Arquivos históricos do BR-Linux.org apresenta:

Samba atuando como PDC

Eu pedi para o Tiago Cruz (tiagocruz18@uol.com.br), mantenedor do site LinuxRápido a permissão para publicar uma cópia do seu guia para configuração do Samba como PDC. O texto dele explica de maneira simples uma maneira de colocar um servidor Linux para controlar um domínio Windows. O texto está publicado abaixo. Obrigado, Tiago!

Algumas dicas sobre o Samba atuando como PDC

por Tiago Cruz (tiagocruz18@uol.com.br)

Hoje falarei mais um pouco sobre o samba, desta vez com ele atuando como PDC da rede: Como validar usuário/senha, colocar um máquina com Windows XP na rede, permitir que o usuário altere sua senha e também uma dica sobre o /etc/fstab.

Usei o Red Hat 8.0 rodando o Samba 3.0 Alpha. Abaixo segue meu /etc/samba.conf:

[Global]
netbios name = MAQ_711
netbios aliases = MAQ_711
workgroup = TUX
server string = Servidor de dados - Samba Server %v
min passwd length = 4
log file = /var/log/samba/%m.log
max log size = 100
security = user
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
ldap ssl = no
printing = lprng

[homes]
comment = Home Directories
valid users = %S
read only = No
create mask = 0664
directory mask = 0775
browseable = No

[Drive_f]
comment = Drive de dados do servidor
path = /dados/drive_f
read only = No
force create mode = 0777
force directory mode = 0777
guest ok = Yes

Esse servidor em questão já é capaz de validar os usuários, bastando o mesmo informar o Dominio "TUX". Inclusive o usuário pode alterar sua senha pelo "Painel de Controle->Senhas->Alterar outras Senhas" ou com a famosa combinação de "CTRL+ALT+DEL" no caso do XP.

Colocando o Win95 na rede:

Alterar no registro:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\VNETSUP]
"EnablePlainTextPassword"=dword:0x00000001

Colocando o WinXP na rede:

1-) Cadastrar senha de root no samba:

# smbpasswd -a root

2-) Cadastrar máquina XP:

Observe que a conta criada tem um sheel invalido (/bin/false) e também um home nulo (/dev/null) para que nenhum engraçadinho faça login usando essa conta :-)

# useradd -d /dev/null -c MAQ_709 -m -s /bin/false MAQ_709$
# smbpassword -m -a MAQ_709

3-) Alterar Registro da estação:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000000
"maximumpasswordage"=dword:0000001e
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001
"Update"="no"

4-) Entrar em:

Painel de Controle->Ferramentas Administrativas->Politica de Segurança Local e depois em Politicas Locais->Opções de Segurança

Dentro dessa janela, desabilite as opções abaixo. Não quer quer eu traduza para você, certo? :-)

Domain member: Digitally encrypt or sign secure channel (always)
Domain member: Disable machine account password changes
Domain member: Require strong (Windows 2000 or later) session key

5-) Depois em:

Botão Direito em Meu Computador->Propriedades->Nome do Computador->Alterar

Nome do computador: MAQ_709
Membro de: Informar Dominio Samba
Entre com o username e password de Root, depois reinicie o micro

Ufa :-)
Ah, talvez seja necessário reiniciar depois de alterar o registro, mas creio que isso não seja nenhuma novidade para você =]

Bom, logicamente não fui eu quem "descobriu" tudo isso.... existem vários tutoriais pela rede, mas comigo sabe-se lá porque não dava certo... mas, resumindo: Desse jeito eu consegui colocar o benedito no Dominio, e talvez você não precise fazer tudo isso :-)

Dica sobre o /etc/fstab

Essa dica para é montar uma partição do Windows 2000 de outro micro da rede e também de sua partição FAT automaticamente durante o boot com permissão de escrita para todos os usuários:

Como root, acrescentar em seu arquivo /ets/fstab as duas linhas abaixo:

//maq_100/drive_f /mnt/server smbfs credentials=/etc/samba/auth.maq_100.TIAGO,fmask=777,dmask=777 1 1 0

/dev/hdc1 /mnt/windows vfat auto,users,rw,uid=501,gid=501,fmask=777 0 0 0

Depois só arrume as permissões para ninguém ficar olhando sua senha:

# chmod 400 auth.maq_100.TIAGO
# cat auth.maq_100.TIAGO
username = TIAGO
domain =
password = xxxxxx

Qualquer coisa olhe esse link para maiores explicações

Agradeço aos Tutoriais da rede, ao pessoal das listas de discussão, ao google... e espero que esse documento ajude alguém.

Abraços
Tiago Cruz
Linux User #282636

Postado por brain em maio 11, 2003 07:00 PM

Comentários para "Samba atuando como PDC"

» Postado por: Tiago Cruz em maio 12, 2003 11:19 AM, 200.207.152:

Que isso Augusto, eu é que agradeço a oportinidade de devolver o conhecimento adquirido ao longo dos anos para a Comunidade ;-)

Aproveitando, esse artigo foi um "rascunho" para o Relatório Final, onde existem maiores informações sobre o Samba, usuários, backup e etc:

http://brlinux.linuxsecurity.com.br/noticias/000153.html

Obragado, Augsto!

» Postado por: Clovis em maio 16, 2003 01:56 PM, 200.216.66.:

Eu sou iniciante do linux mais quero desenvolver pelo menos para estacao de trabalho em rede o conecetiva i demais versoes do linux estou com uma duvida enorme em relaçao a configurar uma estaçao linux em um dominio windows se possivel me mande algum arquivo esplicando como colocalo na rede (eu acho que tem que configurar o sampa mais naum sei nem como funciona realmente esse serviço)
Olbrigado pela atençao e quero dizer que pesso essa ajuda somente porque quero me livrar de ves do windows ou melhor Ruindows, e isso e tudo pessoal.
Valeu mermo

» Postado por: Luiz em maio 23, 2003 10:15 AM, 200.17.37.1:

legal não é?

» Postado por: Ivan em maio 23, 2003 10:16 AM, 200.17.37.1:

legal não é?

» Postado por: Renato em maio 24, 2003 10:20 PM, 200.221.161:

Bacana mais informacoes sobre o Samba, mas estou precisando saber como criar uma politica de expiracao de senhas com Samba, e poder fazer esta alteracao na estacao Windows..

No momento estou a procura desta informação, qualquer novidade da um toque

Valew
Renato

» Postado por: Tiago Cruz em maio 26, 2003 01:49 PM, 200.207.152:

Olá Renato!

Para expirar as senhas dos usuários:

Use o Samba 2.2.x junto com o PAM; ou
Use o Samba 3.x (Alpha) + LDAP

Detalhes na documentação do mesmo ;-)

Abraços

» Postado por: Marcelo em junho 28, 2003 09:53 AM, 200.153.201:

Valew ai por essa bendita dica :-) consegui clocar minhas makinas no domínio UUUUFFFAAAA!!!!

» Postado por: edson wander bronzoni em junho 30, 2003 11:52 AM, 200.214.54.:

Tentei a configuração exemplifica neste tutorial, mas quanto tento logar numa estação W98 vem a seguinte mensagem:

Nome de compartilhamento não encontrado. Verifique se está correto.

Clico em Ok e volta a tela de logon do W98.

O que pode estar acontecendo. Samba versão 2.2.3a on Conectiva linux 8

» Postado por: Marcio Ribeiro em junho 30, 2003 05:13 PM, 200.204.150:

Olá, sou Marcio Ribeiro e tenho duas dúvidas sobre segurança quanto ao Samba como PDC.

1 - Pelo que entendi a senha do usuário é armazenada no arquivo /etc/samba/smbpasswd e usa criptografia padrão (MD5), há como modificar de forma simples para blowfish, por exemplo?

2 - Há como criptografar a comunicação entre o cliente e o servidor (já que a comunicação, da forma usada no artigo, é plain, possibilitando o *roubo* da senha por um sniffer) com SSL/TLS (stunnel?)?

Obrigado :)

» Postado por: Tiago Cruz em julho 4, 2003 09:11 AM, 200.207.152:

Edson,

O diretório "/dados/drive_f" deve existir e seu usuário deve ter permissão de acesso, ok?

Marcio,

O samba usa senhas criptografadas por padrão (encrypt passwords = Yes) se não for declarado nada dizendo o contrário.

Abraços

» Postado por: Marcio Ribeiro em julho 10, 2003 08:33 AM, 200.171.41.:

Olá Tiago, obrigado pela resposta.

Tenho uma dúvida nova e um comentário sobre sua resposta.

Que são criptografadas eu tinha idéia, (foi o que comentei na primeira dúvida), queria saber se é possível modificar o algorítimo padrão de criptografia pra um outro que eu preferisse.

Nova dúvida:
Gostaria de saber quão complicado seria fazer o Samba autenticar em um diretório LDAP?

Obrigado

» Postado por: Bambineti em julho 11, 2003 01:17 PM, 200.135.33.:

A tempos que venho tentando e interogando sobre isso , mas nunca desisto... alguem ja conseguiu usar o samba3 com relacao domonio confianca ???

T+

» Postado por: Thiago-CWB em julho 22, 2003 04:03 PM, 200.247.170:

Olá pessoal, estou com um grande problema já consegui fazer o samba funcionar como PDC, mas eu preciso compartilhar uma pasta no win98 a nivel de uma lista de usuarios, no 2000 funcionou no 98 não dá certo, apesar de ambos conseguirem se logar e se validar na rede normalmente, alguem tem alguma idéia do que pode ser?
Obrigado
Thiago-CWB
thiagodeoxossi@hotmail.com

» Postado por: Tiago Cruz em julho 23, 2003 01:25 PM, 200.207.152:

Olá ;-)

Sobre a criptografia eu não sei lhe responder :-(
Sobre o LDAP, veja em http://www.delfino.com.br

Para uma versão mais nova deste tutorial, acesse:
http://www.linuxrapido.linuxdicas.com.br/modules.php?name=Sections&op=viewarticle&artid=6

Abraços

» Postado por: Leonardo Barros em julho 27, 2003 08:26 PM, 200.98.65.2:

O artigo acima ficou muito bem explicado e bastate criativo o autor esta de parabéns.

Gostaria de ler um artigo no nível do acima falando de como compartilhar impressora com o samba fazendo download automático do drive da impressora.

» Postado por: CC Queiroz em agosto 5, 2003 09:15 AM, 200.244.240:

Linux como PDC

» Postado por: Queiroz em agosto 5, 2003 09:16 AM, 200.244.240:

Linux como PDC usando SAMBA

» Postado por: Arthur em agosto 7, 2003 05:49 PM, 200.183.95.:

Samba

» Postado por: Nilo Oliveira em agosto 27, 2003 09:37 AM, 200.207.81.:

Bom dia,

Você me recomendaria algum local ou alguma pessoa para eu estar tendo aulas de linux?

[]' Nilo.

» Postado por: Tiago Cruz em agosto 28, 2003 11:47 AM, 200.207.152:

Nilo,

Recomento fazer algum treiniamento na Imoacta, Utah, 4Linux...

» Postado por: Marcelo Magalhaes em agosto 29, 2003 03:19 AM, 200.165.241:

Caro Tiago,

Segui o seu tutorial perfeitamente a fim de colocar máquinas W2000Pro em um CL8+ (samba como PDC), contudo no que fui tentar "conectar" a maquina W2000 no dominio deu o seguinte erro.

The following occurred attenpting to join the domain "XXX".
The credentials supplied conflict with an existing set of credentials.

Você poderia me ajudar com isso?

Abraços.
Marcelo Magalhães.

» Postado por: Emilio Luiz em outubro 8, 2003 11:36 PM, 200.242.86.:

Gosto muito de consultar as dicas e tutoriais da Linux in Brazil, mais ainda estou com dúvida sobre como autenticar senhas em linux com linux usando o samba, pois até agora não conseguir, já que estou usando o NFS para montar e não estou querendo usar NIS, já que tenho um servidor SAMBA como PDC.

» Postado por: Denis Oliveira em outubro 10, 2003 04:13 PM, 200.186.138:

Efetuei as alterações nos parametros globais de meu samba, tbm criei as contas das máquinas, porém não consigo efetuar logon pelo xp, consegui incluir ela no dominio, mas quando tento efetuar logon com qq usuario, até o 'root' recebo a mensagem de que não foi possível contatar o servidor de domíno.
Passei dois dias testando e pesquisando no google e ainda num consegui resolver este problema, alguem sabe o que pode ser??

» Postado por: MARCIO em outubro 27, 2003 02:39 PM, 200.222.207:

Como faço para expirar senhas no servidor Samba quando um usuario tenta conectar a rede com uma maquina Win9x?

» Postado por: Fabio em novembro 18, 2003 09:53 AM, 200.152.0.2:

Amigos,

Sou iniciante no Linux e gostaria de saber o seguinte:
Existe alguma forma do Linux ler informações de usuários do W2000 Server (Active Directory) e autenticá-los SEM usar o Samba?

Grato

» Postado por: Elieser Gonçalves da Silva em dezembro 9, 2003 09:52 AM, 200.102.81.:

estou com dificuldades em rodar o samba na minha rede onde tenho kurumin 2.04,mandrake 9.2,windows 98 e windows xp dependurados em um 2000 server, se possivel gostaria de receber algumas dicas. obrigado! elieser@cesupa-rs.edu.br

» Postado por: Paulo Vargas em março 23, 2004 12:46 PM, 200.163.33.:

Dica: tive alguma dificuldade para rodar no Windows XP, mas depois de setar o servidor WINS para o servidor onde está rodando o samba, funcionou belezinha... Esse problema é típico do Win98 também...

» Postado por: Zero hour em abril 5, 2004 02:25 PM, 200.163.77.:

É possível configurar politicas de seguranca igual o Administrative template do 2000 server no linux?Preciso que os usuarios loguem no domínio e as estações estejam protegidas de modificações tais como painel de controle papel de parede etc...

» Postado por: flavio samotiua em abril 28, 2004 06:11 AM, 196.3.102.3:

Ollha meu samba funciona como PDC mas o problemas que encontro, da-se a quando do login para o servidor, dando uma informacao que que o windows nao consegue criar um profile para o usuario criado que ira usar o dominio e consequentemente as iformacoes nao seram direccionadas para o servidor. Ajudeme PLeaSe.

» Postado por: Marcelo Rissoni em abril 28, 2004 04:19 PM, 200.153.192:

Tiago;

Gostei muito do tutorial, porem estou a procura de um tutorial com referencia ao SAMBA + LDAP, vc indicou um site ( http://www.delfino.com.br ) porem este encontra-se fora do ar. Vc teria outra referencia ?

MArcelo

» Postado por: Pefranco em maio 7, 2004 06:09 PM, 200.102.210:

Amigos,

Tenho pesquisado constantemente as listas em busca da solução WINXP x SambaPDC, já fiz as mudanças no smb.conf, no regedit, no polices mas após digitar a senha de acesso ao domínio o XP ainda me diz :

Erro durante a tentativa de acesso ao dominio "DOMINIO1" : O número do procedimento está fora do intervalo permitido.

Alguém já se deparou com esta situação ??

Agradeço a ajuda !!!

Franco

» Postado por: Marlon em maio 26, 2004 01:01 PM, 200.163.79.:

PRIMEIRO GOSTARIA DE AGRADECER PELAS MATERIA OTIMAS É DE QUALIDADE QUE VEM PUBLICAM. PARABENS A LINUX SECURITY É 100% !!!!

GOSTARIA TB, DE SABER ONDE EU POSSO ACHAR UM MANUAL DE SAMBA, MAIS COMPLETO QUE PASSE O PROCEDIMENTO PARA UMA PESSOA QUE NAO TEM MUITO CONHECIMENTO COM O SAMBA ! FICO GRADO SE PODEREM ME AJUDAR.

» Postado por: Arlindo F. Neto em maio 31, 2004 01:16 PM, 200.243.125:

Ola PessoALL!

Antes de mais nada, Tiago, parabéns pela iniciativa, e, colaborando ainda mais com o artigo, vou ajudar o nosso amigo:

Pefranco
que postou em maio 7, 2004 06:09 PM, 200.102.210:

Tendo os erros

Erro durante a tentativa de acesso ao dominio "DOMINIO1" : O número do procedimento está fora do intervalo permitido.

Bem Pefranco, tive esse problema, igualzinho!
Com um NT 2000 Server, a solucao foi:

Meu samba era 2.0.7 (Red Hat 7.0), peguei a ultima versao (2.2) Latest Samba 2.2 release: Samba 2.2.9 (http://us1.samba.org/samba/ftp/old-versions/samba-2.2.9.tar.gz), e instalei, otimo, a partir dai tive outro erro:

Credenciais fornecidas conflitam com um conjunto de credenciais existentes.

Bem, perdi a paciencia, habilitei o ROOT para o samba, smbpasswd -a root, e loguei, depois disso ele aceitou e estamos felizes ate agora! ;-)

Espero que eu tenha ajudado!

Abracos,

Arlindo F. Neto
Analista de Sistemas
Especialista em Administracao de Redes Linux

» Postado por: Mauricio de Souza em junho 21, 2004 05:58 PM, 200.185.78.:

Estou utilizando o Samba como PDC para Windows98, 2000 e XP, e vem funcionando normalmente. Mas precisaria colocar para um determinado usuário, um papel de parede onde não pudesse retirar. Seria possível fazer isto com o Samba ?

Grato,
Mauricio.

» Postado por: Daniel em julho 4, 2004 09:24 AM, 200.226.184:

Pessoal, trabalho num laboratório de informática onde o PDC é Win 2000 server e os hosts são dual boot (XP e Slackware). Os usuário do linux são locais (na verdade um só, "aluno") e não tem nenhuma influência do servidor. O que eu procuro na verdade é que este usuário (local no linux), por meio de alguma autenticação, possa usufruir dos compartilhamentos da rede windows via samba. Sei que posso fazer isso como root via smbmount ou automatizar o processo via fstab com um usuário e senha padrão, mas é justamente isso que não quero. Preciso que os usuários passem por alguma autenticação antes de ter a unidade disponível. Se o usuário (sem ser root) pudesse montar a unidade de rede via smbmount já seria suficiente, pois ele teria que fornecer o nome e senha do usuário da rede windows. Alguém tem uma dica????

Muito obrigado!!

» Postado por: mpg-men em julho 20, 2004 10:23 AM, 66.98.226.5:

men mpg

» Postado por: e-satin em julho 20, 2004 10:23 AM, 66.98.226.5:

e satin

» Postado por: Zaqueu em agosto 6, 2004 07:02 PM, 200.204.78.:

Cara por favor fiz tudo que vcs falaram neste arquivo de SMB.CONF , cara foi o melhor que eu pode achar ate agora .Foi onde eu conseguir chegar mais longe no PDC.So estou com um pequeno problema coloco a maquina do dominio no WIN XP, quando vou atenticar com o usario de root ele fala que root nao tem permissao. Necessito de um help por favor.

» Postado por: Marreiros em agosto 30, 2004 03:24 PM, 200.173.156:

Pessoal,

Estou precisando configurar o samba/squid para avisar quando a senha vai expirar ao usuario via e-mail com uma msg padrão. Alguem tem alguma coisa sobre isso?

Valeu

» Postado por: Zithromax em setembro 25, 2004 11:56 AM, 65.75.139.9:

Zithromax online antibiotic.

» Postado por: Buy Amoxicillin em outubro 4, 2004 04:58 PM, 67.19.91.50:

Information on Amoxicillin online.

» Postado por: laecio em outubro 6, 2004 11:10 AM, 200.254.144:

estou tentando instalar windows media play em minha maquina mais não conssigo pois aparece a menssagem " vc não tem previlégio suficiênte efetue log como administrador"

» Postado por: Remeron em outubro 22, 2004 12:37 PM, 67.19.91.50:

Remeron info online.

» Postado por: Elidel online em novembro 3, 2004 12:05 PM, 65.75.139.9:

View Elidel online.

Antes de comentar...

- Preserve a qualidade desta discussão
- Leia os Termos de Uso.
- Este formulário deve ser usado para comentários sobre a notícia. Se você tem dúvidas ou precisa de ajuda, use o Fórum.
- Mantenha o foco nos argumentos e no assunto
- Não faça ataques pessoais.
- Pense 5 vezes antes de entrar em discussões inúteis, como "qual é a melhor distribuição/ambiente gráfico/linguagem de programação/etc.", mesmo se alguém já tiver provocado - um erro não justifica o outro
- Não seja um e-mala ;-)

O Arquivo Histórico do BR-Linux.org mantém no ar (sem alteração, exceto quanto à formatação) notícias, artigos e outros textos publicados originalmente no site na segunda metade da década de 1990 e na primeira década do século XXI, que contam parte considerável a história do Linux e do Open Source no Brasil. Exceto quando indicado em contrário, a autoria dos textos é de Augusto Campos, e os termos de uso podem ser consultados na capa do BR-Linux.org. Considerando seu caráter histórico, é provável que boa parte dos links estejam quebrados, e que as informações deste texto estejam desatualizadas.