Tutori al completo de implementação de LDAP + Samba + Squid |
Considerações iniciais
Este tutorial, criado por Braulio Gomes, aborda a criação de um servidor Samba baseado em banco de dados LDAP com suporte a autenticação de usuários, tanto pelo Samba quanto pelo Squid.
Tutorial criado em: 30/06/2006
Plataforma: Slackware 10.2
Versão do Tutorial: TUTORIAL-LDAP-1.0
Licença: LDP ( Linux Documentation Project )
Reduzir custo gerencial é papel de todo bom administrador. Nada mais recomendável então, para se iniciar uma boa gestão de TI, do que manter centralizado o máximo possível de informações. Tecnologicamente falando, uma base centralizada de usuários (e permissões à estes usuários) deixou de ser simplesmente uma opção de implementação e tornou-se uma real necessidade.
Isso se tornou bastante popular, os sistemas operacionais Microsoft Windows NT e Windows 2000 fazem uso de uma base de dados centralizada para manter a organização de todas as informações da rede: trata-se do Active Directory, que é o serviço de diretório implementado pela Microsoft para servir como depósito concentrador de informações comuns (objetos). São exemplos de objetos do Active Directory: contas de usuários, grupos de usuários, impressoras de rede, políticas de controle, etc.
O fato do sistema operacional Linux estar conquistando cada vez mais espaço dentro das corporações (atuando tanto como servidores quanto como estações de trabalho), incentivou a comunidade Open Source a integrá-lo às já existentes "redes Windows". É exatamente aí que entra o Samba, que faz a gerência de sistemas heterogêneos.
É bem verdade que máquinas com Linux e executando Samba podem completamente substituir os controladores de domínio (PDC e BDCs), mas AINDA não podem por si só implementar o Active Directory (característica esta que certamente estará presente na versão 4 do Samba). Sendo assim vemos a necessidade de colocar ambos sistemas operacionais para se comunicar em um ambiente de rede; e conseguimos tal feito graças ao protocolo SMB.
Neste documento será abordado em todos os detalhes necessários em como montar um Primary Domain Server (PDC) utilizando Samba + OpenLDAP. Este documento não aborda a explicação teórica, mas sim a parte prática de tudo isso.
Minha intenção na elaboração dessa solução é a unificação da autenticação dos usuários da empresa, podendo assim os clientes acessarem todos os serviços disponibilizados utilizando apenas 1 (um) usuário e senha.
|
|
Pacotes utilizados
|
Instalando O Cyrus-Sasl
O Cyrus-Sasl é um pacote de autenticação segura que vamos usar para o Samba:
# tar -zxvf cyrus-sasl-2.1.22.tar.gz
# cd cyrus-sasl-2.1.22
# ./configure --with-bdb-libdir=/usr/lib --with-bdb-incdir=/usr/include/db4
# make
# make install
Se tudo correu bem, vamos criar um link simbólico para que o LDAP consiga acessar o DB. Para isso faça o comando:
# ln -s /usr/local/lib/sasl2 /usr/lib/sasl2
OBS: É necessário que seu sistema tenha o DB4 instalado.
Atualize a biblioteca do seu sistema rodando o comando:
# ldconfig
|
|
Instalando o OpenLDAP
O LDAP (Lightweight Directory Access Protocol) é um protocolo utilizado pelos servidores para concentrar informações em um repositório logicamente organizado. É graças a ele que informações comuns podem ser inseridas, alteradas, excluídas e consultadas de uma espécie de "banco de dados de informações". Ao se registrar um usuário no domínio, por exemplo, as informações referentes a esse usuário estarão armazenadas e disponíveis graças ao uso deste protocolo. Por sua vez, o OpenLDAP é uma implementação OpenSource do LDAP.
# tar -zxvf openldap-2.3.24.tgz
# cd openldap-2.3.24
# env CPPFLAGS="-I/usr/include/db4" LDFLAGS="-L/usr/lib" ./configure --enable-crypt
# make depend
# make
# make install
Configurando o servidor LDAP
No pacote do Samba existe o "samba.schema", que será necessário aqui. Vamos apenas descompactar o Samba:
# tar -zxvf samba-3.0.20.tar.gz
Agora basta copiar o arquivo "samba.schema" para que seja carregado no LDAP:
# cp /opt/ldap/samba-3.0.20/examples/LDAP/samba.schema /usr/local/etc/openldap/schemas
Lembrando que o "qmail.schema" foi incluído porque usarei esta mesma base para a autenticação no Postfix, que instalarei futuramente.
O nosso slapd.conf, que está no diretório /usr/local/etc/openldap/slapd.conf, deverá ficar da seguinte forma:
OBS: O rootpw deve ser gerado com slappasswd.
| # slapd.conf
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/samba.schema
include /usr/local/etc/openldap/schema/qmail.schema
pidfile /usr/local/var/run/slapd.pid
argsfile /usr/local/var/run/slapd.args
database bdb
suffix "dc=linuxajuda,dc=org"
rootdn "cn=administrador,dc=linuxajuda,dc=org"
rootpw {SSHA}KwwbIdAjWcAOlxLjgq0O4iRnl7C05NhZ
directory /usr/local/var/openldap-data
password-hash {CRYPT}
password-crypt-salt-format "$1$.8s"
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,mailAlternateAddress,givenname,accountStatus,mailHost,deliveryMode eq
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
index default sub
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read |
|
Populando o LDAP
Como nossa base é bem simples, basta criar um arquivo chamado /root/base.ldif com o seguinte conteúdo:
| dn: dc=linuxajuda,dc=org
dc: linuxajuda
objectClass: top
objectClass: domain
dn: ou=Usuarios,dc=linuxajuda,dc=org
ou: Usuarios
objectClass: top
objectClass: organizationalUnit
dn: ou=Grupos,dc=linuxajuda,dc=org
ou: Grupos
objectClass: top
objectClass: organizationalUnit
dn: ou=Computadores,dc=linuxajuda,dc=org
ou: Computadores
objectClass: top
objectClass: organizationalUnit |
Agora é só incluir essas entradas no LDAP usando o comando abaixo:
# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/base.ldif
Enter LDAP Password:
adding new entry "dc=linuxajuda,dc=org"
adding new entry "ou=Usuarios,dc=linuxajuda,dc=org"
adding new entry "ou=Grupos,dc=linuxajuda,dc=org"
adding new entry "ou=Computadores,dc=linuxajuda,dc=org"
Com isso nossa base já está inicializada, um simples "ldapsearch -x" mostra como ela ficou.
Agora migraremos nossas contas do sistema para o LDAP usando o MigrationTools.
|
|
Migrando os grupos e usuários
Agora migraremos nossas contas do sistema para o LDAP:
# tar zxvf MigrationTools.tgz
# cd MigrationTools-47
Edite o arquivo migrate_common.ph e altere as seguintes linhas:
| $NAMINGCONTEXT{'passwd'} = "ou=Usuarios";
$NAMINGCONTEXT{'group'} = "ou=Grupos";
$DEFAULT_MAIL_DOMAIN = "linuxajuda.org";
$DEFAULT_BASE = "dc=linuxajuda,dc=org";
$DEFAULT_MAIL_HOST = "mail.linuxajuda.org"; |
Salve e execute o seguinte comando para gerar o arquivo "grupos.ldif", que conterá todos os grupos do sistema:
# ./migrate_group.pl /etc/group /root/grupos.ldif
Com isso ele irá gerar o arquivo /root/grupos.ldif com as entradas necessárias para o LDAP.
Agora vamos inserir as entradas dos grupos no LDAP:
# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/grupos.ldif
Pronto! Ele adicionou todos os grupos do sistema no LDAP. Não podemos esquecer de adicionar também os usuários:
# ./migrate_passwd.pl /etc/passwd /root/usuarios.ldif
# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/usuarios.ldif
Pronto, nossa base do sistema já esta ok, basta agora informarmos para o sistema se autenticar no LDAP.
|
|
Nss_ldap
Instale o pacote de configurações de contas:
# tar zxvf nss_ldap.tgz
# cd nss_ldap-251
# ./configure
# make
# make install
É necessário modificar o arquivo /etc/ldap.conf:
| host 127.0.0.1
base dc=linuxajuda,dc=org
rootbinddn cn=administrador,dc=linuxajuda,dc=org |
Vamos agora modificar as linhas do /etc/nsswitch.conf, esse arquivo é onde o sistema busca as informações de login.
Altere as seguintes linhas para que fique assim:
| passwd: files ldap
shadow: files ldap
group: files ldap
passwd: compat ldap
group: compat ldap |
Agora vamos testar o LDAP:
# id root
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy)
se você verificar nos logs, vai ver que ele buscou as entradas no LDAP:
# tail /var/log/debug
Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH base="dc=tropical,dc=local" scope=2 deref=0 filter="(&(objectClass=posixGroup))"
Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH attr=cn userPassword memberUid gidNumber
Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SEARCH RESULT tag=101 err=0 nentries=44 text=
Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH base="dc=tropical,dc=local" scope=2 deref=0 filter="(&(objectClass=posixGroup))"
Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH attr=cn userPassword memberUid gidNumber
Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SEARCH RESULT tag=101 err=0 nentries=44 text=
Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH base="dc=tropical,dc=local" scope=2 deref=0 filter="(&(objectClass=posixGroup)(gidNumber=512))"
Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH attr=cn userPassword memberUid gidNumber
Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 29 17:17:03 tropical slapd[2521]: conn=11 fd=12 closed (connection lost)
Bom, o LDAP já está funcionando!
|
|
Samba
Vamos agora à parte que devemos ter mais atenção, que é a do Samba.
Como já tínhamos descompactado anteriormente, vamos entrar no diretório dele:
# cd samba-3.0.20
# env CPPFLAGS="-I/usr/local/include/"
# ./configure --bindir=/usr/local/bin --sbindir=/usr/local/sbin --libexecdir=/usr/local/libexec --with-configdir=/etc/samba --with-mandir=/usr/local/man --with-logfilebase=/var/log/samba --enable-cups --with-smbmount --with-ldapsam --with-syslog --with-quotas --with-acl-support --with-ads --enable-debug --with-winbind --with-krb5=/usr --enable-krb5developer
OBS: As duas últimas opções, --with-krb5=/usr e --enable-krb5developer, use somente se você tiver o kerberos instalado, caso contrário não precisa.
# make
# make install
Vamos agora ao smb.conf, depois de uns três dias ralando em cima do Samba, pude realmente chegar a configuração ideal para ele implementado ao LDAP. Segue o smb.conf:
| [global]
workgroup = LINUXAJUDA
netbios name = PDC-SRV
server string = Slackware
security = user
encrypt passwords = yes
guest account = nobody
log file = /var/log/samba/%m.log
max log size = 50
os level = 100
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
admin users = administrador root
logon script = %U.bat
logon path = %Lprofiles%U
hosts allow = 10.0.0. 127.
wins support = no
dns proxy = no
ldap passwd sync = yes
ldap delete dn = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=administrador,dc=linuxajuda,dc=org
ldap suffix = dc=linuxajuda,dc=org
ldap group suffix = ou=Grupos
ldap user suffix = ou=Usuarios
ldap machine suffix = ou=Computadores
ldap idmap suffix = ou=Idmap
idmap backend = ldap:ldap://127.0.0.1
idmap uid = 10000-15000
idmap gid = 10000-15000
template shell = /bin/false
winbind use default domain = no
;smb passwd file=/etc/samba/smbpasswd
passwd program=/usr/bin/passwd %u
passwd chat = *New*password* %n *Retype*new*password* %n
;#*passwd:*all*authentication*tokens*updated*successfully*
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
dos charset = UTF-8
unix charset = UTF-8
[homes]
comment = Diretório Home
browseable = no
writable = yes
create mask = 0700
directory mask = 0700
force user = %U
[profiles]
path = /home/profiles
browseable = no
writeable = yes
force user = %U
valid users = %U @"Domain Admins"
[netlogon]
path = /home/netlogon
browseable = no
guest ok = no
writeable = no
share modes = no
read only = yes
[printers]
comment = Impressoras
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
[publico]
comment = Área Publica
path = /publico
browseable = yes
create mask = 0777
directory mask = 0777
guest ok = yes
writable = yes
force user = %U
[sistema]
comment = Área do Sistema da Empresa
path = /sistema
browseable = yes
create mode = 0777
directory mask = 0777
guest ok = yes
writable = yes
force user = %U |
Edite-o de acordo com suas necessidades.
Agora vamos criar um script para iniciar o Samba:
# vim /etc/rc.d/rc.samba
| #!/bin/sh
#
# /etc/rc.d/rc.samba
#
# Start/stop/restart the Samba SMB file/print server.
#
# To make Samba start automatically at boot, make this
# file executable: chmod 755 /etc/rc.d/rc.samba
#
samba_start() {
if [ -x /usr/local/sbin/smbd -a -x /usr/local/sbin/nmbd -a -r /etc/samba/smb.conf ]; then
echo "Starting Samba: /usr/local/sbin/smbd -D"
/usr/local/sbin/smbd -D
echo "/usr/local/sbin/nmbd -D"
/usr/local/sbin/nmbd -D
fi
}
samba_stop() {
killall smbd nmbd
}
samba_restart() {
samba_stop
sleep 2
samba_start
}
case "$1" in
'start')
samba_start
;;
'stop')
samba_stop
;;
'restart')
samba_restart
;;
*)
# Default is "start", for backwards compatibility with previous
# Slackware versions. This may change to a 'usage' error someday.
samba_start
esac |
Crie o diretório /var/log/samba e rode o script /etc/rc.d/rc.samba:
# /etc/rc.d/rc.samba start
|
|
Smbldap-tools
Pronto, o Samba está no ar, agora vamos configurar o smbldap-tools, que é uma ferramenta de administração do LDAP.
Eu particularmente prefiro usar um front-end, pois pode acontecer de dar alguns erros com ela, mas não deixa de ser uma boa ferramenta para administração.
# tar zxvf smbldap-tools_0.9.2.orig.tar.gz
# cd smbldap-tools_0.9.2
# cp -f smbldap-* /usr/local/sbin/
# mkdir /etc/smbldap-tools/
# cp smbldap.conf smbldap_bind.conf /etc/smbldap-tools/
# chmod 644 /etc/smbldap-tools/smbldap.conf
# chmod 600 /etc/smbldap-tools/smbldap_bind.conf
Vamos editar o arquivo de configuração do smbladp-tools, que fica dentro do diretório que você acabou de criar. Lembrando que: o SID é obtido com o seguinte comando:
# net getlocalsid linuxajuda
| # smbldap.conf
SID="S-1-5-21-4172198711-3320573932-1449352776"
sambaDomain="LINUXAJUDA"
slaveLDAP="127.0.0.1"
slavePort="389"
masterLDAP="127.0.0.1"
masterPort="389"
ldapTLS="0"
verify=""
cafile=""
clientcert=""
clientkey=""
suffix="dc=linuxajuda,dc=org"
usersdn="ou=Usuarios,${suffix}"
computersdn="ou=Computadores,${suffix}"
groupsdn="ou=Grupos,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="CRYPT"
crypt_salt_format="$1$%.8s"
userLoginShell="/bin/false"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="Ldap User"
defaultUserGid="1000"
defaultComputerGid="1000"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\PDC-SRV\%U"
userProfile="\PDC-SRVprofiles\%U"
userHomeDrive="H:"
#userScript="%U.bat"
mailDomain="tropical.local"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# no_banner="1" |
E se notar, após isso ele automaticamente cria uma entrada no LDAP:
# ldapsearch -x
dn: sambaDomainName=linuxajuda,dc=linuxajuda,dc=org
sambaDomainName: linuxajuda
sambaSID: S-1-5-21-4172198711-3320573932-1449352776
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 31000
sambaNextGroupRid: 31001
Agora vamos armazenar a senha do admin do LDAP no secrets:
# smbpasswd -w SENHA
Edite o arquivo /etc/smbldap-tools/smbldap_bind.conf e configure da seguinte forma:
| slaveDN="cn=administrador,dc=linuxajuda,dc=org"
slavePw="senha"
masterDN="cn=administrador,dc=linuxajuda,dc=org"
masterPw="senha" |
Após isso é necessário copiar o arquivo smbldap_tools.pm para o diretório /usr/lib/perl5/5.8.7/i486-linux/:
# cp smbldap_tools.pm /usr/lib/perl5/5.8.7/i486-linux/
|
|
Pacotes Perl
Agora vamos instalar os pacotes de módulos para o Perl. Descompacte um por um e use logo abaixo os comandos para instalação:
# tar -zxvf (em cada arquivo desse)
Convert-ASN1-0.20.tar.gz
Authen-SASL-2.10.tar.gz
Crypt-SmbHash-0.12.tar.gz
Digest-SHA1-2.11.tar.gz
IO-Socket-SSL-0.97.tar.gz
Jcode-2.05.tar.gz
Net_SSLeay.pm-1.25.tar.gz
URI-1.33.tar.gz
Unicode-Map-0.112.tar.gz Unicode-Map8-0.12.tar.gz
Unicode-String-2.09.tar.gz
XML-SAX-Base-1.04.tar.gz
perl-ldap-0.33.tar.gz
Entre no diretório de cada um e execute:
# perl Makefile.PL
# make
# make test
# make install
|
|
Nextuid
Pronto, agora precisamos informar qual será o próximo uid disponível para ele criar os usuários. Para isso, inserimos a seguinte entrada no LDAP.
Salve as seguintes informações em um arquivo chamado "nextuid.ldif":
| dn: cn=NextFreeUnixId,dc=linuxajuda,dc=org
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
uidNumber: 1000
gidNumber: 1000
cn: NextFreeUnixId
sn: NextFreeUnixId |
Inclua a entrada no LDAP:
# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org, -W -f root/nextuid.ldif
Agora que temos nossa base praticamente pronta, vamos popular a base usando o comando abaixo:
# smbldap-populate
|
|
Apache2 + PHP5
Pronto, nosso LDAP + Samba já está praticamente funcionando, bastando apenas administrá-lo. É agora que entra o LDAP Administrator Manager (LAM).
Primeiramente vamos instalar o servidor web (Apache):
# tar -zxvf httpd-2.0.58.tar.gz
# cd httpd-2.0.58
# ./configure --enable-so
# make
# make install
Em seguida vamos instalar o PHP, resolvi usar o PHP5 que já está bem estável:
# tar -zxvf php-5.1.4.tar.gz
# cd php-5.1.4
# env CPPFLAGS="-I/usr/local/include"
# ./configure --with-ldap --with-gettext --libexecdir=/usr/libexec/apache --with-apxs2=/usr/local/apache2/bin/apxs --with-mhash
# make
# make install
Inclua as linhas abaixo no seu httpd.conf, que fica em /usr/local/apache2/confs/httpd.conf:
| # Confira se o PHP já não incluiu essa linha no seu conf
LoadModule php5_module modules/libphp5.so
AddType application/x-httpd-php .php .phtml
AddType application/x-httpd-php-source .phps |
Feito isso vamos iniciar o Apache:
# /usr/local/apache2/bin/apachectl start
|
|
LAM - Ldap Account Manager
Depois de muito estudar sobre um bom front-end que pudesse me dar todas as ferramentas para uma boa administração do LDAP, acabei encontrando o LAM, mas existem várias outras ferramentas, como o PhpLdapAdmin por exemplo.
Agora vamos instalar o Ldap Account Manager. Primeiro crie o usuário e o grupo httpd:
# useradd httpd
# groupadd httpd
Depois pegue o pacote ldap-account-manager-1.0.2.tar.gz e o mova para:
# mv ldap-account-manager-1.0.2.tar.gz /usr/local/apache2/htdocs
Descompacte-o:
# tar -zxvf ldap-account-manager-1.0.2.tar.gz
Renomeie-o:
# mv ldap-account-manager-1.0.2 lam/
Entre no diretório:
# cd /usr/local/apache2/htdocs/lam
# ./configure
# make install
Agora vamos configurá-lo. Entre no diretório /usr/local/apache2/htdocs/lam/config e copie os arquivos config.cfg.example e lam.conf.example:
# cp config.cfg.example config.cfg
# cp lam.conf.example lam.conf
Agora vamos editar os arquivos config.cfg e lam.conf.
Deixe seu config.cf exatamente assim:
| password to add/delete/rename configuration profiles
password: system
# default profile, without ".conf"
default: lam |
E o lam.config:
| # LDAP Account Manager configuration
# server address (e.g. ldap://localhost:389 or ldaps://localhost:636)
serverURL: ldap://localhost:389
# list of users who are allowed to use LDAP Account Manager
# names have to be seperated by semicolons
# e.g. admins: cn=admin,dc=yourdomain,dc=org;cn=root,dc=yourdomain,dc=org
admins: cn=administrador,dc=tropical,dc=local
# password to change these preferences via webfrontend
passwd: system
# suffix of tree view
# e.g. dc=yourdomain,dc=org
treesuffix: dc=tropical,dc=local
usersuffix: ou=Usuarios,dc=tropical,dc=local
groupsuffix: ou=Grupos,dc=tropical,dc=local
hostsuffix: ou=Computadores,dc=tropical,dc=local
domainsuffix: ou=Dominios,dc=tropical,dc=local
# maximum number of rows to show in user/group/host lists
maxlistentries: 30
# default language (a line from config/language)
defaultLanguage: en_GB.utf8:UTF-8:English (Great Britain)
# Path to external Script
scriptPath:
# Server of external Script
scriptServer:
# Number of minutes LAM caches LDAP searches.
cachetimeout: 5
samba3: yes
# Module settings
modules: posixAccount_minUID: 10000
modules: posixAccount_maxUID: 30000
modules: posixAccount_minMachine: 50000
modules: posixAccount_maxMachine: 60000
modules: posixGroup_minGID: 10000
modules: posixGroup_maxGID: 20000
modules: posixGroup_pwdHash: CRYPT
modules: posixAccount_pwdHash: CRYPT
# List of active account types.
activeTypes: user,group,host,smbDomain
types: suffix_user: ou=Usuarios,dc=tropical,dc=local
types: attr_user: #uid;#givenName;#sn;#uidNumber;#gidNumber
types: modules_user: inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount
types: suffix_group: ou=Grupos,dc=tropical,dc=local
types: attr_group: #cn;#gidNumber;#memberUID;#description
types: modules_group: posixGroup,sambaGroupMapping
types: suffix_host: ou=Computadores,dc=tropical,dc=local
types: attr_host: #cn;#description;#uidNumber;#gidNumber
types: modules_host: account,posixAccount,sambaSamAccount
types: suffix_smbDomain: ou=Dominios,dc=tropical,dc=local
types: attr_smbDomain: sambaDomainName:Domain name;sambaSID:Domain SID
types: modules_smbDomain: sambaDomain |
|
Implementando SSL ao seu LDAP Server
Todo administrador sempre deve estar preocupado com a segurança de seus servidores, por isso aqui esta uma boa solução para acrescentar ao seu LDAP Server. A seguir vamos aplicar as configurações ao LDAP usando os utilitários do OpenSSL para gerar as chaves auto-assinadas para ele.
Gerando as chaves criptografadas
Note que as chaves deverão ser geradas dentro do diretório /usr/local/etc/openldap/certificates/.
Foi desabilitada a verificação do certificado (se há alguma entidade certificadora que garante que você é você mesmo). Estamos apenas interessados em usar um túnel criptografado.
Primeiramente vamos criar um diretório dentro do /usr/local/etc/openldap chamado certificates e depois um script para gerar as chaves criptografadas.
Utilize seu editor de textos preferido e crie o script gerador.sh:
| #!/bin/sh
# /usr/local/etc/openldap/certificates/gerador.sh
# Certificado para a função "server"
echo "É necessário prover uma senha para a chave privada."
openssl genrsa -des3 -out server.key 4096
# Esta linha agora REMOVE a passphrase da chave privada
echo "Digite primeiro a senha da chave privada, depois um para remova-la"
openssl rsa -in server.key -out server.key
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.csr
# Certificado para a função "client"
echo "Gerando a chave para o client. Mesmo procedimento anterior"
openssl genrsa -des3 -out client.key 1024
openssl rsa -in client.key -out client.key
openssl req -new -key client.key -out client.csr
openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.csr |
Use o comando a baixo para rodar o script:
# sh gerador.sh
Ele fará algumas perguntas (veja abaixo) como requisição se senhas, escolha uma senha de maneira que você não vá esquecê-la, eu usei a mesma do admin.
É necessário prover uma senha para a chave privada.
Generating RSA private key, 4096 bit long modulus
...
e is 65537 (0x10001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key
Digite primeiro a senha da chave privada, depois um para removê-la.
Enter pass phrase for server.key:
riting RSA key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:Goias
Locality Name (eg, city) []:Goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Canal Linuxajuda
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:administrador
Email Address []:administrador@linuxajuda.org
Please enter the following 'extra' attributes
to be sent with your certificate request
challenge password []:system
An optional company name []:
Signature ok
subject=/C=BR/ST=Goias/L=Goiania/O=Canal Linuxajuda/CN=administrador/emailAddress=administrador@linuxajuda.org
Getting Private key
Gerando a chave para o client. Mesmo procedimento anterior
Generating RSA private key, 1024 bit long modulus
...
e is 65537 (0x10001)
Enter pass phrase for client.key:
Verifying - Enter pass phrase for client.key:
Enter pass phrase for client.key:
writing RSA key
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:BR
State or Province Name (full name) [Some-State]:Goias
Locality Name (eg, city) []:Goiania
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Canal Linuxajuda
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:administrador
Email Address []:administrador@linuxajuda.org
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:system
An optional company name []:
Signature ok
subject=/C=BR/ST=Goias/L=Goiania/O=Canal Linuxajuda/CN=administrador/emailAddress=administrador@linuxajuda.org
Getting Private key
OBS: Onde perdir "Enter pass phrase for client" ou server, digite uma senha.
|
|
O LDAP e seus arquivos de configurações
São necessários 2 pequenas configurações no OpenLDAP para que ele aceite o certificado criado.
Em /etc/openldap/slapd.conf:
| TLSCertificateFile /etc/openldap/certificates/server.csr
TLSCertificateKeyFile /etc/openldap/certificates/server.key
TLSVerifyClient 0 |
Após isso modifique o arquivo /etc/ldap.conf para:
| host ldap.linuxajuda.org
base dc=linuxajuda,dc=org
uri ldaps://ldap.linuxajuda.org
rootbinddn cn=administrador,dc=linuxajuda,dc=org
port 636
ssl true
TLS_CERT /etc/openldap/certificates/client.csr
TLS_KEY /etc/openldap/certificates/client.key
TLS_REQCERT never |
Altere a linha no smb.conf de:
passdb backend = ldapsam:ldap://ldap.linuxajuda.org/
para:
| | passdb backend = ldapsam:ldaps://ldap.linuxajuda.org/ |
Vamos alterar também o lam.conf:
| | ServerURL: ldaps://ldap.tropical.local:636 |
Altere o smbldap.conf nas seguintes linhas:
| slavePort="636"
masterPort="636" |
Depois de gerar o certificado, tive que incluir uma entrada no DNS para o LDAP porque ele estava reclamando o hostname, aí bastou incluir ldap.linuxajuda.org no DNS e estava resolvido.
Edite o arquivo /etc/resolv.conf e acrescente a linha:
| | nameserver ldap.linuxajuda.org |
Edite também o /etc/hosts:
| 10.0.0.101 ldap.linuxajuda.org |
Agora basta inicializar o slapd com o seguinte comando:
# /usr/local/libexec/slapd -h "ldap:/// ldaps:///" -4
OBS: Acrescente essa linha no seu rc.local para carregar seu LDAP no boot.
Agora vamos aos testes:
# ldapsearch -x -ZZ -h ldap.linuxajudaorg -b 'dc=linuxajuda,dc=org' (objectclass=*)'
Habilitando o SASL
Primeiro armazenamos a senha do usuário suporte com:
# saslpasswd2 -c administrador
Podemos listar os usuários com:
# sasldblistusers2
administrador@linuxajuda: cmusaslsecretOTP
administrador@linuxajuda: userPassword
|
|
Seu sistema ficou lento na inicialização?
Depois que instalei o LDAP e alterei o nsswitch.conf, percebi que o sistema operacional tinha ficado lento tanto pra iniciar quanto pra fazer login e digitar alguns comandos, foi então que quase sem querer encontrei a solução para o meu problema. Creio que você possa ter o mesmo problema que eu, mas vamos lá a solução: - Abra o arquivo /etc/rc.d/rc.S e localize o trecho "Create a fresh utmp file:";
- Comente a linha "chown root.utmp /var/run/utmp";
- Mude a linha "chmod 664 /var/run/utmp" para "chmod 666 /var/run/utmp";
- Abra o arquivo /etc/rc.d/rc.local e adicione as próximas duas linhas:
chown root.utmp /var/run/utmp
chmod 664 /var/run/utmp
Pronto, seu sistema está rápido de novo!
|
|
Adicionando as máquinas Windows 98 no Samba
1. Editar as propriedades de rede;
2. Editar as propriedades do "Cliente para redes Microsoft";
3. Selecionar a opção "Efetuar logon no domínio do Windows NT";
4. Na opção "Domínio do Windows NT", digitar o nome do domínio;
5. Selecionar a opção de "Logon rápido" e pressionar OK;
6. Na opção "Logon primário da rede", selecionar clientes para redes Microsoft, aplicar as alterações e reiniciar o computador.
Para alterar a senha do usuário logado: - Entrar no "Painel de Controle";
- Entrar no ícone "Senhas";
- Clicar em "Alterar a senha do Windows";
- Selecionar "Rede Microsoft" e pressionar OK;
- Digitar a senha atual, digitar a nova senha e confirmá-la;
- Clicar no botão detalhes e selecionar a opção "Rede Microsoft";
- Pressionar OK e fechar todas as janelas.
No servidor, rode o comando abaixo para cadastrá-la no domínio:
# smbldap-useradd -w Maq01
|
|
Adicionando máquinas Windows XP/2000/2003 no Samba
1. Logar como um usuário local e administrador do sistema;
2. Entrar no "Painel de Controle" em modo de exibição clássico, editar as propriedades do ícone "Sistema";
3. Clicar na aba "Nome do Computador" e no botão "ID da Rede";
4. Na janela que irá aparecer, clicar em "Avançar";
5. Selecionar a opção "Este computador faz parte de uma rede corporativa..." e clicar em "Avançar";
6. Selecionar a opção "Minha empresa usa uma rede com um domínio", clicar em "Avançar" e clicar em "Avançar" novamente;
7. Digitar no "nome do usuário" um usuário que já exista no Samba, sua senha e o domínio e clicar em "Avançar";
8. Digitar o nome do computador em questão, o domínio novamente e clicar em "Avançar";
9. Digitar "root" no nome do usuário e sua senha e o domínio do Samba.
10. Deixar selecionado a opção "Inserir o seguinte usuário" e clicar em "Avançar";
11. Selecionar o nível de acesso "Outros", selecionar o grupo "Administradores" e clicar e "Avançar" e "Concluir", mas NÃO reiniciar o computador;
12. Entrar no "Painel de Controle" em modo de exibição clássico e entrar em "Ferramentas Administrativas";
13. Entrar em "Diretiva de Segurança local" e depois abrir a chave "Diretivas locais" e clicar em "Opções de Segurança";
Dentro dessa janela as seguintes opções devem ser desabilitadas: - Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sempre).
- Membro do domínio: desativar alterações de senha de conta da máquina.
- Membro do domínio: requerer uma chave de sessão de alta segurança (Windows 2000 ou posterior).
No registro, alterar/incluir a chave:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices netlogonparameters"RequireSignOrSeal"=dword:00000000
Windows 2003/2000 Servers
1. Logar como um usuário local e administrador do sistema;
2. Entrar no "Painel de Controle", editar as propriedades do ícone "Sistema";
3. Clicar na Aba "Identificação de rede" e no botão "Identificação da Rede";
4. Na janela que irá aparecer clicar em "Avançar";
5. Selecionar a opção "Este computador faz parte de uma rede corporativa..." e clicar em "Avançar";
6. Selecionar a opção "Minha empresa usa uma rede com um domínio" e clicar em "Avançar" e clicar em "Avançar" novamente;
7. Digitar no "nome do usuário" um usuário que já exista no Samba devidamente configurado, sua senha, domínio e clicar em "Avançar";
8. Digitar o nome do computador em questão e também o domínio novamente e clicar em "Avançar";
9. Digitar "root" no nome do usuário, sua senha e o domínio do Samba.
10. Deixar selecionada a opção "Inserir o seguinte usuário" e clicar em "Avançar";
11. Selecionar o nível de acesso "Outros" e selecionar o grupo "Administradores" e clicar e "Avançar" e "Concluir", e reiniciar o computador.
Não se esqueça de adicionar as suas estações no Samba:
# smbladp-useradd -w maq02
e assim por diante.
|
|
Integrando seu Squid ao LDAP
Bom, agora que já temos nosso servidor Samba com Active Directory usando o LDAP, pensei porque não colocar os usuários de internet para autenticar no LDAP para acessar a internet, lembrando que não vou abordar uma configuração mais afundo do Squid, para isso você deverá buscar em outras faqs ou manuais. Segue a baixo como instalar o Squid com suporte a LDAP:
# tar -zxpvf squid-2.5.STABLE8.tar.gz
# cd /root/ squid-2.5.STABLE8
Faremos a compilação básica e depois compilaremos os programas de autenticação LDAP separadamente. Para tanto, use a famosa seqüência:
# ./configure - -prefix=/usr/local/squid (sendo /usr/local/squid o local onde o squid será instalado)
# make
# make install
Mude a propriedade do diretório Squid de root para nobody e crie o cache:
# chown -R nobody.nobody /usr/local/squid
# squid -z
Depois mude a propriedade do diretório /usr/local/squid/cache:
# chown -R nobody.nobody /usr/local/squid/cache
Com isso o seu Squid já estará instalado e pronto pra ser configurado.
Agora passaremos para o passo seguinte, onde iremos acessar squid-2.5.STABLE8/helpers /basic_auth/LDAP e compilar o daemon squid_ldap_auth, que fará a autenticação de usuários no AD:
# cd /squid-2.5.STABLE8/helpers /basic_auth/LDAP
# make
Após a compilação, copie o daemon squid_ldap_auth para dentro da libexec:
# cp squid_ldap_auth /usr/local/squid/libexec
Acesse squid-2.5.STABLE8/helpers/external_acl/ldap_group e compile o daemon squid_ldap_group:
# cd /squid-2.5.STABLE8/helpers/external_acl/ldap_group:
# make
Após a compilação, copie o squid_ldap_auth para dentro da libexec:
# cp squid_ldap_group /usr/local/squid/libexec
Agora adicione as seguintes linhas no seu squid.conf:
| ## Configurações de autenticação do proxy <-> ldap (troque o IP pelo do seu domínio)
auth_param basic realm (Canal Linuxajuda): Autenticação de Usuário para Internet
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -R -b "ou=Usuarios,ou=People,dc=linuxajuda,dc=org" -f "uid=%s" -s one -h 10.0.0.101
auth_param basic children 3
auth_param basic casesensitive off
auth_param basic credentialsttl 15 minutes |
Feito isso, reinicie todos os serviços.
|
|
|
Nenhum comentário:
Postar um comentário