O documento descreve como configurar um servidor PDC (Primary Domain Controller) com Samba para fornecer autenticação de domínio, perfis de usuário móveis e aplicar políticas de grupo (GPOs) para controlar configurações de computadores. Ele aborda a instalação e configuração do Samba como PDC, mapeamento de grupos UNIX em grupos do domínio, compartilhamentos mapeados durante o login e criação de GPOs usando o Poledit.
Utilizando o samba como servidor de domínio primário
1. Montando um servidor PDC com perfis móveis e aplicando GPO’s
Sistemas Operacionais de Rede
Carlos Melo
Utilizando o samba como servidor de domínio primário
Dentro de uma organização a noção de estações de trabalho tem graves limitações, a necessidade de
trabalhos em equipe e a alta disponibilidade dos arquivos que trafegam na rede requer uma nova estrutura,
assim vamos trabalhar com o samba funcionando como controlador de domínio solitário da rede, nesta
conformação ele terá as funções de servidor de arquivo de usuários, servidor de autenticação e de controle
dos objetos da unidade organizacional, neste caso das pastas compartilhadas e, dos usuários e grupos.
Com proceder:
Vamos precisar de duas máquinas virtuais, uma com o windowsXP e outra com o Debian com o
samba instalado;
Configure as máquinas de tal maneira que as suas placas de rede virtual trabalhem no modo host
only, como indicado na figura;
Configure os IP’s :
o 172.16.0.5 – máquina Windows XP;
o 172.16.0.4 – máquina Debian.
Teste a conectividade das máquinas;
Se os passos acima foram cumpridos podemos passar para a configuração do servidor samba.
Configurando o samba, modificando o smb.conf
Crie as pastas que serão utilizadas pelo servidor na pasta /var/pub, são elas:
1. Netlogon: onde iremos armazenar os arquivos que controlam as informações de logon de cada seção
do usuário, esta pasta tem permissão de rwx para todos os usuários;
2. Profiles: armazena os arquivos de criação do usuário durante a utilização da sua seção;
3. profilesNT: armazena as pastas e arquivos da seção do usuário, pasta meu documentos, por
exemplo. Estas pastas
2. Montando um servidor PDC com perfis móveis e aplicando GPO’s
Sistemas Operacionais de Rede
Carlos Melo
A configuração do smb.conf deve estar como indicado abaixo:
[global]
workgroup=main
admin users=admin
security = user
netbios name=pdc
encrypt passwords = yes
domain logons = yes
local master=yes
domain master=yes
preferred master=yes
logon drive = H:
logon path = %LprofilesNT%U
logon home = %Lprofiles%U
preserve case = yes
short preserve case = yes
case sensitive = no
passdb backend=tdbsam
[profiles]
path = /var/pub/profiles
read only = no
create mask = 0600
directory mask = 0700
[profilesNT]
path = /var/pub/profilesNT
read only = no
create mask = 0600
directory mask = 0700
[netlogon]
path=/var/pub/netlogon
read only=no
writeable=yes
browseable=no
Crie um usuário admin, que será o administrador do nosso domínio, não esqueça de mudar o nome do seu
domínio.
#useradd –d /dev/null –s /Bin/false admin
#smbpasswd -a admin
Cadastre a máquina Windows XP no seu servidor, e a coloque no domínio.
Mapeando grupos UNIX em Grupos de domínio
Crie os grupos através do comando:
#addgroup nomeGrupo
Depois use o comando abaixo para mapeá-lo:
#net sam mapunixgroup nomeGrupo
Mapeando compartilhamentos durante o logon:
3. Montando um servidor PDC com perfis móveis e aplicando GPO’s
Sistemas Operacionais de Rede
Carlos Melo
1. Crie os compartilhamentos;
2. Dê as permissões adequadas;
3. Crie o netlogon.bat (no notepad), com a seguinte estrutura:
net groupmap add ntgroup="Atendimento"
unixgroup=atendimento
net groupmap add ntgroup="admin" unixgroup=admin
net groupmap add ntgroup="diretoria"
unixgroup=diretoria
:a
%logonserver%netlogonifmember.exe "atendimento"
if not errorlevel 1 goto b
net use z: 192.168.1.227atendimento
goto quit
:b
%logonserver%netlogonifmember.exe "admin"
if not errorlevel 1 goto c
net use z: 192.168.1.227admin
goto quit
:c
%logonserver%netlogonifmember.exe "diretoria"
if not errorlevel 1 goto quit
net use z: 192.168.1.227diretoria
goto quit
:quit
4. Copie a aplicação ifmember.exe para a pasta netlogon.
Configurando GPO
Políticas de grupo são diretivas de configuração de estações utilizando o PDC como meio para aplicá-las, o
PDC pode aplicar as GPO’s tanto a usuários específicos como a grupos, ou seja ele aplica as políticas aos
objetos da nossa unidade organizacional.
Com o PDC configurado com as etapas acima vamos criar as políticas.
Criando as políticas
Vamos utilizar o poledit para criar as políticas, ele pode ser instalado pela intranet, você também vai precisar
dos templates, eles são os arquivos *.adm que pode ser encontrado também na INTRANET.
Poledit
Execute o arquivo poledit.exe, clique em options->template options, selecione os arquivos *.adm de
acordo como visto na figura abaixo, clique em ok.
4. Montando um servidor PDC com perfis móveis e aplicando GPO’s
Sistemas Operacionais de Rede
Carlos Melo
Clique em new, delete o default user e crie o grupo alunos.
Dê um duplo clique no objeto alunos e passe a configuração dos mesmos.
Faça a configuração como na figura abaixo selecionando a caixa que controla o comportamento do
teu sistema operacional.
Ative a opção control panel, ela bloqueia o acesso deste grupo as configurações de vídeo.
Fiquem a vontade para testar quaisquer configuração que desejarem.
Salve as modificações o resultado vai ser um arquivo *.pol, salve-o como NTConfig.pol, não esqueça
de colocar desta forma, o UNIX é case sensitive.
Coloque este arquivo na sua pasta netlogon no servidor.
5. Montando um servidor PDC com perfis móveis e aplicando GPO’s
Sistemas Operacionais de Rede
Carlos Melo
Cadastre dois usuários um que pertença ao grupo e outro que não pertença, segue abaixo o script
para cadastrar os usuários AddUser.sh e AddUserAluno.sh;
#! /bin/bash
#Carlos Melo, 09/2009
useradd -d /dev/null -s /bin/false $1
echo -e "senainsenain" | smbpasswd -s -a $1
mkdir -p /var/pub/profiles/$1
mkdir -p /var/pub/profilesNT/$1
chown $1.$1 /var/pub/profiles/$1
chown $1.$1 /var/pub/profilesNT/$1
chmod 700 /var/pub/profiles/$1
chmod 700 /var/pub/profilesNT/$1
#! /bin/bash
#Carlos Melo
useradd -d /dev/null -s /bin/false $1
echo -e "senainsenain" | smbpasswd -s -a $1
mkdir -p /var/pub/profiles/$1
mkdir -p /var/pub/profilesNT/$1
chown $1.$1 /var/pub/profiles/$1
chown $1.$1 /var/pub/profilesNT/$1
chmod 700 /var/pub/profiles/$1
chmod 700 /var/pub/profilesNT/$1
adduser $1 alunos