[FUG-BR] FreeBSD autenticando users em NT Domain
Alguém tem um guia definitivo de como configurar o FreeBSD para autenticar users de um Ad/NT Domain? Preciso dos passo-a-passo total, desde o BSD, Samba, Winbind até o Windows, que no caso é um 2003. Muito obrigado, preciso mesmo disso, e muito. Cheguei até um ponto, mas não obtive sucesso no wbinfo -u !!! -- Att, Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 8158 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD autenticando users em NT Domain
Amigo, Tenta esse how-to http://freebsdhowtos.com/116.html Eu ja sofri muito.. porem deu certo. Um abraço 2006/10/26, Rogério Schneider <[EMAIL PROTECTED]>: > Alguém tem um guia definitivo de como configurar o FreeBSD para > autenticar users de um Ad/NT Domain? Preciso dos passo-a-passo total, > desde o BSD, Samba, Winbind até o Windows, que no caso é um 2003. > > Muito obrigado, preciso mesmo disso, e muito. > Cheguei até um ponto, mas não obtive sucesso no wbinfo -u !!! > > -- > Att, > > Rogério Schneider > +55 (55) 9985 2127 > +55 (55) 3332 5923 > +55 (55) 8158 > +55 (55) 3321 1535 > > MSN: [EMAIL PROTECTED] > ICQ: 78778973 > GTalk: [EMAIL PROTECTED] > Skype: stockrt > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD autenticando users em NT Domain
Bem, vou seguir o material, mas tem alguma dica ai que acha importante frisar? Estou com problema em listar os usuários do 2003, acho que deve ser config no windows mesmo, para liberar o acesso.. Jah liberei RestrictAnonymous mas ainda não adiantou. E sobre o windows R2, que vem com suporte a integração com unix, será que não seria uma boa saída para a integração? Alguém ai já usou? Att, RS On 10/26/06, Marcio Antunes <[EMAIL PROTECTED]> wrote: > Amigo, > > Tenta esse how-to > > http://freebsdhowtos.com/116.html > > Eu ja sofri muito.. porem deu certo. > > Um abraço > > > > 2006/10/26, Rogério Schneider <[EMAIL PROTECTED]>: > > Alguém tem um guia definitivo de como configurar o FreeBSD para > > autenticar users de um Ad/NT Domain? Preciso dos passo-a-passo total, > > desde o BSD, Samba, Winbind até o Windows, que no caso é um 2003. > > > > Muito obrigado, preciso mesmo disso, e muito. > > Cheguei até um ponto, mas não obtive sucesso no wbinfo -u !!! > > > > -- > > Att, > > > > Rogério Schneider > > +55 (55) 9985 2127 > > +55 (55) 3332 5923 > > +55 (55) 8158 > > +55 (55) 3321 1535 > > > > MSN: [EMAIL PROTECTED] > > ICQ: 78778973 > > GTalk: [EMAIL PROTECTED] > > Skype: stockrt > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att, Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 8158 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD autenticando users em NT Domain
Olá, deu certo. Agora o FreeBSD lista os users sem problemas, o segredo estava no kinit e depois net ads join e nao net rpc join e para que o net ads join funcione o smb.conf deve estar configurado para ser um MEMBER, não um PDC ou BDC, conforme a documentação fornecida pelo Márcio, obrigado. Agora surge um outro problema, o imap. Estou usando imaps, porta 993, novalidate-cert, para autenticar os users de mail via webmail (horde). Acontece que o imap está instável na autenticação e não sei como resolver. Meu /etc/pam.d/imap está assim: # auth ### REMOVIDO authrequiredpam_unix.so no_warn try_first_pass auth required /usr/local/lib/pam_winbind.so try_first_pass # account account required /usr/local/lib/pam_winbind.so Com isso o imap autentica legal, mas ao digitar a senha errada, ele demora vários minutos para voltar a autenticar mesmo com a senha correta, ele passa a não aceitar mais a senha correta após uma falha na autenticação. Será que eu deveria mudar o meu /etc/pam.d/imap? Deixando o auth em "sufficient" ocorre que qualquer senha, QUALQUER uma valida o usuário : ) Bem estranho. Att, RS On 10/26/06, Marcio Antunes <[EMAIL PROTECTED]> wrote: > Amigo, > > Tenta esse how-to > > http://freebsdhowtos.com/116.html > > Eu ja sofri muito.. porem deu certo. > > Um abraço > > > > 2006/10/26, Rogério Schneider <[EMAIL PROTECTED]>: > > Alguém tem um guia definitivo de como configurar o FreeBSD para > > autenticar users de um Ad/NT Domain? Preciso dos passo-a-passo total, > > desde o BSD, Samba, Winbind até o Windows, que no caso é um 2003. > > > > Muito obrigado, preciso mesmo disso, e muito. > > Cheguei até um ponto, mas não obtive sucesso no wbinfo -u !!! > > > > -- > > Att, > > > > Rogério Schneider > > +55 (55) 9985 2127 > > +55 (55) 3332 5923 > > +55 (55) 8158 > > +55 (55) 3321 1535 > > > > MSN: [EMAIL PROTECTED] > > ICQ: 78778973 > > GTalk: [EMAIL PROTECTED] > > Skype: stockrt > > - > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > - > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Rogério Schneider +55 (55) 9985 2127 +55 (55) 3332 5923 +55 (55) 3321 1535 MSN: [EMAIL PROTECTED] ICQ: 78778973 GTalk: [EMAIL PROTECTED] Skype: stockrt - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] FreeBSD autenticando users em NT Domain
Thiago, assim, eu não uso o samba, apenas o configurei para poder ter os comandos net (para o join) e o daemon winbindd para fazer o transporte SMB do /etc/nsswitch.conf ao AD. Então, não autentico ninguém em samba, apenas uso o nsswitch para puxar os users (contas, nomes, grupos) do AD, a fim de centralizar a criação de users para a rede Windows e para os e-mails. Dessa forma também tenho um SSH rodando autenticando no AD, só me falta o imap autenticar os users da forma correta no AD, para poder liberar acesso aos e-mails. Minhas configurações: smb.conf em modo ROLE_DOMAIN_MEMBER, para que os comandos: # kinit @TEST.DOMAIN # net ads join -U funcionem da forma correta: [global] workgroup = TEST realm = TEST.DOMAIN netbios name = NAME security = ADS allow trusted domains = No password server = SERVER.TEST.DOMAIN log level = 20 syslog only = Yes log file = /var/log/samba/log.%m max log size = 500 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 load printers = No preferred master = No domain master = No dns proxy = No wins server = SERVER.TEST.DOMAIN idmap backend = rid:TEST=2000-10 idmap uid = 2000-10 idmap gid = 2000-10 template shell = /usr/local/bin/bash winbind cache time = 3600 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes hosts allow = 192.168., 172.16.0., 127., 10.0. veto files = /*.exe/*.mp3/*.bat/*.{*}/ # Arquivos proibidos de serem copiados para o servidor. Note que usei TEST e DOMAIN e não os nomes reais dos servidores e domínio. É importante deixar o security com ADS e configurar com preferred master = No e domain master = No para que o testparm retorno ROLE_DOMAIN_MEMBER e nao PDC ou BDC... senão teu net ads join não funciona. /etc/nsswitch.conf group: files winbind group_compat: nis hosts: files dns networks: files passwd:files winbind passwd_compat: nis shells:files /etc/krb5.conf [libdefaults] default_realm = TEST.DOMAIN [realms] TEST.DOMAIN = { kdc = SERVER.TEST.DOMAIN admin_server = SERVER.TEST.DOMAIN default_domain = TEST.DOMAIN } [domain_realm] .test.domain = TEST.DOMAIN test.domain = TEST.DOMAIN [logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.log /etc/hosts 192.168.0.x test.domain test 192.168.0.x TEST.DOMAIN TEST 192.168.0.x server.test.domain server 192.168.0.x SERVER.TEST.DOMAIN SERVER E é isso. Os users viram locais, e com isso se pode autenticar SSH, por exemplo, de forma direta, sem alterar o /etc/pam.d/sshd. O finger também funciona da mesma forma, trazendo os dados de users do AD, o su também, chown, chgrp, etc... Já para o imap precisei alterar o /etc/pam.d/imap, mas mesmo tentando diversas configurações a autenticação imap está instável, depois de errar a senha (uma vez) não é mais possível se autenticar com sucesso... Alguém ja resolveu isso? Meu /etc/pam.d/imap co problemas... auth required /usr/local/lib/pam_winbind.so try_first_pass account required /usr/local/lib/pam_winbind.so Se usar sufficient no lugar do required QUALQUER senha autentica o usuário, o que não e legal :) Alguém sabe resolver isso? Att, RS On 11/3/06, Thiago Gomes <[EMAIL PROTECTED]> wrote: > Rogerio, > > Teria como vc me passar as suas configurações.. estou > tendo problemas como vc viu no meu samba autenticado > no AD. acontence isso como vc ? > > Obrigado > > > --- Rogério Schneider <[EMAIL PROTECTED]> escreveu: > > > Olá, deu certo. Agora o FreeBSD lista os users sem > > prob