LINUX AUTENTICANDO NO ACTIVE DIRECTORY
Esse post faz parte da seqüência sobre uso de software livre por pequanos e médios escritórios.
Objetivo: Configurar uma estação de trabalho LINUX, cujos usuários possam se autenticar no servidor AD (Windows).
Usarei um FEDORA CORE 8 pois, para mim, é a distribuição de instalação mais amigável, que requer pouquissimos conhecimentos de LINUX, com uma base mediana em windows.
Você precisará ter nocões básicas de rede como DHCP, IP, WINS, DNS e AUTENTICAÇÃO.
Partirei do princípio que já usa uma rede Windows 2003.
Realize uma instalação padrão do FEDORA, garantindo que o samba, winbind e krb5-client sejam instalados.
Após o primeiro boot pós instalação, surgirá o script de configuração inicial e, no item SElinux, escolha o item DESABILITADO, caso contrário terá problemas na seqüência de comandos. Apenas deixe o SElinux habilitado se você tiver domínio sobre seu uso, de modo que possa liberar algumas permissões aos usuários.
Após a configuração, faça o LOG IN com o usuário root, na interface GNOME.
No menu SISTEMA – ADMINISTRAÇÃO, escolha o item SERVIÇOS e selecione o SMB para inicilização automática, depois selecione o item AUTENTICAÇÃO do mesmo menu.
Na aba informações do usuário, habilite o item ATIVAR SUPORTE WINBIND e clique no botão CONFIGURAR WINBIND.
Preencha os campos conforme a imagem ao lado, considerando que REDE é o nome do domínio, LOCAL a extensão e SERVER é o servidor de AD. Habilite também a opção de LOGIN OFFLINE e clique em OK (Não use o botão JOIN DOMAIN).
Depois, na aba AUTENTICAÇÃO (AUTHENTICATION), habilite o suporte KERBEROS e clique no botão para configurá-lo.
Mais uma vez, preencha os campos conforme a imagem ao lado, tomando cuidado para manter a identificação das portas :88 e :749.
Por último, habilite o suporte ao SAMBA (SMB), clique em configurar e preencha o nome do grupo e do controlador de domínio, conforme a imagem ao lado.
ATENÇÃO: Caso o suporte Winbind (da aba autenticação) não esteja habilitado, habilite-o, clique em configurar e confirme os dados: Eles deverão estar preenchidos com os mesmos parâmetros do Winbind da aba Informações do usuário.
Nesse instante, você estará pronto para se logar no domínio, porém, ainda faltam algumas configurações para deixar essa autenticação útil.
Precisamos então informar ao PAM (pugglable authentication module) que, entre outras, ele deverá criar as pastas pessoais quando um usuário se loga pela primeira vez, assim como ocorre no Windows.
Então, abra uma sessão de terminal e insira uma linha acima da primeira linha iniciada com session, com o seguinte conteúdo: session required pam_mkhomedir.so skel=/etc/skel umask=0022, nos arquivos /etc/pam.d/login, /etc/pam.d/xdm, /etc/pam.d/gmd (para GNOME), /etc/pam.d/kdm (se você usa KDE).
Para finalizar os processos, temos agora que incluir o computador no domínio e solicitar um TICKET, que é a validação KERBEROS (entre o AD e o LINUX) para o usuário.
Você deve ter notado um botão, nas configurações do WINBIND, que permitia adicionar a máquina ao domínio, e deve ter notado que eu não usei esse recurso. Isso foi proposital pois, em caso de falha, a mensagem com o motivo não será exibida.
Para ver todas as mensagens possíveis, faremos a inclusão da máquina e a solicitação do TÍCKET pela própria sessão do terminal.
No prompt, digite o comando kinit usuário@REDE.LOCAL. Esse usuário deverá estar registrado no controlador de domínio, e sua senha será solicitada.
Depois, digite o comando net ads join REDE.LOCAL -U usuário. O usuário deve possuir direitos para incluir o computador no domínio, e sua senha será solicitada.
OBS.: Se houver divergência do horário do sistema, entre o servidor e a estação, você receberá uma mensagem do tipo “clock skew too great while getting initial credentials“, ajuste o horário da estação e tente novamente.
Feito isso, alguns serviços deverão ser reiniciados para efetivação das configurações. Para ser mais prático, vou na onda do Windows e sugiro que reinicie o sistema.
Se você conhece um pouco mais de LINUX, deve estar procurando os arquivos que devem ser configurados diretamente, sem a necessidade de uso da interface gráfica.
Em breve, publicarei uma matéria continuando com o assunto, indicando quais os arquivos que foram parametrizados nas janelas citadas.
Boa sorte.
Dúvidas, críticas, sugestões ? Deixe seu comentário.