UNIVERSIDADE CATÓLICA DE

Transcrição

1 UNIVERSIDADE CATÓLICA DE BRASÍLIA PRÓ-REITORIA DE GRADUAÇÃO TRABALHO DE CONCLUSÃO DE CURSO Bacharelado em Ciência da Computação O SOFTWARE SAMBA NA INTEGRAÇAO DE REDES HETEROGÊNEAS Autores: Orientador: Clarice Braga e Silva Campos Solange Correia de Oliveira MSc. Giovanni Almeida Santos BRASÍLIA 2008

2 2 / 101 CLARICE BRAGA E SILVA CAMPOS SOLANGE CORREIA DE OLIVEIRA O SOFTWARE SAMBA NA INTEGRAÇÃO DE REDES HETEROGÊNEAS Monografia apresentada ao Programa de Graduação da Universidade Católica de Brasília, como requisito para obtenção do Título de Bacharelado em Ciência da Computação. Orientador: MSc. Giovanni Almeida Santos Brasília 2008

3 3 / 101 TERMO DE APROVAÇÃO Monografia defendida e aprovada como requisito parcial para obtenção do Título de Bacharel em Ciência da Computação, defendida e aprovada, em 20 de Junho de 2008, pela banca examinadora constituída por: Msc. Giovanni Almeida Santos Orientador Msc. Mário de Oliveira Braga Filho Brasília UCB

4 4 / 101 Para cada sonho é necessário um sonhador. Para cada conquista, uma batalha. Agradeço a Deus o sonho, a batalha e, sobretudo a conquista. Não poderia deixar de agradecer a minha família por compreenderem a minha ausência, aos grandes amigos que fiz nesta caminhada, aos meus professores do curso e ao orientador Giovanni Almeida Santos pelo apoio. Clarice Braga e Silva Campos

5 5 / 101 "e que passe a ser vida o que hoje é só sonho..." Para que se possa percorrer um caminho é necessário dar o primeiro passo. Agradeço a Deus por não me deixar desistir da caminhada, aos meus pais, Irene e José, pelo apoio incondicional, aos meus amigos que apesar da distância sempre estiveram muito presentes e compreenderam minha ausência. Aos colegas e professores do curso e aos Professores Giovanni Almeida Santos e Mauro Tapajós. Solange Correia de Oliveira

6 6 / 101 Agradecemos ao orientador Professor MSc.Giovanni Almeida Santos

7 7 / 101 Embora ninguém possa voltar atrás e fazer um novo começo, qualquer um pode recomeçar agora e fazer um novo fim." Chico Xavier

8 8 / 101 RESUMO Este projeto se dispõe a ser um tutorial para a integração entre redes heterogêneas Linux-Windows, abordando a relação de confiança entre domínios, utilizando para isso o Samba, um software que permite o compartilhamento e gerenciamento de recursos entre esses sistemas. Este tutorial irá contemplar os problemas encontrados ao montar um ambiente heterogêneo, mostrando as facilidades do Samba, as dificuldades, os erros e as soluções encontradas para corrigi-los. Estas abordagens têm como objetivo apresentar as funcionalidades encontradas no Samba que possibilitam a integração de ambientes livres e ambientes proprietários Microsoft. Palavras-chave: integração, autenticação, Samba, relação de confiança.

9 9 / 101 ABSTRACT This project intends to be a tutorial for integration among nets heterogeneous Windows-Linux, approach the trust-relationship among domains, by using Samba, software that permits sharing and resource management among those systems. This tutorial will contemplate the trouble encountered on assembling an environment heterogeneous, showing the facilities of the Samba, the difficulties, the errors and the solutions encountered to correct then. Those approaches have the objective to present the functionalities encountered into the Samba what allow the integration of environments free and environments owners Microsoft. Keywords: integration, authentication, Samba, trust-relationship.

10 10 / 101 SUMÁRIO 1. INTRODUÇÃO Beneficiados pela pesquisa OBJETIVOS Objetivo Geral Objetivos Específicos PROPOSTA DA PESQUISA Descrição da Pesquisa Resultados Esperados Restrições da Pesquisa Descrição do Hardware Utilizado Recursos Necessários Descrição do Hardware Utilizado Softwares e Distribuições Utilizados Configuração de Rede Áreas Afetadas pela Pesquisa WINDOWS Windows Server Protocolos Utilizados pelo Windows Serviços de resolução de nomes Domínios e grupos de trabalho do Windows Controladores de Domínio (Domain Controllers) Servidor Membro (Member Server) AD Active Directory Protocolo Kerberos DNS e Active Directory SAMBA Um pouco da história do Samba O protocolo SMB / CIFS no Samba Funcionamento básico do Samba Smb.conf Bases de autenticação utilizadas pelo Samba Smbpasswd LDAP Samba e domínios Métodos de resolução de nomes utilizados pelo Samba SOLUCÃO PROPOSTA... 61

11 11 / Cenário 1 O Samba como um PDC Cenário 2 Adicionando o Linux a um domínio Windows CONCLUSÃO TRABALHOS FUTUROS BIBLIOGRAFIA GLOSSÁRIO APÊNDICES APÊNDICE A O SAMBA COMO UM PDC APÊNDICE B ADICIONANDO O LINUX A UM DOMINIO WINDOWS... 92

12 12 / 101 LISTA DE FIGURAS Figura 1 - Protocolos utilizados pelo smb/cifs Figura 2 - Funcionamento do servidor WINS Figura 3 - Funcionamento do DNS Figura 4 - Alteração do nome do computador Figura 5 - Inclusão em um grupo de trabalho Figura 6 - Hierarquia entre domínios Figura 7 - Controlador de domínio Figura 8 - Autenticação de usuários no AD Figura 9 - Relação de confiança transitiva Figura 10 - Confiança unidirecional e bidirecional Figura 11 - Estrutura de domínios do Windows Figura 12 - Funcionamento básico do protocolo SMB Figura 13 - Bases de autenticação utilizadas pelo Samba Figura 14 - Plataformas que utilizam LDAP Figura 15 - Árvore de diretórios do LDAP Figura 16 - LDAP com base de nomes Figura 17 - O Samba atuando como PDC Figura 18 - Usuários Linux logados no Windows Figura 19 - Relação de confiança entre domínios Figura 20 - Usuários e computadores do AD Figura 21 - Windows logado no domínio Linux... 70

13 13 / 101 LISTA DE TABELAS Tabela 1 - Componentes de um nome distinto Tabela 2 - Níveis do sistema operacional Windows... 58

14 14 / INTRODUÇÃO A utilização de softwares proprietários como Windows nas empresas e órgãos do Governo ainda é grande, mas esse quadro vem mudando com a adoção de software livre. O seu uso possibilita a redução de custos com licenças de utilização, maior segurança e estabilidade e, por ser um software de código aberto, está em constante evolução, permitindo que ele seja melhorado e adaptado às necessidades do usuário. A migração de redes que utilizam Windows para redes que utilizam Linux não pode ser feita da noite para o dia. É preciso levar em conta quais serviços e em que ordem eles irão migrar, o treinamento de usuários, que requer uma certa demanda de tempo, além da política de segurança adotada na empresa que também é fator relevante. Sendo assim, durante algum tempo um ambiente de rede heterogêneo é utilizado e esse ambiente deve estar estruturado de forma tal que possibilite o bom andamento da empresa, causando o menor impacto possível e que seja feita de forma transparente para o usuário. A proposta deste trabalho é mostrar os passos que devem ser seguidos para que se possa integrar os sistemas Windows e Linux utilizando o Samba, mostrar a necessidade e os benefícios de se ter um ambiente com relação de confiança entre os domínios e as funcionalidades do software Samba. Vários trabalhos abordam este tema, mas não há um passo-a-passo para que essa integração seja feita de forma rápida e transparente, causando o menor impacto possível para o usuário Beneficiados pela pesquisa Administradores de redes e pesquisadores interessados em gerenciamento de recursos de Tecnologia da Informação em cenários que utilizam plataformas heterogêneas, além daqueles que estejam interessados em integrar os sistemas Windows aos sistemas Linux. Centro de Excelência em Servidores de Missão Crítica CESMIC, localizado na Universidade Católica de Brasília UCB.

15 15 / OBJETIVOS 2.1. Objetivo Geral O projeto tem como finalidade descrever o caminho para se integrar com sucesso sistemas operacionais diferentes, utilizando relação de confiança entre domínios para que seus usuários tenham acesso aos recursos disponibilizados a ele independente do sistema utilizado, tendo como foco o software Samba que permite integrar de forma eficiente as plataformas Windows e Linux Objetivos Específicos são necessários: A fim de alcançar o objetivo geral desse projeto, os objetivos específicos a seguir Montar um ambiente onde o Samba seja o controlador de domínio para autenticar os clientes Windows; Montar um ambiente onde o Windows Server 2003 seja o controlador de domínio, utilizando o Active Directory para a autenticação dos clientes Linux; Criar uma relação de confiança entre os domínios Windows e Linux; Realizar testes para verificação e comprovação do funcionamento do Samba. 3. PROPOSTA DA PESQUISA Este capítulo trata da descrição da pesquisa em seus aspectos gerais. Serão abordados: a descrição da pesquisa, os resultados esperados, as restrições do projeto e os recursos utilizados para a sua execução. Será descrita também a relação custo-beneficio para a realização deste projeto e as áreas afetadas pela pesquisa Descrição da Pesquisa A pesquisa tem como objetivo mostrar os passos para se integrar redes heterogêneas, neste caso, redes Windows-Linux onde serão verificadas quais as dificuldades,

16 16 / 101 facilidades e erros cometidos na montagem de um ambiente misto. O estudo irá se concentrar nos softwares Windows e Linux e no servidor Samba, que proporciona a integração de redes heterogêneas, mostrando as ferramentas que estes sistemas dispõem para autenticação de usuários Resultados Esperados Espera-se, ao final desta pesquisa, apresentar um tutorial onde serão sanados os problemas para montar um ambiente integrado com sistemas diferentes, mostrando como estabelecer uma relação de confiança entre eles Restrições da Pesquisa Esta pesquisa se restringe à utilização das ferramentas de autenticação disponibilizadas pelos sistemas operacionais Windows e Linux bem como os recursos oferecidos pelo software Samba Descrição do Hardware Utilizado Este estudo é de interesse aos profissionais da área de redes, em específico administradores de redes que, poderão através deste documento fazer uma implantação rápida seguindo os caminhos aqui claramente apresentados Recursos Necessários Esse tópico descreve os recursos de hardware e software utilizados durante a realização deste projeto Descrição do Hardware Utilizado Para a realização deste projeto foram utilizados os seguintes equipamentos:

17 17 / 101 Servidor Samba Processador: Intel Pentium Ghz; Memória RAM: 504 MB; Memória de armazenamento: 135 GB; Dispositivos e periféricos: interface de rede ethernet, unidade de leitura de CD-ROM e entrada USB para dispositivo de memória removível (pen drive). Cliente Linux Processador: Intel Pentium Ghz; Memória RAM: 504 MB; Memória de armazenamento: 135GB; Dispositivos e periféricos: interface de rede ethernet, unidade de leitura de CD-ROM e entrada USB para dispositivo de memória removível (pen drive). Cliente Windows XP: Processador: Intel Pentium Ghz; Memória RAM: 512 MB;

18 18 / 101 Memória de armazenamento: 5 GB; Dispositivos e periféricos: interface de rede ethernet, unidade de leitura de CD-ROM. Windows Server 2003: Processador: Intel Pentium Ghz; Memória RAM: 240 MB; Memória de armazenamento: 149 GB; Dispositivos e periféricos: interface de rede ethernet, unidade de leitura de CD-ROM e entrada USB para dispositivo de memória removível (pen drive) Softwares e Distribuições Utilizados Para a realização deste projeto foram utilizados os seguintes softwares e suas respectivas distribuições: Windows XP Professional; Windows Server 2003 e Debian Linux Também foram utilizados os seguintes pacotes para o servidor Samba:

19 19 / 101 Samba a; Samba-client a; Samba-common a; OpenLDAP 2.x; Smbldap-Tools 2.x. No Windows 2003 Server foi necessária a habilitação do Active Directory Configuração de Rede As máquinas descritas para a utilização deste projeto estão interligadas em uma rede Ethernet através de um switch. A máquina Linux foi configurada para trabalhar como cliente e servidor e para que a autenticação ocorresse de forma segura foram realizados testes com os pacotes OpenLDAP instalados e configurados. As ferramentas do pacote smbldap-tools foram utilizadas para o servidor, já para o cliente foi configurado o pacote Samba-client. No cliente Windows XP não foi necessária a instalação de nenhum pacote adicional, já para o Server 2003 foi necessária a habilitação do Active Directory Áreas Afetadas pela Pesquisa Através dessa pesquisa algumas áreas da Tecnologia da Informação podem ser beneficiadas, como por exemplo, as de sistemas distribuídos e gerência de recursos, porém, essa pesquisa está mais direcionada aos Administradores e Gerentes de redes que buscam sempre oferecer um serviço de qualidade para seus usuários.

20 20 / WINDOWS A revolução tecnológica propiciou uma diversidade imensa de aplicações para os computadores. Atualmente a sua utilização no cotidiano das pessoas, seja em atividades pessoais seja nos negócios é tal, que é difícil imaginar a realização de tarefas sem o uso do computador. Com a popularização do computador pessoal surgiu a necessidade de interligá-los em redes e tanto pequenas empresas quanto as grandes corporações utilizam-se da comunicação entre redes para realizar seus negócios. Apesar de apresentar falhas e pontos de críticos de segurança, o sistema operacional Windows tornou-se muito popular sendo amplamente utilizado em redes de todo o mundo. Este capítulo trará alguns dos conceitos técnicos mais importantes para o funcionamento de redes Microsoft Windows Windows Server 2003 O Windows Server 2003 foi lançado pela Microsoft em abril de 2003 e é conhecido também como W2K3, é o sistema operacional de rede que veio a substituir o Windows 2000 Server. Ele também é conhecido como Windows NT 5.2 e em seu kernel encontra-se o Windows XP alterado de forma a permitir que o sistema funcione de forma mais estável. Da mesma forma que o Windows 2000 Server, esse sistema também traz consigo o Active Directory que é uma robusta ferramenta para autenticação e administração de domínios e usuários. Em comparação ao seu antecessor, o Server 2003 trouxe melhorias para os serviços de rede e para ao Active Directory tornando-o mais robusto confiável Protocolos Utilizados pelo Windows Muitos são os protocolos utilizados pelo Windows para comunicação em redes, resolução de nomes de máquinas e compartilhamento de arquivos. Neste tópico serão apresentados alguns protocolos que o Windows utiliza ou já

21 21 / 101 utilizou, abordando suas características e funcionalidades principais. Entendendo o funcionamento básico destes protocolos, o estudo sobre o software Samba, mais à frente, será melhor compreendido NetBIOS - Network Basic Input Output System O NetBIOS é uma interface de rede que foi desenvolvida pela Sytec e utilizada pela IBM para permitir a comunicação entre máquinas. Essa estrutura utiliza o conceito de nome de serviço, possibilitando a uma máquina conectar-se à rede reservando um nome para sua utilização, permitindo à máquina utilizar quantos nomes quiser, desde que ele não esteja em uso. É uma interface simples que foi projetada para prover uma interação entre programas e o hardware de comunicação de um computador. O seu esquema de endereçamento utiliza 16 bytes para identificar os computadores e as aplicações de rede, sendo que o último caractere é reservado para a identificação do serviço disponível na máquina. Os nomes NetBIOS seguem algumas regras tais como: Os nomes NetBIOS não possuem formato hierárquico como acontece no DNS; Podem conter caracteres de 0..9, a..z, A..Z, ou qualquer um dos # $ % ^ & ( ) { }. ~ Um nome registrado pode identificar uma única estação de trabalho ou nós múltiplos que façam parte de um grupo. A interface NetBIOS oferece às aplicações de rede um serviço de comunicação orientado à conexão e opcionalmente um serviço de transmissão de datagramas não confiável através das portas UDP/137, UDP/138, UDP/139 e é através dessas portas que acontecem as invasões e o alto tráfego de vírus. Outra limitação do NetBIOS é que ele não é roteável, ou seja, pode ser usado apenas em redes pequenas ou em grupos de trabalho onde pode se utilizar broadcast para

22 22 / 101 atingir toda a comunidade, já na Internet os pacotes broadcast são eliminados pelos roteadores, sendo difícil de serem transportados entre segmentos de redes distintos NetBEUI - NetBIOS Extended User Interface O NetBEUI é uma versão melhorada do NetBIOS desenvolvida pela IBM em Assim como o NetBIOS, foi desenvolvido para redes pequenas com no máximo 255 máquinas, não suportando roteamento. Com isso ele se tornou um protocolo extremamente simples, com um bom desempenho não necessitando de nenhuma configuração manual. Como o NetBIOS ele também utiliza o esquema de nomes para endereçar as máquinas da rede. Qualquer nome pode ser utilizado, desde que não ultrapasse 15 caracteres e não esteja sendo utilizado por outra máquina NBT - NetBIOS over TCP O protocolo TCP/IP utiliza números para representar os endereços dos computadores na rede, enquanto o NetBIOS utiliza nomes. Os problemas surgiram quando esses protocolos necessitaram trabalhar juntos. Para solucioná-los a IETF (Internet Engineering Task Force) publicou em 1987 as documentações RFC 1001 E 1002 que descreviam como o NetBIOS deveria trabalhar em uma rede TCP/IP. A partir daí esse padrão é conhecido como NetBIOS over TCP/IP ou NBT. [BARREIROS, 2003] O NBT estabelece o funcionamento de três serviços em uma rede, sendo dois serviços de comunicação e o serviço de nomes. O serviço de nomes permite que cada máquina declare um nome especifico para si na rede que será traduzido em um nome IP de modo semelhante ao DNS. Uma das formas para fazer o mapeamento de nomes é por IP broadcast onde um pacote com o nome escolhido é enviado em broadcast para a rede, todas as outras máquinas ficam sabendo o nome do computador e se esse nome já estiver sendo utilizado, a máquina que está de posse dele responde dizendo que o mesmo já está em uso.

23 23 / NBNS - NetBIOS Name Server Esse serviço também é conhecido como WINS, nome dado pela Microsoft com o objetivo de solucionar o problema da resolução de nomes que como dito anteriormente era feito enviando-se mensagens broadcast na rede a fim de se localizar um computador. O NBNS realiza uma coleta de nomes e endereços IP e os disponibiliza em uma lista para quem desejar. Os clientes enviam seus endereços IP e o nome NetBIOS para o servidor NBNS que armazena os dados em um banco de dados. Se um cliente quiser se comunicar com um outro cliente ele envia ao servidor NBNS o nome do cliente procurado, se ele estiver no banco de dados o NBNS retorna ao solicitante o número IP referente àquele nome Protocolo SMB / CIFS Originalmente criado pela IBM, o SMB (Server Message Block) sofreu alterações pela Microsoft que o renomeou para CIFS (Common Internet File System) e atualmente é conhecido como SMB/CIFS. É um protocolo que permite compartilhar arquivos, impressoras e portas seriais amplamente utilizado pelos sistemas operacionais Windows. O primeiro a utilizá-lo foi o Windows for Workgroups e desde então os outros sistemas operacionais da Microsoft passaram a ter a capacidade de funcionar como um servidor ou cliente. Esse protocolo funciona enviando pacotes do cliente para o servidor. Cada pacote enviado contém um cabeçalho padrão e mais dois campos de tamanho variável utilizados para informações específicas do pacote. O protocolo suporta múltiplas requisições e permite que o cliente acesse seus arquivos como se eles estivessem disponibilizados em sua máquina local e não em um servidor remoto. Cada pacote recebido pelo servidor é checado e se o cliente possuir as permissões necessárias para efetuar a requisição ele então executa a requisição do cliente e lhe envia um pacote com a resposta. O cliente analisa o pacote de resposta para determinar se a requisição inicial foi realizada com sucesso. O SMB/CIFS é um protocolo de alto nível e no modelo OSI é descrito como parte da camada de aplicação / apresentação, sendo assim, ele depende de outros protocolos para o

24 24 / 101 transporte, como mostra a Figura 1 sendo que o mais utilizado para transporte confiável é o NetBIOS over TCP (NBT). [BARREIROS,2003] Figura 1 - Protocolos utilizados pelo smb/cifs O SMB/CIFS se destina principalmente a ser um protocolo de compartilhamento de arquivos, mas, além disso, existem outras funções associadas a ele como determinar outros servidores SMB/CIFS na rede, compartilhar impressoras ou fornecer técnicas de autenticação. Os produtos da Microsoft se tornaram muito populares, desde grandes corporações até os usuários comuns, desse modo o protocolo SMB/CIFS é encontrado em todos os lugares. Há várias versões e implementações do SMB/CIFS, algumas delas são listadas abaixo: Solaris possui um projeto chamado CIFS cliente para Solaris baseado no MAC OSX smbfs; O software Veritas possui uma implementação do SMB; Novell NetWare versão 6 e posteriores possui uma implementação para servidor CIFS provendo acesso a volumes NetWare para clientes Microsoft; Samba uma reimplementação do protocolo SMB que será discutida em detalhes no capítulo 6 deste projeto.

25 25 / Serviços de resolução de nomes WINS Windows Internet Name Services O WINS é um serviço para resolução de nomes de máquinas de uma rede NT. Apesar de o DNS também ser um serviço para resolução de nomes, o WINS ainda é mantido por questões de compatibilidade, pois as versões anteriores do Windows (95, 98, Me e 3.11) e aplicações mais antigas ainda dependem da resolução de nomes NetBIOS, que é feita pelo WINS. Esse serviço pode ser encontrado no Windows 2000 Server, Server 2003 e no NT 4.0. [BATTISTI, 2006] Cada máquina da rede possui dois nomes: o nome de host e o nome NetBIOS, o WINS permite que o cliente faça o registro do nome NetBIOS dinamicamente durante a inicialização. O cliente registra o nome NetBIOS e o endereço IP respectivo, desse modo esse protocolo cria uma base de nomes NetBIOS juntamente com os respectivos endereços IP's fornecendo o serviço de resolução de nomes na rede. Um exemplo do funcionamento do serviço pode ser visto na Figura 2. O cliente A registra o seu nome no seu servidor WINS, o cliente B consulta o servidor WINS para localizar o endereço IP da máquina A na rede, o WINS então responde com o endereço IP do host A. Figura 2 - Funcionamento do servidor WINS

26 26 / 101 As principais características do WINS são: Provê redução do tráfego broadcast gerado pelo NetBIOS, por padrão os roteadores bloqueiam o tráfego broadcast e sem o uso do WINS os clientes que dependem desse serviço para resolução de nomes não teriam como fazê-lo; Utiliza replicação mantendo vários servidores WINS, em diferentes redes, com o mesmo banco de dados contendo as informações de todos os computadores da rede; Mantém um banco de dados dinâmico de nomes NetBIOS para endereço IP, provendo a resolução e registro do nome NetBIOS dos computadores da rede; Pode ser integrado com o DNS para responder às consultas que o DNS não conseguir responder. O WINS apresenta ainda um espaço de nomes chamado de flat que diferentemente do DNS não forma uma estrutura de domínios nem apresenta uma hierarquia, sendo essa a principal diferença entre esses dois serviços. Em sua base de dados ficam registrados apenas o nome NetBIOS e o respectivo IP da máquina. A necessidade de se ter dois serviços distintos para resolução de nomes se deve ao fato de que até o Windows NT 4.0 o WINS era o serviço mais utilizado e o suporte ao DNS só era obrigatório se algum serviço necessitasse utilizá-lo, mas a partir do Windows 2000 Server, que trazia o Active Directory, o serviço DNS passou a ser preferencial, e obrigatório no caso do AD. Por isso essa fase de transição é necessária, pois ainda há muitos clientes e aplicativos que dependem do WINS. O WINS oferece suporte a vários clientes, como alguns dos listados abaixo: Clientes Linux rodando o serviço Samba; Windows 95, 98, Me;

27 27 / 101 Windows 2000; Windows Server 2003; Windows NT 3.5 ou superior; Windows for Workgroups DNS Domain Name System DNS é a abreviação para Domain Name System, ou Sistema de Nomes de Domínios. É um sistema onde o nome de computadores e redes são organizados de forma hierárquica e são utilizados em redes TCP/IP, como na Internet, para localizar computadores e serviços por meio de nomes amigáveis para o usuário. Quando um usuário insere um nome DNS em um aplicativo, (um browser por exemplo) os serviços DNS transformam esses nomes para outra informação associada ao nome, como um endereço IP. Um exemplo do seu funcionamento pode ser visto na Figura 3, onde os nomes dos servidores estão apresentados de forma amigável para o usuário e não como um endereço IP. A partir do Windows 2000, a principal ferramenta utilizada para a resolução de nomes de máquinas passou a ser o DNS. O WINS, como dito anteriormente, foi mantido apenas para prover compatibilidade com as versões anteriores. [MORIMOTO, 2008] O DNS provê uma série de funcionalidades para as redes que utilizam Active Directory. Algumas das principais funções são: resolução de nomes: trata-se da principal funcionalidade do DNS, a tradução de nomes de computadores para endereços IP. Computadores em redes Windows 200x fazem consultas aos servidores DNS contendo o nome do computador que desejam localizar. A partir de então, os servidores DNS irão fazer buscas em sua base de dados local ou consultar outros servidores DNS, e, caso a resolução ocorra, retornará ao cliente o endereço IP referente ao computador desejado;

28 28 / 101 convenção de nomes para domínios Windows 200x: o AD utiliza a convenção de nomes do DNS para nomear os domínios Windows 200x. A rede compartilha a mesma estrutura hierárquica de nomes para domínios DNS e domínios do AD; localização de componentes do AD: controladores de domínio podem ser localizados por clientes que desejam se autenticar em um domínio ou realizar buscas. O DNS armazenará informações de computadores que realizam serviços de controle do domínio e daqueles que possuem uma cópia do catálogo global. A melhor configuração de DNS de um computador com o Windows 2000 ou Windows Server 2003 deve apontar para o controlador de domínio do Windows 2000 ou Windows Server 2003 que executa DNS. Figura 3 - Funcionamento do DNS

29 29 / Domínios e grupos de trabalho do Windows O Windows trabalha com duas implementações para redes: grupos de trabalho e domínios. Os grupos de trabalho são utilizados em redes onde não há um controlador de domínio, já um domínio é formado por computadores que fazem parte de uma hierarquia de nomes comuns. O funcionamento dessas implementações será abordado nos tópicos a seguir Grupos de trabalho Os grupos de trabalho são criados para separar os usuários em grupos lógicos e assim facilitar a administração da rede. Um grupo de trabalho geralmente é composto por dois ou mais computadores conectados, podendo ser chamada de rede ponto a ponto, já que as máquinas encontram-se em um mesmo nível. Não há um controlador de domínio e questões envolvendo segurança e autenticação são realizadas individualmente. Os grupos de trabalho geralmente são utilizados em pequenas empresas, com poucos computadores onde há a necessidade de se compartilhar recursos como impressoras ou arquivos, mas não há a necessidade de se ter uma base para autenticação. As máquinas que fazem parte de um grupo de trabalho compartilham seus recursos utilizando bases locais de autenticação. Cada usuário que desejar acessar um recurso em um servidor deverá ser validado nesse servidor, ou seja, cada servidor possui uma base própria para autenticação dos usuários que quiserem acessar algum recurso. Sendo assim, em uma rede formada por grupos de trabalho uma conta de usuário pode conter várias senhas diferentes, já que cada conta está em uma base distinta. A configuração para ingressar uma máquina em um grupo de trabalho é extremamente simples como pode ser visto nas Figuras 4 e 5.

30 30 / 101 Figura 4 - Alteração do nome do computador Acessando as propriedades do sistema do ícone meu computador e abrindo a aba "Nome do computador" o usuário poderá renomear o seu computador e ingressá-lo em um grupo de trabalho, bastando para isso clicar no botão "Alterar" que abrirá uma nova janela, conforme mostra a Figura 5 aonde o usuário irá informa o nome do grupo de trabalho ao qual irá fazer parte. Figura 5 - Inclusão em um grupo de trabalho

31 31 / Domínios Um domínio consiste em uma máquina central chamada de PDC (Primary Domain Controller) que mantém o controle de todas as contas de grupos / usuários e permissões para acesso à rede. Dessa forma o acesso é centralizado permitindo ao administrador usar o nível de acesso por usuário nas máquinas definindo quais usuários / grupos terão acesso aos recursos. O controlador de domínio possui as diretivas de segurança onde os usuários se autenticam ao efetuarem o login. Em um domínio um conjunto de máquinas faz parte de uma hierarquia bem definida de nomes comuns, onde as máquinas são clientes ou servidores. A regra geral é que é possível gerenciar um grupo de trabalho de até dez máquinas, a partir daí a utilização de um domínio é recomendada. Um administrador de domínio possui direitos e permissões administrativas apenas em seu próprio domínio, a não ser que esses direitos e permissões sejam explicitamente permitidos em outros domínios [MOC 2151, 2002]. Para que um domínio possa existir é preciso antes que haja um domínio raiz, ou domínio pai. Esse domínio, criado abaixo do domínio pai irá herdar todas as características do domínio anterior a ele. Na Figura 6 há o domínio raiz e todos os outros domínios criados abaixo dele herdarão o nome do pai sendo acrescentado como sufixo ao seu nome. Figura 6 - Hierarquia entre domínios

32 32 / 101 Diferentemente do grupo de trabalho, em um domínio o usuário realiza uma autenticação única, pois a conta de usuário está centralizada na máquina que será o controlador do domínio, o usuário pode então, se autenticar em qualquer máquina do domínio e obter acesso aos recursos da rede. Em cada domínio há um identificador de segurança chamado de SID (Security Identifier). Cada usuário ou grupo recebe um identificador único. Esse identificador é gerado com base na combinação do SID com um RID (Relative Identifier), a partir do identificador gerado podem ser criadas listas de controle de acesso aos recursos. Assim, todas as máquinas, usuários e grupos do domínio sempre estarão inseridos em um mesmo contexto de segurança (ou mesmo SID de domínio) [TS, ECKSTEIN e COLLIER-BROWN, 2003]. Em redes Windows que utilizam domínios há dois tipos de servidores: Controladores de Domínio (Domain Controller DC) e Servidor Membro do Domínio (Domain Member Server). Nos tópicos a seguir será abordado o funcionamento de cada um deles Controladores de Domínio (Domain Controllers) O DC é uma máquina que possui uma cópia do banco de dados do diretório e fornece o gerenciamento seguro de contas para computadores e usuários do domínio. São eles os responsáveis pelas alterações nas informações do diretório e pela replicação dessas informações para outros controladores de domínio. As informações referentes às contas de usuários e de máquinas do domínio ficam armazenadas no controlador de domínio, essa base é conhecida como SAM (Security Account Manager). É utilizando essa base que os controladores de domínio realizam o processo de autenticação de usuários e máquinas do domínio [MOC 2151, 2002]. Para ter acesso aos recursos de um domínio o usuário solicita autenticação ao controlador de domínio da rede a qual pertence. O controlador verifica suas permissões e o autentica, a partir daí o usuário poderá

33 33 / 101 acessar os recursos do seu domínio conforme mostra a Figura 7. Figura 7 - Controlador de domínio No Windows NT4 há o conceito de PDC Primary Domain Controller e BDC Backup Domain Controller. O PDC é a máquina responsável pelo controle de todas as contas de usuários, grupos e permissões para acesso à rede e possui a base de dados SAM, referenciada anteriormente. Ele armazena as informações dos usuários e faz a autenticação dos mesmos. Enquanto que o BDC é uma cópia, com permissão de somente leitura, do PDC. Nas redes onde há PDC's e BDC's as requisições de autenticação são repassadas aos BDC's preferencialmente. Estes dois conceitos eram utilizados no Windows NT 4.0 a partir dos servidores Windows 200x não há mais uma distinção entre PDC e BDC, agora todos os controladores de domínio armazenam uma cópia do Active Directory que pode ser modificada Servidor Membro (Member Server) Um servidor membro é uma máquina que não possui responsabilidades como o controlador de domínio como, por exemplo, não processa logon nem armazena informações sobre a política de segurança do domino, mas realiza uma grande variedade de funções como:

34 34 / 101 Servidor de arquivos; Servidor de aplicações; Servidor de banco de dados; Servidor de web; Servidor de firewalls; Servidor de acesso remoto. Os servidores membros possuem recursos relacionados à segurança que são comuns a todos os servidores membro, entre eles: Aderência às configurações da política de grupo que são definidas para o domínio; Controle de acesso para os recursos que estão disponíveis em um servidor membro; Banco de dados da conta de segurança local AD Active Directory Active Directory (Diretório Ativo) é um serviço diretório que permite que as informações sobre os recursos da rede sejam centralizadas, facilitando o gerenciamento para os administradores e o aceso para todos os usuários que dela se utilizam. Foi lançado com o Windows 2000 Server em sua primeira versão e possibilitou melhorias na administração do Windows Server O seu principal objetivo consiste em fornecer serviços centrais, autenticação e autorização para computadores baseados em Windows, também permite que os administradores possam atribuir políticas, implantar softwares, e aplicar as atualizações críticas para uma organização e armazenar informações e definições em uma base de dados central. O Active Directory pode variar de uma pequena instalação com algumas centenas de objetos, a uma grande instalação com milhões de objetos. A segurança é feita por meio da autenticação do logon e do controle de acesso aos objetos no diretório. O administrador da rede faz o gerenciamento, a organização e o controle dos dados de diretório apenas com um único logon, da mesma forma os usuários autorizados podem acessar seus recursos a partir de qualquer host bastando para isso fornecer login e senha uma única vez. O gerenciamento, até mesmo das redes mais complexas, é facilitado pelo uso das diretivas utilizadas pelo AD. [RODRIGUES, 2007]

35 35 / 101 O AD no Windows Server 2003 também inclui: um esquema, ou seja, um conjunto de regras onde são definidas as classes de objetos e atributos que fazem parte do diretório, assim como as restrições desses objetos e a forma como os seus nomes serão apresentados; um catálogo global com as informações de cada objeto presente no diretório, permitindo assim, que usuários e administradores possam encontrar informações sobre um diretório independentemente de onde esteja localizada esta informação, que pode estar no domínio do diretório onde a pesquisa está sendo feita ou não; os usuários ou aplicativos da rede podem encontrar objetos ou aplicativos através de uma consulta que exibe os objetos e suas propriedades; um serviço de replicação onde os dados de um diretório são distribuídos na rede e assim os controladores de domínio de um domínio participam da replicação de modo que possuem uma cópia com as informações referentes ao seu domínio e as alterações que ocorrem nos dados é replicada para os outros controladores de domínio. Com ele é possível armazenar de maneira centralizada informações referentes à organização, ou aos domínios que representam a organização, proporcionando aos administradores a comodidade de gerenciamento da rede através de uma única localidade. Cada componente da rede é representado por um objeto no Active Directory. Esses objetos podem ser uma máquina cliente, um servidor, uma conta de usuário e assim por diante. O AD permite que os controles de objetos específicos, como usuários e computadores, possam ser delegados a outros usuários e administradores. Isso possibilita a divisão de tarefas administrativas, sem que todos os envolvidos tenham acesso completo e irrestrito a todos os recursos da rede. Na Figura 8 é apresentada a tela de autenticação do usuário no AD.

36 36 / 101 Figura 8 - Autenticação de usuários no AD Árvores e florestas O Active Directory trabalha com o conceito de árvores e florestas. Árvore é uma estrutura hierárquica de um ou mais domínios. Ela é criada quando um domínio é criado, sendo que o nome dado à árvore é o mesmo nome dado ao domínio. Os domínios em uma árvore se comunicam através da relação de confiança transitiva bidirecional, que será vista mais adiante. A floresta é um grupo composto por uma ou mais árvores e provê recursos de segurança, convenções e confiança. Elas são criadas para organizar as árvores e manter os esquemas separados Relação de Confiança A comunicação entre domínios ocorre através de relações de confiança que é estabelecida para permitir que os usuários de um domínio sejam autenticados pelo controlador de domínio do outro domínio.

37 37 / Tipos de relação de confiança Por padrão, quando um novo domínio é adicionado a uma árvore de um domínio ou raiz de floresta, a relação de confiança criada é chamada de transitiva bidirecional. Mas existem quatro tipos de relação que podem ser criados, de acordo com as necessidades dos usuários. Elas podem ser classificadas de acordo com a transitividade em: transitiva ou não transitiva, e também podem ser classificadas de acordo com a direção em: unidirecional ou bidirecional. Uma relação de confiança transitiva significa que, ao se estabelecer uma relação de confiança com um domínio, todos os demais domínios que possuem confiança com esse também passarão a confiar no domínio que está sendo confiado. A Figura 9 demonstra como a relação de confiança transitiva funciona. Figura 9 - Relação de confiança transitiva Com relação à direção, as relações podem ser unidirecionais, onde um domínio é confiante e o outro é um domínio confiado, ou bidirecionais, onde ambos os domínios são confiantes e confiados [MOC 2151, 2002]. A Figura 10 representa os tipos de direção de uma relação de confiança.

38 38 / 101 Figura 10 - Confiança unidirecional e bidirecional O Active Directory provê segurança envolvendo múltiplos domínios através de relações de confiança entre domínios, baseando-se no protocolo de segurança Kerberos versão 5 que será visto mais adiante.[moc 2151, 2002] Relação de confiança no Windows Server 2003 Todas as relações de confiança do Windows 2000 e Windows 2003 Server são do tipo transitiva bidirecionais. Logo, os dois domínios da relação são confiáveis. Conforme mostra a Figura 11 se o domínio A confiar no domínio B e o domínio B confiar no domínio C, então os usuários do domínio C podem acessar os recursos do domínio A.

39 39 / 101 Figura 11 - Estrutura de domínios do Windows Um controlador de domínio executando em Windows Server 2003 autentica seus usuários através do protocolo Kerberos. O cliente solicita ao controlador de domínio da conta uma permissão para o servidor no domínio confiante, ou seja, o domínio que tem o recurso ao qual o usuário deseja obter acesso, essa permissão é emitida por um intermediário de confiança do cliente e do servidor. O cliente então, apresenta essa permissão ao servidor de domínio para que seja autenticada. Ao tentar o acesso, o computador do usuário se comunica com o controlador do seu domínio. Se o recurso desejado não estiver disponível naquele domínio, o controlador de domínio irá se comunicar, através da relação de confiança, utilizando o protocolo Kerberos, com o controlador do domínio confiado [MOC 2151, 2002] Protocolo Kerberos Esse protocolo foi desenvolvido pelo MIT (Massachusetts Institute of Technology) na década de 80 e tem por objetivo garantir uma autenticação segura entre aplicações do tipo cliente/servidor. Para prover essa autenticação segura este protocolo utiliza três servidores, o que o faz ser classificado como um sistema de autenticação distribuído[albuquerque, 2003]. Os servidores são: Servidor de Autenticação (SA) responsável pela autenticação propriamente dita. Ele recebe um pedido do usuário e verifica a autenticidade do mesmo, se

40 40 / 101 for um usuário válido será emitido um ticket e uma chave de sessão, o que irá permitir que o usuário continue seu processo de autenticação; Servidor de concessão de tickets (TGS) é o servidor responsável por fornecer o ticket para cada serviço disponível; Servidor de administração (KADM) é o responsável por controlar a chave secreta que é gerada quando o usuário fornece o login e a senha. Estes dados são criptografados e se tornam a chave secreta do mesmo. Explicando alguns termos do Kerberos: Ticket é uma espécie de certificado criptografado com a chave secreta do usuário e serve para informar a identidade do usuário para quem o ticket foi concedido; Chave de sessão é uma chave gerada pelo Kerberos cujo objetivo é autenticar uma conexão feita e tem duração pré-determinada. O Kerberos trata a rede dividindo-a em domínios chamados de realms onde cada realm tem seu próprio servidor de autenticação, isso permite uma divisão hierárquica dos realms possibilitando a definição de diferentes níveis de segurança. O funcionamento básico do Kerberos ocorre da seguinte maneira: ao fornecer o login e a senha na máquina cliente será aplicada uma criptografia nesses dados e uma chave secreta será gerada nessa máquina, após esse processo, a máquina cliente envia ao SA uma solicitação de serviço, o SA irá verificar se aquele cliente está cadastrado em sua base, se estiver ele retorna uma mensagem A contendo a chave de sessão e uma mensagem B contendo o ticket de concessão do cliente. De posse dessas duas mensagens o cliente descriptografa a mensagem A e obtém sua chave de sessão, que será utilizada em outras conexões. Agora o cliente tem as informações suficientes para se autenticar no TGS e irá enviar duas mensagens, uma composta do seu ticket e do ID do serviço solicitado e outra composta pelo identificador. O TGS enviará outras duas respostas ao cliente, uma contendo o ticket cliente para servidor e outra contendo a chave de sessão cliente-servidor. O cliente pode então se autenticar no SA, que recebe uma mensagem com o novo ticket do cliente e um novo identificador, se as informações estiverem corretas e atualizadas o cliente pode então, solicitar os serviços que deseja.

41 41 / DNS e Active Directory DNS é o backbone do Active Directory e o principal mecanismo de resolução de nomes do Windows 2000 e Windows Server Os controladores de domínio do Windows 2000 e Windows Server 2003 registram dinamicamente informações sobre eles próprios e sobre o Active Directory no DNS. Outros controladores de domínio do Windows 2000 e Windows Server 2003, servidores e estações de trabalho que fazem parte do domínio consultam o DNS para encontrar informações relacionadas ao Active Directory. Se o DNS não estiver configurado corretamente, podem ocorrer problemas de domínio amplo, como replicação entre controladores de domínio. Estes mecanismos de integração permitem que os computadores de domínios AD utilizem o DNS para localizar computadores que fornecem serviços relacionados ao AD. Um exemplo dessa utilização é o processo de login, para tal o usuário realizará uma busca nos servidores DNS para localizar o controlador do domínio.

42 42 / SAMBA Com a disseminação do software livre muitas empresas se utilizam destes produtos devido ao custo ser inexistente e à possibilidade que eles oferecem de serem configurados conforme a necessidade do usuário. Desse modo, por algum tempo a rede da empresa apresenta um ambiente heterogêneo, e para fazer com que esses sistemas se comuniquem existem aplicações que fazem essa integração e um deles é o Samba, que permite que os ambientes heterogêneos interajam de forma satisfatória. Este capítulo irá mostrar um pouco da história do Samba, os protocolos que ele utiliza, o seu arquivo de configuração e os serviços que ele dispõe para compartilhamento de recursos e autenticação de usuários Um pouco da história do Samba Samba é um software livre que desde 1992, quando foi lançado, permite o compartilhamento de serviços para clientes que utilizam máquinas com o sistema operacional Windows. Ele funciona como um servidor para Linux, ou sistemas baseados na arquitetura Unix. Ele pode funcionar como servidor de arquivos e de impressão permitindo a autenticação de usuários Linux fazendo com que eles se apresentem como se fossem usuários Windows na rede permitindo assim a integração das redes heterogêneas, com o Samba as máquinas Linux são vistas como unidades lógicas para os usuários Windows. O Samba nasceu da necessidade do seu criador, Andrew Tridgell, de integrar um servidor rodando Unix com uma máquina rodando MS-DOS. Na época o DOS utilizava o sistema de arquivos NFS, mas esse problema foi resolvido facilmente visto que ele possuía uma versão do NFS que permitia que a máquina que usava o DOS acessasse os arquivos que estavam no servidor Unix. O maior problema surgiu porque Tridgell tinha uma aplicação que precisava da interface NetBIOS, na época a Microsoft utilizava o SMB, que era o protocolo utilizado para compartilhamento de recursos, mas a especificação desse protocolo não era pública, então foi preciso que Tridgell utilizasse um software de análise de rede (sniffer) e aplicasse engenharia reversa no protocolo para decifrar o modo de funcionamento do SMB. Após decifrar o modo de operação do protocolo SMB, Tridgell fez a implementação do

43 43 / 101 mesmo na sua máquina Unix, dessa forma o Unix aparecia na rede como um servidor de arquivos Windows. O código foi publicado em 1992 e logo depois posto de lado. Dois anos depois a Microsoft disponibilizou a arquitetura NetBIOS e a especificação do protocolo SMB e com essas informações Andrew pode retomar o projeto. [ALECRIM, 2005] Vindo de uma necessidade pessoal, o Samba é atualmente fundamental para a integração de ambientes mistos, de pequenos grupos de trabalho a grandes domínios. O projeto conta com a colaboração de vários desenvolvedores espalhados pelo mundo e a maioria dos sistemas Unix já incluem o Samba em suas distribuições. As versões anteriores e a versão utilizada para o desenvolvimento deste projeto são baseadas nas funcionalidades do Windows NT, mas as funcionalidades do Windows 200x vêm sendo incorporadas ao serviço. Hoje o Samba é quase que cem por cento compatível com os recursos de rede do Windows, e é reconhecido por ser mais rápido que o Windows na tarefa de servidor de arquivos. As Informações e o download referentes a esse poderoso software podem ser encontradas no site bem como o guia oficial e a documentação a respeito do mesmo O protocolo SMB / CIFS no Samba A integração do Linux com o Windows é possível graças ao protocolo SMB/CIFS (Server Message Block / Common Internet File System). De acordo com o modelo OSI esse protocolo pertence à camada de aplicação e o seu uso se destina ao compartilhamento de arquivos em uma LAN. Os usuários podem manipular seus arquivos como se estes estivessem em sua máquina local e o gerenciamento dessas funcionalidades é feito pelo protocolo SMB/CIFS que foi desenvolvido inicialmente pela IBM e se chamava apenas SMB, mas a Microsoft adicionou funcionalidades e atualmente ele é conhecido como SMB/CIFS. O protocolo então, é formado a partir de uma junção do protocolo NetBIOS (Network Basic Input Output System) da IBM com o DOS (Disk Operatin System) da Microsoft que implementava um protocolo de compartilhamento sobre NetBIOS. Entre os serviços oferecidos pelo SMB/CIFS e suportados pelo Samba encontram-se:

44 44 / 101 Compartilhamento de arquivos; Compartilhamento de impressoras; Autenticação e Resolução de nomes. O protocolo SMB/CIFS permite a comunicação e compartilhamento de recursos via rede através do TC/IP, onde três tipos de pacotes são utilizados: UDP/137: resolução de nomes e registro de tráfego; UDP/138: browsing e anúncio de tráfego e TCP/139: compartilhamento de arquivos. O SMB é um protocolo cliente-servidor do tipo pedido-resposta onde o cliente envia uma requisição ao servidor e este lhe devolve uma resposta como mostra a Figura 12. [MAYER, FRIES e BAÚ, 2004] Figura 12 - Funcionamento básico do protocolo SMB 5.3. Funcionamento básico do Samba O servidor Samba trabalha com dois daemons principais que são o smbd e o nmbd. O primeiro é o responsável pelo compartilhamento de arquivos e impressoras e o segundo pela resolução de nomes.

45 45 / 101 Outro daemon utilizado pelo Samba é o winbind que possibilita que o Samba autentique usuários em outros servidores, sendo eles Windows ou Linux Smbd O daemon smbd é o responsável por gerenciar os recursos compartilhados da rede. Através da porta TCP/139 ele ouve todas as requisições dos clientes e gera um processo para cada cliente conectado. Por meio do seu arquivo de configuração (smb.conf) e dos dados obtidos pelo smbd o Samba fornece ao cliente informações sobre o espaço disponível em disco e referentes ao serviço de impressão Nmbd Esse daemon é o primeiro serviço que dever ser inicializado no momento em que os serviços do Samba são inicializados. É o responsável pelo serviço de nomes NetBIOS e WINS, browsing e registro do Samba. O nmbd faz o registro da requisição de nomes e traduz esses nomes para os seus respectivos IP's em resposta à requisição do cliente. Já o Browsing é uma combinação de protocolos de publicação, serviço de anúncio e diretório ativo. Esse protocolo fornece um diretório dinâmico dos serviços, discos e impressoras que o servidor está disponibilizando. O nmbd, quando ativo, responde às requisições do protocolo de browsing utilizado pelo ambiente de rede Windows Winbind O winbind é um daemon que deve ser inicializado junto com o Samba quando este for membro de um domínio em que o Windows funciona como o controlador de domínio (PDC). Ele também é necessário quando o Samba estabelece uma relação de confiança com outros domínios. Esse daemon irá checar o arquivo de configuração do Samba para encontrar os parâmetros idmap uid e idmap gid. Se eles não forem encontrados o winbind irá recusar a

46 46 / 101 conexão. Se o winbind estiver ativo, então a administração das contas de usuários, como alteração de senhas do usuário, é feita no Windows PDC, não sendo necessário fazer o gerenciamento no Unix Smb.conf Uma das facilidades de utilização do Samba está em seu arquivo de configuração. É nele que estão todas as informações que serão utilizadas pelo conjunto de programas do Samba. Originalmente ele se encontra em /etc/samba/smb.conf e é composto por seções e parâmetros que devem ser configurados de acordo com as necessidades da rede. Ele pode ser editado e configurado através de simples editores de texto ou através de ferramentas gráficas destinadas a este uso especifico, como é o caso do SWAT. [MORIMOTO, 2006] Seções O arquivo é dividido em seções que tem o objetivo de organizar os parâmetros de configuração e facilitar a sua manipulação, assim as alterações só terão efeito em alguns compartilhamentos do servidor, excetuando-se apenas a seção global onde ficam as principais configurações para o funcionamento do Samba. Alguns nomes são como palavras reservadas em uma linguagem de programação e servem para configurações específicas do Samba. São elas: [global] define as configurações gerais do servidor fazendo efeito em todos os compartilhamentos da máquina; [homes] disponibiliza o diretório home do usuário conectado ao servidor; [netlogon] contém as configurações para a execução de scripts quando um usuário efetua logon num domínio especificado; [printers] define as opções para controle das impressoras conectadas ao

47 47 / 101 sistema e faz o mapeamento das mesmas. Qualquer outra seção pode ser definida, bastando para isso, colocá-la entre colchetes e utilizar os parâmetros adequados. Os caracteres "#" e ";" são utilizados para indicar que a linha corrente é de comentário e será portanto ignorada Parâmetros Os parâmetros são definidos como <nome do parâmetro> = <valor> onde valor pode ser representado por 0 ou 1; yes ou no; true ou false ficando a critério do administrador qual padrão será utilizado para a configuração do arquivo. Os principais parâmetros da seção global são: workgroup define o nome do grupo de trabalho ou do domínio de rede Windows que o Samba faz parte; netbios name é o nome NetBIOS da máquina na rede ; security esse parâmetro define o nível de segurança que o servidor irá operar e autenticar o acesso aos usuários. Este parâmetro pode ser: o Server: define onde o servidor irá autenticar o usuário: se num servidor Windows NT, 2000 ou Samba e se a operação falhar ele deverá fazer a autenticação na base local; o User: esta é a opção padrão. Para que o usuário possa se autenticar ele deve antes possuir uma conta no Linux e caso seja autenticado terá acesso a todos os recursos que lhe forem permitidos não necessitando fornecer login e senha novamente; o Domain: determina que os usuários serão autenticados em um servidor de domínio primário que irá definir os níveis de acesso e os recursos disponíveis. o Share: aqui a permissão é definida de acordo com o compartilhamento, para acesso a arquivos e impressão. Se esta opção for escolhida será

48 48 / 101 verificado se o usuário tem permissão suficiente para acessar arquivos, e se for o caso imprimir. o Ads: se este parâmetro estiver setado significa que o Samba faz parte de um domínio controlado pelo Active Directory que será o responsável pela autenticação dos usuários. Unix password sync este parâmetro sincroniza as senhas do Linux e do Samba; Domain master caso este parâmetro esteja ativo indica que o servidor será o navegador principal do domínio; Local master se ativo, indica que o servidor será o navegador principal do seu grupo de trabalho; Preferred master quando ativo indica que o servidor terá preferência em ser o navegador principal do domínio; Encrypt passwords indica que as senhas do Samba devem ser criptografadas quando estiver ativo; Smb passwd file arquivo que armazena as senhas dos usuários do Samba. Abaixo segue a configuração do arquivo smb.conf utilizado neste projeto: #=========== Global Settings ================== [global] # domínio do servidor que utilizará o Samba workgroup = PROJ # comment = servidor Samba # server string = smb-srv server string = clarice

49 49 / 101 netbios name = clarice username map = /etc/samba/smbusers # security = user security = ads os level = 60 # domain logons = yes # logon script = logonscript.bat # logon path = # logon drive = # logon home = # criação da conta de relação de confiança password server = sol.proj.com.br realm = PROJ.COM.BR # winbind separator = + template shell = /bin/bash # cria uma home para cara usuário no diretório home, é necessário criar uma para cada nome de usuário template homedir = /home/%u winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind cache time = # winbind uid = # winbind gid = idmap uid = idmap gid = # opções principais para que ele atue como PDC # domain master = yes # local master = yes # preferred master = yes # wins support = yes encrypt passwords = true # smb passwd file= /etc/samba/smbpasswd # log file = /var/log/samba_log.%m log file = /var/log/samba/%m.log null passwords = no unix password sync = yes socket options = IPTOS_LOWDELAY TCP_NODELAY #========= Configurações para o LDAP ============= passdb backend = ldapsam:ldap:// ldap passwd sync = yes ldap delete dn = Yes ldap admin dn = cn=root,dc=proj,dc=com,dc=br ldap suffix = dc=proj,dc=com,dc=br ldap machine suffix = ou=computadores ldap user suffix = ou=usuarios

50 50 / 101 ldap group suffix = ou=grupos ldap idmap suffix = SambaDomainName=Linux idmap backend = ldap:ldap:// idmap uid = idmap gid = #=========== Compartilhamento de Diretórios =============== [homes] comment = Pastas dos Usuários public = no browseable = no writeable = yes [netlogon] # Caminho para os scripts de logon comment = Scripts path = /home/samba/netlogon/logonscript.bat public = yes browseable = yes writeable = no [Profiles] comment = Network User Profiles path = /home/profiles read only = no create mask = 0700 directory mask = 0700 [Diretório Compartilhado] comment = documentos path = /home/samba/netlogon/logonscript.bat browseable = yes valid users writeable = yes write list force create mode = 0770 force directory mode = Bases de autenticação utilizadas pelo Samba O Samba necessita manter várias bases de consulta de informações de usuários. Dentre essas informações as contas de usuário assumem papel relevante. Essas contas devem conter:

51 51 / 101 O nome do usuário; A senha do usuário (que é armazenada em dois tipos de cifragem distintos); O login script do usuário; O nome completo do usuário; A descrição da conta; As estações de trabalho que o usuário pode utilizar; Tipo de conta (se usuário ou máquina); Políticas da conta; O System Identifier (SID) do usuário; O SID do grupo primário do usuário; A localização da home directory; A localização do profile path e A letra de drive a ser mapeada para a home directory. Até a versão 3.0 o Samba utilizava para guardar essas informações o arquivo smbpasswd. Para cada usuário esse arquivo continha apenas o nome, o identificador Unix, o tipo de conta e as senhas, os outros parâmetros eram iguais para todos os usuários. Já nas

52 52 / 101 versões posteriores, além do smbpasswd outras formas de armazenamento são suportadas, dentre elas PlainText, TDB, MySQL, Pgsqlsam e LDAP. Essas formas suportam todos os campos necessários a uma conta de usuário de domínio Windows sem as limitações do smbpasswd. A Figura 13 mostra as bases de autenticação utilizadas. [MOREIRA, 2003] Figura 13 - Bases de autenticação utilizadas pelo Samba A seguir serão descritas as bases smbpasswd e LDAP Smbpasswd O Samba armazena as senhas criptografadas dos seus usuários em um arquivo chamado smbpasswd, que por padrão fica no diretório /usr/local/samba/private. Esse arquivo deve ser guardado tão secretamente quanto o arquivo passwd e apenas o usuário root, com permissão de leitura e escrita, deve ter acesso a ele, não permitindo acesso total a nenhum outro usuário. Antes de se usar senhas criptografadas é necessário criar uma entrada para cada usuário Unix no arquivo smbpasswd que tem estrutura similar ao arquivo passwd, mas com campos diferentes. Abaixo será feita uma breve descrição dos campos desse arquivo. Username: é o nome da conta, que é obtido diretamente do arquivo passwd.

53 53 / 101 UID: esse é o identificador da conta do usuário, também obtido do arquivo passwd. LAN manager password hash: essa é uma seqüência hexadecimal que representa as senhas dos usuários Windows 95 e 98. NT password hash: representa uma seqüência hexadecimal das senhas de usuários de Windows NT. Account flags: esse campo é formado por onze caracteres entre colchetes. O parâmetro U indica que é uma conta de usuário comum; D indica que o usuário está desabilitado e o Samba não irá permitir o logon; N indica que a conta não possui senha associada a ela e W indica que uma conta de relação de confiança pode será criada fazendo com que o Samba se torne o controlador de domínio primário (PDC), permitindo que máquinas do domínio Windows NT sejam adicionadas ao domínio Samba LDAP LDAP (Lightweight Directory Access Protocol) como o nome diz, significa que se trata de um protocolo leve para acesso a diretórios. O LDAP foi projetado para ser amplamente escalável e também para ser utilizado por um grande numero de áreas de aplicação contendo diversas plataformas e sistemas operacionais conforme mostra a Figura 14:

54 54 / 101 Figura 14 - Plataformas que utilizam LDAP O termo diretório normalmente está relacionado às pastas de um disco rígido, mas no contexto do LDAP significa que se trata de uma base de dados especializada definida de forma hierárquica otimizando as consultas, possibilitando uma resposta rápida a um enorme volume de buscas e onde estão armazenadas informações estáticas de objetos, onde esses objetos podem ser pessoas, organizações, servidores de entre outras possibilidades. O modelo de informações do LDAP é baseado em entradas. Uma entrada é uma coleção de atributos que tem forma geral e um nome distinto que serão tratados mais adiante. Essas entradas dos diretórios são organizadas em uma estrutura de árvore como mostra a Figura 15.

55 55 / 101 Figura 15 - Árvore de diretórios do LDAP Esta árvore também pode ser organizada sob o domínio de nomes da Internet (DNS) como mostrado na Figura 16. Figura 16 - LDAP com base de nomes

56 56 / 101 Todos os objetos no LDAP possuem um nome distinto, que identifica onde está o objeto e um nome completo que indica onde o objeto pode ser encontrado. A Tabela 1 demonstra cada componente de um nome distinto. [GOUVEIA, 2005] Chave Atributo Descrição Domain Component Um componente do nome DNS do domínio, por DC (Componente de exemplo com. No exemplo DC=empresa,DC=com o Domínio) nome DNS representado seria empresa.com. OU Organizational Unit (Unidade Uma unidade organizacional que pode ser usada para agrupar outros objetos. Organizacional) CN Common Name (Nome comum) Quaisquer demais objetos que não sejam encaixados nos dois casos anteriores. Podem definir objetos de usuários e computadores. Tabela 1 - Componentes de um nome distinto A configuração do LDAP é feita através do arquivo slapd.conf que permite adicionar, eliminar, alterar ou pesquisar a informação alocada no servidor LDAP. O LDAP vem sendo cada vez mais utilizado por administradores de redes, pois uma de suas vantagens é centralizar as informações diminuindo os dados duplicados, alem de ser código aberto Samba e domínios Como no Windows, o Samba também permite que os seus recursos estejam disponíveis em grupos de trabalho ou em domínios bastando para isso configurá-lo de acordo com o perfil desejado. Um grupo de trabalho é caracterizado por um grupo específico de usuários. Esses grupos terão acesso exclusivo aos recursos a eles disponibilizados independentes uns dos outros. Já o domínio é semelhante ao grupo de trabalho, diferenciando-se pelo controle que é exercido por uma máquina PDC onde atuam as diretivas de acesso e controle. É nessa máquina que estão as contas de acesso que serão utilizadas pelo usuário para acessar os recursos existentes em outras máquinas e os scripts de logon entre outras tarefas definidas pelo administrador.

57 57 / O Samba como PDC O PDC (Primary Domain Controller) é a máquina responsável pelo controle de todas as contas de usuários, grupos e permissões para acesso à rede. Ele armazena as informações dos usuários e faz a autenticação dos mesmos. Há também o BDC (Backup Domain Controller) que é uma cópia do PDC. O Samba pode atuar como um PDC em uma rede utilizando características similares às redes controladas por servidores Windows NT, ou seja, utilizando o conceito de PDC e BDC, mas não é capaz de atuar como um servidor AD (Active Directory), porém existem esforços para que essa funcionalidade seja implementada e disponibilizada no futuro. Para que o Samba se torne o PDC é necessário que as seguintes opções estejam ativas na seção [global] do arquivo smb.conf: # Opções principais para se tornar o PDC domain master = yes local master = yes preferred master = yes encrypt passwords = yes Navegador mestre local (local Master Browser) Quando uma máquina acessa uma rede NetBIOS ela pergunta quem é o navegador mestre local, que é o responsável por manter uma lista das máquinas presentes na rede, caso nenhuma máquina responda ela irá forçar uma eleição através de uma requisição de broadcasting e vence a eleição que tiver o maior número de OS level que nada mais é que o número do nível do sistema operacional e varia entre 0 e 255. A Tabela 2 mostra os níveis de sistema operacional das versões de sistemas da Microsoft, bem como o OS level do Samba.

58 58 / 101 Sistema Operacional Nível Windows for WorkGroups 1 Windows 95 1 Windows 98 2 Windows NT WS Windows 2000 Professional 16 Windows 2000 Server (StandAlone) 16 Windows NT WS Windows Server Windows 2000 Server (Domain Controller) 32 Samba 32 Windows NT Server Tabela 2 - Níveis do sistema operacional Windows O valor padrão do OS level do Samba é 32, mas esse número é flexível, podendo ser configurado no arquivo smb.conf fazendo com que o Samba sempre vença as eleições e se torne o Navegador mestre local da rede. [SILVA, 2007] Após ser declarada como Local Master Browser a máquina recebe via broadcasting a lista de recursos compartilhados por cada máquina e a partir dela será montada uma lista principal que será enviada as outras máquinas do grupo de trabalho ou outras subredes que solicitem recursos compartilhados por aqueles grupos. É interessante notar que o Windows NT não aceita perder a eleição mesmo que o Samba esteja com um OS level superior, sendo assim ele solicita uma nova eleição causando grande tráfego de informações broadcast na rede. Para que isso não aconteça é necessário que o recurso de participação em tais eleições esteja desativado no servidor onde o Windows está funcionando.

59 59 / 101 As eleições são feitas a cada trinta minutos ou quando a máquina que está como local master browser é desligada Navegador mestre de domínio (Domain Master Browser) Depois que o navegador mestre local é eleito é feita uma consulta ao servidor WINS para saber quem é o navegador mestre daquele domínio. Depois de obter uma resposta o navegador mestre local envia pacotes UDP para a porta 138, por onde passam as requisições de browsing do navegador mestre de domínio, este então responde solicitando a lista das máquinas que o Local Master Browser conhece e o registra como navegador mestre local para aquele segmento de rede. Se uma rede for composta por vários domínios, cada um deles deve possuir o seu próprio navegador mestre de domínio, e é importante ter em mente que em um domínio só deve haver um único navegador mestre de domínio Métodos de resolução de nomes utilizados pelo Samba Este tópico irá abordar quais os métodos de resolução de nomes utilizados pelo Samba. Serão apresentados pela ordem de prioridade: do mais recomendável para o menos recomendável: lmhosts: a pesquisa é feita primeiro em /etc/samba/lmhosts que é um banco de dados que mapeia o endereço IP com o nome NetBIOS da máquina. É útil quando segmentos de rede estão separados e não há, entre os dois pontos, um servidor WINS para fazer a resolução dos nomes, por exemplo; host: é feita uma pesquisa no arquivo /etc/host e no DNS; WINS: aqui a resolução de nomes é feita consultando-se diretamente o WINS ao invés de fazer broadcasting que gera muito tráfego na rede;

60 60 / 101 bcast: nesse método é enviado um pacote com o endereço de broadcast da rede, devendo ser evitado pois gera tráfego excessivo na rede. A ordem em que os métodos serão utilizados é definida no arquivo de configuração do Samba, o smb.conf.

61 61 / SOLUCÃO PROPOSTA Após a realização das simulações verificou-se que o software Samba é uma ferramenta poderosa para integração de redes que utilizam plataformas distintas. Sua flexibilidade de configuração permite que ele seja utilizado como um controlador de domínio (PDC) ou faça parte de um domínio controlado pelo Active directory. Essa funcionalidade está disponível a partir da versão 3.0 sendo necessária a instalação e configuração do protocolo Kerberos, responsável pela autenticação dos usuários, e para que o Samba possa autenticar usuários de diferentes domínios é necessário que haja uma relação de confiança entre os mesmos. A seguir serão apresentados os cenários testados neste projeto Cenário 1 O Samba como um PDC A integração entre redes heterogêneas, no caso Linux-Windows e vice-versa, é possível graças à implantação do servidor Samba, que faz a interligação entre elas. Atualmente, os sistemas Linux já vêm com o Samba instalado, bastando apenas habilitar os pacotes necessários a cada utilização. Para a elaboração dos testes neste projeto, foram habilitados os seguintes pacotes: Samba Server, Samba client (pacote cliente para Unix), Samba-common (arquivos comuns do Samba utilizados tanto pelo cliente quanto pelo servidor), smbldap-tools (contém os scripts de gerenciamento de contas Unix e Samba armazenadas no LDAP). Também foi necessário instalar o servidor OpenLdap para que a autenticação ocorresse de forma segura, porém é possível trabalhar com o Samba sem o OpenLdap instalado, uma vez que o controle de senhas no Samba é feito no arquivo smbpasswd. Antes de iniciar a configuração do Samba e dos clientes Windows é importante verificar o correto funcionamento das máquinas na rede, bastando para isso testar a conectividade entre as mesmas com o comando ping. Neste primeiro cenário o Samba está configurado para ser o controlador primário

62 62 / 101 de domínio da rede (PDC) onde será feita a autenticação dos usuários e o controle de acesso aos recursos da rede como pode ser visto na Figura 17. Figura 17 - O Samba atuando como PDC O ambiente utilizado foi composto de uma máquina com Linux-Debian, onde os pacotes do Samba foram habilitados, e como cliente foi utilizada uma máquina com o Windows XP Professional instalado, sem a necessidade de se habilitar pacotes adicionais. Vale ressaltar que não é possível utilizar o Windows XP Home Edition visto que nele não há a opção para se trabalhar com domínios, apenas com grupos de trabalho. As configurações feitas aqui foram realizadas utilizando-se o shell do Linux, sendo necessário estar logado como super usuário (root), porém, todas elas podem ser feitas através do modo gráfico utilizando-se para isso o Swat. Os detalhes das configurações, os comandos utilizados e esclarecimentos adicionais podem ser encontrados nos apêndices ao final deste documento. O primeiro passo para que os clientes sejam autenticados é alterar o arquivo de configuração do Samba que, como dito anteriormente, é onde estão os parâmetros utilizados pelos programas que o compõe. Antes de se fazer qualquer alteração neste arquivo é conveniente fazer uma cópia de segurança, caso algum erro inesperado aconteça é possível

63 63 / 101 recuperar o arquivo original. Geralmente o arquivo smb.conf encontra-se em /etc/samba/smb.conf e sua manipulação pode ser feita através do editor de arquivos mais conveniente. Aqui foi utilizado o nano. O arquivo smb.conf em seu estado original apresenta várias seções, parâmetros e comentários que podem ser retirados ou acrescentados conforme a necessidade. Abaixo segue o arquivo smb.conf utilizado neste primeiro cenário. #=============== Global Settings ==================== [global] workgroup = Linux server string = Samba Server netbios name = SMB-SRV security = user os level = 100 logon script = %U.bat logon path = logon drive = logon home = #opcoes principais para que ele atue como PDC domain logons = yes domain master = yes local master = yes preferred master = yes wins support = yes log file = /var/log/samba/%m.log encrypt passwords = yes null passwords = no unix password sync = yes socket options = IPTOS_LOWDELAY TCP_NODELAY #========= Configurações para o LDAP ============= passdb backend = ldapsam:ldap:// ldap passwd sync = yes ldap delete dn = Yes

64 64 / 101 ldap admin dn = cn=root,dc=proj,dc=com,dc=br ldap suffix = dc=proj,dc=com,dc=br ldap machine suffix = ou=computadores ldap user suffix = ou=usuarios ldap group suffix = ou=grupos ldap idmap suffix = SambaDomainName=linux idmap backend = ldap:ldap:// idmap uid = idmap gid = #=========== Compartilhamento de Diretórios =============== [homes] comment = Pastas dos Usuários public = no browseable = no writeable = yes [netlogon] #Caminho para os scripts de logon comment = Compartilhamento de Scripts path = /home/samba/netlogon/logonscript.bat public = no browseable = no writeable = no Após a configuração do arquivo smb.conf é necessário criar as contas dos usuários, tanto para o Linux quanto para o Samba. Essas contas ficam armazenadas no arquivo /etc/passwd, no caso do Linux, já no caso do Samba elas estão armazenadas no arquivo smbpasswd. Uma vez criados os usuários deve-se criar o grupo, ou grupos, que irá conter as contas das máquinas Windows que serão administradas pelo Samba. Esse grupo, assim como as contas dos usuários, também deve ser criado no Samba. A utilização de grupos facilita a administração da rede, mas pode-se apenas criar as contas de máquinas sem adicioná-las a algum grupo. O próximo passo, após a criação dos grupos, é adicionar as máquinas a eles. Cada máquina da rede deve ter uma conta para que o Samba possa fazer a autenticação dos usuários

65 65 / 101 que estiverem utilizando aquela máquina. Uma vez realizadas as configurações no servidor Samba, o próximo passo é configurar as máquinas Windows. Para isso deve-se adicionar cada máquina Windows ao domínio do Samba. Os detalhes desta configuração encontram-se no apêndice A. Ajustadas as configurações na máquina Windows, seus usuários poderão acessar os recursos da rede como se fossem clientes Linux e todo esse processo é feito de forma transparente para o usuário final. A Figura 18 ilustra alguns usuários logados. Figura 18 - Usuários Linux logados no Windows

66 66 / Cenário 2 Adicionando o Linux a um domínio Windows Como dito anteriormente, para que o Samba autentique usuários de diferentes domínios é necessário que haja uma relação de confiança entre os mesmos e para isso algumas alterações no arquivo de configuração do Samba são necessárias. Já no domínio Windows, para que os usuários possam acessar compartilhamentos e recursos é necessário que seja estabelecida uma relação de confiança entre os domínios e isto é feito habilitando-se o Active Directory e configurando-o com o tipo de relação de confiança desejada. Aqui ele foi configurado para se ter uma relação de confiança bidirecional, ou seja, o domínio A confia no domínio B assim como o domínio B confia no domínio A. A Figura 19 ilustra o ambiente configurado. Figura 19 - Relação de confiança entre domínios

67 67 / 101 É preciso informar ao Samba que a autenticação será feita entre domínios e não mais por usuário, como era no cenário anterior, também é preciso informar o endereço do servidor ADS, onde estarão concentradas as senhas e outros parâmetros necessários ao correto funcionamento do Samba. Abaixo seguem as linhas que devem ser alteradas ou acrescentadas à seção global do arquivo smb.conf: security = ADS password server = endereço_do_ads realm = REALM.DO.ADS Finalizadas as configurações do Samba, o próximo passo é editar o arquivo de configuração do protocolo Kerberos inserindo as linhas de identificação do domínio. Esse arquivo encontra-se em /etc/krb5.conf. Segue abaixo a configuração utilizada neste projeto: [libdefaults] default_realm = PROJ.COM.BR [realms] PROJ.COM.BR = { kdc = sol.proj.com.br:88 } [domain_realm].com.br = PROJ.COM.BR [kdc] profile=/var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime=36000

68 68 / 101 } renew_liftime=36000 forwardable = true krb4_convert = false Nesse momento é interessante verificar a comunicação com o servidor AD autenticando algum usuário existente nele e verificar se o protocolo Kerberos está funcionando corretamente. Para isso basta utilizar o comando kinit. Se ele não retornar nenhuma mensagem, então está tudo funcionando corretamente. Caso ele retorne a mensagem: clock skew too great while getting initial credentials significa que os relógios das máquinas não estão sincronizados ou o fuso horário ou o horário de verão estão diferentes, será necessário portanto, sincronizá-los. Outro ponto importante é especificar o endereço do servidor DNS dos dois domínios. A máquina Linux deve ter o mesmo endereço do servidor DNS da máquina Windows, ou seja, o servidor DNS das máquinas deverá ser o mesmo. Caso não seja possível configurar as máquinas em um servidor DNS é necessário especificar no arquivo /etc/hosts, para o Linux e no arquivo c:\windows\system32\drivers\etc para o Windows, os IP's das máquinas que farão parte do domínio. Outro arquivo a ser modificado é o /etc/hostname que irá conter o nome da máquina que irá se autenticar no domínio controlado pelo AD. O arquivo /etc/resolv.conf também deverá ser editado para que a máquina Linux seja incluída no domínio do Server Para isso devem ser editadas as linhas de identificação do domínio. É necessário também, editar os módulos PAM setando os parâmetros para que ele permita que o usuário acesse sua conta e permita a autenticação nos serviços disponibilizados a ele. Os módulos a serem editados são: common-account, common-auth e common-session. Todos localizados em /etc/pam.d. Depois de efetuadas as configurações é preciso obter o ticket do administrador do domínio, esse ticket como visto anteriormente, terá uma validade e serve para que o administrador possa adicionar a máquina Linux ao domínio do Server O comando utilizado para isso é o kinit V <nome do administrador>@<nome. DO. DOMINIO>. Lembrando que o nome do domínio deve estar em letras maiúsculas. Para saber qual a validade do ticket basta utilizar o comando klist. Ao finalizar as configurações dos arquivos acima, é preciso reiniciar os serviços do Samba, do Kerberos e do winbind para então incluir a máquina Linux no domínio Server

69 69 / 101 através do comando net ads join. Para este procedimento basta realizar o login com o nome e a senha do administrador da máquina Windows, após a execução deste procedimento será exibida uma mensagem informando que a máquina foi adicionada ao novo domínio. O próximo passo é reiniciar a máquina Linux e fazer o logon com um usuário comum que esteja cadastrado no Active Directory. A Figura 20 mostra a máquina Linux, de nome "clarice", cadastrada no Active Directory, assim como os usuários Linux. Figura 20 - Usuários e computadores do AD

70 70 / 101 Na Figura 21 é possível ver o ambiente de rede da máquina Linux onde estão mapeadas a máquina de nome "projeto" que contém o Linux e o servidor Samba, já a máquina de nome "sol" contém o servidor Windows Server Figura 21 - Windows logado no domínio Linux

71 71 / CONCLUSÃO O aumento da utilização do software livre nas empresas públicas e privadas é inegável e dois fatores, além de outros, contribuem para esse crescimento: o baixo custo para se implantar um ambiente com software livre e a flexibilidade que o mesmo oferece podendo ser adaptado às necessidades de cada órgão ou setor. O presente trabalho tem como finalidade facilitar a integração entre os sistemas operacionais Linux e Windows, objetivando a autenticação entre cliente e servidor, através da relação de confiança entre os dois servidores, ou seja a comunicação entre o domínio Windows e o domínio Linux ocorre através de relações de confiança que são estabelecidas para permitir que os usuários de um domínio sejam autenticados pelo controlador de domínio do outro domínio. Temos ciência que esta integração já vem sendo usada por diversas empresas, devido aos softwares livres que nos últimos tempos têm se tornando cada vez mais atrativos devido às suas características favoráveis de custo, estabilidade, confiabilidade e flexibilidade em relação aos softwares proprietários, como dito anteriormente. Entretanto, não existe um documento que possa ser seguido para que as configurações sejam feitas com sucesso a fim de se conseguir essa integração de forma clara. Os passos que devem ser seguidos para se configurar um ambiente heterogêneo não estão condensados em um documento único, o que torna o processo mais trabalhoso e demorado. Assim, através de experimentos, pesquisas e orientações chegamos a um tutorial que, se for acompanhado, levará o administrador ou usuário a ter um ambiente integrado de forma ágil e eficiente, evitando falhas de configuração, comuns nesse processo de integração. Este trabalho está exemplificando os possíveis erros e soluções para uma integração com agilidade e segurança, e poderá ser feito por qualquer pessoa que entenda o básico dos dois sistemas operacionais.

72 72 / TRABALHOS FUTUROS Como proposta para trabalhos futuros, sugerimos a realização de: A partir da rede local, fazer um estudo sobre a autenticação de usuários em redes heterogêneas de longa distancia (WAN), simular um link de longa distância para estudar o comportamento da rede e do software Samba no momento da autenticação. Fazer um levantamento dos problemas encontrados na autenticação de usuários buscando melhorias na velocidade do link com tempo de resposta melhor que o atual, tendo como resposta o comportamento da rede no momento da autenticação.

73 73 / BIBLIOGRAFIA [ALECRIN, 2005] Alecrin, Emerson "Servidor Samba o que é". Disponível em < acesso em agosto [MAYER e FRIES e BAÚ, 2004] Mayer, Eleonor Vinicíus Dudel e Fries, Fabrício Deitos e Baú, Giovani - "Samba servidor de domínio". Disponível em < > acesso em setembro [SANTANA] Santana, Fabiano de "Windows 2000 AD Active Directory". Disponível em < > acesso em outubro [MOREIRA, 2003] Moreira, André "Integração Unix / MS Windows". Disponível em < acesso em outubro [GOUVEIA, 2005] Gouveia, Bruno "LDAP para iniciantes". Disponível em < acesso em outubro 2007 [BARREIROS, 2003] Barreiros, Caio Carone "O Samba". Disponível em < > acesso em novembro [BATTISTI, 2006] Battisti, Júlio "Uma introdução ao WINS". Disponível em < acesso em novembro [CAMPOS] Campos, Augusto "Como integrar o Linux em redes Windows e vice-versa, sem perder o ritmo". Disponível em < acesso em novembro [MOC 2151, 2002] Microsof Training & Certification Implementing and Administering Microsoft Windows 2000 Directory Services - Microsoft Official Curriculum Course 2151, Microsoft Corporation.

74 74 / 101 [NETO, 2007] Neto, Odalberto Oliveira "Micro curso Samba". Disponível em < acesso em novembro [RIBEIRO, 2004] Ribeiro, Daniel Darlen Corrêa "Software livre na administração publica. Estudo de caso sobre a adoção do Samba na Auditoria Geral do Estado de Minas Gerais". Disponível em < acesso em novembro [SILVA, 2007] Silva, Gleydson Mazioli da "Guia Foca/GNU Linux Capítulo 18 Samba". Disponível em < acesso entre agosto e dezembro [TS, ECKSTEIN e COLLIER-BROWN, 2003] Ts, Jay e Eckstein, Robert e Collier-Brown, David Using Samba, 2nd Edition, O Reilly & Associetes: Fevereiro de Disponível em: < acesso em novembro [RODRIGUES, 2007] Rodrigues, Marcos "Windows Server 2003 R2: Active Directory". Disponível em < acesso em novembro [UNISINOS] Universidade do Vale do Rio dos Sinos "Integração do Linux com o ambiente Windows". Disponível em < acesso em março [MORIMOTO, 2008] Morimoto, Carlos E. "Servidor DNS Configurando um servidor Windows". Disponível em < acesso em março [HORTA, 2004] Horta, André "Configurando Samba e Windows XP". Disponível em < > acesso em março 2008.

75 75 / 101 [MORIMOTO, 2006] Morimoto, Carlos E. "Usando o Samba como controlador de domínio (PDC) Parte 1". Disponível em < > acesso em março [COSTA, 2005] Costa, Oskar "O Kerberos não é um cachorro de 3 cabeças!". Disponível em < acesso em abril [RABADÃO e MONTEIRO] Rabadão, Carlos e Monteiro, Edmundo "Segurança e QoS no modelo DiffServ". Disponível em < > acesso em abril [GOMES e outros, 2001] Gomes, Christian Lyra e outros "Guia do servidor Conectiva Linux". Disponível em < acesso em abril [ALBUQUERQUE, 2003] Albuquerque, Luciano Renovato de "Sistema de autenticação Uma visao geral do funcionamento do protocolo Kerberos". Disponível em < acesso em abril [SANTOS] Santos, Fábio Carvalho dos "Kerberos". Disponível em < > acesso em abril [FAHDAZIZ, 2007] Fahdaziz "Configuring Samba 3.0 to use ADS security mode". Disponível em < acesso em abril 2008.

76 76 / GLOSSÁRIO AD: Active Directory. É um serviço de diretório que centraliza os serviços de autenticação e autorização para computadores baseados em Windows, permitindo que os administradores apliquem políticas e atualizações para a organização. NetBIOS: Network Basic Input Output System. Interface utilizada para permitir a comunicação entre máquinas, onde as máquinas utilizam nomes para serem reconhecidas. NetBEUI: NetBIOS Extended User Interface. Versão melhorada do protocolo NetBIOS que também trabalha com o esquema de nomes para endereçar as máquinas na rede. NBT: NetBIOS over TCP. Protocolo que trabalha com nomes e endereços IP para identificar as máquinas em uma rede. IETF: Internet Engineering Task Force. Comunidade internacional ampla e aberta que identifica e propõe soluções para problemas relacionados ao uso da Internet. NBNS: NetBIOS Name Server. Serviço de resolução de nomes NetBIOS. SMB/CIFS: Server Message Block / Common Internet File System. Protocolo que permite o compartilhamento de arquivos, impressoras e portas seriais utilizado pelos sistemas Windows. WINS: Windows Internet Name Services. Serviço de resolução de nomes de máquinas em uma rede NT. DNS: Domain Name System. Serviço onde os nomes e redes de computadores são organizados de forma hierárquica permitindo sua localização através de nomes amigáveis para o usuário. PDC: Primary Domain Controller. Máquina responsável por controlar as contas de grupos e usuários e suas permissões na rede.

77 77 / 101 leitura. BDC: Backup Domain Controller. É uma cópia do PDC com permissão apenas para SID: Security Indentifier. Identificador de segurança em um domínio. SAM: Security Account Manager. Base de dados com informações referentes às contas de usuários e máquinas do domínio. Kerberos. SA: servidor de autenticação: responsável pela autenticação dos usuários do protocolo Kerberos. TGS: servidor que fornece os tickets para cada serviço disponível no protocolo KDM: no protocolo Kerberos é o responsável por controlar a chave secreta gerada quando o usuário fornece login e senha. Ticket: é um certificado criptográfico gerado com a chave secreta do usuário do protocolo Kerberos. Realm: o Kerberos divide a rede em domínios chamados realms onde cada um tem seu próprio servidor de autenticação. NFS: Network File System. Sistema de arquivos com o objetivo de compartilhar arquivos e diretórios na rede. DOS. SMB: Server Message Block. Protocolo do tipo pedido-resposta utilizado pelo MS- Daemons: programa que roda em segundo plano e respondem às atividades da rede, de hardware entre outras tarefas. Smbd: daemon responsável pelo gerenciamento dos recursos da rede.

78 78 / 101 Nmbd: daemon responsável pelo serviço de nomes do samba. domínios. Winbind: daemon responsável por estabelecer uma relação de confiança com outros Smbpasswd: arquivo que armazena as senhas dos usuários do Samba. LDAP: Lightweight Directory Access Protocol. definida de forma hierárquica provendo uma resposta rápida às consultas. Base de dados especializada e

79 79 / 101 Apêndices

80 80 / 101 APÊNDICES 1. APÊNDICE A O SAMBA COMO UM PDC Instalação do Samba Comandos: # apt-get install Samba Samba-common Samba client smbfs smbldap-tools smb.conf O arquivo smb.conf deve ser configurado de acordo com as necessidades. A edição deste arquivo, para este documento, foi feita através do editor nano conforme abaixo: # /etc/samba nano smb.conf A especificação de cada parâmetro pode ser observada logo abaixo do mesmo, indicada por uma linha comentada (#) que será ignorada. Não há necessidade de mantê-las no arquivo, elas encontram-se aqui apenas para fins explicativos. #=============== Global Settings ==================== [global] # seção que define as configurações que afetam o Samba como um todo workgroup = Linux #nome do domínio ao qual o Samba fará parte server string = Samba Server # string identificadora do servidor (este é o nome que irá aparecer quando o usuário estiver logado) netbios name = SMB-SRV # é o nome netbios da máquina security = user # indica que o usuário irá se autenticar, caso se autentique terá acesso a todos os recursos destinados a ele sem ter que fornecer senha novamente os level = 100 # este parâmetro deve estar acima de 32 para que o Samba vença as eleições e se torne o controlador de domínio

81 81 / 101 logon script = %U.bat # define o nome do arquivo que será executado no logon. Nesse caso %U significa que será executado um logon específico por nome de usuário #======opções principais para que ele atue como PDC============= domain logons = yes # permite acesso ao domínio para estações Windows 95 e 98 domain master = yes # especifica que o Samba é o controlador de domínio local master = yes #permite que o Samba se torne o navegador mestre local da rede preferred master = yes # força uma eleição local para que o Samba se torne o pdc WINS support = yes # diz ao nmbd para habilitar o Samba como um servidor WINS log file = /var/log/samba/%m.log # define a localização dos arquivos de log. Neste caso, %m indica que serão armazenados os logs das máquinas encrypt passwords = yes # habilita o uso de senhas criptografadas null passwords = no # não aceita senhas em branco unix password sync = yes # sincroniza as senhas do Linux e do Samba socket options = IPTOS_LOWDELAY TCP_NODELAY # garante uma melhor performance para o servidor #========= Configurações para o LDAP ============= passdb backend = ldapsam:ldap:// ldap passwd sync = yes ldap delete dn = Yes ldap admin dn = cn=root,dc=proj,dc=com,dc=br ldap suffix = dc=proj,dc=com,dc=br ldap machine suffix = ou=computadores ldap user suffix = ou=usuarios ldap group suffix = ou=grupos

82 82 / 101 ldap idmap suffix = SambaDomainName=linux idmap backend = ldap:ldap:// idmap uid = idmap gid = #=========== Compartilhamento de Diretórios =============== [homes] # esta seção indica os diretórios dos usuários comment = Pastas dos Usuários # comentário sobre este compartilhamento public = no # diz se a pasta é publica ou não browseable = no # indica se a pasta é navegável ou não writeable = yes # permite ou não a escrita na pasta [netlogon] # esta seção permite que o usuário tenha acesso ao seu perfil de qualquer máquina da rede path = /home/samba/netlogon/logonscript.bat #indica o caminho para os scripts de logon public = no # diz se esta pasta será publica ou não browseable = no # indica se a pasta será navegável ou não writeable = no # permite ou não a escrita #============================================== Criação das contas Para a criação das contas dos usuários foram utilizados os seguintes comandos: Para o Linux: # adduser <nome do usuário>

83 83 / 101 As contas também podem ser criadas utilizando-se o comando useradd <nome do usuário>. A diferença entre eles é que o primeiro cria o diretório /home para o usuário, já o useradd não. Para este documento as contas dos usuários foram criadas utilizando-se o primeiro comando. Caso seja necessário remover um usuário utiliza-se o seguinte comando: # userdel <nome do usuário> Para criar as contas no Samba basta utilizar o comando abaixo: # smbpasswd a <nome do usuário> o parâmetro a indica que se trata de uma conta de usuário. Para remover um usuário o comando abaixo é utilizado: # smbpasswd -x <nome do usuario> Criação dos grupos Antes de criar uma conta de máquina é necessário criar um grupo e inseri-la nesse grupo. Para isso é utilizado o comando abaixo: # addgroup <nome do grupo> Criando as contas de máquina O Samba oferece duas maneiras para a criação de contas de máquina em um domínio. A criação manual e a criação automática. Criar uma conta de máquina em um domínio garante que nenhum outro computador possa usar o mesmo nome de uma máquina confiável. Como acontece quando são criadas as contas de usuário, aqui também é necessário existir uma conta no Linux e outra no Samba. Para a criação manual é necessário seguir os passos abaixo: a) criar uma conta no arquivo /etc/passwd (Linux): # useradd -d /dev/null -g <nome do grupo> -s /bin/false <nome da maquina>$ O parâmetro g indica que se trata de um grupo, deve-se informar o nome do grupo que foi criado e ao qual a máquina irá fazer parte. È necessário informar o parâmetro $ ao final do nome da máquina para indicar que se trata de uma conta de máquina e não uma conta de usuário comum. b) criar uma conta no arquivo smbpasswd (Samba):

84 84 / 101 # smbpasswd a m <nome da máquina> Aqui não é necessário informar o parâmetro $ após o nome da máquina, pois o smbpasswd identifica automaticamente de acordo com o registro em /etc/passwd se é uma conta de máquina ou não. Já para a criação automática é necessário fazer a inclusão da seguinte linha na seção [global] do smb.conf: add user script = useradd g<nome do grupo> -s/bin/false/-d/dev/null %m Esse método faz com que as contas sejam criadas automaticamente assim que seja feita a entrada no domínio, usando a conta do administrador do domínio no Samba. Para remover uma máquina basta utilizar o comando userdell <nome da máquina>. Após criados os usuários, os grupos e as máquinas é interessante reinicializar os serviços do Samba, para isso basta utilizar o comando: # /etc/init.d/samba restart Outro comando que deve ser utilizado com freqüência é o seguinte: # testparm Ele irá informar se o arquivo smb.conf apresenta algum erro ou não. Abaixo segue um exemplo deste comando:

85 85 / 101 Caso seja necessário verificar os compartilhamentos do Samba o comando smbclient deve ser utilizado: # smbclient -L localhost -U% Domain=[LINUX] OS=[Unix] Server=[Samba a] Sharename Type Comment IPC$ IPC IPC Service (Samba server) Diretório Compartilhado Disk Compartilhamento Domain=[LINUX] OS=[Unix] Server=[Samba a] Server Comment SMB-SRV Samba server Workgroup Master LINUX SMB-SRV

86 86 / 101 O gerente da rede pode verificar quais os usuários estão logados através do comando smbstatus como demonstra a figura abaixo: Configurações do Windows Para que o Windows faça parte do domínio do Samba é necessário configurá-lo de acordo com os passos abaixo: Clicar em "iniciar", "painel de controle", "sistema" Clicar na aba "nome do computador", clicar no botão "alterar" e marcar a opção "domínio" Digitar o nome do domínio que foi dado no Samba, ou seja o nome "workgroup". Clicar em "ok". Será apresentada uma janela onde devem ser inseridos o login e a senha. Essa conta deve ser criada no Samba com o comando, já citado, smbpasswd a <nome de usuário> e será utilizada somente para o primeiro logon, sendo que o nome do usuário, para este caso, será "root", já a senha fica a critério do administrador. Essa conta serve apenas para que o administrador registre a máquina Windows no domínio Linux. A figura abaixo mostra a configuração e a tela do primeiro logon.

87 87 / 101 Ao tentar ingressar o Windows no domínio pela primeira vez é comum este apresentar uma mensagem dizendo que não foi possível encontrar o controlador de domínio. Isso acontece porque as diretivas de segurança do Windows estão ativadas. Para desativá-las é necessário seguir os passos: Clicar em "iniciar" painel de controle ferramentas administrativas diretivas locais diretiva local opções de segurança. Os itens a serem desativados são: Controlador de domínio: permitir que operadores do servidor agendem tarefas; Controlador de domínio: recusar alterações de senha de contas do computador; Membro de domínio: assinar digitalmente dados do canal seguro (quando for possível); Membro de domínio: criptografar digitalmente dados do canal seguro (quando for possível); Membro de domínio: criptografar ao assinar digitalmente dados do canal seguro (sempre); Membro de domínio: desativar alterações de senha de conta da máquina;

88 88 / 101 Mento de domínio: requer uma chave de seção de alta segurança (Windows 2000 ou posterior). Após desativar as diretivas de segurança citadas deve-se forçar a alteração das mesmas para que o logon funcione corretamente sem a necessidade de reiniciar a máquina nesse momento. Para isso é necessário abrir um prompt de comando do modo MS-DOS: Iniciar executar cmd na linha de comando digitar: gpupdate/force Para que o cliente Windows possa se autenticar no domínio Linux é necessário que ele encontre o seu controlador de domínio, sendo assim, deve-se informar a ele o endereço IP do servidor WINS, bem como o IP do servidor DNS. O caminho é: Iniciar Painel de controle conexões de rede conexão local clicar com o botão direito e clicar em "propriedades" protocolo TCP/IP "propriedades" guia geral marcar a opção: "usar os seguintes endereços do servidor DNS". No campo "servidor DNS preferencial" informar o endereço IP onde está instalado o servidor Samba. A figura abaixo ilustra esses passos.

89 89 / 101 Clicar no ícone "avançado" e clicar na aba "DNS". Adicionar o endereço do servidor DNS (onde esta instalado o servidor Samba), no caso deste projeto o endereço utilizado foi: Na aba WINS adicionar o endereço do servidor de WINS, onde está o servidor Samba, nesse caso Deixar marcadas as opções "padrão de configuração NetBios" e marcar a opção "ativar pesquisa LMHosts". Vale lembrar que o firewall do Windows deve estar desativado para que a conexão com o outro domínio seja possível. Depois de ajustadas as configurações e sanados os erros é necessário voltar no menu "iniciar", opção "painel de controle" e ícone "sistema" para ingressar a máquina no domínio do Linux. Fornecidos login e senha será apresentada a seguinte tela:

90 90 / 101 Esta tela mostra que o login inicial foi realizado com sucesso. Clique no botão "ok" e será apresentada a tela abaixo:

91 91 / 101 Clique em "ok" e aguarde o computador ser reiniciado. Agora é possível fazer o login com um usuário Linux comum. A figura abaixo mostra alguns usuários Linux logados: logar nele: É possível que o Windows apresente o seguinte erro quando um usuário Linux se O Windows não pode localizar o perfil local e está fazendo seu logon com um perfil temporário. As alterações que você fizer nesse perfil serão perdidas quando você fizer logoff. O Windows não pode localizar a cópia do servidor do perfil móvel e está tentando fazer logon com o seu perfil local. As alterações no perfil não serão copiadas no servidor quando você fizer logoff. Dentre as causas possíveis de erro estão problemas com a rede ou direitos insuficientes de segurança. Se o problema persistir, contate o administrador da rede. DETAIL - Acesso negado.

92 92 / 101 Para evitar que isso aconteça convém deixar a linha logon path, que indica onde serão guardados tais perfis, em branco. Altere esse parâmetro e os sistemas estão prontos para interagirem. 2. APÊNDICE B ADICIONANDO O LINUX A UM DOMINIO WINDOWS Para adicionar o Linux a um domínio controlado pelo Windows é necessário configurar o Samba para que a autenticação dos usuários seja feita no controlador de domínio do Windows, ou seja, a autenticação será realizada pelo Active Directory e para isso alguns parâmetros do arquivo smb.conf devem ser alterados como abaixo: security = ads password server = sol.proj.com.br realm = PROJ.COM.BR winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind cache time = idmap uid = idmap gid = O valor do parâmetro realm deve estar em letras maiúsculas para ser reconhecido pelo Kerberos, também é preciso informar os parâmetros utilizados pelo winbind para que o samba possa interagir com o outro domínio. Ao se editar o arquivo de configuração do Kerberos deve-se alterar apenas as linhas que irão identificar o novo domínio, podendo as outras serem removidas ou comentadas. Abaixo seguem os parâmetros utilizados para este projeto: [libdefaults] default_realm = PROJ.COM.BR [realms] PROJ.COM.BR = { kdc = sol.proj.com.br:88 } [domain_realm].com.br = PROJ.COM.BR

93 93 / 101 [kdc] profile=/var/kerberos/krb5kdc/kdc.conf [appdefaults] pam = { debug = false ticket_lifetime=36000 renew_liftime=36000 forwardable = true krb4_convert = false } Para verificar se o Kerberos está autenticando seus usuários basta utilizar o comando kinit -V, como no exemplo abaixo: Aqui a autenticação foi feita com o usuário administrador da rede Windows. Se for preciso apenas testar a conectividade com o protocolo Kerberos então o comando kinit

94 94 / 101 será utilizado novamente, retirando-se a variável V e informando o nome do usuário e o domínio como pode ser visto no exemplo a seguir: # kinit [email protected] Caso ele não retorne nenhuma mensagem significa que o Kerberos está funcionando corretamente, porém, se ele apresentar a mensagem de erro: kinit(v5): clock skew too great while getting initial credentials é preciso sincronizar os relógios dos dois domínios. Para o Linux utiliza-se o seguinte comando: # apt-get t testing install ntpdate Após sincronizar os relógios é possível verificar a validade do ticket obtido com o Kerberos. Para isso o comando klist é utilizado conforme abaixo: # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 03/25/08 17:11:25 03/26/08 03:10:40 krbtgt/[email protected] renew until 03/26/08 17:11:25 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached No arquivo /etc/resolv.conf deve ser especificado o nome do domínio onde os usuários Linux irão se autenticar. Abaixo pode ser vista a configuração utilizada neste projeto: search PROJ.COM.BR nameserver nameserver nameserver Módulos PAM Os módulos PAM (Pluggable Authentication Modules) fazem parte do sistema de autenticação do Linux e são divididos em quatro grupos: auth, account, passwd e session.

95 95 / 101 Os módulos do arquivo PAM também devem ser editados para que ele autentique os usuários e permita que eles tenham acesso aos recursos disponibilizados. Para este projeto foram editados os módulos common-account, common-auth e common-session. Abaixo seguem os arquivos com suas respectivas configurações: Common-account: Responsável por verificar se o usuário que está se autenticando está autorizado a utilizar o serviço que esta sendo solicitado. Abaixo segue a configuração utilizada neste projeto: # /etc/pam.d/common-account - authorization settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authorization modules that define # the central access policy for use on the system. The default is to # only deny service to users whose accounts are expired in /etc/shadow. # account sufficient pam_winbind.so account required pam_unix.so #account sufficient pam_unix.so #account required pam_ldap.so use_first_pass Common-auth: Verifica se o usuário é realmente quem diz ser. Segue a configuração deste módulo utilizada neste projeto: # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. #

96 96 / 101 #auth sufficient pam_unix.so #auth required pam_ldap.so use_first_pass ## Criar diretório local no momento em que o usuário se loga no Desktop auth sufficient pam_winbind.so auth required pam_unix.so nullok_secure use_first_pass #session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 session required pam_limits.so session required pam_unix.so Common-session: Responsável por montar a sessão que o usuário irá utilizar, criando uma pasta pessoal por exemplo. Abaixo está a configuração deste módulo para este projeto: # /etc/pam.d/common-session - session-related modules common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of modules that define tasks to be performed # at the start and end of sessions of *any* kind (both interactive and # non-interactive). The default is pam_unix. # session required pam_unix.so session optional pam_foreground.so ## Criar diretório local no momento em que o usuário se loga no Desktop session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 Outro arquivo que deve ser editado é o /etc/nsswitch.conf. Nele deve ser informado que o samba utilizará o winbind e para isso deve-se alterar as linhas group, shadow e passwd conforme abaixo: # /etc/nsswitch.conf #passwd: compat ldap #group: compat ldap #shadow: compat ldap

97 97 / 101 group: shadow: passwd: files winbind files winbind files winbind hosts: files dns mdns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis Deve-se também editar o arquivo /etc/hostname especificando os IP's das máquinas que irão se comunicar, este procedimento é feito caso não seja possível registrar as máquinas em um servidor DNS. Para este projeto, a configuração desse arquivo foi a seguinte: localhost.localdomain localhost clarice sol.proj.com.br clarice No Windows esse arquivo, que se encontra em c:\windows\system\host também deve ser editado para que as máquinas se comuniquem. Finalizadas as configurações dos arquivos acima é preciso reiniciar os serviços do samba, do winbind e do Kerberos para que as atualizações entrem em vigor. Feito isso, o próximo passo é adicionar a máquina Linux ao domínio do Server, para tal o comando net ads join deve ser utilizado conforme abaixo: # net ads join -U Administrador Administrador's password: Joined 'CLARICE' to realm 'PROJ.COM.BR' A máquina Linux agora faz parte do domínio do Windows Server Qualquer usuário que esteja cadastrado no Active Directory pode efetuar logon a partir da máquina Linux e acessar os recursos da máquina Windows, isso é possível graças à relação de confiança existente entre os domínios.

98 98 / 101 Ao fazer o logon o usuário terá acesso aos recursos que lhe são permitidos. Essas permissões são definidas pelo administrador da rede no Active Directory. Abaixo é possível observar um cliente Linux logado e as máquinas da rede mapeadas no seu desktop. Se este cliente quiser acessar qualquer uma das máquinas e suas respectivas pastas, lhe serão pedidos login e senha e o acesso será concedido nas pastas e compartilhamentos a que ele tiver acesso. As máquinas mapeadas na figura são: servidor samba de nome "clarice" cliente Windows XP de nome "gato" e servidor Windows Server 2003 de nome "sol". Seguem alguns comandos úteis para a administração do ambiente de rede.

99 99 / 101 Testar se a máquina está adicionada ao domínio: Verificar os usuários e grupos do Active Directory:

100 100 / 101 Verificar a máquina Linux adicionada ao AD: onde: "projeto" é a máquina Linux e "sol" é a máquina Windows. A figura abaixo mostra os usuários e computadores do AD:

101 101 / 101 Aqui são demonstrados quais os passos que devem ser seguidos para se criar uma conta de usuário no Active Directory.