Olá pessoal,

Uma das coisas que fiz em meus laboratórios há algum tempo, mas havia me esquecido de publicar aqui, foi criar um Controlador de Domínio Primário em minha rede com Samba e colocar algumas máquinas nesse domínio.

Este serviço é muito comum em empresas utilizando servidores Windows. O software do Windows que realiza este serviço é o Active Directory, mas no Linux faremos isso com o Samba que além de servidor de arquivos pode ser Controlador de Domínio.

Desde a versão 4 do Samba ele passou a ter total compatibilidade com o AD do Windows, tornando possível realizar as mesmas tarefas de gerenciar um domínio que faria no Windows, pois até mesmo as ferramentas administrativas que usará para gerenciar seu domínio serão as do Windows realizadas remotamente de dentro de um Desktop Windows, mas vamos lá mostrar na prática.

…mas antes:

Algumas definições via Wikipedia:

AD: Active Directory:

O Active Directory é uma implementação de serviço de diretório no protocolo LDAP que armazena informações sobre objetos em rede de computadores e disponibiliza essas informações a usuários e administradores desta rede. O Active Directory é um software da Microsoft utilizado em ambientes Windows.

Caso precise, você pode querer saber também o que é o Kerberos.

Agora sim!

Instalação

Observações Importantes!

Este tutorial não é recomendado para usuários iniciantes, ou seja, é preciso saber o que deseja fazer e porquê vai fazer isso, possuir algum conhecimento de conceitos de infraestrutura de TI e redes, e de preferência realizar a instalação em uma máquina virtual (com snapshot antes da instalação, pois aí você volta o snapshot se algo der errado).

Também é importante salientar que quando chegar o momento de definir a senha do AD, use uma senha forte, ou seja, com mais de 7 caracteres e de preferência, com números, algum caractere maiúsculo e caracteres especiais, simples exemplo: Laranja#2016. E anote suas senhas para não esquecer.

São boas práticas de administradores.

1 – Configure IP estático e nome do seu host e AD.

Defina a configuração conforme sua rede. No exemplo a seguir, minha rede é 192.168.0.0, e o nome de minha máquina e ad será “ad” e o nome da minha máquina será “cleuber.local”, então o FQDN (Fully Qualified Domain Name) será “ad.cleuber.local”.

Caso você esteja usando Ambiente Gráfico, pode fazer isso via aplicativo de configuração de rede de seu Ubuntu, ao lado do relógio.
Caso seja sem Ambiente Gráfico, use o editor de texto, como o “vi” ou “nano”, e edite este arquivo de acordo com a sua rede, conforme exemplo abaixo (usarei o “nano”, lembrando que com o nano, você depois de editar o arquivo de texto, salva-se com Ctrl+O e fecha-se com Ctrl+x):

Primeiramente logando como root, e depois já configurando a rede.

sudo su

nano /etc/network/interfaces

auto eth0
iface eth0 inet static
address 192.168.0.seuip
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.7
dns-nameservers 192.168.0.seuip 8.8.8.8

(este segundo  um servidor de DNS na nuvem, no caso este 8.8.8.8  o do Google, mas poderia ser o 208.67.222.222 ou 208.67.220.220, que  o do OpenDNS)
dns-search cleuber.local (este será o nome do domínio)

nano /etc/hosts
127.0.0.1 localhost
192.168.0.seuip ad.cleuber.local

echo ad.cleuber.local > /etc/hostname

2 – Comece instalando alguns pacotes:

apt-get install gcc flex make gdb python-ldap python-dev libacl1-dev

3 – Baixe o samba 4, e descompacte-o.

wget www.samba.org/samba/ftp/stable/samba-4.1.10.tar.gz
tar zxvf samba-4.1.10.tar.gz

4 – Realize a instalação

Acesse a pasta onde descompactou

cd samba-4.1.10

Faça o build do código fonte, prepare a instalação e instale com estes 3 comandos. Demora um pouco até terminar.

./configure --enable-debug --enable-selftest
make
make install

5 – Levantando o Domínio

hostname (para ver o nome da sua máquina)

O comando que iremos usar trará um wizard para que você escolha opções de configuração do seu AD. Depois do comando, preencha o que o wizard pedir, quando aparecer um item dentro de “[ ]” quer dizer que é o padrão e você poderá teclar “Enter” para confirmar o padrão, ou se preferir digitar o padrão.

/usr/local/samba/bin/samba-tool domain provision

•    Realm: DOMAIN.LOCAL (aqui você coloca o nome do seu domínio)
•    Server Role (dc, member, standalone) [dc]: Enter para o padrão “dc”
•    DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DL2, NONE) [SAMBA_INTERNAL]: Enter para o padrão “SAMBA_INTERNAL”
•    BND fowarder IP address (write ‘none’ to disable fowarding) [192.168.0.1]: Caso o dns dele não consiga resolver o nome das máquinas, vamos usar o padrão que é o gateway do seu roteador.
•    Administrator password: agora defina sua senha

Agora basta esperar. Ele mostrará o resultado com um resumo ao final do processo parecido com isso:

Server Role:       active directory domain controller
Hostname:          cleuber
NetBIOS Domain:    ad
DNS Domain:        cleuber.local
DOMAIN SID:        “aparecerá um monte de números”

7 – Ative o serviço

Ative com o comando abaixo

/usr/local/samba/sbin/samba

8 – Verifique e teste tudo

8.1 – Verifique os processos do Samba com o comando abaixo:

ps -aux | grep samba

8.2 – Verifique a versão dos pacotes do samba server e cliente:

/usr/local/samba/sbin/samba -V
/usr/local/samba/bin/smbclient –V

8.3 – Verifique o LDAP

host –t SRV _ldap._tcp.cleuber.local

Se der certo retornar uma mensagem assim:

“_ldap._tcp.cleuber.local has SRV record 0 100 389 ad.cleuber.local.”

8.4 – Verifique o AD:

/usr/local/samba/bin/smbclient -L localhost -U%

A saída deve ser algo como esta:

Sharename       Type      Comment
 ---------       ----      -------
 IPC$            IPC       IPC Service (ad server (Samba, Ubuntu))
 print$          Disk      Printer Drivers
 Domain=[CLEUBER] OS=[Unix] Server=[Samba 4.1.10]

Server               Comment
 ---------            -------
 Workgroup            Master
 ---------            -------

8.5 – Verifique o serviço do Kerberos e a autenticação:

host –t SRV _kerberos._udp.cleuber.local

Se der certo retornar uma mensagem assim:

“_kerberos._tcp.cleuber.local has SRV record 0 100 88 ad.cleuber.local.”

Autenticação:

/usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%”suasenha” -c ‘ls’

E entre com seu usuário e senha.
Se a autenticação der certo, será retornada uma resposta como esta abaixo:

.        D    0  Wed Jul 30   11:44:52 2014
 ..      D    0  Wed Jul 30   11:45:06 2014

9 – Rede Novamente, pós-instalação:

Faça mais uma configuração de Rede para resolução do nome do seu AD. (Esta deve ser feita depois de instalar o AD, para editar o arquivo de configuração do mesmo).

echo domain CLEUBER.LOCAL >> /etc/resolv.conf
nano /usr/local/samba/etc/smb.conf

Na sessão “[Global]”, altere a linha “dns fowarder” para:

dns fowarder = 8.8.8.8 (ou outro servidor de DNS na nuvem ou local se houver)

10 – Configure o nome do AD no Kerberos

nano /usr/local/samba/share/setup/krb5.conf

Mude a linha “default.realm”, substituindo o texto após o “=”, para default.realm = CLEUBER.LOCAL (no meu caso)

11 – Crie o diretório para os usuários

mkdir –m 770 /Users
chmod g+s /Users
chown root.users /Users

Edite as configurações do samba

nano /usr/local/samba/etc/smb.conf

Vá até a sessão “[Sysvol]” e edite o caminho “path” para:

path = /usr/local/samba/var/locks/sysvol

E adicione a seguinte sessão abaixo:

“[Users]”
directory_mode: parameter = 0700
read only = no
path = /Users
csc policy = documents

Ok! AD no AR!

Agora Reinicie a máquina.

12 – Colocando uma máquina Windows no domínio.

12.1 – Altere o DNS da máquina com Windows para o IP do seu Ubuntu Server

12.2 – Teste se já está se comunicando com um ping no nome e IP do server

12.3 – Em propriedades da máquina tire-a do Workgroup e coloque-a no domínio (no meu caso cleuber.local), aparecerá uma mensagem “Bem Vindo ao Domínio Cleuber.local!” e solicitará para reiniciar a máquina.

Observe na imagem abaixo todas estas coisas já feitas.

12.4 – Após reiniciar a máquina, faça login utilizando seu administrador do domínio, e pronto. No caso do Windows 8.1, você clicará na seta para trás na tela de login, escolherá “Outro Usuário” e colocará o nome do seu dominio\nome do seu administrador.
(No meu caso, cleuber.local\Administrator).

13 – Administre o seu Domínio, instalando as Ferramentas Administrativas

Para usar sua máquina Windows para administrar o domínio é preciso instalar as Ferramentas Administrativas.

13.1 – Baixe-as através dos seguintes links de acordo com a versão do seu Windows.

Download ferramenta para XP: http://www.microsoft.com/en-us/download/details.aspx?id=6315
Download ferramenta para Win7: http://www.microsoft.com/en-us/download/details.aspx?id=7887
Download ferramenta para Win8: http://www.microsoft.com/en-us/download/details.aspx?id=28972

13.2 – Instale-a em seu Windows. (de acordo com a versão do seu Windows)

13.3 – Depois de instaladas vá ate “Painel de Controle/Ferramentas Administrativas/Usuários e Computadores do Active Directory, e abra-o. (Ou procure por ele no Start Menu do Windows). Sugiro criar um atalho na Area de Trabalho ou barra de tarefas para facilitar a abertura nas próximas.

13.4 – Testando Criação de “OUs” (Unidades Organizacionais) e usuários, conforme as 3 imagens abaixo:

14 – Testando o login de usuário criado:

Após ter criado o primeiro usuário, pode fazer logoff do Administrador do dominio, e faça login com o novo usuário. Clique em “Outro Usuário” Novamente. Eu criei o usuário “cleuber.hashimoto”.

…Espere o Windows preparar seu ambiente.

OK!
Login com usuário do domínio recém-criado testado e funcionando!

Conclusão:

Acabamos de criar um AD através do Ubuntu similar a um AD do Windows Server 2003, e totalmente compatível com as Ferramentas Administrativas para gerenciamento a partir de máquinas com Windows, o que é uma solução excelente para empresas pequenas que não desejam pagar pela licença de um servidor Microsoft para fazer isso. Naturalmente em ambientes que usarão mais recursos e servidores Microsoft, torna-se recomendável adotar a plataforma completa para todos os servidores.

Abraços,

Cleuber

Cleuber Silva Hashimoto

Administrador

Gestor de Infraestrutura | Suporte | Cibersegurança.
Graduado em Gestão de TI e Pós-graduado em Segurança da Informação e Computação Forense. Fundador da Agência WebGenese e criador do cleuber.com.br

 cleuber.hashimoto@gmail.com  https://cleuber.com.br