AutenticandoAD

Contents

Contents

Ubuntu Linux autenticando no Active Directory

Ubuntu Linux autenticando no Active Directory

Informações

fja.br	DOMINIO do Active Directory
fjadc01.fja.br	Controlador de dominio
10.1.0.1	IP do controlador de dominio
FJA.BR	Kerberos Realm
gert	Estação de Trabalho Ubuntu
gert.fja.br	FQDN da estação de trabalho
fjadc01	Servidor NTP

Instalando os pacotes necessários

sudo aptitude install krb5-user libpam-krb5 winbind samba smbfs smbclient krb5-config libkrb53 libkadm55

Sicronizando a hora

Use o comando ntpdate para sincronizar a hora

sudo ntpdate 10.2.0.1

Edite o arquivo /etc/hosts adicionando o ip e o nome do DC de sua rede

vi /etc/hosts

127.0.0.1       gert.fja.br localhost gert 
127.0.1.1       gert 

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

10.2.0.1   fjadc01
10.2.0.2   fjadc02

Configurando o Kerberos

Edite o arquivo /etc/krb5.conf adicionando as seguintes linhas

[libdefaults]
default_realm = FJA.BR
[realms]
    FJA.BR = {
      kdc = fjadc01.fja.br
      default_domain = FJA.BR
      kpasswd_server = fjadc01.fja.br
      admin_server = fjadc01.fja.br
     }

[domain_realm]
.fja.br = FJA.BR

Testando a conexão com o AD

kinit <ENTER>
Password for alex@FJA.BR: ****

klist <ENTER>
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: alex@FJA.BR

Valid starting     Expires            Service principal
07/16/07 15:48:35  07/17/07 01:49:08  krbtgt/FJA.BR@FJA.BR
        renew until 07/17/07 15:48:35


Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached

Se o resultado for este o Kerberos está funcionando corretamente

Acessando o Dominio

Edite o arquivo /etc/samba/smb.conf adicionando as seguintes linhas

[global]
        security = ads
        realm = FJA.BR
        password server = 10.2.0.1
        workgroup = ADMINISTRATIVO
#       winbind separator = +
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = yes
        winbind use default domain = yes
        restrict anonymous = 2
# to avoid the workstation from
# trying to become a master browser
# on your windows network add the
# following lines
        domain master = no
        local master = no
        preferred master = no
        os level = 0

Reinicie os serviços

sudo /etc/init.d/winbind stop

sudo /etc/init.d/samba restart

sudo /etc/init.d/winbind start

Adicione a conta ao dominio

sudo net ads join

Using short domain name – GERT
Joined 'GERT' to realm 'FJA.BR'

Configure a Autenticação

Edite o arquivo /etc/nsswitch.conf

sudo vi /etc/nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat

Teste o winbind

getent passwd

quiosque:*:10018:10000:Quiosque:/home/ADMINISTRATIVO/quiosque:/bin/bash
estagioweb:*:10019:10000:Karen Suellen Machado Cavalcante Sampaio:/home/ADMINISTRATIVO/estagioweb:/bin/bash
egonzales:*:10020:10000:Érica Gonzales Bitencourt:/home/ADMINISTRATIVO/egonzales:/bin/bash

getent group

__coordenação de enfermagem:x:10046:coordenf
__coordenação de design:x:10047:smarino,coorddes

Configure o PAM

Edite o arquivo /etc/pam.d/common-account adicionando as seguintes linhas

sudo vi /etc/pam.d/common-account

account sufficient       pam_winbind.so
account required         pam_unix.so

Edite o arquivo /etc/pam.d/common-auth adicionando as seguintes linhas

sudo vi /etc/pam.d/common-auth

auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so

Edite o arquivo /etc/pam.d/common-session adicionando as seguintes linhas

sudo vi /etc/pam.d/common-session

session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

Edite o arquivo /etc/pam.d/sudo adicionando as seguintes linhas

sudo vi /etc/pam.d/sudo

auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required   pam_deny.so

@include common-account

Criando o HOMEDIR do dominio

sudo mkdir /home/ADMINISTRATIVO

Reinicie os serviços

sudo /etc/init.d/winbind stop

sudo /etc/init.d/samba restart

sudo /etc/init.d/winbind start

Logando no dominio

Vá para a console usando o comando CTRL+ALT+F1 e logue no sistema com o login e senha do dominio

login: alex
Password: *****

alex@gert:~$

Troubleshooting

Erros conhecidos

Erro kinit(v5): Clock skew too great while getting initial credentials

Solução O relógio não está sincronizado com o controlador de domínio.

Erro kinit(v5): KDC reply did not match expectations while getting initial credentials

Solução O domínio foi digitado com letras minúsculas.

Links

ActiveDirectoryWinbindHowto - https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto

CategoryDocumentacao

AutenticandoAD (last edited 2011-09-19 23:18:12 by localhost)

Ubuntu Wiki