Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
DOCUMENTAÇÃO DA INSTALAÇÃO
DO SISTEMA DE
COMPARTILHAMENTO DE ARQUIVOS
E
CONTROLADOR DE DOMÍNIO
Por: Fábio Prando Bortolotto
Analista de Segurança de Redes
E- mail: zordybr@hotmail.com
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
- Motivo dessa documentaçćo.
Após a leitura de inÅ›meros FAQ's, HOWTO's e documentações postadas na
INTERNET, resolvi eu mesmo montar uma documentaçćo para essa soluçćo
integrada onde tive que me preocupar também com a didatica, pois gostaria de ver
várias pessoas utilizando essa soluçćo boa e eficaz.
Aprendi muito com as documentações postadas por analistas e também
administradores de rede, onde disponibilizaram suas Documentações no site
http:/ /www.ldap.org.br na seçćo Artigos.
As documentações que me auxiliaram a criar essa foram:
LDAP + SAMBA (PDC) de Camila Coelho
Samba+OpenLDAP de Fernando Ribeiro
Integraçćo de redes Linux e Windows Com Samba e Openldap de Pedro
Santos Neto.
Acho MUITO IMPORTANTE!!
Agora peguei como base de minha documentaçćo o seguinte endereço na
INTERNET:
http://us2.samba.org/samba/docs/man/Samba-Guide/happy.html
http://us2.samba.org/samba/docs/man/Samba-Guide/appendix.html
- Objetivo Proposto
Integrar a estrutura de servidores bem como compartilhar toda a hierarquia
de diretórios, permissões de acesso a INTERNET.
Montar também diante da estrutura da INTRANET entre minha matriz e as
demais filiais um sistema Å›nico de logon de domínio de rede.
Fazer com que o sistema Linux assuma definitivamente o papel do Windows
2003 Professional Server, na questćo de Controlador de Domínio + Controlador de
requisições de acessos a INTERNET.
- Estrutura da Implementaçćo
Essa implementaçćo esta diretamente ligada as necessidades da empresa
bem como os softwares que existem na INTERNET para a homologaçćo dessa
soluçćo.
Conectiva Linux 10.
kernel26-2.6.5-63255U10_3cl
kernel26-smp-2.6.5-63077cl
openldap-server-2.1.30-63291cl
nss_ldap-216-53588cl
php4-ldap-4.3.10-72720U10_5cl
openldap-2.1.30-63291cl
openldap-client-2.1.30-63291cl
pam_ldap-167-47666cl
perl-ldap-0.31-54135cl
samba-clients-3.0.10-72731U10_7cl
samba-winbind-3.0.10-72731U10_7cl
samba-server-3.0.10-72731U10_7cl
samba-common-3.0.10-72731U10_7cl
smbldap-tools-0.8.7.tgz
squid-2.5.STABLE1-2
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
- Estrutura de Rede.
Para a surpresa de muitos, hoje nossa estrutura de rede esta bem ampla,
onde possuimos uma série de soluções em Linux integradas na Rede, como por
exemplo: VPN (Virtual Private Network) entre a filial de Paranaguá, e com a filial de
Sćo José dos Pinhais possuímos um Link com a Brasil Telecom.
A disponibilidade dos serviços de nossa INTRANET, esta sendo controlada
inteiramente pela DMZ da Matriz, onde possuímos praticamente 4 servidores Linux
e 1 servidor Windows 2003 rodando o cliente de Terminal Server.
Nosso objetivo proposto é de apenas documentar por equanto essa soluçćo
de integraçćo da base de usuários juntamente aos serviços prestados na rede bem
como auxiliar na exportaçćo da base de usuários para as demais filiais.
- Informando o Hardware utilizado
Informaremos aqui o nosso padrćo de hardware utilizado para essa soluçćo
onde apresetamos um esboço geral de toda a estrutura do servidor necessária para
a compreensćo desse projeto proposto.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
" Processador
[root@srv05-cwb root]# cat /proc/cpuinfo
processor : 0
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Xeon(TM) CPU 3.06GHz
stepping : 5
cpu MHz : 3057.608
cache size : 512 KB
physical id : 0
siblings : 2
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge
mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cid
bogomips : 6029.31
processor : 1
vendor_id : GenuineIntel
cpu family : 15
model : 2
model name : Intel(R) Xeon(TM) CPU 3.06GHz
stepping : 5
cpu MHz : 3057.608
cache size : 512 KB
physical id : 0
siblings : 2
fdiv_bug : no
hlt_bug : no
f00f_bug : no
coma_bug : no
fpu : yes
fpu_exception : yes
cpuid level : 2
wp : yes
flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge
mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe cid
bogomips : 6094.84
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
" Memória
[root@srv05-cwb root]# cat /proc/meminfo
MemTotal: 4018228 kB
MemFree: 323912 kB
Buffers: 119452 kB
Cached: 3092260 kB
SwapCached: 0 kB
Active: 1062896 kB
Inactive: 2278740 kB
HighTotal: 3145536 kB
HighFree: 262016 kB
LowTotal: 872692 kB
LowFree: 61896 kB
SwapTotal: 819272 kB
SwapFree: 707116 kB
Dirty: 148 kB
Writeback: 0 kB
Mapped: 244204 kB
Slab: 335148 kB
Committed_AS: 1164316 kB
PageTables: 5120 kB
VmallocTotal: 114680 kB
VmallocUsed: 9844 kB
VmallocChunk: 104736 kB
HugePages_Total: 0
HugePages_Free: 0
Hugepagesize: 4096 kB
" Disco
[root@srv05-cwb root]# fdisk -l
Disk /dev/sda: 146.8 GB, 146815733760 bytes
255 heads, 63 sectors/track, 17849 cylinders
Units = cilindros of 16065 * 512 = 8225280 bytes
Dispositivo Boot Start End Blocks Id System
/dev/sda1 * 1 10 80293+ 83 Linux
/dev/sda2 11 1285 10241437+ 83 Linux
/dev/sda3 1286 2560 10241437+ 83 Linux
/dev/sda4 2561 17849 122808892+ f W95 Ext'd (LBA)
/dev/sda5 2561 6384 30716248+ 83 Linux
/dev/sda6 6385 6486 819283+ 82 Linux swap
/dev/sda7 6487 17849 91273266 83 Linux
Disk /dev/sdb: 146.8 GB, 146815733760 bytes
255 heads, 63 sectors/track, 17849 cylinders
Units = cilindros of 16065 * 512 = 8225280 bytes
Dispositivo Boot Start End Blocks Id System
/dev/sdb1 1 4864 39070048+ 83 Linux
/dev/sdb2 10000 17849 63055125 83 Linux
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
[root@srv05-cwb root]# df
Sist. Arq. 1K-blocos Usad Dispon. Uso% Montado em
/dev/sda2 10080520 2274004 7294448 24% /
/dev/sda1 77749 18113 55622 25% /boot
/dev/sda5 30233896 21266188 7431896 75% /opt
/dev/sda3 10080520 2129108 7439344 23% /usr
/dev/sda7 89839840 45322176 39954004 54% /home
/dev/sdb1 38456308 29986768 6516040 83% /cnp
- Por que Conectiva Linux 10?
Os motivos de utilizar essa distribuiçćo é porque os administradores da rede
da Metrosul Sr. André Nogueira e o Sr. Marcos Szezech, possuim um sistema de
concessionária cuja a empresa fez uma versćo cliente do sistema para ambientes
GNU/Linux, porém a mesma só funciona em versões Red Hat, Conectiva e
Slackware, pois a ferramenta é compilada em Kylx.
E junto a esse servidor nós também possuiamos já a soluçćo de BOOT
Remoto, onde já existem cerca de 20 máquinas operando com essa soluçćo
rodando XDMCP para montar uma estrutura Terminal Server Linux.
Também temos nessa soluçćo o Oracle 9.2.0.4 instalado para fazer tunning
da soluçćo do nosso banco de dados do Oracle onde roda no nosso servidor de
produçćo.
Agora os motivos também se estendem pela fácil e rápida atualizaçćo com a
ferramenta apt- get diante do sistema Conectiva Linux 10.
- A respeito da lógica da Rede a ser utilizada.
IP do servidor: 172.21.0.5
Máscara do Servidor: 255.255.0.0
Gateway do Servidor: 172.21.0.254
Nome da máquina: srv05-cwb
Domínio: metrosul.intranet
Domínio PDC: METROSUL.intranet
Gerenciador do LDAP: cn=informatica,dc=metrosul,dc=intranet
Domínoi LDAP: dc=metrosul,dc=intranet
- Configurando o apt- get
Bem, toda a vez que instalamos o Conectiva Linux 10, o mesmo já bem
instalado o aplicativo apt- get, porém eu utilizei algumas configurações
personalizadas nas seguintes circunstâncias:
[root@srv05-cwb root]# vi /etc/apt/sources.list
#
rpm [cncbr] ftp://ftp.unicamp.br/pub/conectiva/ 10/i386 all
rpm-src [cncbr] ftp://ftp.unicamp.br/pub/conectiva/ 10/i386 all
rpm [cncbr] ftp://ftp.conectiva.com/pub/conectiva 10/i386 all
rpm-src [cncbr] ftp://ftp.conectiva.com/pub/conectiva 10/i386 all
rpm ftp://ftp.polinux.upv.es/Mirrors/conectiva/snapshot/ i386 all
rpm [cncbr] ftp://ftp.unicamp.br/pub/conectiva/atualizacoes 10/i386 updates
rpm-src[cncbr] ftp://ftp.unicamp.br/pub/conectiva/atualizacoes 10/i386 updates
Após a configuraçćo desse arquivo do apt- get, vocÄ™ precisará fazer o update
e também ajustar todas as tabelas do apt- get de forma que ele atualize toda a sua
estrutura mediante a nossa necessidade na aplicaçćo.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Comandos:
[root@srv05-cwb root]# apt-get updates
Get:1 ftp://ftp.unicamp.br 10/i386 release [1881B]
Get:2 ftp://ftp.unicamp.br 10/i386 release [685B]
Get:3 ftp://ftp.polinux.upv.es i386 release [10,1kB]
Get:4 ftp://ftp.conectiva.com 10/i386 release [1881B]
Obtidos 14,6kB em 12s (1126B/s)
Hit ftp://ftp.unicamp.br 10/i386/all pkglist
Hit ftp://ftp.unicamp.br 10/i386/all release
Hit ftp://ftp.polinux.upv.es i386/all pkglist
Hit ftp://ftp.unicamp.br 10/i386/all srclist
Hit ftp://ftp.unicamp.br 10/i386/updates pkglist
Hit ftp://ftp.polinux.upv.es i386/all release
Hit ftp://ftp.unicamp.br 10/i386/updates release
Hit ftp://ftp.unicamp.br 10/i386/updates srclist
Hit ftp://ftp.conectiva.com 10/i386/all pkglist
Hit ftp://ftp.conectiva.com 10/i386/all release
Hit ftp://ftp.conectiva.com 10/i386/all srclist
Lendo Listas de Pacotes... Feito
Construindo Árvore de DependÄ™ncias... Feito
Uma OBSERVAÇÃO muito importante, caso o seu servidor nćo tenha uma
comnunicaçćo direta com a INTERNET, meus pesames , pois precisamos de uma
comunicaçćo de preferÄ™ncia de banda- larga para essa ferramenta apt- get fucionar.
Vale lembrar também que esse resultado seria um resultado final quando
todos os seus pacotes do servidor estiverem realmente todos atualizados. No caso,
caso ele tenha necessidade de fazer os updates necessários, vocÄ™ terá que ir
aceitando todas as confirmações de atualizaçćo dos aplicativos instalados na
máquina.
Porém o resultado final de tudo isso baseia- se nessa estrutura que vemos
acima.
Após digitar esse comando passamos agora a verificar também o comando
do upgrade.
[root@srv05-cwb root]# apt-get upgrade
Lendo Listas de Pacotes... Feito
Construindo Árvore de DependÄ™ncias... Feito
0 atualizados, 0 novos instalados, 0 removidos.
Segue também a mesma idéia de atualizações onde passamos por vários e
vários updates.O upgrade também terá que fazer uma séria de atualizações para
que possamos ter com sucesso os necessários para essa instalaçćo como vimos no
ITEM ESTRUTURA DE IMPLEMENTAÇÃO acma.
Caso aconteça dele nćo atualizar algum pacote como por exemplo:
[root@srv05-cwb root]# apt-get upgrade
Lendo Listas de Pacotes... Feito
Construindo Árvore de DependÄ™ncias... Feito
Os seguintes pacotes foram mantidos
xine-lib xine-lib-oggvorbis
0 atualizados, 0 novos instalados, 0 removidos e 2 nćo atualizados.
Nćo tem problema, pois essas bibliotecas em nossa soluçćo nćo sćo
importantes, em nosso caso se acontecer isso com algum pacote openldap, samba
ou squi, ae vocÄ™ terá que procurar uma documentaçćo na INTERNET para resolver
esse problema.
Mantido isso agora devemos instalar os pacotes do samba, openldap e
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
também do squid, caso vc nćo tenha instalados e atualizados mediante do apt- get.
[root@srv05-cwb root]# apt-get upgrade samba-server
[root@srv05-cwb root]# apt-get upgrade samba-clients
[root@srv05-cwb root]# apt-get upgrade samba-common
[root@srv05-cwb root]# apt-get upgrade samba-winbind
[root@srv05-cwb root]# apt-get upgrade openldap
[root@srv05-cwb root]# apt-get upgrade openldap-server
[root@srv05-cwb root]# apt-get upgrade samba-client
[root@srv05-cwb root]# apt-get upgrade samba-doc
Bem, essas referÄ™ncias sćo necessárias para o aplicativo samba+ ldap do
servidor onde irá rodar a estrutura de base de diretórios e usuários na rede. No
meu caso eu tenho esse dois aplicativos em um śnico servidor e o meu sistema de
Proxy esta instalado em outro servidor apenas com ferramentas de
Proxy+Monitoramento+Auditoria de Rede+MailServer+WebServer.
Por enquanto vamos nos atentar na soluçćo Samba+Ldap, após a migraçćo
desse serviço vamos discutir um pouco sobre Ldap+Squid+Samba, onde teremos
várias e várias soluções de integraçćo, onde citarei duas.
Bem, instaladas as ferramentas, atualizadas de uma maneira simples e fácil
agora vamos ao que Interessa...
- Configurando o OPENLDAP.
Vamos seguir a lógica de nossa documentaçćo e atendar no detalhe de que
precisamos de um escape para gerarmos os log's de tudo o que esta acontecendo
com o aplicativo openldap.
1. Inserir a seguinte linha no arquivo /etc/syslog.conf:
local4.* /var/log/ldap
2. Inserir as seguintes configurações no /etc/openldap/slapd.conf:
# ---- Configurações LDAP. ----
# ---- Data: 10 de março de 2005. ----
# ---- Autor: Fábio Prando Bortolotto. ----
# ---- E-mail: zordybr@hotmail.com
# ---- Bibliotecas SCHEMA que o LDAP pode utilizar. ----
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/krb5-kdc.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/samba.schema
# ---- Habilita a versćo 2 do protocolo LDAP. ----
allow bind_v2
# ---- Arquivos que serćo gerados para os processos de LDAP. ----
pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
# ---- Definições da Estrutura da Base. ----
schemacheck on
database bdb
suffix "dc=metrosul,dc=intranet"
rootdn "cn=informatica,dc=metrosul,dc=intranet"
rootpw {SSHA}QAgBAls+jSQrRBemeSS5qUbsua412lsV
directory /var/lib/openldap-data
lastmod on
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
idletimeout 30
checkpoint 1024 5
cachesize 10000
# ---- Estruturas de Index. ----
index objectClass eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index uidNumber eq
index gidNumber eq
index memberUID eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub
# ---- Atributos de Acesso a Base. ----
access to dn.base=""
by self write
by * auth
access to attr=userPassword
by self write
by * auth
access to attr=shadowLastChange
by self write
by * read
access to *
by * read
by anonymous auth
# ---- Fim. ----
Para criar a senha encriptada (rootpw), vocÄ™ precisa rodar o seguinte
comando slappasswd, onde ele irá mostrar na sua tela um código encriptado.
[root@srv05-cwb root]# slappasswd
New password:
Re-enter new password:
{SSHA}QAgBAls+jSQrRBemeSS5qUbsua412lsV
Onde esta linha que ele gera, vocÄ™ precisará copiá- la da mesma maneira que
esta na sua tela para o campo de onde ele requer a senha que no nosso caso é o
campo rootpw.
Caso queira maiores detalhes sobre cada funçćoreferente ao processo do
openldap, vocÄ™ pode acessar o sites seguintes sites:
http://www.openldap.org ou http://www.ldap.org.br
Em questćo vocÄ™ precisará rodar as configurações mediante a sua
necessidade em relaçćo a infra- estrutura na qual vocÄ™, dispõem. No meu caso eu
estou utilizando: cn=informatica,dc=metrosul,dc=intranet
Um outro detalhe IMPRESSINDÏVEL e de suma IMPORTÂNCIA, é que vocÄ™
precisa ter todas as bibliotecas schema dispostas do diretório
/etc/openldap/schema, para que sua aplicaçćo funcione corretamente.
Caso vocę nćo tenha a principal que seria a que seria a samba.schema, vocę
pode procurar dentro da instalaçćo do seu aplicativo samba mesmo.
[root@srv05-cwb root]# updatedb
[root@srv05-cwb root]# locate samba.schema
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Agora vocę só precisa copiar essa biblioteca para o diretório corrente do ldap
/etc/openldap/schema.
Caso vocę nćo encontre ela em seu sistema operacional, procure em algum
site na INTERNET, ou no próprio http://www.google.com.br . Um local onde vocÄ™ irá
encontrar essa schema é no próprio site do samba http:/ /www.samba.org ou no
próprio site da comunidade LDAP Brasil http:/ /www.ldap.org na sessćo schemas.
3. Configurar agora o Cliente do ldap: /etc/ldap.conf
# ---- Configurações LDAP. ----
# ---- Data: 10 de março de 2005. ----
# ---- Autor: Fábio Prando Bortolotto. ----
# ---- E-mail: zordybr@hotmail.com
host 127.0.0.1
base dc=metrosul,dc=intranet
#
binddn cn=informatica,dc=metrosul,dc=intranet
bindpw MINHA_SENHA
#
timelimit 50
bind_timelimit 50
bind_policy hard
idle_timelimit 3600
pam_password exop
ssl off
#
nss_base_passwd ou=Usuarios,dc=metrosul,dc=intranet?one
nss_base_shadow ou=Usuarios,dc=metrosul,dc=intranet?one
nss_base_group ou=Grupos,dc=metrosul,dc=intranet?one
# - Fim.
Um detalhe importante é que a senha onde o campo bindpw refere em
algumas circunstâncias nćo funciona encriptada, entćo o que aconselho é vocÄ™
inserí- la da mćo mesmo, por exemplo: Digamos que a senha que vocÄ™ inseriu fora:
MINHA_SENHA, entćo no campo bindpw vocÄ™ irá tirar a senha encriptada e irá
inserir a senha manual mesmo.
4. Digitar o comando strings /lib/libnss_ldap.so.2 | grep conf
Terá que apresentar uma saída da seguinte forma:
/etc/ldap.conf
$Id: dnsconfig.c,v 2.40 2004/03/16 01:02:47 lukeh Exp $
5. Inserir as devidas linhas do arquivo: /etc/nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
hosts: files dns wins
6. Inserir as linhas no arquivo: /etc/pam.d/login
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
#auth sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_stack.so service=system-auth
#account sufficient /lib/security/pam_ldap.so
password required /lib/security/pam_stack.so service=system-auth
#password required /lib/security/pam_ldap.so use_first_pass use_authtok
session required /lib/security/pam_stack.so service=system-auth
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
session optional /lib/security/pam_console.so
Caso suas configurações no PAM tenham mais linhas que isso nćo há
problema algum, pois essas sćo necessárias para o bom fucinamento do openldap
na PAM, ou melhor apenas as linhas das quais inserem a biblioteca pam_ldap.so.
Após todo esse emaranhado de configurações do openldap, agora vamos os
que interessa que seria fazÄ™- lo funcionar de vez.
Iniciando processos de funcionamento do OpenLDAP.
Digitar o seguinte comando:
[root@srv05-cwb root]# service ldap start
chown: impossível acessar `/var/lib/openldap-data/*': Arquivo ou
diretório nćo encontrado
chgrp: impossível acessar `/var/lib/openldap-data/*': Arquivo ou
diretório nćo encontrado
Iniciando ldap: [ OK ]
Esses erros apresentados quando inicia- se pela primeira vez o ldap é porque
vocę nćo possui nenhuma base configurada e instalada, entćo ele apresenta esse
erros de chown e chgrp, mas isso nćo tem problema algum, e necessariamente isso
faz parte da soluçćo. Caso vocÄ™ rode novamente o comando para resetar o serviço
vocÄ™ verá que ele nćo apresenta mais o erro.
[root@srv05-cwb root]# service ldap restart
Um outro fator muito importante é ficar a partir daí analisando tudo que se
passa no arquivo de log do ldap.
[root@srv05-cwb root]# tail -f /var/log/ldap
Agora caso ele nćo possua esse arquivo para vc ficar analisando o log do
serviço do ldap, vocÄ™ deverá seguir os seguintes procedimentos:
[root@srv05-cwb root]# touch /var/log/ldap
[root@srv05-cwb root]# service syslog restart
Com isso agora vocÄ™ poderá ver os log's normalmente do serviço ldap de
maneira tranquila e simples. E basta apenas digitar as teclas CRTL+Z para sair do
arquivo de log.
Vimos na configuraçćo do /etc/openldap/slapd.conf que ele aponta para um
diretório chamado /var/lib/openldap- data , onde nesse diretório terá toda a
estrutura do LDAP mencionado para a base que iremos criar diante da estrutura da
rede.
Pronto!! Caso vocÄ™ tenha lido e seguido todos os passos certinho seu LDAP
esta 100%. Parabéns!!
Bem só para vocÄ™ que esta lendo essa documentaçćo eu na verdade estou
escrevendo toda essa documentaçćo vendo um amigo meu aqui indo fazer os
comandos que estou colocando na documentaçćo onde vou capturando as telas
dele e colocando aqui. Até os erros que fui colocando eu fui inserindo na
documentaçćo para que a mesma ficasse show de bola.!!!
Escrevi isso apenas para descontrair. Nada sério.!!
- Configurando o SAMBA : METROSUL
Agora vamos a parte muito interessante que é integrar o samba com o ldap.
Primeiramente devemos fazer alguns testes com o servidor samba e para
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
isso precisamos que ele esteja desligado ou seja, que o serviço samba esteja fora
do ar. VocÄ™ terá que digitar a linha service smb stop até aparecer as seguintes
linhas.
[root@srv05-cwb root]# service smb stop
Interrompendo SMB services (smbd): [FALHOU]
Interrompendo NMB services (nmbd): [FALHOU]
Depois disso siga os seguintes comandos:
[root@srv05-cwb root]# cd /etc/samba
[root@srv05-cwb root]# cp smb.conf smb.conf.bkp-10-03-2005
Onde bkp- 10- 03- 2005 é a data do backup do arquivo.
[root@srv05-cwb root]# cat /dev/null > smb.conf
Insira as seguintes linhas no arquivo smb.conf, porém seguindo sua linha
lógica para o domínio que vc esta criando.
[global]
unix charset = LOCALE
workgroup = METROSUL
netbios name = WDC
interfaces = lo, eth0
bind interfaces only = Yes
passdb backend = ldapsam:ldap://srv05-cwb.metrosul.intranet
username map = /etc/samba/smbusers
log level = 2
syslog = 0
log file = /var/log/samba/%m
max log size = 5000
smb ports = 139 445
name resolve order = wins bcast hosts
name resolve order = bcast hosts
time server = Yes
printcap name = CUPS
show add printer wizard = No
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
logon script = %U.bat
logon drive = H:
domain logons = Yes
prefered master = Yes
wins support = Yes
ldap suffix = dc=metrosul,dc=intranet
ldap machine suffix = ou=Computadores
ldap user suffix = ou=Usuarios
ldap group suffix = ou=Grupos
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=informatica,dc=metrosul,dc=intranet
idmap backend = ldap:ldap://srv05-cwb.metrosul.intranet
idmap uid = 10000-20000
idmap gid = 10000-20000
map acl inherit = Yes
printing = cups
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
printer admin = root, administrator, administrator
os level = 32
domain master = Yes
strict locking = Yes
dos charset = cp850
display charset = UTF8
unix charset = cp850
#
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
[printers]
comment = SMB Print Spool
path = /var/spool/samba
guest ok = Yes
printable = Yes
browseable = No
[netlogon]
comment = Network Logon Service
path = /opt/samba/netlogon
guest ok = Yes
locking = No
[profiles]
comment = Profile Share
path = /home/%U/profiles
read only = No
profile acls = Yes
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
browseable = yes
guest ok = no
read only = yes
write list = root
Agora precisamos fazer o teste do arquivo smb.conf para que nćo tenhamos
que passar por riscos mais tarde.
Executar o comando:
[root@srv05-cwb root]# testparm
Onde teremos como resultado:
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[printers]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[print$]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Após ele parar nessa tela pressionamos a tecla ENTER, onde irá aparecer toda
a configuraçćo que fizemos do smb.conf.
Agora precisamos de uma maneira simples e eficaz deletar alguns arquivos
de base de senhas e também de log do samba.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
[root@srv05-cwb root]# rm /etc/samba/*tdb
[root@srv05-cwb root]# rm /var/lib/samba/*tdb
[root@srv05-cwb root]# rm /var/lib/samba/*dat
[root@srv05-cwb root]# rm /var/log/samba/*
Pronto, o que precisamos agora é gerar a senha nova para o samba. Lembra
aquela senha que criamos lá no ldap que depois utilizamos o comando slappasswd,
entćo agora vocÄ™ terá que criar a mesma senha para o samba, com o seguinte
comando:
[root@srv05-cwb samba]# smbpasswd -w MINHA_SENHA
Onde teremos como resultado:
Setting stored password for "cn=informatica,dc=metrosul,dc=intranet" in secrets.tdb
Com todas essas configurações e também detalhes que tivemos que seguir
vamos iniciar o serviço do samba na rede.
[root@srv05-cwb samba]# service smb status
smbd está parado
nmbd está parado
[root@srv05-cwb samba]# service smb start
Iniciando SMB services (smbd): [ OK ]
Iniciando NMB services (nmbd): [ OK ]
OK, iniciamos o processo do samba. Teremos que visualizar toda a
configuraçćo que efetuamos no arquivo /etc/samba/smb.conf e também aquela
configuraçćo, quando digitamos testparm ,porém agora com o serviço no AR.
Devemos prestar muita atençćo para saber se realmente o resultado do arquivo é
compatível com o que inserimos.
[root@srv05-cwb samba]# smbclient -L localhost -U%
Domain=[METROSUL] OS=[Unix] Server=[Samba 3.0.10]
Sharename Type Comment
--------- ---- -------
accounts Disk Accounting Files
service Disk Financial Services Files
pidata Disk Property Insurance Files
netlogon Disk Network Logon Service
profiles Disk Profile Share
profdata Disk Profile Data Share
print$ Disk Printer Drivers
IPC$ IPC IPC Service (Samba 3.0.10)
ADMIN$ IPC IPC Service (Samba 3.0.10)
Domain=[METROSUL] OS=[Unix] Server=[Samba 3.0.10]
Server Comment
--------- -------
WDC Samba 3.0.10
Workgroup Master
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
--------- -------
METROSUL PDC
Com os serviços samba e ldap no ar (Caso vocÄ™ nćo tenha certeza e deseja
visualizá- los se estćo ou nćo no AR, basta apenas digitar: service ldap status ou
service smb status, ambos devem estar rodando)vocÄ™ precisará nesse momento
gerar o SID do sistema samba.
[root@srv05-cwb samba]# net getlocalsid
Se ele apresentar o seguinte erro:
[2005/03/10 21:57:06, 0] lib/smbldap.c:smbldap_search_suffix(1155)
smbldap_search_suffix: Problem during the LDAP search: (No such object)
Nćo fique assutando pois esse erro irá desaparecer quando criarmos as
entidades do domínio dentro do LDAP. Mas no final das contas ele terá que enviar
para vocÄ™ o SID da máquina.
SID for domain PDC is: S-1-5-21-2857088929-2129263254-937994244
Após vocÄ™ gerar o SID, ele irá dispor o mesmo em nosso arquivo de
segurança do samba, que no caso é: /etc/samba/secrets.tdb . Caso ele nćo informe
o SID para vocÄ™, vocÄ™ precisa seguir os passos para deletar os arquivos do SID, no
caso o arquivo secrets.tdb.
Com isso agora devemos desligar o processo samba novamente.
[root@srv05-cwb samba]# service smb stop
Interrompendo SMB services (smbd): [ OK ]
Interrompendo NMB services (nmbd): [ OK ]
INFORMATIVO: Gostaria de deixar bem sucinto que se vocÄ™ leu a
documentaçćo, passo a passo e também seguiu todas as instruções nela inseridas
acho difícil vocÄ™ chegar até aqui, ou melhor chegar até esse evento e nćo ter tido
sucesso.
Agora caso vocę realmente nćo teve sucesso em alguma atividade onde
nessa documentaçćo esteja descrita, acho melhor vocÄ™ parar por aqui, pois nćo
adianta vocÄ™ ir adiante pois agora é a parte que requer maiores detalhes, mas se
vocÄ™ obteve sucesso até aqui PARABÉNS, agora precisamos ir para a parte mais
delicada da instalaçćo porém nćo há maiores complicações.
Eu tive a pacięncia de fazer um BACKUP inteiro de minha estrutura para que
possamos ter todas as informações e resultados daqui para frente. Acredito que
seja interessante tambem agora que estamos com o LDAP e o SAMBA instalado
depois de nćo muitos esforços, que vocÄ™ vá dar uma descansada e também relaxar
um pouco pois daqui para frente vocÄ™ precisará de muita anteçćo.!!
Como sempre tudo há sugestões, eu deixaria uma sugestćo super peculiar:
Revise tudo que vocÄ™ vez até agora e veja se tudo esta de acordo com o que vocÄ™
necessita e se possível faça vocÄ™ mesmo denovo para fins educativos e para
entender cara processo no qual vocÄ™ criou o seu LDAP e o seu SAMBA.
Pronto!!
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
- Configurando os scripts's IDEALX.
Vamos instalar agora os scripts's do IDEALX. Antes de tudo devemos verificar
se a versćo que vem juntamente com o Conectiva 10 esta instalado:
[root@srv05-cwb smbldap-tools]# rpm -qa | grep smbldap-tools
smbldap-tools-0.8.5-50747U10_3cl
Aconselho a remover essa instalaçćo pois esse pacote que vem junto com o
Conectiva 10 nćo esta confiável, pois eu executei alguns testes com o pacote
smbldap- tools- 0.8.7 e o mesmo apresentou maior estabilidade e também atendeu
muito melhor minhas necessidades.
Entćo vocę deve acessar o site http:/ /samba.idealx.org/dist / e fazer um
download do pacote smbldap- tools- 0.8.7.tgz. Claro que vocÄ™ poderá estar lendo
essa documentaçćo e ter uma nova atualizaçćo do pacote, mas eu digo que nessa
nessas circunstâncias esta se apresentando muito estável.
Feito isso descompacte em uma área aonde vocÄ™ pode trabalhar com os
arquivos de maneira tranquila. Eu no caso utilizarei como exemplo o diretório /
opt/smbldap- tools- 0.8.7 .
[root@srv05-cwb root]# cd /opt
[root@srv05-cwb opt]# tar xzvf /root/Backup/smbldap-tools-0.8.7.tgz
smbldap-tools-0.8.7/
smbldap-tools-0.8.7/FILES
smbldap-tools-0.8.7/smbldap.conf
smbldap-tools-0.8.7/TODO
smbldap-tools-0.8.7/smbldap-populate
smbldap-tools-0.8.7/configure.pl
smbldap-tools-0.8.7/smbldap-userdel
smbldap-tools-0.8.7/Makefile
smbldap-tools-0.8.7/smbldap_bind.conf
smbldap-tools-0.8.7/smbldap-usershow
smbldap-tools-0.8.7/README
smbldap-tools-0.8.7/CONTRIBUTORS
smbldap-tools-0.8.7/smbldap-passwd
smbldap-tools-0.8.7/smbldap-usermod
smbldap-tools-0.8.7/COPYING
smbldap-tools-0.8.7/doc/
smbldap-tools-0.8.7/doc/html/
smbldap-tools-0.8.7/doc/html/smbldap-tools003.html
smbldap-tools-0.8.7/doc/html/previous_motif.gif
smbldap-tools-0.8.7/doc/html/smbldap-tools005.html
smbldap-tools-0.8.7/doc/html/smbldap-tools004.html
smbldap-tools-0.8.7/doc/html/smbldap-tools001.html
smbldap-tools-0.8.7/doc/html/smbldap-tools007.html
smbldap-tools-0.8.7/doc/html/index.html
smbldap-tools-0.8.7/doc/html/smbldap-tools006.html
smbldap-tools-0.8.7/doc/html/smbldap-tools.html
smbldap-tools-0.8.7/doc/html/smbldap-tools008.html
smbldap-tools-0.8.7/doc/html/smbldap-tools002.html
smbldap-tools-0.8.7/doc/html/smbldap-tools009.html
smbldap-tools-0.8.7/doc/html/contents_motif.gif
smbldap-tools-0.8.7/doc/html/next_motif.gif
smbldap-tools-0.8.7/doc/html/smbldap-tools010.html
smbldap-tools-0.8.7/doc/smbldap-migrate-groups
smbldap-tools-0.8.7/doc/smbldap-tools.pdf
smbldap-tools-0.8.7/doc/smbldap-migrate-unix-groups
smbldap-tools-0.8.7/doc/smbldap-migrate-unix-accounts
smbldap-tools-0.8.7/doc/smbldap-migrate-accounts
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
smbldap-tools-0.8.7/smb.conf
smbldap-tools-0.8.7/INSTALL
smbldap-tools-0.8.7/smbldap-groupmod
smbldap-tools-0.8.7/smbldap_tools.pm
smbldap-tools-0.8.7/ChangeLog
smbldap-tools-0.8.7/smbldap-useradd
smbldap-tools-0.8.7/smbldap-userinfo
smbldap-tools-0.8.7/INFRA
smbldap-tools-0.8.7/smbldap-groupdel
smbldap-tools-0.8.7/smbldap-groupshow
smbldap-tools-0.8.7/smbldap-groupadd
Renomeie o diretório smbldap- tools- 0.8.7 para smbldap- tools
[root@srv05-cwb opt]# mv smbldap-tools-0.8.7/ smbldap-tools
Após a descompactaçćo to sistema de script's do smbldap- tools, devemos
acessar o diretório para configurarmos toda a estrutura dos script's para a inserçćo
do nosso sistema.
Antes de mais nada devemos dar uma lida ou pelo menos uma olhada no
arquivo INSTALL , pois nele contém uma informaçćo muito importante, que seria a
instalaçćo de um módulo do perl Crypt::SmbHash . Para vocÄ™ instalá- lo, basta
apenas vocÄ™ digitar o seguinte comando:
[root@srv05-cwb log]# apt-get install perl-crypt-smbhash
Lendo Listas de Pacotes... Feito
Construindo Árvore de DependÄ™ncias... Feito
Os seguintes pacotes NOVOS serćo instalados:
perl-crypt-smbhash
0 atualizados, 1 novos instalados, 0 removidos e 2 nćo atualizados.
É preciso obter 13,3kB de arquivos.
Após desempacotar 22,0kB de espaço adicional serćo utilizados.
Get:1 ftp://ftp.unicamp.br 10/i386/updates perl-crypt-smbhash 0:0.02
Obtidos 13,3kB em 4s (2960B/s)
Aplicando modificações...
Preparando...
############################# [100%]
1:perl-crypt-smbhash ############# [100%]
Feito.
Temos instalado a biblioteca perl- crypt- smbhash instalada e pronta para
atender nossas necessidades da estrutura de script's do smbldap- tools.
Siga os seguintes passos agora:
[root@srv05-cwb smbldap-tools]# mkdir /etc/smbldap-tools
[root@srv05-cwb smbldap-tools]# cp smbldap-* /usr/local/sbin/
[root@srv05-cwb smbldap-tools]# cp smbldap_tools.pm /usr/local/sbin/
[root@srv05-cwb smbldap-tools]# cp smbldap*conf /etc/smbldap-tools/
[root@srv05-cwb smbldap-tools]# chmod 644 /etc/smbldap-tools/*
Precisamos editar o arquivo smbldap_tools.pm para mudar as linhas que
configuram o diretório /etc/smbldap- tools/ e seus respectivos arquivos
inseridos.
[root@srv05-cwb smbldap-tools]# vi smbldap_tools.pm
VocÄ™ deve alterar os seguintes campos:
my $smbldap_conf="/etc/opt/IDEALX/smbldap-tools/smbldap.conf";
my $smbldap_bind_conf="/etc/opt/IDEALX/smbldap-tools/smbldap_bind.conf";
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
As alterações devem ser as seguintes:
my $smbldap_conf="/etc/smbldap-tools/smbldap.conf";
my $smbldap_bind_conf="/etc/smbldap-tools/smbldap_bind.conf";
Com isso precisamos rodar o script configure.pl na shell para
configurarmos a estrutura de scripts's que iremos utilizar.
[root@srv05-cwb smbldap-tools]# ./configure.pl
Unrecognized escape \p passed through at ./configure.pl line 194.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
smbldap-tools script configuration
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Before starting, check
. if your samba controller is up and running.
. if the domain SID is defined (you can get it with the 'net getlocalsid')
. you can leave the configuration using the Crtl-c key combination
. empty value can be set with the "." caracter
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Looking for configuration files...
Samba Config File Location [/etc/samba/smb.conf] >
Certifique- se de que os script's estćo linkados diretamente para o arquivo
smb.conf .
smbldap Config file Location (global parameters) [/etc/smbldap-tools/smbldap.conf] >
Veja se a localidade do smbldap.conf esta apontando dessa maneira.
smbldap Config file Location (bind parameters) [/etc/smbldap-tools/smbldap_bind.conf] >
Mesma coisa para o smbldap_bind.conf .
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Let's start configuring the smbldap-tools scripts ...
. workgroup name: name of the domain Samba act as a PDC
workgroup name [METROSUL] >
Veja se é isso domínio que vocÄ™ criou para sua rede.
. netbios name: netbios name of the samba controler
netbios name [PDC] >
Veja se esse é o nome da máquina que vc esta criando para o domínio.
. logon drive: local path to which the home directory will be connected (for NT Workstations).
Ex: 'H:'
logon drive [X:] > H:
Esse é o drive do controlador de domínio que irá mapear o diretório do
usuário na rede. Eu no caso utilizei a leta H . Essa opçćo vocÄ™ também pode
ajustar conforme a sua necessidade.
. logon home: home directory location (for Win95/98 or NT Workstation).
(use %U as username) Ex:'\\PDC\home\%U'
logon home (leave blank if you don't want homeDirectory) [\\PDC\home\%U] > \\PDC\%U
Essa opçćo fará com que o diretório do usuário seja acessado diretamente
através do sistema de arquivos do controlador de domínio, como nós informamos
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
na configuraçćo do arquivo /etc/samba/smb.conf , referente a opçćo [homes]
. logon path: directory where roaming profiles are stored. Ex:'\\PDC\profiles\%U'
logon path (leave blank if you don't want roaming profile) [\\PDC\profiles\%U] > \\PDC\%
U\profiles
Essa opçćo é para vocÄ™ indicar onde será o diretório de logon da rede. Eu
deixei o diretório corrente do usuário, tendo um profiles para cada um específico.
. home directory prefix (use %U as username) [/home/%U] >
. default user netlogon script (use %U as username) [%U.cmd] > %U.bat
Indica a variável do script padrćo para que execute no momento da
inicializaçćo do usuário.
default password validation time (time in days) [45] > 30
Informa a validade de expiraçćo da senha dos usuários criados no login.
. ldap suffix [dc=metrosul,dc=intranet] >
Infoma a estrutura base do LDAP
. ldap group suffix [ou=Grupos] >
Informa a base dos Grupos padrões.
. ldap user suffix [ou=Usuarios] >
Informa a base dos Usuários padrões.
. ldap machine suffix [ou=Computadores] >
Informa a base dos Computadores padrões
. Idmap suffix [ou=Idmap] >
Informa a base dos Idmap padrões.
. sambaUnixIdPooldn: object where you want to store the next uidNumber
and gidNumber available for new users and groups
sambaUnixIdPooldn object (relative to ${suffix}) [cn=NextFreeUnixId] >
Informa um novo grupo para geraçćo automática do ID do usuário a ser
criado na base do LDAP.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value in scalar chomp at ./configure.pl line 138, line 17.
Use of uninitialized value in hash element at ./configure.pl line 140, line 17.
Use of uninitialized value in concatenation (.) or string at ./configure.pl line 144, line
17.
Use of uninitialized value in string at ./configure.pl line 145, line 17.
ldap master server [] > 127.0.0.1
Vocę deve informar o IP do servidor LDAP ou o próprio loopback.
. ldap master port [389] >
. ldap master bind dn [cn=informatica,dc=metrosul,dc=intranet] >
. ldap master bind password [] > MINHA_SENHA
Necessita informar a senha que vocÄ™ colocou no LDAP e no SAMBA.
. ldap slave server: IP adress or DNS name of the slave ldap server: can also be the master one
Use of uninitialized value in scalar chomp at ./configure.pl line 138, line 21.
Use of uninitialized value in hash element at ./configure.pl line 140, line 21.
Use of uninitialized value in concatenation (.) or string at ./configure.pl line 144, line
21.
Use of uninitialized value in string at ./configure.pl line 145, line 21.
ldap slave server [] > 127.0.0.1
VocÄ™ também deve criar a estrutura slave caso vocÄ™ nćo tenha um servidor
LDAP secundário. Essa estrutura slave vocÄ™ pode apontar diretamente para o
servidor master.
. ldap slave port [389] >
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
. ldap slave bind dn [cn=informatica,dc=metrosul,dc=intranet] >
. ldap slave bind password [] > MINHA_SENHA
. ldap tls support (1/0) [0] >
TLS é uma ferramenta de encriptaçćo, pode desligá- la porque nós iremos um
sistema de criptografia SSHA.
. SID for domain METROSUL: SID of the domain (can be obtained with 'net getlocalsid PDC')
SID for domain METROSUL [S-1-5-21-2857088929-2129263254-937994244] >
Aqui ele verifica o SID que deve ser o mesmo apresentado quando vocÄ™ digia
net getlocalsid e gera o SID da máquina em questćo.
. unix password encryption: encryption used for unix passwords
unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] >
Deixar nativo o padrćo de encriptaçćo SSHA .
. default user gidNumber [513] >
. default computer gidNumber [515] >
. default login shell [/bin/bash] >
. default domain name to append to mail adress [] > metrosul.com.br
Informe o domínio que seus usuários irćo utilizar para envio e recebimento
de E-mail, onde vocÄ™ poderá criar uma estrutura tanto para comunicar E-mail
apenas pela INTRANET ou também para a INTERNET. No meu caso estou
mencionando o domínio da INTERNET para que o mesmo seja controlado tanto
internamente quando externamente.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
backup old configuration files:
/etc/smbldap-tools/smbldap.conf->/etc/smbldap-tools/smbldap.conf.old
/etc/smbldap-tools/smbldap_bind.conf->/etc/smbldap-tools/smbldap_bind.conf.old
writing new configuration file:
/etc/smbldap-tools/smbldap.conf done.
/etc/smbldap-tools/smbldap_bind.conf done.
Nesse processo final ele gera os arquivos mediante as configurações que
vocÄ™ inseriu na configuraçćo do arquivo executável ./configure.pl .
Pronto, agora além de estarmos com o LDAP configurado, o SAMBA
configurado estamos com os script's que gerenciam os serviços também postos
para o controle e gerenciamento da estrutura.
- Criando as bases do sistema LDAP para o SAMBA.
Poderiamos estar utilizando as ferramentas que se encontram disponíveis
para o LDAP (chamada migration- tools), migrando minha base de dados hoje
existente no ambiente samba- 2.x.x para a base desse nova samba- 3.0.10, porém
nesse caso em específico que estamos lidando, estou criando uma base composta
pela estrutura de diretórios onde irá consistir minha real infra- estrutura no quisito
administraçćo dos usuários da rede. Deixando claro também que caso haja
interesse de alguém migrar eu aconselharia a passar por um processo de leitura do
sistema de script's que existe já disponível na INTERNET chamado Migration- Tools.
Uma outra questćo só para deixar explicado também é que existem várias
maneiras para administrar usuários, grupos e computadores, porém a maneira
mais simples que achei fora através dos script's do smbldap- tools. Existe uma
documentaçćo no site do samba dizendo para vc criar script's na mćo mesmo,
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
pode se utilizar também pois eu criar das duas maneiras, porém a mais simples e
eficaz para quem quer despejar a soluçćo completa seria essa. O site seria:
http://us2.samba.org/samba/docs/man/Samba-Guide/happy.html#ch6-bigacct
O script que cria a base dos usuaios no LDAP é o smbldap- populate , ele
vem junto com o pacote do smbldap- tools- 0.8.7.tgz
Nós iremos enconrar dentro do diretório /usr/local/sbin o arquivo
smbldap- populate , onde se alguém quiser se arriscar a criar a base de usuários
personalizadas em portuguęs mediante a estrutura, basta apenas editar o arquivo e
mudar a estrutura de criaçćo dos diretórios.
Irei nessa documentaçćo informar as linhas que se deve Alterar:
[root@srv05-cwb sbin]# vi /usr/local/sbin/smbldap-populate
Editado o arquivo digitar os seguintes comandos:
:%s/Domain Admins/Administradores Dominio/g
:%s/Domain Users/Usuarios Dominio/g
:%s/Domain Guests/Convidados Dominio/g
:%s/Domain Computers/Computadores Dominio/g
:%s/Administrators/Administradores/g
:%s/Print Operators/Operadores Impressao/g
:%s/Backup Operators/Operadores Backup/g
:%s/Replicators/Replicadores/g
Após essas alterações salve e saia do arquivo smbldap- populate e execute
ele, digitando smbldap- populate .
[root@srv05-cwb root]# smbldap-populate
Using workgroup name from smb.conf: sambaDomainName=METROSUL
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
=> Warning: you must update smbldap.conf configuration file to :
=> sambaUnixIdPooldn parameter must be set to "sambaDomainName=METROSUL,dc=metro
sul,dc=intranet"
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Using builtin directory structure
adding new entry: dc=metrosul,dc=intranet
adding new entry: ou=Usuarios,dc=metrosul,dc=intranet
adding new entry: ou=Grupos,dc=metrosul,dc=intranet
adding new entry: ou=Computadores,dc=metrosul,dc=intranet
adding new entry: ou=Idmap,dc=metrosul,dc=intranet
adding new entry: sambaDomainName=METROSUL,dc=metrosul,dc=intranet
adding new entry: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranet
adding new entry: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranet
adding new entry: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranet
adding new entry: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet
Agora ele criou toda a estrutura que iremos utilizar para o controle da base e
do controlador de domínio que estamos criando.
Temos também que tomar nota de que o aviso que ele informa no momento
em que ele cria a base devemos executar também.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Vamos verificar a mensagem de aviso:
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
=> Warning: you must update smbldap.conf configuration file to :
=> sambaUnixIdPooldn parameter must be set to "sambaDomainName=METROSUL,dc=metro
sul,dc=intranet"
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Isso quer dizer que no arquivo smbldap.conf dentro do diretório
/etc/smbldap- tools teremos que alterar a linha sambaUnixIdPooldn para a
nova regra criada pelos script's.
[root@srv05-cwb root]# vi /etc/smbldap-tools/smbldap.conf
Procuraremos a linha: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}" .
E alterá- la para:
sambaUnixIdPooldn= sambaDomainName=Metrosul,dc=metrosul,dc=intranet
OK!! Agora executado todas essas alterações, vamos reiniciar todos os
serviços que necessitamos para o funcionamento da soluçćo total.
[root@srv05-cwb root]# service ldap restart
Desligando ldap: [ OK ]
Iniciando ldap: [ OK ]
Reiniciando processo LDAP.
[root@srv05-cwb root]# service smb restart
Interrompendo SMB services (smbd): [FALHOU]
Interrompendo NMB services (nmbd): [FALHOU]
Iniciando SMB services (smbd): [ OK ]
Iniciando NMB services (nmbd): [ OK ]
Reinciando o processo do SAMBA.
Agora vamos para os testes para saber se o aplicativo SAMBA esta integrado
do a base do LDAP.
[root@srv05-cwb root]# slapcat
dn: dc=metrosul,dc=intranet
objectClass: dcObject
objectClass: organization
o: metrosul
dc: metrosul
structuralObjectClass: organization
entryUUID: 71b52522-26a1-1029-8c9f-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174755Z
entryCSN: 2005031117:47:55Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174755Z
dn: ou=Usuarios,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Usuarios
structuralObjectClass: organizationalUnit
entryUUID: 71faa8cc-26a1-1029-8ca0-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174756Z
entryCSN: 2005031117:47:56Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174756Z
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
dn: ou=Grupos,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Grupos
structuralObjectClass: organizationalUnit
entryUUID: 721dbc90-26a1-1029-8ca1-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174756Z
entryCSN: 2005031117:47:56Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174756Z
dn: ou=Computadores,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Computadores
structuralObjectClass: organizationalUnit
entryUUID: 723e06c6-26a1-1029-8ca2-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174756Z
entryCSN: 2005031117:47:56Z#0x0003#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174756Z
dn: ou=Idmap,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Idmap
structuralObjectClass: organizationalUnit
entryUUID: 725d8a78-26a1-1029-8ca3-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174757Z
entryCSN: 2005031117:47:57Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174757Z
dn: sambaDomainName=METROSUL,dc=metrosul,dc=intranet
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaDomainName: METROSUL
sambaSID: S-1-5-21-2857088929-2129263254-937994244
uidNumber: 1000
gidNumber: 1000
structuralObjectClass: sambaDomain
entryUUID: 72949a72-26a1-1029-8ca4-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174757Z
entryCSN: 2005031117:47:57Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174757Z
dn: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranet
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 998
homeDirectory: /home/Administrator
sambaPwdLastSet: 0
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\Administrator\profiles\
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaLMPassword: XXX
sambaNTPassword: XXX
sambaAcctFlags: [U ]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
structuralObjectClass: inetOrgPerson
entryUUID: 731da63c-26a1-1029-8ca5-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174758Z
entryCSN: 2005031117:47:58Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174758Z
dn: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranet
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\nobody\profiles
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU ]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998
loginShell: /bin/false
structuralObjectClass: inetOrgPerson
entryUUID: 739f9e1c-26a1-1029-8ca6-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
entryCSN: 2005031117:47:59Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
cn: Administradores Dominio
memberUid: Administrator
description: Netbios Domain Administradores
sambaSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaGroupType: 2
displayName: Administradores Dominio
structuralObjectClass: posixGroup
entryUUID: 73ac580a-26a1-1029-8ca7-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
entryCSN: 2005031117:47:59Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Usuarios Dominio
description: Netbios Usuarios Dominio
sambaSID: S-1-5-21-2857088929-2129263254-937994244-513
sambaGroupType: 2
displayName: Usuarios Dominio
structuralObjectClass: posixGroup
entryUUID: 73f6a086-26a1-1029-8ca8-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
entryCSN: 2005031117:47:59Z#0x0003#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Convidados Dominio
description: Netbios Convidados Dominio Users
sambaSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaGroupType: 2
displayName: Convidados Dominio
structuralObjectClass: posixGroup
entryUUID: 7400bdfa-26a1-1029-8ca9-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
entryCSN: 2005031117:47:59Z#0x0004#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 515
cn: Computadores Dominio
description: Netbios Computadores Dominio accounts
sambaSID: S-1-5-21-2857088929-2129263254-937994244-515
sambaGroupType: 2
displayName: Computadores Dominio
structuralObjectClass: posixGroup
entryUUID: 740a06ee-26a1-1029-8caa-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174759Z
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
entryCSN: 2005031117:47:59Z#0x0005#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174759Z
dn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administradores
description: Netbios Domain Members can fully administer the computer/sambaDom
ainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administradores
structuralObjectClass: posixGroup
entryUUID: 7427448e-26a1-1029-8cab-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0001#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Operadores Impressao
description: Netbios Domain Operadores Impressao
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Operadores Impressao
structuralObjectClass: posixGroup
entryUUID: 7436fcd0-26a1-1029-8cac-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0002#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Operadores Backup
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Operadores Backup
structuralObjectClass: posixGroup
entryUUID: 74497db0-26a1-1029-8cad-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0003#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
dn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
cn: Replicadores
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicadores
structuralObjectClass: posixGroup
entryUUID: 745a2566-26a1-1029-8cae-aba83bbe2ca1
creatorsName: cn=informatica,dc=metrosul,dc=intranet
createTimestamp: 20050311174800Z
entryCSN: 2005031117:48:00Z#0x0004#0#0000
modifiersName: cn=informatica,dc=metrosul,dc=intranet
modifyTimestamp: 20050311174800Z
Esse seria o resultado que o comando slapcat , deverá informa para vocÄ™.
Lógico que seu SID será praticamente diferente do que esta no exemplo. No caso
todos os SID's que ele irá gerar serćo específicos da sua máquina.
Temos que saber também se foi criado o repositório idmap
[root@srv05-cwb root]# slapcat | grep -i idmap
dn: ou=Idmap,dc=metrosul,dc=intranet
ou: Idmap
Esse resultado mostra que fora criado um repositório de dados para a
estrutura do idmap .
Agora para finalizarmos tanto os testes como também saber se esta tudo de
acordo com nossa instalaçćo, iremos fazer um teste com o LDAP.
[root@srv05-cwb root]# ldapsearch -x -b "dc=metrosul,dc=intranet" "(ObjectClass=*)"
Irá gerar um resultado de todas as saídas do repositório de dados do LDAP.
# extended LDIF
#
# LDAPv3
# base with scope sub
# filter: (ObjectClass=*)
# requesting: ALL
#
# metrosul.intranet
dn: dc=metrosul,dc=intranet
objectClass: dcObject
objectClass: organization
o: metrosul
dc: metrosul
# Usuarios, metrosul.intranet
dn: ou=Usuarios,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Usuarios
# Grupos, metrosul.intranet
dn: ou=Grupos,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Grupos
# Computadores, metrosul.intranet
dn: ou=Computadores,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Computadores
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
# Idmap, metrosul.intranet
dn: ou=Idmap,dc=metrosul,dc=intranet
objectClass: organizationalUnit
ou: Idmap
# METROSUL, metrosul.intranet
dn: sambaDomainName=METROSUL,dc=metrosul,dc=intranet
objectClass: sambaDomain
objectClass: sambaUnixIdPool
sambaDomainName: METROSUL
sambaSID: S-1-5-21-2857088929-2129263254-937994244
uidNumber: 1000
gidNumber: 1000
# Administrator, Usuarios, metrosul.intranet
dn: uid=Administrator,ou=Usuarios,dc=metrosul,dc=intranet
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 998
homeDirectory: /home/Administrator
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\Administrator\profiles\
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaLMPassword: XXX
sambaNTPassword: XXX
sambaAcctFlags: [U ]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
# nobody, Usuarios, metrosul.intranet
dn: uid=nobody,ou=Usuarios,dc=metrosul,dc=intranet
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\netlogon
sambaHomeDrive: H:
sambaProfilePath: \\PDC\nobody\profiles
sambaPrimaryGroupSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU ]
sambaSID: S-1-5-21-2857088929-2129263254-937994244-2998
loginShell: /bin/false
# Administradores Dominio, Grupos, metrosul.intranet
dn: cn=Administradores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Administradores Dominio
memberUid: Administrator
description: Netbios Domain Administradores
sambaSID: S-1-5-21-2857088929-2129263254-937994244-512
sambaGroupType: 2
displayName: Administradores Dominio
# Usuarios Dominio, Grupos, metrosul.intranet
dn: cn=Usuarios Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Usuarios Dominio
description: Netbios Usuarios Dominio
sambaSID: S-1-5-21-2857088929-2129263254-937994244-513
sambaGroupType: 2
displayName: Usuarios Dominio
# Convidados Dominio, Grupos, metrosul.intranet
dn: cn=Convidados Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Convidados Dominio
description: Netbios Convidados Dominio Users
sambaSID: S-1-5-21-2857088929-2129263254-937994244-514
sambaGroupType: 2
displayName: Convidados Dominio
# Computadores Dominio, Grupos, metrosul.intranet
dn: cn=Computadores Dominio,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 515
cn: Computadores Dominio
description: Netbios Computadores Dominio accounts
sambaSID: S-1-5-21-2857088929-2129263254-937994244-515
sambaGroupType: 2
displayName: Computadores Dominio
# Administradores, Grupos, metrosul.intranet
dn: cn=Administradores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administradores
description: Netbios Domain Members can fully administer the computer/sambaDom
ainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administradores
# Operadores Impressao, Grupos, metrosul.intranet
dn: cn=Operadores Impressao,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Operadores Impressao
description: Netbios Domain Operadores Impressao
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Operadores Impressao
# Operadores Backup, Grupos, metrosul.intranet
dn: cn=Operadores Backup,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Operadores Backup
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Operadores Backup
# Replicadores, Grupos, metrosul.intranet
dn: cn=Replicadores,ou=Grupos,dc=metrosul,dc=intranet
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicadores
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicadores
# search result
search: 2
result: 0 Success
# numResponses: 17
# numEntries: 16
Esse é o repositório que geramos no LDAP. Isso significa que se vocÄ™ chegou
até aqui.... PARABÉNS!!!
VocÄ™ mandou muitoooo bem...!!
Vamos fazer outros testes agora com a base de usuários e grupos.
[root@srv05-cwb root]# getent passwd | grep Domain
Administrator:x:998:512:Netbios Domain Administrator:/home/Administrator:/bin/false
Esse é o relacionamento do usuário que criamos com o smbldap- tools
[root@srv05-cwb root]# getent group | grep Dominio
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Administradores Dominio:x:512:Administrator
Usuarios Dominio:x:513:
Convidados Dominio:x:514:
Computadores Dominio:x:515:
E esses sćo os grupos que criamos para a estrutura do repositório do LDAP.
O Å›ltimo teste que podemos fazer para finalizar nossa instalaçćo e certificar
que o SAMBA e LDAP estćo 100%. seria com o comando:
[root@srv05-cwb root]# smbclient -L localhost -U%
Com isso aparecerá vários resultados a respeito do seu SAMBA.
Algumas pessoas tem curiosidade de saber o que a outra utiliza, entćo irei
mostrar minha interface de trabalho com a imagem do meu DeskTop.
É gente essa é minha interface de trabalho. Coloquei isso aqui apenas para
descontrarir nessa documentaçćo também. Agora vamos ao que interessa!
- Criaçćo e manutençćo de usuários e Grupos na rede.
Bem eu sei que muita gente adora ferramentas para gerenciamento gráfico.
Na verdade eu também gosto, mas em muitos casos ela atrapalha ou melhor
prejudica vocÄ™ a aprender mesmo como é que realmente a ferramenta trabalha ou
realmente como é que vocÄ™ pode ter resultados da ferramenta instalada.
Como vimos anteriormente nós montamos a ferramenta de script's para o
servidor smbldap- tools . Esses scripts sćo muito importantes vocę aprender a
trabalhar com eles. Em nosso caso irei mostrar como é que vocÄ™ cria, modifica ou
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
administra um usuário ou um grupo com essas ferramentas tćo interessantes, após
isso irei uma ferramenta gráfica também para controle. Mas como é de prache eu
prefiro realmente para minha interatividade e controle real mesmo as ferramentas
textos. Chega de PAPO e vamos ao trabalho.
Primeiramente devemos criar no diretório /etc/skel a estrutura que será
gerada quando um usuário for criado no sistema:
[root@srv05-cwb root]# mkdir /etc/skel/profiles
Agora vamos aos utilitários que criar e gerenciam o repositório LDAP.
[root@srv05-cwb root]# ls -al /usr/local/sbin/ | cut -d: -f2 | cut -d" " -f 2
144
.
..
smbldap-groupadd
smbldap-groupdel
smbldap-groupmod
smbldap-groupshow
smbldap-passwd
smbldap-populate
smbldap-useradd
smbldap-userdel
smbldap-userinfo
smbldap-usermod
smbldap-usershow
smbldap_tools.pm
Esses sćo os script's existentes para a administraçćo das informações do
repositório LDAP. Irei comentar um a um e fazer exemplos com cada um deles, mas
antes irei mencionar uma determinada tarefa.
Digamos que além de utilizar toda a estrutura de diretórios usado pelo
padrćo do sistema do SAMBA-3.x.x, agora nós gostariamos de criar também uma
estrutura pessoal da empresa onde teriamos os seguintes departamentos e
também os seguintes usuários:
Departamentos: Administrativo, Comercial, Oficina, Atacado, Peças.
Usuários: André Nogueira, Fábio Bortolotto, Fernando Veloso, Carlos Motta, Rodrigo
Vicente, Moises Cardoso, José Frederico e Marta Lima.
Esses usuários estariam dispostos em determinados grupos do sistema e
também vinculados aos seus departamentos. No seguinte exemplo:
Departamentos Usuários
Administrativo André Nogueira,
Marcos Oliveira,
Claudia Morales,
Fábio Bortolotto
Comercial Fernando Veloso,
Marcos Freitas.
Oficina Carlos Motta,
Rodrigo Vicente.
Atacado Moises Cardoso,
José Frederico.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Departamentos Usuários
Peças Marta Lima.
Entćo primeiramente vamos criar os grupos no sistema com o comando
smbldap- groupadd
[root@srv05-cwb root]# smbldap-groupadd -a Administrativo
[root@srv05-cwb root]# smbldap-groupadd -a Comercial
[root@srv05-cwb root]# smbldap-groupadd -a Oficina
[root@srv05-cwb root]# smbldap-groupadd -a Atacado
[root@srv05-cwb root]# smbldap-groupadd -a Pecas
Com isso nós criamos nossa estrutura dos grupos que iremos utilizar.
Agora iremos visualizar os grupos criados, com o seguinte comando:
[root@srv05-cwb root]# getent group
No resultado irá aparecer os grupos que estćo criados para vocÄ™ no sistema,
ou seja poderćo aparecer tanto os grupos que vocę criou na base do sistema
/etc/group como também os grupos que estćo no repositório LDAP.
Administradores Dominio:x:512:Administrator
Usuarios Dominio:x:513:
Convidados Dominio:x:514:
Computadores Dominio:x:515:
Administradores:x:544:
Operadores Impressao:x:550:
Operadores Backup:x:551:
Replicadores:x:552:
Administrativo:x:1000:
Comercial:x:1001:
Oficina:x:1002:
Atacado:x:1003:
Pecas:x:1004:
IMPORTANTE!! Nunca coloque no LDAP letras ou consoantes como por
exemplo: ç, á, Ä…, ć õ, é, ü, ou caracteres especiais. No caso esses caracteres ele nćo
aceita porém um fator agradável é que o espaço ele aceita numa boa.!!
Depois de criados os grupos vocÄ™ pode observá- los com o comando
smbldap- groupshow , onde esse comando mostra o resultado.
[root@srv05-cwb root]# smbldap-groupshow Usuarios Dominio
[root@srv05-cwb root]# smbldap-groupshow Convidados Dominio
[root@srv05-cwb root]# smbldap-groupshow Computadores Dominio
[root@srv05-cwb root]# smbldap-groupshow Administrativo
[root@srv05-cwb root]# smbldap-groupshow Comercial
[root@srv05-cwb root]# smbldap-groupshow Oficina
[root@srv05-cwb root]# smbldap-groupshow Atacado
[root@srv05-cwb root]# smbldap-groupshow Pecas
Outros comandos que eu denomino como importantes e fundamentais
também o administrador da rede ter noçćo seriam: smbldap- groumod e
smbldap- groudel
O smbdalp- groupmod ele modifica as informações do grupo em questćo.
Podemos pegar como exemplo, que vocÄ™ digitou o grupo Administrativo como
Amistravo e vocÄ™ agora quer alterar ou melhor modificar o nome.
[root@srv05-cwb root]# smbldap-groupmod -n administrativo amistravo
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Criados os grupos, modificado caso tenha digitado algo errado e visualizados
todos os grupos criados, agora iremos criar os usuários para acessar o sistema.
Para criar esse usuários temos como comando smbldap- useradd . Agora vamos
pegar pelas seguintes estruturas tanto do sistema quando dos grupos da empresa.
Os departamentos da empresćo sćo: Administrativo, Comercial, Oficina,
Atacado e Pecas.
Agora nós temos os grupos do sistema LDAP: Administradores Dominio,
Usuarios Dominio, Convidados Dominio, Computadores Dominio, Administradores,
Operadores Impressao, Operadores Backup, Replicadores.
Com isso teremos que colocar o usuário no departamento em que ele
trabalha e também no grupo que ele fará parte no sistema.
Criei como exemplo uma outra tabela para termos como base para
montarmos essa criaçćo de usuários com o programa smbldap- useradd .
Departamentos Usuários Grupo
Administrativo Andre Nogueira, Usuarios Dominio
Marcos Oliveira, Usuarios Dominio
Claudia Morales, Convidados Dominio
Fabio Bortolotto Administradores Dominio
Comercial Fernando Veloso, Usuarios Dominio
Marcos Freitas. Usuarios Dominio
Oficina Carlos Motta, Usuarios Dominio
Rodrigo Vicente. Usuarios Dominio
Atacado Moises Cardoso, Usuarios Dominio
Jose Frederico. Usuarios Dominio
Peças Marta Lima. Usuarios Domínio
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1000 -c "Andre Nogueira" -a andre.n
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1000 -c "Marcos Oliveira" -a marcos.o
[root@srv05-cwb root]# smbldap-useradd -m -g 514 -G 1000 -c "Claudia Morales" -a claudia.m
[root@srv05-cwb root]# smbldap-useradd -m -g 512 -G 1000 -c "Fabio Bortolotto" -a fabio.b
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1001 -c "Fernando Veloso" -a fernando.v
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1001 -c "Marcos Freitas" -a marcos.f
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Carlos Motta" -a carlos.m
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Rodrigo Vicente" -a rodrigo.v
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1003 -c "Moises Cardoso" -a moises.c
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Jose Frederico" -a jose.f
[root@srv05-cwb root]# smbldap-useradd -m -g 513 -G 1002 -c "Marta Lima" -a marta.l
Foram criados os usuarios diante das necessidades dos grupos e
departamentos da empresa. Vamos descrever sobre o comando smbldap- useradd
Opçćo: - m - Cria o diretório HOME do Usuário.
- g - Cria o grupo principal do usuário, no eu criei pelo gid do
grupo no caso 513 que significa que é o grupo Usuarios Convidados .
- G - Cria o grupo secundário do usuário no caso eu coloquei
o usuário no departamento dele. Novamente eu especifiquei o gid do grupo 1000
ao invés de digitar Administrativo .
- c - Coloca no parametro geos do repositório LDAP a
especificaçćo completa do usuário, em nosso caso colocar o nome completo do
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
usuário entre .
- a - O nome do usuário a ser criado.
Nós temos também os script's smbldap- usermod , smbldap- usershow e
smbldap- userdel que seria interessante vocÄ™ dar uma olhada para saber
administratar totalmente com as ferramentas via texto. Irei comentar um pouco
sobre esses script's mas seria muito interessante vocÄ™ mesmo aprender a lidar com
os mesmos, pois administrar via prompt de comando para mim é muito mais
simples e eficaz do que qualquer ferramenta WEB ou GUI, no caso gráfica.
Falando dos script's de administraçćo dos usuários do LDAP + SAMBA.
smbldap- usermod
Altera as informações do usuário em questćo. Onde vocÄ™
pode alterar toda e qualquer tipo de informaçćo do usuário
LDAP . Para help do comando basta digitar o mesmo.
smbldap- usershow
Mostra todas as informações do usuário solicitado. Ex:
smbldap- usershow fabio.b
smbldap- userdel
Remove toda e qualquer informaçćo do usuário do sistema
LDAP + SAMBA. Só tome cuidado com a opçćo - r desse
comando.
Existem vários comandos onde vocÄ™ poderá gerenciar, administrar e
consutlar os usuários também, irei citar alguns comandos:
getent;
id;
pdbedit;
net groupmap list;
smbldap- userinfo;
smbldap- passwd.
Porém esses comandos seria muito importante vocÄ™ mesmo dar uma olhada
no help dele. Mas acredito que irá tirar de letra.
- Instalaçćo do PHPLDAPADMIN para administraçćo WEB do LDAP.
Bem eu encontrei várias ferramentas para administraçćo WEB do serviço
LDAP, mas a que eu mais me simpatizei foi o phpldapadmin. Achei ela super
simples e eficaz, porém com um Å›nico defeito eu nćo encontrei uma maneira de
quando ele criar o usuário no sistema o mesmo criar também o diretório do
usuário. Pelo menos com a versćo que estou utilizando que seria o phpldapadmin-
0.9.5.tar.gz a mesma nćo consegue efetuar a criaçćo do diretório do usuário
correspondente, mas pelos scripts do smbldap- tools ele cria 100%. Eu nćo sei
necessariamente se é o phpldapadmin ou porque estou acessando ele de outra
máquina, pois a minha máquina de produçćo eu decidi nćo rodar o Apache, Mysql,
módulos do PHP e tudo mais. Eu tenho uma máquina hoje da minha INTRANET que
tem esses módulos exatamente para rodar a INTRANET. Entćo resolvi instalar nela
mesmo para administrar essa minha máquina com o LDAP.
RESUMINDO: Eu acredito que a melhor maneira para vocÄ™ utilizar essa
ferramenta seria apenas para administrar os usuários do sistema através de uma
ferramenta WEB. Mas para criar e remover usuários eu aconselharia os script's do
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
smbldap- tools, onde realmente eles sćo mais eficazes e melhores para vocę
gerenciar esses usuários do sistema.
Vamos os que interessa:
Primeiramente baixar o pacotes do phpldapadmin .
http://phpldapadmin.sourceforge.net/download.php
Após isso vamos primeiramente dar uma revisada nos pacotes necessários
para o phpldapadmin diante do servidor WEB.
apache-htpasswd-2.0.49-61251U10_2cl
apache-2.0.49-61251U10_2cl
php4-ldap-4.3.10-72720U10_5cl
php4-4.3.10-72720U10_5cl
Executar o seguinte comando para instalar os pacotes necessários:
[root@srv05-cwb root]# apt-get install apache php4 php4-ldap
Lendo Listas de Pacotes... Feito
Construindo Árvore de DependÄ™ncias... Feito
Os seguintes pacotes NOVOS serćo instalados:
apache php4 php4-ldap
0 atualizados, 3 novos instalados, 0 removidos e 2 nćo atualizados.
É preciso pegar 0B/4757kB de arquivos.
Após desempacotar 11,8MB de espaço adicional serćo utilizados.
Aplicando modificações...
Preparando... ##################### [100%]
1:apache ########################### [ 33%]
2:php4 ########################## [ 67%]
3:php4-ldap ######################### [100%]
Feito.
A instalaçćo dos pacotes feita da maneira correta, agora precisamos apenas
verificar se o apache esta de acordo com nossas necessidades.
Executar os seguintes passos:
[root@srv05-cwb /]# vi /etc/apache/conf/httpd.conf
Adicionar essa linha para:
#ServerName www.example.com:80
ServerName srv05-cwb.metrosul.intranet
Adicionar a Linha:
#DocumentRoot /srv/www/default/html
DocumentRoot "/usr/share/phpldapadmin"
Adicionar a Linha:
#
Demais configuraçćo sćo menos importantes o que realmente é importante é
a base que vocÄ™ irá direcionar para o phpldapadmin. Feita essas alteraçćo ou
melhor criada uma área para inserir o phpldapadmin, vamos a sua configuraçćo
que é mais importante do que a configuraçćo do APACHE.
[root@srv05-cwb /]#cd /usr/share
[root@srv05-cwb share]# tar xzvf /root/phpldapadmin-0.9.5.tar.gz
[root@srv05-cwb share]# mv phpldapadmin-0.9.5 phpldapadmin
[root@srv05-cwb share]# cd phpldapadmin
[root@srv05-cwb share]# cp config.php.example config.php
[root@srv05-cwb share]# vi config.php
Agora vamos editar o arquivo config.php , ou seja aqui também existem
uma série de variáveis onde vocÄ™ poderá personalizar de acordo com sua
necessidade. Entćo ao invés de ficar copiando eu irei pelo menos colocar meu
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
exemplo feito no arquivo.
$blowfish_secret = '';
// Your LDAP servers
$i=0;
$servers = array();
$servers[$i]['name'] = 'Lidersul LDAP';
$servers[$i]['host'] = 'srv05-cwb.metrosul.intranet';
$servers[$i]['base'] = 'dc=metrosul,dc=intranet';
$servers[$i]['port'] = 389;
$servers[$i]['auth_type'] = 'config';
$servers[$i]['login_dn'] = 'cn=informatica,dc=metrosul,dc=intranet';
$servers[$i]['login_pass'] = 'MINHA_SENHA';
$servers[$i]['tls'] = false;
$servers[$i]['low_bandwidth'] = false;
$servers[$i]['default_hash'] = 'crypt';
$servers[$i]['login_attr'] = 'dn';
$servers[$i]['login_string'] = 'uid=,ou=Usuarios,dc=metrosul,dc=intranet';
$servers[$i]['login_class'] = '';
$servers[$i]['read_only'] = false;
$servers[$i]['show_create'] = true;
$servers[$i]['enable_auto_uid_numbers'] = false;
$servers[$i]['auto_uid_number_mechanism'] = 'search';
$servers[$i]['auto_uid_number_search_base'] = 'ou=Usuarios,dc=metrosul,dc=intranet';
$servers[$i]['auto_uid_number_min'] = 1000;
$servers[$i]['auto_uid_number_uid_pool_dn'] = 'cn=uidPool,dc=metrosul,dc=intranet';
$servers[$i]['auto_uid_number_search_dn'] = '';
$servers[$i]['auto_uid_number_search_dn_pass'] = '';
$servers[$i]['disable_anon_bind'] = false;
$servers[$i]['custom_pages_prefix'] = 'custom_';
$servers[$i]['unique_attrs_dn'] = '';
$servers[$i]['unique_attrs_dn_pass'] = '';
Feita essas alterações necessárias vocÄ™ pode dar mais uma olhada no seu
arquivos e após todas essas modificaçćo vocÄ™ só irá precisar iniciar o serviço do
APACHE .
[root@srv254-cwb root]# service httpd restart
Stopping httpd: [ OK
]
Starting httpd: [ OK
]
Agora só precisamos acessar o site do phpldapadmin que executamos, onde
vocÄ™ irá encontrar toda a estutura de localizaçćo do serviço do LDAP + SAMBA +
PHPLDAPADMIN.
Mas volto a dizer uma coisa é muito importante vocÄ™ ter como base de
aplicaçćo para administraçćo de criaçćo de usuários e grupos, modificaçćo e
também controle dos mesmo com as ferramentas do smbldap- tools . Eu acredito
que essas ferramentas sćo mais eficientes do que o phpldapadmin que na verdade
ele é mais bonito.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Agora vamos nos preocupar com o SQUID para terminar essa nossa
integraçćo e depois falaremos das estações de trabalho Windows XP, 2000 e 2003.
- Configurando o SQUID para suporte a autenticaçćo LDAP.
Bem agora vamos para o mais simples da soluçćo e e muito interessante.
Fazer nosso sistema de cache de páginas e também de controle de acesso a
INTERNET autenticar os usuários no PROXY.
Caso vocÄ™ ainda nćo tem uma soluçćo de PROXY instalada em seu ambiente
eu o aconselho, por ser uma ferramenta muito interessante de monitoramento e
também configuraçćo acesso a sites. Por exemplo: Digamos que vocÄ™ tenha na sua
empresa mais de 200 computadores acessando a INTERNET e sites indevidos e
também vocÄ™ sabe que uma galera da empresa também passa o tempo vendo sites
de horóscopo, joguinhos, sexo e fulerajem que nćo tem nada haver com o intuito
da empresa. Entćo o que vocÄ™ pode fazer? ( Essa é a soluçćo).
Eu nćo irei descrever aqui toda a soluçćo do ambiente RPOXY mas na verdade
irei deixar uma pequena e misera contribuiçćo para que vc tenha um PROXY na sua
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
empresa Linux trabalhando bem bacaninha.
Também gostaria de deixar muito claro que eu nćo rodo o proxy dessa
soluçćo na mesma máquina em que esta rodando o LDAP + SAMBA e sim em uma
outra máquina semelhante para acessos da minha INTRANET.
Vamos ao que interessa.
[root@srv254-cwb root]# vi /etc/squid/squid.conf
#
# ---- Autor: Fábio Prando Bortolotto. ----
# ---- Data: 08 de março de 2005. ----
# ---- E-mail: zordybr@yahoo.com.br ----
# ---- UIN: 22422202 ----
# ---- MSN: zordybr@hotmail.com ----
#
# ---- Variaveis do Sistema de Proxy. ----
A porta em que o PROXY irá trabalhar.
http_port 85
O tempo que timeout.
dead_peer_timeout 10 seconds
Hierarquias de entrada do cgi- bin
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
Uma observaçćo muito importante é nessa Linha que significa a quantidade
de memória disponível para o PROXY, entćo veja o que é interessante para sua
soluçćo.
cache_mem 300 MB
Quantidade de utilizaçćo da SWAP.
cache_swap_low 30
cache_swap_high 35
Tamanho máximo dos objetos a serem armazenados do PROXY.
maximum_object_size 4096 KB
minimum_object_size 120 KB
maximum_object_size_in_memory 80 KB
Diretório de SPOOL do PROXY. E também nomenclarura de cache do mesmo.
cache_dir ufs /var/spool/squid 100 16 256
Arquivos de log's.
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
Tabelas das funções mime do PROXY.
mime_table /etc/squid/mime.conf
Onde irá gerar o PID do PROXY.
pid_filename /var/run/squid.pid
Forma em que o log irá se representar.
debug_options ALL,1
Modo de solicitaçćo do Acesso ao FTP.
ftp_passive on
Leitura do arquivo /etc/hosts
hosts_file /etc/hosts
Ferramentas de controle do PROXY. ( É Interessante dar uma olhada)
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
diskd_program /usr/lib/squid/diskd
unlinkd_program /usr/lib/squid/unlinkd
Quantidade de acessos a Navegadores.
redirect_children 5
redirect_rewrites_host_header on
#
# ---- Metodo de Autenticaçćo. ----
#
Informações gerais sobre a autenticaçćo do serviço do PROXY.
auth_param basic children 5
auth_param basic realm Metodo de Autenticaçćo para Navegaçćo
auth_param basic credentialsttl 15 minute
Essa duas linhas abaixo devem estar setadas em uma śnica linha.
E é ela que irá fazer as requisições de autenticaçćo no LDAP da REDE.
auth_param basic program /usr/lib/squid/squid_ldap_auth -b
ou=Usuarios,dc=metrosul,dc=intranet srv05-cwb.metrosul.intranet 389
authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
#
# ---- Sistemas de CACHE. ----
Informações do CACHE.
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
#
# ---- Definições Gerais. ----
negative_ttl 5 minutes
connect_timeout 2 minutes
peer_connect_timeout 30 seconds
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
half_closed_clients on
pconn_timeout 120 seconds
#
# ---- Configurações Gerais de ACL. ----
#
acl password proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 563
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
#
# ---- Configuraçćo de Acessos dos Usuário com Acesso MSN. ----
acl MSN req_mime_type -i ^application/x-msn-messenger$
# --------------------------------------------------
# ---- Configuraçćo dos Grupos e Acessos. ----
# --------------------------------------------------
#
# ---------------------------------------------------------------
# ---- Configuraçćo de Acesso TOTAL. ----
# ---------------------------------------------------------------
Essas linhas sćo as acl's que irćo liberar os acessos particulares a toda a
INTERNET, ou seja, o usuário, URL, Site ou IP da máquina que estiver cadastradas
nesses arquivos o mesmo será liberado acesso total a REDE.
Irei comentar linha por linha.
Essa linha refere- se ao arquivo criado dentro do diretório
/etc/squid/totalacesso/usuarios.txt que o usuário que estiver cadastrado nele
terá permissćo total a acessar qualquer SITE ou qualquer outra coisa que passe
pelo PROXY.
acl total.usuarios proxy_auth "/etc/squid/totalacesso/usuarios.txt"
Essa linha abaixo informa que toda e qualquer URL setada, toda a empresa
poderá acessar bem como consultar sem usuário ou senha a serem requeridos.
acl total.urls dst "/etc/squid/totalacesso/urls.txt"
Já esta linha abaixo informa que, todo e qualquer site inserido nesse arquivo
deixará o site com acesso a todos os usuários e máquinas da rede. Ou seja, o sites
que vocę colocar nessa lista Ex: .metrosul.com.br todos que estćo dentro da rede
poderćo ter acesso total ao conteśdo desse SITE.
Uma coisa muito importante é que se o SITE apontar para outro SITE um
LINK, o mesmo será bloqueado a nćo ser que vocÄ™ também coloque o LINK do
respectivo SITE também nessa tabela.
acl total.sites dstdomain "/etc/squid/totalacesso/sites.txt"
E nesse arquivo nós configuramos todas as máquinas que terćo acesso a
INTERNET sem solicitaçćo de usuário ou senha. Ou seja, o IP da máquina que
estiver cadastrado nesse arquivo, terá acesso total a INTERNET, sem solicitaçćo de
senha.
acl total.maquinas src "/etc/squid/totalacesso/maquinas-total.txt"
#
# --------------------------------------------------
# ---- Acesso aos Dpto's. ----
# --------------------------------------------------
Aqui vai alguns exemplos no caso dos dptos criados.
Cada dpto tem dois arquivos, no caso um arquivo refere- se aos usuários do
dpto e o outro arquivo os sites em que o dpto irá utilizar.
Ex: Digamos que eu tenha o usuário andre.n na minha rede e ele faz parte
do dpto administrativo e o mesmo acessa todos os sites do governo e também
alguns sites como por exemplo: www.cenofisco.com.br , www.equifax.com.br ,
www.hsbc.com.br , www.itau.com.br .
Entćo eu iria inserir o usuário nesse arquivo.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
acl adm.usuarios proxy_auth "/etc/squid/dptos/adm/usuarios.txt"
E os respectivos sites que ele tem acesso nesse outro arquivo.
O mesmo segue para os demais dptos.
ATENÇÃO: Todo o site cadastrado na lista de sites, tem que estar da seguinte
maneira:
acl adm.sites dstdomain "/etc/squid/dptos/adm/sites.txt"
Um breve exemplo do arquivo:
Editando o arquivo /etc/squid/dptos/adm/sites.txt
.gov.br
.cenofisco.com.br
.equifax.com.br
.hsbc.com.br
.itau.com.br
#
acl comercial.usuarios proxy_auth /etc/squid/dptos/comercial/usuarios.txt
acl comercial.sites dstdomain /etc/squid/dptos/comercial/sites.txt
#
acl oficina.usuarios proxy_auth /etc/squid/dptos/oficina/usuarios.txt
acl oficina.sites dstdomain /etc/squid/dptos/oficina/sites.txt
#
acl atacado.usuarios proxy_auth /etc/squid/dptos/atacado/usuarios.txt
acl atacado.sites dstdomain /etc/squid/dptos/atacado/sites.txt
#
acl pecas.usuarios proxy_auth /etc/squid/dptos/pecas/usuarios.txt
acl pecas.sites dstdomain /etc/squid/dptos/pecas/sites.txt
#
# --------------------------------------------------
# ---- Liberando sistema de Acesso ao Proxy. ----
# --------------------------------------------------
#
# ---- Regras de acesso HTTP_ACCESS. ----
#
# ---- Regras dos Sites padrões da Empresa. ----
Aqui é onde serćo liberadas todas aquelas regras do PROXY.
Acesso total as máquinas
http_access allow maquinas
Acesso total as URL's da empresa.
http_access allow totalacesso.urls
Acesso total aos respectivos sites.
http_access allow totalacesso.sites
Acesso total aos usuários.
http_access allow totalacesso.usuarios
# ---- Portas de Acesso ao Proxy da Rede. ----
Liberaçćo e bloqueio das respectivas portas de acesso.
http_access allow SSL_ports
http_access allow Chevrolet_Port
http_access allow Acpr_Port
http_access allow Https_Port
http_access allow Camera_Port
http_access deny MSN
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
#
# ------------------------------------------
# ---- Dptos. ----
# ------------------------------------------
Lista de acesso dos usuários respectivos aos seus SITES.
http_access allow adm.usuarios adm.sites
http_access allow comercial.usuarios comercial.sites
http_access allow oficina.usuarios oficina.sites
http_access allow atacado.usuarios atacado.sites
http_access allow pecas.usuarios pecas.sites
# ---- Configurações estáticas. ----
E aqui para quem quer se interessar é uma breve configuraçćo do PROXY.
http_reply_access allow all
icp_access allow all
cache_effective_user squid
error_directory /etc/squid/errors
coredump_dir /var/spool/squid
#
# ---- Fim do Arquivo. ----
Pronto feito isso e essas alteraçćo no arquivo do PROXY
/etc/squid/squid.conf , precisamos agora é criar aquela estrutura de arquivos dos
dpto's bem como os arquivos. OUTRO DETALHE IMPORTANTE É QUE OS ARQUIVOS
NÃO PODEM ESTAR VAZIOS DE MANEIRA NENHUMA, OU SEJA, OS ARQUIVOS DEVEM
CONTER PELO MENOS UM CARACTÉR DENTRO DELES, MESMO QUE ESSE CARACTÉR
NÃO FAÇA DIFERENÇA.
Executar os seguintes comandos:
[root@srv254-cwb root]# cd /etc/squid/
[root@srv254-cwb squid]# mkdir dptos
[root@srv254-cwb squid]# cd dptos/
[root@srv254-cwb dptos]# mkdir adm comercial oficina atacado pecas totalacesso
[root@srv254-cwb dptos]# vi usuarios.txt
(Dentro do arquivo:)
informatica
OBS: esse usuário pode estar criado dentro do LDAP mas nćo é necessário é
apenas para o arquivo ter algo como comentamos anteriormente.
[root@srv254-cwb dptos]#vi sites.txt
(Dentro desse arquivo:)
.metrosul.com.br
.chevrolet.com.br
.chevroletonline.com.br
[root@srv254-cwb dptos]# cp sites.txt usuarios.txt adm
[root@srv254-cwb dptos]# cp sites.txt usuarios.txt comercial
[root@srv254-cwb dptos]# cp sites.txt usuarios.txt oficina
[root@srv254-cwb dptos]# cp sites.txt usuarios.txt atacado
[root@srv254-cwb dptos]# cp sites.txt usuarios.txt totalacesso
[root@srv254-cwb dptos]# rm sites.txt usuarios.txt
[root@srv254-cwb dptos]# vi totalacesso/url.txt
(Dentro desse arquivo:)
207.110.84.14
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
200.184.79.12
[root@srv254-cwb dptos]# vi totalacesso/maquias-total.txt
(Dentro desse arquivo os IP's das máquinas que terćo acesso TOTAL:)
172.21.10.50
172.21.25.13
172.23.11.14
Portanto agora nossa estrutura do PROXY esta pronta para testarmos. Digite
o seguinte comando.
[root@srv254-cwb squid]# squid -z
Se aparecer esse resultado: 2005/03/17 20:56:49| Creating Swap Directories
E voltar para prompt de comando é porque suas regras do PROXY estćo 100%. se
der algo errado vocÄ™ terá que ver o erro e tentar descobrir qual é a linha que esta
dando erro. Nessas circunstâncias digo a vocÄ™ para ler certinho o log do erro e
tentar descobrir com as próprias mćos o erro do SQUID.
Agora se aparecer certinho essa linha para vocę vocę só precisa ativar o
serviço do PROXY digitando o seguinte comando:
[root@srv254-cwb squid]# service squid start
Starting squid: . [ OK ]
Prontinho agora seu SQUID também esta autenticando com a sessćo LDAP.
VocÄ™ só precisa configurar uma estaçćo WINDOWS XP, 2000 ou 2003 para finalizar
o processo dessa documentaçćo.
Que nćo bastasse nós colocamos 3 serviços fantásticos rodando em nossa
rede e agora também podemos gerar vários relatórios e resultados perante esses
serviços que estćo rodando na REDE. Existe um aplicado muito legal chamado
SARG, desenvolvido por um brasileiro mesmo sarg.sourceforge.net/maillist.php
que realmente é uma ferramenta muito bacana.
- Configurando uma estaçćo WINDOWS XP, para logar no ambiente
SAMBA + LDAP + SQUID.
Primeiramente devemos ter a máquina configurada de acordo com os
padrões da rede, ou seja colocando todas as informações necessárias para logar na
Rede.
Ediar as propriedades de conexćo do Windows editando o TCP/IP da placa de
Rede na qual esta disposta a conexćo de rede.
Nessa item iremos informar o IP da máquina bem como a máscara em que a
rede se encontra. Para quem quiser saber sobre esses vermelhos, na verdade eu
acho que nćo sćo informações importantes, pois esses tratan- se de configurações
direrentes de rede a rede.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Após isso devemos entrar nas propriedades AVANCADO.
Informar o Servidor WINS da rede, que nosso caso seria o IP do servidor
SAMBA da Rede e Ativar o NetBios sobre TCP/IP, podendo deixar Padrćo também.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Após confirmar o IP, devemos Acessar com o Botćo direito do mouse as
propriedades do Meu Computador para configurarmos o ambiente do domínio.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
VocÄ™ deve acessar o Item Nome do computador depois na descriçćo colocar as
informações de localizaçćo da rede ( Eu coloquei o IP + o nome do usuário que
utiliza a máquina) e clicar no botćo Alterar , onde agora iremos colocar a máquina
para responder pelo domínio.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Onde aqui informaremos o nome do computador, onde esse nome do
computador irá estar cadastrado do LDAP, na parte de Computadores. E no Item
Domínio onde estamos setando o domínio que será o administrador da Rede, que
no caso é nosso domínio que estamos criando.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Esse usuário e senha que ele informa é o usuário e senha do Administrador
do Domínio. Eu criei um usuário também chamado como root para exemplo, mas
isso nćo quer dizer que o usuário root do Linux que é o administrador do
Domínio METROSUL e sim pode ser definido qualquer nome de usuário que tenha
acesso a administraçćo do domínio. Esse usuário administrador nós criamos nos
passos de configuraçćo do smbldap- tools . Caso vocÄ™ nćo tenha criado nenhum
usuário com super poderes ai vai um exemplo para vocÄ™ aplicar no Servidor Samba.
[root@srv05-cwb /]# smbldap-useradd -m -a -u 0 -g 512 -c"Administrador do Dominio" pdcadmin
Aqui estaremos criando o usuário, e agora precisamos definir a sua senha.
[root@srv05-cwb /]# smbldap-passwd pdcadmin
Com isso ele dará uma msg no Linux informando que vocÄ™ deve reiniciá- lo
para que as alterações do domínio tenham efeito. Com isso eu digo PARABÉNS ,
vocÄ™ colocou uma máquina no domínio criado.
Se vocę tiver interesse vocę pode acessar o diretório /var/log/samba , ou no
diretório onde vocę colcou os log's do servidor samba e ver que ele criou alguns
arquivos e um deles é o nome da máquina que vocÄ™ criou e nesse arquivo vocÄ™
pode monitorar tudo o que esta acontecendo com a máquina no domínio.
Uma outra coisa interessante é vocÄ™ acessar o site do phpldapadmin do seu
servidor e verificar no item Computadores que tem uma máquina com o
respectivo nome criado.
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Projeto Servidor de Arquivos
Integraçćo do Samba + Squid + LDAP
Portanto agora basta vocÄ™ saber administradar direitinho esse servidor que
criaomos.
Cuidados e juízo é muito importante e nćo importe quantas vezes vocÄ™ teve
que ler essa documentaçćo para dar certo. Lembre- se de que vocÄ™ conseguiu e foi
capaz.
Parabéns e Sucesso!!
Por:Fábio Prando Bortolotto
Analise de Sistema de Segurança de Redes
E-mail: zordybr@hotmail.com
UIN: 22422202
Counter Linux: 131252
Lidersul Comércio de Veículos Ltda
Responsável Técnico: Fábio Prando Bortolotto
Data: 10 de Março de 2005
Wyszukiwarka
Podobne podstrony:
Samba 3 ldap PDC HOWTO Debian Sarge 3 1 (2005)
2005 11 Safe Harbor Implementing a Home Proxy Server with Squid
function ldap next entry
126@7 pol ed02 2005
06 2005 5 099
Samba mamba Pudelsi
Laszlo, Ervin The Convergence of Science and Spirituality (2005)
2005 09 38
C16 2005 cw08
2005 styczeń Śladami Stasia i Nel kryteria
function ldap set option
FOREX Systems Research Practical Fibonacci Methods For Forex Trading 2005
więcej podobnych podstron