta rodando o LDAP + SAMBA e sim em umaoutra máquina semelhante para acessos da minha INTRANET.

Vamos ao que interessa.[root@srv254-cwb root]# vi /etc/squid/squid.conf## ---- Autor: Fábio Prando Bortolotto. ----# ---- Data: 08 de março de 2005. ----# ---- E-mail: [email protected] ----# ---- UIN: 22422202 ----# ---- MSN: [email protected] ----## ---- Variaveis do Sistema de Proxy. ----A porta em que o PROXY irá trabalhar.http_port 85O tempo que timeout.dead_peer_timeout 10 secondsHierarquias de entrada do cgi- binhierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \?no_cache deny QUERYUma observação muito importante é nessa Linha que significa a quantidade

de memória disponível para o PROXY, então veja o que é interessante para suasolução.

cache_mem 300 MBQuantidade de utilização da SWAP.cache_swap_low 30cache_swap_high 35Tamanho máximo dos objetos a serem armazenados do PROXY.maximum_object_size 4096 KBminimum_object_size 120 KBmaximum_object_size_in_memory 80 KBDiretório de SPOOL do PROXY. E também nomenclarura de cache do mesmo.cache_dir ufs /var/spool/squid 100 16 256Arquivos de log's.cache_access_log /var/log/squid/access.logcache_log /var/log/squid/cache.logcache_store_log /var/log/squid/store.logTabelas das funções mime do PROXY.mime_table /etc/squid/mime.confOnde irá gerar o PID do PROXY.pid_filename /var/run/squid.pidForma em que o log irá se representar.debug_options ALL,1Modo de solicitação do Acesso ao FTP.ftp_passive onLeitura do arquivo “/etc/hosts”hosts_file /etc/hostsFerramentas de controle do PROXY. ( É Interessante dar uma olhada)




diskd_program /usr/lib/squid/diskdunlinkd_program /usr/lib/squid/unlinkdQuantidade de acessos a Navegadores.redirect_children 5redirect_rewrites_host_header on## ---- Metodo de Autenticação. ----#Informações gerais sobre a autenticação do serviço do PROXY.auth_param basic children 5auth_param basic realm Metodo de Autenticação para Navegaçãoauth_param basic credentialsttl 15 minuteEssa duas linhas abaixo devem estar setadas em uma única linha.E é ela que irá fazer as requisições de autenticação no LDAP da REDE.auth_param basic program /usr/lib/squid/squid_ldap_auth -b

ou=Usuarios,dc=metrosul,dc=intranet srv05-cwb.metrosul.intranet 389authenticate_cache_garbage_interval 1 hourauthenticate_ttl 1 hour## ---- Sistemas de CACHE. ----Informações do CACHE.refresh_pattern ^ftp: 1440 20% 10080refresh_pattern ^gopher: 1440 0% 1440refresh_pattern . 0 20% 4320## ---- Definições Gerais. ----negative_ttl 5 minutesconnect_timeout 2 minutespeer_connect_timeout 30 secondsread_timeout 15 minutesrequest_timeout 5 minutespersistent_request_timeout 1 minutehalf_closed_clients onpconn_timeout 120 seconds## ---- Configurações Gerais de ACL. ----#acl password proxy_auth REQUIREDacl all src 0.0.0.0/0.0.0.0acl manager proto cache_objectacl localhost src 127.0.0.1/255.255.255.255acl SSL_ports port 563acl Safe_ports port 80acl Safe_ports port 21acl Safe_ports port 563acl Safe_ports port 70acl Safe_ports port 210acl Safe_ports port 1025-65535acl Safe_ports port 280acl Safe_ports port 488acl Safe_ports port 591acl Safe_ports port 777acl CONNECT method CONNECT




## ---- Configuração de Acessos dos Usuário com Acesso MSN. ----acl MSN req_mime_type -i ^application/x-msn-messenger$# --------------------------------------------------# ---- Configuração dos Grupos e Acessos. ----# --------------------------------------------------## ---------------------------------------------------------------# ---- Configuração de Acesso TOTAL. ----# ---------------------------------------------------------------Essas linhas são as acl's que irão liberar os acessos particulares a toda a

INTERNET, ou seja, o usuário, URL, Site ou IP da máquina que estiver cadastradasnesses arquivos o mesmo será liberado acesso total a REDE.

Irei comentar linha por linha.

Essa linha refere- se ao arquivo criado dentro do diretório“/etc/squid/totalacesso/usuarios.txt” que o usuário que estiver cadastrado neleterá permissão total a acessar qualquer “SITE” ou qualquer outra coisa que passepelo PROXY.

acl total.usuarios proxy_auth "/etc/squid/totalacesso/usuarios.txt"Essa linha abaixo informa que toda e qualquer URL setada, toda a empresa

poderá acessar bem como consultar sem usuário ou senha a serem requeridos.acl total.urls dst "/etc/squid/totalacesso/urls.txt"Já esta linha abaixo informa que, todo e qualquer site inserido nesse arquivo

deixará o site com acesso a todos os usuários e máquinas da rede. Ou seja, o sitesque você colocar nessa lista Ex: “.metrosul.com.br” todos que estão dentro da redepoderão ter acesso total ao conteúdo desse SITE.

Uma coisa muito importante é que se o SITE apontar para outro SITE umLINK, o mesmo será bloqueado a não ser que você também coloque o LINK dorespectivo SITE também nessa tabela.

acl total.sites dstdomain "/etc/squid/totalacesso/sites.txt"E nesse arquivo nós configuramos todas as máquinas que terão acesso a

INTERNET sem solicitação de usuário ou senha. Ou seja, o IP da máquina queestiver cadastrado nesse arquivo, terá acesso total a INTERNET, sem solicitação desenha.

acl total.maquinas src "/etc/squid/totalacesso/maquinas-total.txt"## --------------------------------------------------# ---- Acesso aos Dpto's. ----# --------------------------------------------------Aqui vai alguns exemplos no caso dos dptos criados.Cada dpto tem dois arquivos, no caso um arquivo refere- se aos usuários do

dpto e o outro arquivo os sites em que o dpto irá utilizar.Ex: Digamos que eu tenha o usuário “andre.n” na minha rede e ele faz parte

do dpto administrativo e o mesmo acessa todos os sites do governo e tambémalguns sites como por exemplo: “www.cenofisco.com.br ”, ”www.equifax.com.br ”,“www.hsbc.com.br ” , “www.itau.com.br ” .

Então eu iria inserir o usuário nesse arquivo.




acl adm.usuarios proxy_auth "/etc/squid/dptos/adm/usuarios.txt"E os respectivos sites que ele tem acesso nesse outro arquivo.O mesmo segue para os demais dptos.ATENÇÃO: Todo o site cadastrado na lista de sites, tem que estar da seguinte

maneira:acl adm.sites dstdomain "/etc/squid/dptos/adm/sites.txt"Um breve exemplo do arquivo:Editando o arquivo “/etc/squid/dptos/adm/sites.txt

.gov.br

.cenofisco.com.br

.equifax.com.br

.hsbc.com.br

.itau.com.br#acl comercial.usuarios proxy_auth “/etc/squid/dptos/comercial/usuarios.txt”acl comercial.sites dstdomain “/etc/squid/dptos/comercial/sites.txt”#acl oficina.usuarios proxy_auth “/etc/squid/dptos/oficina/usuarios.txt”acl oficina.sites dstdomain “/etc/squid/dptos/oficina/sites.txt”#acl atacado.usuarios proxy_auth “/etc/squid/dptos/atacado/usuarios.txt”acl atacado.sites dstdomain “/etc/squid/dptos/atacado/sites.txt”#acl pecas.usuarios proxy_auth “/etc/squid/dptos/pecas/usuarios.txt”acl pecas.sites dstdomain “/etc/squid/dptos/pecas/sites.txt”## --------------------------------------------------# ---- Liberando sistema de Acesso ao Proxy. ----# --------------------------------------------------## ---- Regras de acesso HTTP_ACCESS. ----## ---- Regras dos Sites padrões da Empresa. ----Aqui é onde serão liberadas todas aquelas regras do PROXY.Acesso total as máquinashttp_access allow maquinasAcesso total as URL's da empresa.http_access allow totalacesso.urlsAcesso total aos respectivos sites.http_access allow totalacesso.sitesAcesso total aos usuários.http_access allow totalacesso.usuarios# ---- Portas de Acesso ao Proxy da Rede. ----Liberação e bloqueio das respectivas portas de acesso.http_access allow SSL_portshttp_access allow Chevrolet_Porthttp_access allow Acpr_Porthttp_access allow Https_Porthttp_access allow Camera_Porthttp_access deny MSN




## ------------------------------------------# ---- Dptos. ----# ------------------------------------------Lista de acesso dos usuários respectivos aos seus SITES.http_access allow adm.usuarios adm.siteshttp_access allow comercial.usuarios comercial.siteshttp_access allow oficina.usuarios oficina.siteshttp_access allow atacado.usuarios atacado.siteshttp_access allow pecas.usuarios pecas.sites# ---- Configurações estáticas. ----E aqui para quem quer se interessar é uma breve configuração do PROXY.http_reply_access allow allicp_access allow allcache_effective_user squiderror_directory /etc/squid/errorscoredump_dir /var/spool/squid## ---- Fim do Arquivo. ----

Pronto feito isso e essas alteração no arquivo do PROXY“/etc/squid/squid.conf”, precisamos agora é criar aquela estrutura de arquivos dosdpto's bem como os arquivos. OUTRO DETALHE IMPORTANTE É QUE OS ARQUIVOSNÃO PODEM ESTAR VAZIOS DE MANEIRA NENHUMA, OU SEJA, OS ARQUIVOS DEVEMCONTER PELO MENOS UM CARACTÉR DENTRO DELES, MESMO QUE ESSE CARACTÉRNÃO FAÇA DIFERENÇA.

Executar os seguintes comandos:[root@srv254-cwb root]# cd /etc/squid/[root@srv254-cwb squid]# mkdir dptos[root@srv254-cwb squid]# cd dptos/ [root@srv254-cwb dptos]# mkdir adm comercial oficina atacado pecas totalacesso[root@srv254-cwb dptos]# vi usuarios.txt

(Dentro do arquivo:)informaticaOBS: esse usuário pode estar criado dentro do LDAP mas não é necessário é

apenas para o arquivo ter algo como comentamos anteriormente.[root@srv254-cwb dptos]#vi sites.txt

(Dentro desse arquivo:).metrosul.com.br.chevrolet.com.br.chevroletonline.com.br

[root@srv254-cwb dptos]# cp sites.txt usuarios.txt adm [root@srv254-cwb dptos]# cp sites.txt usuarios.txt comercial [root@srv254-cwb dptos]# cp sites.txt usuarios.txt oficina [root@srv254-cwb dptos]# cp sites.txt usuarios.txt atacado [root@srv254-cwb dptos]# cp sites.txt usuarios.txt totalacesso [root@srv254-cwb dptos]# rm sites.txt usuarios.txt[root@srv254-cwb dptos]# vi totalacesso/url.txt

(Dentro desse arquivo:)207.110.84.14




200.184.79.12[root@srv254-cwb dptos]# vi totalacesso/maquias-total.txt

(Dentro desse arquivo os IP's das máquinas que terão acesso TOTAL:)172.21.10.50172.21.25.13172.23.11.14

Portanto agora nossa estrutura do PROXY esta pronta para testarmos. Digiteo seguinte comando.

[root@srv254-cwb squid]# squid -zSe aparecer esse resultado: 2005/03/17 20:56:49| Creating Swap Directories

E voltar para prompt de comando é porque suas regras do PROXY estão 100%. seder algo errado você terá que ver o erro e tentar descobrir qual é a linha que estadando erro. Nessas circunstâncias digo a você para ler certinho o log do erro etentar descobrir com as próprias mãos o erro do SQUID.

Agora se aparecer certinho essa linha para você você só precisa ativar oserviço do PROXY digitando o seguinte comando:

[root@srv254-cwb squid]# service squid startStarting squid: . [ OK ]Prontinho agora seu SQUID também esta autenticando com a sessão LDAP.

Você só precisa configurar uma estação WINDOWS XP, 2000 ou 2003 para finalizaro processo dessa documentação.

Que não bastasse nós colocamos 3 serviços fantásticos rodando em nossarede e agora também podemos gerar vários relatórios e resultados perante essesserviços que estão rodando na REDE. Existe um aplicado muito legal chamadoSARG, desenvolvido por um brasileiro mesmo sarg.sourceforge.net/maillist.phpque realmente é uma ferramenta muito bacana.

- Configurando uma estação WINDOWS XP, para logar no ambienteSAMBA + LDAP + SQUID.

Primeiramente devemos ter a máquina configurada de acordo com ospadrões da rede, ou seja colocando todas as informações necessárias para logar naRede.

Ediar as propriedades de conexão do Windows editando o TCP/IP da placa deRede na qual esta disposta a conexão de rede.

Nessa item iremos informar o IP da máquina bem como a máscara em que arede se encontra. Para quem quiser saber sobre esses vermelhos, na verdade euacho que não são informações importantes, pois esses tratan- se de configuraçõesdirerentes de rede a rede.




Após isso devemos entrar nas propriedades AVANCADO.

Informar o Servidor WINS da rede, que nosso caso seria o IP do servidorSAMBA da Rede e Ativar o NetBios sobre TCP/IP, podendo deixar Padrão também.




Após confirmar o IP, devemos Acessar com o Botão direito do mouse aspropriedades do “Meu Computador” para configurarmos o ambiente do domínio.




Você deve acessar o Item “Nome do computador” depois na descrição colocar asinformações de localização da rede ( Eu coloquei o IP + o nome do usuário queutiliza a máquina) e clicar no botão “Alterar”, onde agora iremos colocar a máquinapara responder pelo domínio.




Onde aqui informaremos o nome do computador, onde esse nome docomputador irá estar cadastrado do LDAP, na parte de Computadores. E no ItemDomínio onde estamos setando o domínio que será o administrador da Rede, queno caso é nosso domínio que estamos criando.




Esse usuário e senha que ele informa é o usuário e senha do Administradordo Domínio. Eu criei um usuário também chamado como “root” para exemplo, masisso não quer dizer que o usuário “root” do Linux que é o administrador doDomínio “METROSUL” e sim pode ser definido qualquer nome de usuário que tenhaacesso a administração do domínio. Esse usuário administrador nós criamos nospassos de configuração do “smbldap- tools”. Caso você não tenha criado nenhumusuário com super poderes ai vai um exemplo para você aplicar no Servidor Samba.

[root@srv05-cwb /]# smbldap-useradd -m -a -u 0 -g 512 -c"Administrador do Dominio" pdcadminAqui estaremos criando o usuário, e agora precisamos definir a sua senha.

[root@srv05-cwb /]# smbldap-passwd pdcadmin

Com isso ele dará uma msg no Linux informando que você deve reiniciá- lopara que as alterações do domínio tenham efeito. Com isso eu digo “PARABÉNS”,você colocou uma máquina no domínio criado.

Se você tiver interesse você pode acessar o diretório “/var/log /samba”, ou nodiretório onde você colcou os log's do servidor “samba” e ver que ele criou algunsarquivos e um deles é o nome da máquina que você criou e nesse arquivo vocêpode monitorar tudo o que esta acontecendo com a máquina no domínio.

Uma outra coisa interessante é você acessar o site do “phpldapadmin” do seuservidor e verificar no item “Computadores” que tem uma máquina com orespectivo nome criado.




Portanto agora basta você saber administradar direitinho esse servidor quecriaomos.

Cuidados e juízo é muito importante e não importe quantas vezes você teveque ler essa documentação para dar certo. Lembre- se de que você conseguiu e foicapaz.

Parabéns e Sucesso!!

Por:Fábio Prando Bortolotto Analise de Sistema de Segurança de Redes

E-mail: [email protected] UIN: 22422202

Counter Linux: 131252



Date post:	08-Dec-2016
Category:	Documents
Upload:	duongminh
View:	238 times
Download:	1 times

Samba Ldap Squid

Documents