SAMBA / WINBIND

De MediaWiki do Campus São José
Revisão de 22h38min de 4 de agosto de 2009 por Cesar Prescher (discussão | contribs) (New page: ==''' Configuração do servidor SAMBA e serviço WINBIND '''== '''1 Pacotes a ser instalados''' samba winbind smbldap-tools é necessário que a senha do LDAP e do SAMBA sejam as me...)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)
Ir para: navegação, pesquisa

Configuração do servidor SAMBA e serviço WINBIND

1 Pacotes a ser instalados

samba

winbind

smbldap-tools


é necessário que a senha do LDAP e do SAMBA sejam as mesmas, mude/faça:

  # smbpasswd -w senha_do_LDAP

ou

  # smbpasswd -W

e depois informe a senha - para que não fique armazenado no histórico.

2 Configuração dos arquivos

Arquivo /etc/samba/smb.conf

  #### inicio ####
  ## obs.: acrescente/altere as seguintes linhas ##
  [global]
   workgroup = nome_do_grupo
   netbios name = SERVIDOR
   server string = %h
   dns proxy = no
   security = user
   os level = 255
   local master = yes
   domain master = yes
   preferred master = yes
   domain logons = yes
   admin users = joao
  ##parte referente a conexão com LDAP
   passdb backend = ldapsam:ldap://127.0.0.1
   ldap admin dn = cn=admin,dc=nome_do_dominio,dc=com,dc=br
   ldap suffix = dc=nome_do_dominio,dc=com,dc=br
   ldap user suffix = ou=Usuarios
   ldap group suffix = ou=Grupos
   ldap machine suffix = ou=Computadores
   ldap passwd sync = yes
   unix password sync = no
  ##parte referente ao winbind  
   winbind separator = +
   winbind enum users = yes
   winbind enum groups = yes
   winbind use default domain = yes
   winbind trusted domains only = yes
   syslog = 0
   log file = /var/log/samba/log.%m
   max log size = 1000
  #############fim##############

Agora, faça:

  # net getlocalsid

e seu SID aparecerá, ele será necessário para a confiança entre SAMBA e LDAP

e para criar os usuários, aparecerá algo assim:

  SID for domain YOURWORKGROUP is: S-1-5-21-1803520230-1543781662-649387223

Este SID é o número de identificação do domínio na rede Windows.

Ele servirá de base para compor a identificação dos usuários e computadores pertencentes ao domínio em questão.

Abra seu browser e digite http://localhost/phpldapadmin ai você deve criar seus grupos, domínio samba e usuários. Os usuários, uma vez criados e associados aos seus grupos, podem ser referenciados pelo Samba. Assim, podemos utilizar um usuário para administrar a rede Windows - diferente do super-usuário root. Basta adicionar a linha:

  admin users = joao 

na seção global do smb.conf para que o usuário joao tenha poderes de administrador da rede Windows - após reiniciar o serviço.

Com isso, poderemos fazer a segunda integração de serviços, agora entre Samba e Winbind, este último que servirá como interface para autenticar usuários Radius no Samba - e consequentemente LDAP. As ligações todas ficam assim:

         [AP] -> [RADIUS] -> [Winbind] -> [Samba] -> [LDAP]

Com o comando:

  net join -U joao

onde assumimos que o usuário joao é administrador da rede Windows, integramos o serviço Winbind com Samba.

Obs.: IMPORTANTE! Quando o Winbind é iniciado ele gera a pasta /var/cache/samba/winbindd_privileged/ mas a permissão dessa pasta deve ser mudada para que o RADIUS possa efetuar a consulta nele.