SAMBA / WINBIND
Configuração do servidor SAMBA e serviço WINBIND
1 Pacotes a ser instalados
samba
winbind
smbldap-tools
é necessário que a senha do LDAP e do SAMBA sejam as mesmas, mude/faça:
# smbpasswd -w senha_do_LDAP
ou
# smbpasswd -W
e depois informe a senha - para que não fique armazenado no histórico.
2 Configuração dos arquivos
Arquivo /etc/samba/smb.conf
#### inicio #### ## obs.: acrescente/altere as seguintes linhas ## [global] workgroup = nome_do_grupo netbios name = SERVIDOR server string = %h dns proxy = no security = user os level = 255 local master = yes domain master = yes preferred master = yes domain logons = yes admin users = joao ##parte referente a conexão com LDAP passdb backend = ldapsam:ldap://127.0.0.1 ldap admin dn = cn=admin,dc=nome_do_dominio,dc=com,dc=br ldap suffix = dc=nome_do_dominio,dc=com,dc=br ldap user suffix = ou=Usuarios ldap group suffix = ou=Grupos ldap machine suffix = ou=Computadores ldap passwd sync = yes unix password sync = no ##parte referente ao winbind winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind trusted domains only = yes syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 #############fim##############
Agora, faça:
# net getlocalsid
e seu SID aparecerá, ele será necessário para a confiança entre SAMBA e LDAP
e para criar os usuários, aparecerá algo assim:
SID for domain YOURWORKGROUP is: S-1-5-21-1803520230-1543781662-649387223
Este SID é o número de identificação do domínio na rede Windows.
Ele servirá de base para compor a identificação dos usuários e computadores pertencentes ao domínio em questão.
Abra seu browser e digite http://localhost/phpldapadmin ai você deve criar seus grupos, domínio samba e usuários. Os usuários, uma vez criados e associados aos seus grupos, podem ser referenciados pelo Samba. Assim, podemos utilizar um usuário para administrar a rede Windows - diferente do super-usuário root. Basta adicionar a linha:
admin users = joao
na seção global do smb.conf para que o usuário joao tenha poderes de administrador da rede Windows - após reiniciar o serviço.
Com isso, poderemos fazer a segunda integração de serviços, agora entre Samba e Winbind, este último que servirá como interface para autenticar usuários Radius no Samba - e consequentemente LDAP. As ligações todas ficam assim:
[AP] -> [RADIUS] -> [Winbind] -> [Samba] -> [LDAP]
Com o comando:
net join -U joao
onde assumimos que o usuário joao é administrador da rede Windows, integramos o serviço Winbind com Samba.
Obs.: IMPORTANTE! Quando o Winbind é iniciado ele gera a pasta /var/cache/samba/winbindd_privileged/ mas a permissão dessa pasta deve ser mudada para que o RADIUS possa efetuar a consulta nele.