Instalando Samba 4.7.2 from source e provisionando como Active Directory.

-

Olá. hoje vamos realizar o deploy e provisionamento de um servidor samba 4.7.2 usando autenticação controlada por kerberos para trabalhar como um Active directory, após a instalação e configuração
você terá um dominio funcional (Gratis) controlado pelas ferramentas microsoft (RSAT) e com quase todas as funcionalidades de um dominio microsoft. A primeira coisa a se fazer é instalar um sistema operacional ao qual, o serviço do samba e Kerberos serão implementados, nesse tutorial eu irei utilizar o Ubuntu server (Debian) 16.04 (Stable). Uma maquina Windows 10 será utilizada para servir estação de trabalho. (instalação limpa sem gatos e modificações no registro windows.)

OBS: Todos os comandos utilizados aqui são para Debian. Caso você tenha familiaridade com outro sistema operacional (mandriva, fedora, opensuse, etc)  fique a vontade, apenas veja como cada passo é feito na sua plataforma.
_________________________________________________________________________________

Provisionamento ;


Após voce instalar e provisionar o sistema operacional isso compoe (Configuração da placa de rede, dns, gateway, hostname)  - Que já devem estar devidamente configurados.

Atualize os pacotes do sistema operacional para que ele receba as ultimas atualizações ;

sudo apt-get update  - isso irá atualizar os diretórios onde estão quase todos os programas pré compilados que podem ser agregados ao sistema operacional.

sudo apt-get upgrade - isso irá atualizar o sistema e suas bibliotecas.

_________________________________________________________________________________

Instalação das dependencias + Kerberos ;


Gosto de seguir o modelo de instalação dos criadores junto com a comunidade, então vamos até o site do samba e vamos ver quais são as dependencias que o sistema operacional precisa ter antes de compilarmos o samba, essas dependencias abaixo são para sistemas baseados em Debian ;

sudo apt-get install acl attr autoconf bison build-essential \
  debhelper dnsutils docbook-xml docbook-xsl flex gdb krb5-user \
  libacl1-dev libaio-dev libattr1-dev libblkid-dev libbsd-dev \
  libcap-dev libcups2-dev libgnutls-dev libjson-perl \
  libldap2-dev libncurses5-dev libpam0g-dev libparse-yapp-perl \
  libpopt-dev libreadline-dev perl perl-modules pkg-config \
  python-all-dev python-dev python-dnspython python-crypto \
  xsltproc zlib1g-dev

Caso voce esteja utilizando outra distribuição linux procure e instale suas dependencias ;

https://wiki.samba.org/index.php/Package_Dependencies_Required_to_Build_Samba
_________________________________________________________________________________

Configuração do Kerberos


Quando o sistema estiver instalando as dependencias o gerenciador de pacotes irá lhe questionar sobre as configurações do Kerberos, siga os passos abaixo

Nesta primeira tela coloque o nome do seu dominio.algo ;

seu dominio.algo

Agora o instalador está perguntando qual será o servidor Kerberos para esse dominio. No nosso caso será ele mesmo então colocar localhost.

localhost

Agora ele está perguntando qual será o nome do servidor administrador do dominio Kerberos. no nosso caso ele mesmo, então colocar localhost ;

localhost
_________________________________________________________________________________

Download e instalação do Samba ;


Entre neste diretório oficial do samba " https://download.samba.org/pub/samba/" e procure a versão que voce deseja instalar, clique com o botão direito sobre ela e depois clique em copiar link.





Vá ao terminal do seu Ubuntu server e cole o link copiado da versão escolhida do samba com o comando wget;

sudo wget https://download.samba.org/pub/samba/samba-4.7.2.tar.gz 

O ubuntu server irá realizar o download da versão escolhida do samba.

Baixando o samba

Após o download ser concluido ele estará compactado com a extenção tar.gz devemos realizar a descompactação.

  tar -zxf samba-4.7.2.tar.gz
ls para visualização da pasta source baixada do samba
Agora podemos entrar dentro da pasta de instalação do samba ja descompactada

 cd samba-4.7.2
ls na pasta descompactada do samba
Já dentro da pasta de instalação do samba devemos preparar os arquivos a serem compilados por isso digite

 sudo ./configure
sudo ./configure

 Aguarde até o final da configuração.

 depois devemos compilar o samba para isso digite 

sudo make
sudo make
Aguarde até o final da compilação.
Agora devemos transferir os arquivos compilados do samba para as pastas do sistema Ubuntu Server, para isso digite;

sudo make install
sudo make install
Aguarde até o final da transferencia.

 Agora devemos entrar na pasta onde o samba foi instalado ;

 cd /usr/local/samba
cd /usr/local/samba/bin
Agora vamos entrar na pasta onde estão os binarios do samba ;

 cd bin
cd bin
Dentro da pasta bin do samba (não do sistema operacional cuidado para nao confundir ! rs )
existe uma ferramenta que nos ajuda a provisionar a aplicação, assim não precisaremos editar todos os arquivos de configuração do samba (pelo menos neste tutorial, tudo depende de cada uso da aplicação) Então já que temos uma ferramenta mão na roda disponivel por que não utilizar?

ls


dentro da pasta bin do samba vamos iniciar a ferramenta samba-tool ;

sudo ./samba-tool domain provision 
sudo ./samba-tool domain provision 


A ferramenta irá nos pedir algumas informações;

 Realm: Nome do seu dominio.algo ( Exatamente igual ao qual voce colocou na configuração do kerberos).
Domain [seunomededominio]: Aqui vai estar o prefixo do seu nome de dominio apenas de Enter.
Server Role (dc, member, standalone) [dc] : Aqui ele quer saber qual vai ser o modo de utilização do samba vamos deixar o padrão domain controler [dc] apenas aperte enter.
DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL] : Aqui a ferramenta nos questiona qual servidor DNS interno utilizar ( quando instalamos o samba em uma maquina ela se torna  o dns da maquina o arquivo /etc/resolv.conf fica inultilizavel) apenas  aperte enter para usar o padrão.
DNS forwarder IP address (write 'none' to disable forwarding) [208.67.222.222]: Aqui a ferramenta nos questiona qual será o DNS externo que o servidor irá utilizar (usar o padrão da sua infraestrutura) aperte enter.
Administrator password: aqui a senha do usuario Administrator do dominio.algo (colocar uma senha forte caso contrario o scritp irá falhar!)
samba-tool
Após colocar uma senha forte para o user Administrator, se tudo estiver certo voce irá ver uma mensagem de provisionamento como essa ;
Resumo do provisionamento
Nela a ferramenta nos informa que foi criado um arquivo de configuração Kerberos no diretorio /usr/local/samba/private/krb5.conf , vamos editar esse aquivo

 sudo nano /usr/local/samba/private/krb5.conf
Editando configurações do Kerberos
Configurar o arquivo conforme modelo abaixo (Fazer modificações conforme sua necessidade pessoal)

  
[libdefaults 
    default_realm = RBSP01.COM  
    dns_lookup_realm = false  
    dns_lookup_kdc = true  
   
   
[realms 
RBSP01.COM = {  
kdc = 192.168.1.86 # IP SAMBA  
admin_server = 192.168.1.86 #IP SAMBA  
 

 Apertar CTRL + O para salvar , aperte enter ;

Salvando

Depois CTRL + X para sair

Agora temos que iniciar o serviço do samba, e colocar uma maquina no nosso dominio para testar as configurações, para isso digite ;

/usr/local/samba/sbin/samba
Iniciando Samba /usr/local/samba/sbin/samba

 Instalação do samba terminada.

 _________________________________________________________________________________________

Colocando uma maquina no dominio Samba4




 Na sua estação windows 

 IMPORTANTE:
Aponte o DNS da maquina Windows  para o servidor samba que acabamos de provisionar ;

 no meu caso 192.168.1.86;
Configuração da placa de rede windows
Agora vá em Painel de controle / Sistema
Sistema

Clique em Alterar configurações;
Alterar configurações
Clique em Alterar;

 Selecione Dominio, e escreva o nome completo do seu dominio ;
informando dominio.algo

 Clique em ok ;

 O sistema operacional irá identificar o dominio samba4;
Usario e senha Administrator

 Utilize o usuario Administrator do Kerberos mais a senha que voce configurou no samba-tool, e aperte enter, Se tudo ocorrer bem voce verá  a mensagem;
Maquina dentro do dominio
pronto reinicie o computador e agora sua maquina windows irá estar dentro do seudominio.algo
_________________________________________________________________________________


Administrando seu dominio ;


Para administrar seu dominio (Criar usuarios, GPOS, etc)

Voce precisa ter instalado, em alguma maquina com windows, e que ja esteja dentro do seu dominio, o kit de ferramentas remota RSAT (Ferramenta de administração de servidor remoto) da microsoft, caso voce nao tenha pode baixar aqui para Windows 10 : https://www.microsoft.com/pt-BR/download/details.aspx?id=45520

Logue no seu dominio com o unico usuário existente (Administrator).

Primeiro Login



 Quando voce logar pela primeira vez no dominio com o usuario Administrator, o windows irá criar um perfil para ele nessa nova maquina ; 
Criando perfil
Depois de criado seu perfil de Administrator, Na barra de busca (windows 10) Digite dsa

Abrindo dsa.msc

 Clique em Usuarios e Computadores do Active Directory.

 E vualá !!

 Seu dominio Totalmente funcional !!
dsa funcional
Vou criar uma OU TI e dentro um usuario administrador Pedro Paulo, e fazer login com o mesmo ;
Criação de usuarios e OU's
Login ;
Teste de login do usuario criado
E assim concluimos mais um tutorial, Qualquer duvida favor perguntar.
Obrigado!.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

VPN Site-To-Site PFsense Com IPsec (Parte 2)

-
Imagem
 Continuando nosso tutorial ; No Ultimo Box do Phase 2 Advanced Configuration;    Automatically ping host : Se quiser colocar o IP do Computador que esta na rede do PFsense2 não terá problema, mas pode deixar em branco se preferir.  Salve.   Agora volte para a Guia VPN/IPsec/Tunnels  Teremos o Resumo da nossa configuração ;  Fim. Configuração do Pfsense2  Configure Tudo exatamente Como Foi configurado no PFsense1 Apenas com algumas mudanças ;   Faça login com seu usuario e senha ;   Nós menus superiores, navegue ate as opções de VPN e abra as opções de IPsec; Agora clique sobre o botão Add P1 (Phase 1); No Primeiro Box do Phase 1 General Information;  O remote Gateway será o IP Publico da rede que esta o PFsense1 no nosso caso 179.191.81.114;   Na Guia Pre  Shared Key no Pfsense2   Voce vai adicionar o a MESMA senha que voce utilizou no PFsense1 porém...
Leia mais

VPN Site-To-Site PFsense Com IPsec (Parte 1)

-
Imagem
Boa tarde!! Hoje vamos aprender a criar uma VPN Site-To-Site com IPsec utilizando o firewall Pfsense; Antes de começar se você ainda não sabe como o IPsec age no cabeçalho ip veja esse meu post : https://kelpienerd.blogspot.com.br/2018/01/oque-e-ipsec.html a explicação está um pouco tecnica. Mãos na massa! Este será nosso cenário de testes;  Cenário ;  Vamos criar uma VPN utilizando IPsec entre; Pfsense1 Rede interna - 192.168.1.0/24 Rede externa - 179.191.81.114 Pfsense2 Rede interna (Lan) - 172.16.70.0/24 Rede Externa (wan) - 179.111.61.122 Na rede do Pfsense1 existe um computador ; IP: 192.168.1.5/24 E vamos fazer ele ter comunicação com um outro computador que esta na rede do Pfsense2 IP: 172.16.70.1/24 Neste Tutorial não vou ensinar a provisionar o PFsense, è pré-requisito que vocẽ já esteja com ele instalado e funcionando em sua rede. Configurações do Pfsense1; Faça login com seu usuario e senha ; Nós menus superiores, naveg...
Leia mais

Oque é IPSEC ?

-
Imagem
Bom dia, Hoje irei explicar um pouco sobre o que é IPSec  e como implementar. Primeiro de tudo. O que é IPSec?  IPSec  faz parte de um dos protocolos mais utilizados para a criação de uma VPN, Desenvolvido pela IETF  ( Padrão aberto) o IPSec  realiza  tunelamento de camada 3  com criptografia e autenticação.  Junto ao IPSec  temos mais 3 protocolos ; •    Authentication Header (AH), •    Encapsulating  Security Protocol (ESP), •    Internet Key Exchange (IKE), Todos esses protocolos fazem usos de associações de segurança (Sas), Isso significa que sao acordadas entre as duas pontas as configurações de segurança da VPN antes da mesma ser criada  (isso deve ja estar combinado para as configurações não divergirem nss dois nós que formarão  a VPN.     Uma Associaçao de segurança e  identificada por  tres parametros: •    Security P...
Leia mais