******************************* modificação do nome do servidor
como se trata de um contentor lxc a alteração será feita na config
lxc.utsname = lxc_dc1.aefm.local
******************************* modificar o ficheiro /etc/resolv.conf
search aefm.local
nameserver 127.0.0.1
******************************* comentar na config da vm lxc_dc1 a linha seguinte para permitir a gestão de quotas e setfattr
#lxc.cap.drop = sys_admin
http://manpages.ubuntu.com/manpages/lucid/man7/capabilities.7.html
******************************* instalar
#apt-get install samba4 samba4-clients samba4-common-bin samba4-testsuite resolvconf cifs-utils
#apt-get install libpam0g-dev #https://wiki.samba.org/index.php/Samba4/Winbind
#wget http://www.samba.org/samba/ftp/stable/samba-4.0.9.tar.gz
#tar -zxvf samba-4.0.9.tar.gz
#cd samba-4.0.9
#./configure.developer --enable-debug --enable-selftest
#make
#make install
******************************* prover o domínio
#/usr/local/samba/bin/samba-tool domain provision --use-rfc2307 --interactive
responder às questões
******************************* testes
# /usr/local/samba/sbin/samba
# /usr/local/samba/bin/smbclient --version
Agora que vimos que está na mesma versão, então vamos testar a conexão:
# /usr/local/samba/bin/smbclient -L localhost -U%
O retorno do comando acima é para ser este:
Sharename Type Comment
--------- ---- -------
netlogon Disk
sysvol Disk
IPC$ IPC IPC Service (Samba 4.0.5)Se até agora não ocorreu nenhum erro, então está perfeito. Vamos testar a autenticação:
# /usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'P4ssW@rd' -c 'ls'
O retorno desse comando acima, é para ser este:
Domain=[TESTE] OS=[Unix] Server=[Samba 4.0.5]
. D 0 Thu Jan 10 08:00:36 2013
.. D 0 Thu Jan 10 08:02:28 2013Se o retorno foi este, então está tudo certo e podemos testar o DNS.
O DNS deverá ser na mesma máquina do AD open source, então, a máquina deverá estar configurada com IP estático, o "resolv.conf" deverá ser da seguinte forma:
# vim /etc/resolv.conf
domain TESTE.LOCAL
nameserver 127.0.0.1Com o "resolv.conf" apontando para a própria máquina, então vamos fazer o teste do DNS:
# host -t SRV _ldap._tcp.teste.local.
_ldap._tcp.teste.local has SRV record 0 100 389 arquivos.teste.local.
# host -t SRV _kerberos._udp.teste.local.
_kerberos._udp.teste.local has SRV record 0 100 88 arquivos.teste.local.
# host -t A arquivos.teste.local.
arquivos.teste.local has address 192.168.0.2
******************************* executar no arranque
#wget http://anonscm.debian.org/loggerhead/pkg-samba/samba4/unstable/download/head:/1833%40fc4039ab-9d04-0410-8cac-899223bdd6b0:trunk%252Fsamba4:debian%252Fsamba4.init/samba4.init -O /etc/init.d/samba4
# sed -i 's|/usr/sbin|/usr/local/samba/sbin|g' /etc/init.d/samba4
# sed -i 's|/etc/samba|/usr/local/samba/etc|g' /etc/init.d/samba4
# chmod 755 /etc/init.d/samba4
# update-rc.d samba4 defaults
******************************* configurar o kerberos
cp /usr/local/samba/private/krb5.conf /etc/
******************************* testar o kerberos
# kinit administrator@TESTE.LOCAL
Irá pedir a senha do Administrator que foi cadastrada no provisionamento, agora vamos verificar se ele gerou o ticket:
# klist
O retorno do comando acima será:
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@TESTE.LOCAL
Valid starting Expires Service principal
01/10/13 08:39:48 01/11/13 08:39:46 krbtgt/TESTE.LOCAL@TESTE.LOCALSe houver ticket, então significa que está tudo certo até o momento, então vamos para o próximo passo.
******************************* instalar o ntp server
#aptitude install ntpdate ntp
adicionar o que se segue a /etc/ntp.conf
ntpsigndsocket /usr/local/samba/var/lib/ntp_signd/
restrict default mssntp
reiniciar e verificar se está ok
#/etc/init.d/ntp restart
#ntpq -p
https://wiki.samba.org/index.php/Configure_NTP
******************************* instalar e configurar o winbind (necessário para aplicar os gpo e quotas)
# ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib/x86_64-linux-gnu/libnss_winbind.so
# ln -s /lib/x86_64-linux-gnu/libnss_winbind.so /lib/x86_64-linux-gnu/libnss_winbind.so.2
editar o ficheiro /etc/nsswitch.conf e adicionar a palavra winbind às entradas passwd e group. o resultado deve ser idêntico a este:
passwd: compat winbind
group: compat winbind
shadow: compat
******************************* testar o winbind
Confirmando que a biblioteca subiu:
# ldconfig -v | grep winbind
Testando se está tudo OK:
# /usr/local/samba/bin/wbinfo -p
Ping to winbindd succeeded
# /usr/local/samba/bin/wbinfo -u
...
Administrator
...Populando o passwd:
# getent passwd
...
Administrator:x:0:100::/home/Administrator:/bin/false
...Verificando se ficou tudo certo:
# id Administrator
uid=0(root) gid=100(users) groupes=0(root),100(users),3000004(Group Policy Creator Owners),3000008(Domain Admins)
Agora que o nosso S.O. está enxergando os usuários do domínio, vamos começar as configurações necessárias para as quotas de disco.
******************************* instalar o pam_winbind se quisermos que os utilizadores do domínio tenham acesso ao server - eu fiz isto
https://wiki.samba.org/index.php/Samba4/Winbind#Using_pam_winbind
******************************* instalar quota
aptitude install quota
alterar o fstab para incluir a opção de quotas no sistema de ficheiros:
UUID=0fc9f11f-7705-44ce-af05-9f8da7b99d4e /home ext4 defaults, usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0, user_xattr,acl,barrier=1 0 2
remontar a partição:
mount -o remount,rw /home
******************************* alterar a complexidade da password no domínio
/usr/local/samba/bin/samba-tool domain passwordsettings set --complexity=off --history-length=0 --min-pwd-age=0 --max-pwd-age=0
é isto!
falta integração com a edgebox...
ldapsearch - https://lists.samba.org/archive/samba/2012-January/165831.html
realizar uma pesquisa ldap no domínio - ldapsearch -b 'dc=aefm,dc=local' -D 'Administrator@aefm.local' -H 'ldap://lxc_dc1' -W
ativar operações anónimas no servidor ldap - http://support.microsoft.com/kb/326690/en-us
consulta anónima - ldapsearch -x -h lxc_dc1 -b dc=aefm,dc=local
ESQUECER - http://guide.debianizzati.org/index.php/Samba_e_OpenLDAP:_creare_un_con…
SEGUIR ESTE HOWTO quotas - http://www.vivaolinux.com.br/artigo/Samba-4-Active-Directory-no-DebianU…
http://www.mail-archive.com/samba@lists.samba.org/msg126941.html
rsat - http://www.skelleton.net/2012/08/01/setting-up-an-active-directory-with…
samba4 init script - https://wiki.samba.org/index.php/Samba4/InitScript
samba4 glusterfs - https://lists.samba.org/archive/samba/2013-March/171943.html
QUOTA - https://wiki.archlinux.org/index.php/Disk_Quota
SAMBA4 - base de dados - https://wiki.samba.org/index.php/Samba4/LDBIntro
Setting Up Roaming Profiles - https://wiki.samba.org/index.php/Samba_AD_management_from_windows#Setti…
nss-ldap - http://zachbethel.com/2013/04/10/linux-ldap-authentication-with-samba4/
Secure LDAP with Drupal 7 and Samba 4 DC - http://www.alexwyn.com/computer-tips/secure-ldap-drupal7-samba4