Manual de Integração do EdgeBox com Active Directory Julho 2009 Lisboa, 2009-07-15 António Pedro Santos
Índice 1 Introdução à Integração do Active Directory... 3 1.1 Desenho de Rede... 5 1.2 Cenários de Integração EdgeBox Active Directory... 6 1.3 Processo de Autenticação Genérico, por Tipo de Cenário... 8 1.4 Processo de Autenticação Genérico, por Tipo de Sistema Operativo... 12 2 Work-Flow de Integração... 15 3 Adaptação da Rede PT ao(s) Active Directory(s)... 16 4 Configuração do EdgeBox... 17 5 Testar Login no EdgeBox... 19 6 Criação de OU s, Grupos e Utilizadores... 20 7 FAQs:... 26 8 Utilitários:... 28
1 Introdução à Integração do Active Directory Para iniciar a Integração do(s) ActiveDirectory(s) com o EdgeBox deve iniciar por: 1º Backup dos PC s no Domínio Antigo: Para migrar o(s) seu(s) Active Directory(s) em produção terá que mudar o(s) endereço(s) IP do(s) mesmo(s), o que normalmente significa que todos os PC s do Domínio perderão a relação de trust com o domínio, significando por isso que deverá salvaguardar os dados dos utilizadores antes de migrar os PC s para o novo Domínio. 2º Tendo compreendido o passo anterior, compreenderá que terá que Reinstalar o Active Directory. Um dos problemas apresentados na Integração de múltiplos Active Directorys com o EdgeBox prende-se com o facto do EdgeBox apenas poder fazer join (registar-se) a 1 Domínio, sobre o qual efectuará 2 tipos de pedidos distintos: 1. Pedidos de Autenticação de Utilizadores (AUTH). 2. Pedidos de Buscas (LDAP) para pesquisa de Utilizadores e Grupos. **1 **1 - A pesquisa LDAP serve apenas para devolver o grupo ao qual o utilizador pertence durante o processo de autenticação. Para reinstalar o Active Directory poderá escolher uma de 3 abordagens: AB1- Instalar o(s) Servidor(es) de Active Directory com o CD original do Sistema Operativo (mais aconselhável) Com esta abordagem é possível, mantendo uma única forest e criar novos subdomínios dentro da mesma: No caso de múltiplos domínios, criando Universal Groups correspondente aos perfis dos utilizadores e usando pedidos ao Global Catalog do domínio principal, poder-se-á efectuar os 2 tipos de pedidos (AUTH + LDAP) a apenas 1 dos Active Directory s (escola1.local). Este ambiente encontra-se testado e a funcionar em ambiente de testes no Piloto, sendo possível replicar qualquer problema que surja.
AB2- Instalar o(s) Servidor(es) de Active Directory usando o CD de Instalação da Microsoft LNM (menos aconselhável), pois esta opção permite-lhe a criação de apenas dois domínios independentes com florestas independentes. Após a criação da 2º floresta independente não será possível migrar o 2º domínio para um subdomínio dentro da floresta principal, e assim, com esta configuração, não será possível nem efectuar pedidos de (LDAP) nem de (AUTH) ao segundo domínio a não ser que se crie uma relação de trust entre florestas. Ainda assim não será possível efectuar pedidos de (LDAP) sobre os domínios 2ºs, apenas pedidos de Autenticação (AUTH), mesmo que se usem Universal Groups dentro dos dois domínios. Assim para resolver esse problema, será necessário replicar os utilizadores dos 2ºs Domínios para dentro do 1º podendo os mesmos ficar desactivados, uma vez que para o efeito pretendido, apenas necessitamos que estejam dentro do seu respectivo grupo, tornando-se assim desnecessária a criação dos Grupos de utilizadores nos Domínios 2ºs. Este ambiente não foi testado com o CD do LNM, mas sim com o CD Original do Windows estando a funcionar em ambiente de testes no Piloto, não possível replicar qualquer problema que surja com a instalação e funcionalidades previstas pelo CD do LNM, por este facto será desaconselhável esta abordagem. AB3- Reconfigurar o Active Directory para integrar o mesmo (desaconselhável), significa que irá acontecer o mesmo que no ponto anterior mas com a agravante de não ter configurado o seu IP 10.1.2.251 nas GPO s e no Servidor de DNS por defeito, sendo necessário reconfigurar o sistema sem a garantia de ter sido testado em Piloto. Não fará parte deste manual.
1.1 Desenho de Rede
1.2 Cenários de Integração EdgeBox Active Directory
Cenário A: Sem Active Directory na rede. Gestão de Grupos/Perfis Associação a VLAN Gestão de Users Autenticação de Passwords (EdgeBox) User(EdgeBox) Perfil(EdgeBox) Vlan (EdgeBox) (EdgeBox) Cenário B: (Users Geridos no EdgeBox e AD) Forest 1+ Forests (Domínios dentro da mesma Forest) ou (Domínios Separados c/ Trust) AD 1º AD 2º+ AD s Gestão de Grupos/Perfis Perfis (EdgeBox) Perfis (EdgeBox) Associação a VLAN User(EdgeBox) Perfil (EdgeBox) Vlan User(EdgeBox) Perfil (EdgeBox) Vlan Gestão de Users (EdgeBox e AD) (EdgeBox e AD) Autenticação de Passwords (1º AD) (2º+ AD s) Cenário C: Users Geridos dos AD s Forest 1 Forest (Domínios dentro da mesma Forest) AD 1º AD 2º+ AD s Gestão de Grupos/Perfis 1º AD Grupos de Utilizadores = Perfis (EdgeBox) 2º+ AD s Grupos de Utilizadores = Perfis (EdgeBox) Associação a VLAN User(1º AD) Grupo = Perfil (EdgeBox) Vlan User(2º+ AD s) Grupo = Perfil (EdgeBox) Vlan Gestão de Users (1º AD) (2º+ AD s) Autenticação de Passwords (1º AD) (1º AD) (2º+ AD s) Forest +1 Forests (Domínios Separados c/ Trust) AD 1º AD 2º+ AD s Gestão de Grupos/Perfis 1º AD Grupos de Utilizadores = Perfis (EdgeBox) 1º AD Grupos de Utilizadores = Perfis (EdgeBox) Associação a VLAN User(1º AD) Grupo = Perfil (EdgeBox) Vlan (2º+ AD s) = User Bloqueado(1º AD) Grupo (1º AD) = Perfil (EdgeBox) Vlan Gestão de Users (1º AD) (1º AD) e (2º+ AD s) Autenticação de Passwords (1º AD) (1º AD) (2º+ AD s)
1.3 Processo de Autenticação Genérico, por Tipo de Cenário
1.4 Processo de Autenticação Genérico, por Tipo de Sistema Operativo
2 Work-Flow de Integração
3 Adaptação da Rede PT ao(s) Active Directory(s) Será necessário efectuar uma alteração relativa à configuração do Switch principal da rede da escola assim que se pretenda activar o Active Directory na rede de forma a alterar as seguintes configurações: 1. DNS entregues aos PC s 194.65.3.20 + 194.65.100.117 para 10.1.2.251 2. Aplicar Permissões que alterem a matriz de conectividade para permitir que Convidados / Alunos / Professores / Administrativos acedam ao(s) Active Directory(s) da escola. Compreende-se assim que o Active Directory principal da rede terá ser configurado para responder a pedidos de DNS da rede interna, e fazer forward de pedidos para os DNS s da PT 194.65.3.20 + 194.65.100.117.
4 Configuração do EdgeBox 1º Configurar o EdgeBox em: https://10.1.2.252/ Configuração Active Directory Configurar P.S.: para mais informações para acesso ao EdgeBox, veja o manual do mesmo. Seleccione o Domínio, o Tipo de AD (win2000 ou win2003), para AD 2008 terá que pedir à Microsoft o downgrade da versão para 2003. 2º Se optou pelo Cenário B deverá configurar da seguinte forma: Clique em Aplicar. Um Join com sucesso ao domínio apresenta-se com o texto: Terá agora que replicar todos os utilizadores do(s) Active Directory(s) criados para dentro do EdgeBox, associando-lhes o Perfil respectivo, se quiser poderá importar via.csv, como explicado no manual do radius. 3º Se optou pelo Cenário C deverá configurar da seguinte forma: Clique em Aplicar. Um Join com sucesso ao domínio apresenta-se com o texto:
4º No Cenário C deverá remover o Perfil DEFAULT, no menu: Gestão Perfis Remover Perfil Premir em Aplicar: 5º Crie novamente o Perfil DEFAULT, no menu: Gestão Perfis Novo Perfil com a Vlan 5 Premir em Aplicar:
6º Crie agora todos os perfis de utilizadores no menu: Gestão Perfis Novo Perfil Professores : VLAN 2 Alunos : VLAN 3 Administrativos : VLAN 4 Convidados : VLAN 5 Os nomes destes Perfis têm que corresponder exactamente ao nome dos Grupos a serem criados no Windows. P.s.: O Nome Guests é privilegiado no Windows, por essa razão o nome foi substituído pelo Convidados. 5 Testar Login no EdgeBox 1º Configurar o EdgeBox em: https://10.1.2.252/ Configuração Testar Conectividade do Utilizador P.S.: Para mais informações para acesso ao EdgeBox, veja o manual do mesmo. Introduza o username e password que criou, e pressione em Executar Teste. O resultado com sucesso retornará: Note que está a ser retornada a VLAN 3, que corresponde à vlan de Alunos, isto confirma que o utilizador recebeu a VLAN. Note também a informação Access-Accept, validou que o utilizador existe e a password está correcta. A informação virá como Access-Reject, para o caso de invalidação do utilizador e password.
6 Criação de OU s, Grupos e Utilizadores Para o caso de ter optado Seleccionado o Cenário C terá que proceder à seguinte configuração: 1º Abra o Active Directory Users and Computers em: Start Programs Administrative Tools 2º Pressione com o Botão Direito do Rato por cima do Nome do Domínio: New Organizational Unit 3º Escreva o Nome da Organizational Unit para a escola, onde serão criados os grupos e os utilizadores. Ex: Pressione em: OK e <F5>.
4º Pressione com o Botão Direito do Rato por cima do Nome da OU Criada: New Organizational Unit Repita este 4º passo para criar as seguintes Organizational Units: GruposEscola Alunos Professores Convidados Administrativos_ No final pressione a tecla <F5>. 5º Criação dos Grupos: Pressione com o Botão Direito do Rato por cima do Nome da OU GruposEscola : New Groups
Repita este 5º passo para criar os seguintes Grupos: Alunos Professores Convidados Administrativos No final pressione a tecla <F5>. Será agora exemplificada a criação de utilizadores: 6º Criação dos Utilizadores: Pressione com o Botão Direito do Rato por cima do Nome da OU _Administrativos_: New User Next. Finish. Add Members to a Group: Administrativos: OK.
No Final das configurações dos Utilizadores o seu AD Primário dever-se-á parecer algo com: Pertence ao Grupo dos: Administrativos Pertence ao Grupo dos: Alunos Pertence ao Grupo dos: Convidados Pertence ao Grupo dos: Professores Nota: Os nomes dos Grupos correspondem exactamente os nomes dos Perfis criados no Active Directory. 7º Se optou pela Abordagem AB1, deverá repetir os passos acima descritos para os restantes domínios, e não efectue o passo seguinte
8º Se optou pela Abordagem AB2 deverá efectuar o seguinte: Nos AD s 2º+ Criar as OU s para os Utilizadores: Crie os utilizadores nos AD s 2º+:
No AD Primário crie os mesmos utilizadores (que poderão estar bloqueados) e associe os mesmos aos respectivos Grupos: O utilizador: administrativo2 é membro do grupo : Administrativos O utilizador: aluno2 é membro do grupo : Alunos O utilizador: convidado2 é membro do grupo : Convidados O utilizador: professor2 é membro do grupo : Professores P.S.: Se optou pela Abordagem AB1 (não teve que criar Trusts entre Domínios, e os Domínios estão sincronizados, ver: 4.3 Confirmar sincronismo do 1º e 2º+ Domínios ) não terá que este 7º passo.
7 FAQs: - Como configurar NTP para Windows 2003? - Quando estou a fazer Join ao Domínio no EdgeBox aparece-me a informação de que a hora do sistema não está actualizada. Solução: O NTP é um protocolo de sincronização de relógio do sistema, uma vez que o processo de autenticação que decorre entre o EdgeBox e o ActiveDirectory tem como base encriptadora a hora do sistema, os relógios não poderão estar desfasados mais do que 5 minutos para que a autenticação de utilizadores, e o Join ao Domínio sejam efectuados com sucesso w32tm /configure /manualpeerlist:10.1.2.254 /syncfromflags:manual /update net stop w32time net start w32time w32tm /resync /rediscover - Como configurar NTP para Windows 2000? net time /setsntp:10.1.2.254 net stop w32time net start w32time w32tm -v -once - O meu Servidor Windows não consegue aceder ao site do Windows Update. Solução: Será necessário adicionar aos trusted sites do Internet Explorer os seguintes registos: http://update.microsoft.com https://update.microsoft.com http://*.update.microsoft.com https://*.update.microsoft.com http://*.windowsupdate.microsoft.com https://*.windowsupdate.microsoft.com http://*.windowsupdate.com https://*.windowsupdate.com http://*.microsoft.com https://*.microsoft.com Será necessário alterar as políticas de segurança dos trusted sites passando o que estiver a disable para prompt. Verifique o DNS da placa de rede do servidor: deverá ser 127.0.0.1. Verifique se o serviço DNS Client e o DNS Server estão iniciados. - Mudei o DNS da placa de rede do meu servidor e não consigo voltar ao 127.0.0.1. Solução: Limpe o DNS, confirme com OK OK, OK E Reinicie o servidor.
- O meu utilizador depois de autenticado recebe sempre IP s na vlan 5 dos Convidados / Guest / DEFAULT (10.1.3.X). Solução: Este problema é mais comum no Cenário C quando o utilizador se encontra num AD secundário em trust com o Primário. Neste caso terá que criar um utilizador bloquado no primário com o mesmo nome do secundário, e adicionar o utilizador ao grupo correspondente. - Não consigo efectuar o Join ao Domínio. Problemas mais comuns: - Não criou o Domínio com (.local): escola.local Solução: Criar o domínio de novo. (ver Criação de Domínios) - O seu browser apresenta-lhe a Pasta da Configuração Avançada por baixo da Configuração Básica (no EdgeBox) em vez de lhe aparecer como um sub-menu. Solução: Utilize outro Browser para configurar o Join ao Domínio ou actualize o seu browser. (autentique-se como Administrativo num outro PC da rede) - Quando estou a fazer Join ao Domínio no EdgeBox aparece-me a informação de que a hora do sistema não está actualizada Solução: (ver FAQ, a parte do NTP). - Quando estou a instalar o domínio aparece-me uma mensagem que o SID está duplicado. Solução: Este problema só acontece quando efectuou um cópia integral do sistema operativo com o Ghost, ou outro software. Poderá mudar o SID (http://technet.microsoft.com/enus/sysinternals/bb897418.aspx) do AD e repetir o dcpromo. - Não consigo efectuar login com o meu utilizador. Solução: Testes a efectuar: 1º Verificar se o utilizador e a password está criado e a password correcta. 2º Verificar se o utilizador se encontra associado a um grupo. 3º Efectuar teste de login no EdgeBox (explicado em: 5 Criação de OU s, Grupos e Utilizadores) 4º Verificar se o Estado do Servidor no EdgeBox está Activo. 5º Verificar se o Active Directory está em estado Join com sucesso (se usar AD). - Estou a receber mensagens de Erro: Error: /etc/raddb/proxy.conf[38]: Failed looking up hostname local. No EdgeBox e o Estado do Servidor está em Inactivo. Solução: Verifique as configurações dos Realms e rectifique todos os realms nas Servidor de Autenticação e Servidor de Acct., passando os mesmos de local para LOCAL. - Após efectuar login ao Domínio com o meu utilizador aparece-me a informação de (Login errado na placa de rede). Solução: Confirmar se está a introduzir o seu nome de utilizador com minúsculas ou maiúsculas (confirmar com o Administrador como foi criado o utilizador), se o utilizador criado é aluno não poderá efectuar login com Aluno. Os Caracteres especiais também não são permitidos uma vez que não são reconhecidos pelo EdgeBox. - Os Utilizadores entram na rede e não estão a receber as GPO s, não estando a executar os logon scripts. Solução: http://www.mtghouse.com/products/appnotes/gpo_scripting_problems_080105.pdf http://support.microsoft.com/default.aspx?scid=kb;en-us;840669
8 Utilitários: Windows 2000: Windows 2000 Service Pack 4 Network Install for IT Professionals http://www.microsoft.com/downloads/thankyou.aspx?familyid=1001aaf1-749f-49f4-8010- 297bd6ca33a0&displayLang=en Update for BITS 2.0 http://www.microsoft.com/downloads/thankyou.aspx?familyid=3ee866a0-3a09-4fdf-8bdbc906850ab9f2&displaylang=en&hash=nndu%2frvm8iycmmqagfcexe%2bblkjymrr1jdq8jovzm t5ukj5heok3gl%2bnngthzgzwqfzwlut5lqs9qb35si5blw%3d%3d Windows 2000 Service Pack 4 Support Tools: http://www.microsoft.com/downloads/details.aspx?familyid=f08d28f3-b835-4847-b810- BB6539362473&displaylang=en Windows 2003: Windows 2003 Service Pack 1 Support Tools: http://www.microsoft.com/downloads/details.aspx?familyid=6ec50b78-8be1-4e81-b3be- 4E7AC4F0912D NTP Client para Sistemas Operativos que não suportam NTP nativo Cisco: Domain rename: http://download.microsoft.com/download/5/6/d/56df978b-9a76-487e-80b7-0250289f2579/domainrename.exe