3.5. Configurando o Samba como um servidor membro do domínio AD
Se você estiver rodando um domínio AD ou NT4, use Samba para adicionar seu servidor Red Hat Enterprise Linux como membro ao domínio para ganhar o seguinte:
- Acessar recursos de domínio em outros membros do domínio
-
Autenticar usuários de domínio para serviços locais, tais como
sshd
- Compartilhar diretórios e impressoras hospedadas no servidor para atuar como um servidor de arquivos e impressão
3.5.1. Juntando um sistema RHEL a um domínio AD
Esta seção descreve como unir um sistema Red Hat Enterprise Linux a um domínio AD, usando realmd
para configurar o Samba Winbind.
Procedimento
Se seu AD requer o tipo de criptografia RC4 obsoleto para autenticação Kerberos, habilite o suporte para estas cifras na RHEL:
#
update-crypto-policies --set DEFAULT:AD-SUPPORT
Instale os seguintes pacotes:
#
yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator
Para compartilhar diretórios ou impressoras no membro do domínio, instale o pacote
samba
:#
yum install samba
Faça o backup do arquivo de configuração existente
/etc/samba/smb.conf
Samba:#
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Junte-se ao domínio. Por exemplo, para ingressar em um domínio chamado
ad.example.com
:#
realm join --membership-software=samba --client-software=winbind ad.example.com
Usando o comando anterior, o utilitário
realm
automaticamente:-
Cria um arquivo
/etc/samba/smb.conf
para uma associação no domínioad.example.com
-
Adiciona o módulo
winbind
para pesquisas de usuários e grupos ao arquivo/etc/nsswitch.conf
-
Atualiza os arquivos de configuração do Módulo de Autenticação Pluggável (PAM) no diretório
/etc/pam.d/
-
Inicia o serviço
winbind
e permite que o serviço seja iniciado quando o sistema inicia
-
Cria um arquivo
-
Opcionalmente, defina um mapeamento alternativo de identificação no back end ou configurações personalizadas de mapeamento de identificação no arquivo
/etc/samba/smb.conf
. Para detalhes, veja Seção 3.4, “Entendendo e configurando o mapeamento do Samba ID”. Verifique se o serviço
winbind
está funcionando:#
systemctl status winbind
... Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s agoImportantePara que o Samba possa consultar informações de usuários e grupos de domínio, o serviço
winbind
deve estar em execução antes de você iniciarsmb
.Se você instalou o pacote
samba
para compartilhar diretórios e impressoras, ative e inicie o serviçosmb
:#
systemctl enable --now smb
-
Opcionalmente, se você estiver autenticando os logins locais no Active Directory, ative o plug-in
winbind_krb5_localauth
. Veja Seção 3.5.2, “Usando o plug-in de autorização local para o MIT Kerberos”.
Etapas de verificação
Exibir os detalhes de um usuário AD, tais como a conta do administrador AD no domínio AD:
#
getent passwd "AD\administrator"
AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bashConsultar os membros do grupo de usuários do domínio no domínio AD:
#
getent group "AD\Domain Users"
AD\domain users:x:10000:user1,user2Opcionalmente, verifique se você pode utilizar usuários e grupos de domínio quando definir permissões em arquivos e diretórios. Por exemplo, para definir o proprietário do arquivo
/srv/samba/example.txt
paraAD\administrator
e o grupo paraAD\Domain Users
:#
chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
Verificar se a autenticação Kerberos funciona como esperado:
No membro do domínio AD, obtenha um ticket para o principal
administrator@AD.EXAMPLE.COM
:#
kinit administrator@AD.EXAMPLE.COM
Exibir o bilhete Kerberos em cache:
#
klist
Ticket cache: KCM:0 Default principal: administrator@AD.EXAMPLE.COM Valid starting Expires Service principal 01.11.2018 10:00:00 01.11.2018 20:00:00 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM renew until 08.11.2018 05:00:00
Mostrar os domínios disponíveis:
#
wbinfo --all-domains
BUILTIN SAMBA-SERVER AD
Recursos adicionais
- Se você não quiser usar as cifras RC4 depreciadas, você pode habilitar o tipo de criptografia AES em AD. Veja Seção 3.6.2, “Habilitando o tipo de criptografia AES no Active Directory usando um GPO”. Note que isto pode ter um impacto em outros serviços em seu AD.
-
Para mais detalhes sobre a utilidade
realm
, consulte a página de manualrealm(8)
.