1 - instalalar o kerberes samba e squid
o kerberos se faz necessário para que o tráfego seja cifrado entre a máquina com samba+squid e o seu AD
não seu qual distro vc está usando, no meu caso foi a SUSE prefessional 9.3
eu instalei os seguintes pacotes:
kerberos+devels e libs
samba (se for a apartir do souce lemre de colocar o superte a winbind e ntlm )
winbind
as configurações:
para o kerberos fiz o seguinte:
[bdefaults]
default_realm = SEUDOMINIO.COM.BR (em maiusculo mesmo)
[realms]
SEUDOMINIO.COM.BR = {
kdc = SEUSERVERAD.COM.BR
kdc = SEUSERVERAD2.COM.BR
kdc = SEUSERVERADN.COM.BR
admin_server = SEUSERVERAD.COM.BR
}
[domain_realm]
.kerberor.server = SEUDOMINIO.COM.BR
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
}
Depois editei o /etc/nsswitch.conf nas linhas:
passwd: compat
group: compat
mudei para:
passwd: compat winbind
group: compat winbind
e para testar se o kerberos está OK faça o seguinte:
kinit [EMAIL PROTECTED]
será solicitada a senha
após isso se não houver nenhum erro, o kerberos terá estabelecido uma sessão com o AD
OBS: o horário da ma´quina linux e a máquina com o AD devem estar sincronizados, senão vai dar erro. A tolerancia de de no máximo 4 minitos de diferença
Continuando, para ver se a sua sessão está estabelecida digite no prompt
klist
que mostrará a sua sessão com o AD.
Depois foi a vez do samba, as configurações foram:
# Global parameters
[global]
unix charset = ISO-8859-1
workgroup = SEUDOMINIO_NETBIOS
realm = SEUDOMINIO.COM.BR
netbios name = SERVER
server string = Server
security = ADS (MUITO IMPORTANTE ISSO)
auth methods = winbind
password server = SEUAD.COM.BR
log file = /var/log/samba/log.%m
max log size = 1000
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
load printers = No
os level = 233
preferred master = No
local master = No
domain master = No
dns proxy = No
wins server = IP DO SERVER WINS
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /home/%U
template shell = /bin/bash
winbind separator = +
winbind cache time = 15
winbind use default domain = Yes
depois de configurar o samba, é so juntar ele no domínio, o comando abaixo faz isso:
net ads join -U [EMAIL PROTECTED]
será solicitada a senha e em seguida umas mensagens informando que seu linux é um servidor membro so seu domínio windows
AH!!! antes que esqueça você deve ter um servidor WINS para que isso tudo funcione, eu particularmente instalei no server windows mesmo, é so habilitar o serviço, não precisa configurar nada.
Voltando. Depois de vc ter configurado o kerberos , configurado o samba, juntou o samba no seu dominio windows instalou o servidor WINS e tudo deu certo SE DEUS QUISER.
É hora de testar se o seu samba consegue consultar informações no seu AD.
Use os seguintes comandos:
wbinfo -u (para listar os usuarios na AD)
wbinfo -g (para listar os grupos no AD)
se retornou a lista dos usuarios e grupos, blz vamos agora pra o squid.
Lembre-se de compilar o seu squid com suporte a winbind e autenticação ntlm
depois de compilado e instalado o seu squid, é so configurar apra ele requerer autenticação:
nas linhas de autenticação do arquivo de configuração do squid, faça o seguinte:
auth_param ntlm program /caminho/do/seu/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /caminho/do/seu/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
faça também ACLs requerindo a autenticação
depois é so iniciar o squid que ele vai estar pronto para a autenticação.
Algo interessante dessa configuração, é que ao colocar o IP do squid no navegador das máquinas windows, não vai aparecer a caixinha solicitando usuário e senha para navegar na NET... pois são usadas as credenciais do LOGON do usuario, muito bacana isso.
cara acho que é isso ai, espero ter ajudado.
2006/6/23, Tiago Durante <[EMAIL PROTECTED]>:
Bom dia Rogério!
On 6/23/06, Rogério Moura <[EMAIL PROTECTED]> wrote:
> Usa samba com winbind que funciona legal e o autenticador usa o ntlm_auth
É sobre esse cara mesmo que eu estou lendo, mas estou achando a
documentação que eu encontrei meio fraca ainda. Você tem algum
tutorial ou coisa do tipo de como foi feito isso? Qualquer dica é bem
vinda, pelo menos para eu poder determinar um caminho para seguir...
=)
Valeu!!!!!!
--
Tiago Durante
------------------------
slackware inside
be.happy|be.nerd
__._,_.___
Enviar mensagem: squid-br@yahoogrupos.com.br
Assinar: [EMAIL PROTECTED]
Cancelar assinatura: [EMAIL PROTECTED]
Proprietário da lista: [EMAIL PROTECTED]
Yahoo! Grupos, um serviço oferecido por: | |
|
Links do Yahoo! Grupos
- Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/squid-br/
- Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
- O uso que você faz do Yahoo! Grupos está sujeito aos Termos do Serviço do Yahoo!.