SAMBA
*******************************************************************************
Instalar e Configurar o SAMBA no Debian 4.0 (Etch), 5.0 (Lenny) /OpenSuse
Criado por: Alessandro C. M. Kuramoto
Data: 19/05/2009
Modificado em: 05/09/2010-12:00
v.20100905-12:00
Palavras-chaves: SAMBA, SMB
keywords: SAMBA
If you want to know something about this file, send an e-mail to me at the
sancmk@gmail.com or post a comment here (at the Word Press)
moshi kono fairu no koto wo shiteitakatara, boku ni email wo okutte kudasai,
matawa kono Word Press ni chuushaku mo shitte ii desu.
boku no email wa sancmk@gmail.com desu
Por favor, matenham o nome do autor deste arquivo.
*******************************************************************************
###############################################################################
# Avisos!!!
###############################################################################
http://memovirtual.worpress.com
## Atenção no site memovirtual:
## As opções passadas com – - (menos,menos) no site podem ter ficado
## com um — (travessão), assim use o “man” para confirmar a opção utilizada
## Desculpem-me pelos erros de português, mas vocês sabem…
## nossa lingua é fácil 
… e às vezes ao escrever o pensamento está
## lá na frente, enquanto que a digitação…
|##########^ Avisos!!! #######################################################|
###############################################################################
# Temp:
###############################################################################
Ver: SambaShadowCopyHowto
http://www.wlug.org.nz/SambaShadowCopyHowto
VER:
http://focalinux.cipsga.org.br/guia/avancado/ch-s-samba.htm
|##########^ Temp ############################################################|
###############################################################################
# Servidor:
###############################################################################
SO: Debian 4.0 Etch/OpenSuse 10.3
Servidor: SAMBA
Serviço: SMB
Instalação básica (modo texto).
RAM
Swap
/boot 100 MB
/
/usr
/var
|##########^ Servidor ########################################################|
###############################################################################
# Conceitos:
###############################################################################
|##########^ Conceitos #######################################################|
###############################################################################
# Instalando:
###############################################################################
===============================================================================
Instalando o Servidor SAMBA no Debian 4.0 Etch e 5.0 (Lenny):
===============================================================================
|<<<<<<<<<<<<<< #### Instalando ####
|<<<<<<< ==== Instalando o Servidor SAMBA no Debian 4.0 Etch e 5.0 (Lenny) ====
## Atualizar a lista de pacotes
apt-get update
### Para instalar:
apt-get install samba
|<<<<<<<<<<<<<< #### Instalando ####
|<<<<<<< ==== Instalando o Servidor SAMBA no Debian 4.0 Etch e 5.0 (Lenny) ====
## Será solicitado sobre o nome do Domínio
#>>>> Coloque o nome do Domínio
┌────────────────────────────────────────────────┤ Samba Server ├────────────────────────────────────────────────┐
│ Please specify the workgroup you want this server to appear to be in when queried by clients. Note that this │
│ parameter also controls the domain name used with the security=domain setting. │
│ │
│ Workgroup/Domain Name: │
│ │
│ lanteste______________________________________________________________________________________________________ │
│ │
│ <Ok> │
│ │
└────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
## Será solicitado sobre a utilização do DHCP para coleta de informações de Wins
#>>>> Escolha não
┌─────────────────────────────────────────────────┤ Samba Server ├─────────────────────────────────────────────────┐
│ │
│ If your computer gets IP address information from a DHCP server on the network, the DHCP server may also │
│ provide information about WINS servers (“NetBIOS name servers”) present on the network. This requires a change │
│ to your smb.conf file so that DHCP-provided WINS settings will automatically be read from /etc/samba/dhcp.conf. │
│ │
│ The dhcp3-client package must be installed to take advantage of this feature. │
│ │
│ Modify smb.conf to use WINS settings from DHCP? │
│ │
│ <Yes> <No> │
│ │
└──────────────────────────────────────────────────────────────────────────────────────────────────────────────────┘
|==========^ Instalando o Servidor SAMBA no Debian 4.0 (Etch) e 5.0 (Lenny) ==|
|<<<<<<<<<<<<<< #### Instalando o Servidor SAMBA ####
|##########^ Instalando ######################################################|
###############################################################################
# Configurando:
###############################################################################
===============================================================================
Configuração Geral – Explicação:
===============================================================================
_______________________________________________________________________________
Arquivo: /etc/samba/smb.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
######— Sessão Global —######
[global]
## Browsing/Identification ###
## Configuração do Workgroup ou domínio:
workgroup = LABLINUX
## Configuração da descrição do servidor:
server string = %h server
## Nome netbios do computador:
netbios name = arqserver
## Habilita o servidor Wins neste server:
# Opções: wins support = yes | no
wins support = yes
####### Authentication #######
## Referência:
## http://www.centos.org/docs/4/html/rhel-rg-en-4/s1-samba-security-modes.html
# Opções: ADS | user
# Default: security = user
security = user
## Referência:
## http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina7.html
## Envia as senhas criptografadas pela rede
encrypt passwords = true
## Referência:
## http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina7.html
## Para escolher o backend que permitem armazenar senhas encriptadas e
## outras informações referentes aos usuários
# /var/lib/samba/passdb.tdb
# Opções: passdb backend = smbpasswd | tdbsam
passdb backend = tdbsam
|———-^ Arquivo: /etc/samba/smb.conf ————————————|
|<<<<<<<<<<<<<< #### Configurando ####
===============================================================================
Configuração do ADS (Active Directory Service):
===============================================================================
(Fonte: http://www.howtoforge.com/samba_ads_security_mode)
(Fonte: http://www.howtoforge.com/samba_ads_security_mode_p2)
(Fonte: http://www.berabera.info/oldblog/lenglet/howtos/kerberoshowto/index.html)
## Realizar a instalação do pacote NTP, pois o host cliente deve estar com
## hora sincronizada com o servidor de autenticação Kerberos
apt-get install ntp
## No Debian/Ubuntu é necessário instalar o seguinte pacote, para testar:
apt-get install krb5-user
## No openSuse 10.3 é necessário instalar o seguinte pacote, para testar:
zypper install krb5-client
_______________________________________________________________________________
Arquivo: /etc/krb5.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
.
..
…
[libdefaults]
default_realm = dominio.local
[realms]
dominio.local = {
kdc = ad-server.dominio.local
admin_server = ad-server.dominio.local
}
…
..
.
+—————————————————————————–|
## Teste:
kinit alessandro@dominio.local
## Se comando acima executar sem erros execute o comando klist para
## para ver o Ticket Kerberos
klist
## Teste a autenticação usando o smbclient e com a opção -k para
## tentar a autenticação usando Kerberos
smbclient -L /ad-server.dominio.local -k
## Após executar o comando acima, você terá um novo Ticket,
## use comando klist para visualizá-los
klist
_______________________________________________________________________________
Arquivo: /etc/samba/smb.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
.
..
…
## O “security = ads” significa que a autenticação será em um servidor AD
## Mudar o security para:
security = ads
## Mudar/adicionar o realm para:
realm = dominio.local
## Servidor de senhas:
password server = ad-server.dominio.local
…
..
.
+—————————————————————————–|
## Pode-se testar as regras de seu smb.conf com o comando testparm:
## Adicionando um máquina Linux com SAMBA no domínio AD (Windows)
## O usuário alessandro tem que ser administrador do domínio
## kinit – pega o Ticket Kerberos
## net ads join – coloca a máquina no domínio
# Opções:
# -d 10 – para gerar um debug do comando:
kinit alessandro@dominio.local
net ads join -U alessandro
## ^^^ Aconteceu um erro quando colocado em minúsculo colocar
## em maiúsculo DOMINIO.LOCAL
## kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials
(Fonte: http://www.howtoforge.com/samba_ads_security_mode_p2)
However, each user that accesses the Samba server will still need to have a valid Linux user account on the server that matches the account in the AD domain. The purpose of this account is to control access to the the Linux file system. The password for that account does not need to match the Win2k AD domain account password. The account doesn’t even need to have the ability to log in locally to the Linux machine. It does have to exist however and it must have the proper permissions to the directories you are sharing out with Samba for the user to access them. This hasn’t changed from Samba 2.2.
To get around the need for for local Linux accounts, you need to use winbind. It’ll be interesting to see how that will work in conjuction with an AD domain. But that’s the subject of another article.
## Winbind
(Fonte: http://www.howtoforge.com/samba_active_directory)
## Instalando o Winbind (Debian)
apt-get install winbind
## Instalando o Winbind (openSuse)
zypper install samba-winbind
_______________________________________________________________________________
Arquivo: /etc/samba/smb.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
.
..
…
## Colocar o idmap conforme abaixo, cuidado para não estar utilizando os ranges
## com outra coisa:
idmap uid = 10000-20000
idmap gid = 10000-20000
## O “winbind separator” modifica o “\” que normalmente é utilizado para
## serpara dominio\usuario
## Esta opção não realmente necessária:
# winbind separator = +
## Deixa desta forma:
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
…
..
.
+—————————————————————————–|
## É possível checar se entrou no domínio com o comando “wbinfo -u”
## Com este comando aparecerá a lista de usuários do domínio
wbinfo -u
## Para listar os grupos do domínio execute “wbinfo -g”
wbinfo -g
## Editar:
_______________________________________________________________________________
Arquivo: /etc/nsswitch.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
.
..
…
passwd: compat winbind
group: compat winbind
shadow: compat
…
..
.
+—————————————————————————–|
## Testar
getent passwd
### Configurando o PAM
## Fazendo uma cópia de segurança:
cp /etc/pam.d/common-account /etc/pam.d/common-account.default
cp /etc/pam.d/common-auth /etc/pam.d/common-auth.default
cp /etc/pam.d/common-session /etc/pam.d/common-session.default
## Agora edite os arquivos da seguinte forma:
_______________________________________________________________________________
openSuse 10.3
Arquivo: /etc/pam.d/common-account (Permissões: -rw-r–r– 1 root root)
——————————————————————
.
..
…
…
..
.
+—————————————————————————–|
_______________________________________________________________________________
Arquivo: /etc/pam.d/common-common-session (Permissões: -rw-r–r– 1 root root)
Debian 4.0 Etch/openSuse 10.3/Ubuntu
——————————————————————
.
..
…
## A linha abaixo permitirá a criação do diretório do usuário no momento do
## Login
## Adicionar esta linha:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
…
..
.
+—————————————————————————–|
——————————————————————————-
===============================================================================
apt-get install smbclient
smbclient -L 192.168.100.2 -U alessandro
smbclient -L 172.16.8.200
mount -t cifs //10.1.1.16/publico /mnt -o user=aluno,workgroup=LABLINUX
mount: block device //10.1.1.16/publico is write-protected, mounting read-only
mount: cannot mount block device //10.1.1.16/publico read-only
(Fonte: http://www.linuxquestions.org/questions/linux-server-73/mount-block-device-is-write-protected-mounting-read-only-572371/)
#### Sessão compartilhamento:
Opções:
## Informa se pode escrever/salvar no compartilhamento:
writable = yes | no
## Informa se o compartilhamento é somente leitura:
read only = yes | no
### Os masks funcionam de acordo como estão escritos, ou seja,
### o 0744, significa 0744 mesmo, e não como o umask que seria 022
## Qualquer arquivo criado terá permissão:
create mask = 0744
## Qualquer diretório criado terá permissão:
directory mask = 0744
## Reiniciando o serviço do samba:
/etc/init.d/samba restart
ou
invoke-rc.d samba restart
## Relendo o arquivo de configuração?
/etc/init.d/samba reload
smb passwd file: o padrão de criptografia utilizado pelo Samba é diferente do padrão utilizado pelo Linux. É necessário armazenar as senhas criptografadas em um arquivo extra.
smb passwd file = /etc/samba/smbpasswd
NO SERVIDOR ATENÇÃO:
Não esqueça de criar o ditetório do compartilhamento (path)
————————————————————————-
[ No Cliente ]
|
## Para listar os compartilhamentos, para anônimo não precisa inserir a senha
smbclient -L 10.10.10.10
smb://10.61.5.102/publico/
————————————————————————-
Repositórios:
Verificar: deb http://ftp.br.debian.org/debian/ etch main non-free
——————————————————-
apt.conf
Acquire{
HTTP::proxy “http://proxy.dominio.net.br:3128″;
FTP::proxy “http://proxy.dominio.net.br:3128″;
}
——————————————————-
Coisas do vim:
:set noautoindent
|##########^ Configurando ####################################################|
###############################################################################
# Cliente SAMBA (trabalhando com o cliente SAMBA):
###############################################################################
smbclient -L server-name -U usuario.nome -W dominio
smbtree -L hydra -U alessandro.kuramoto -W esporte
## Nautilus 2.26.2:
## Acessando um compartilhamento remoto:
smb://dominio;alessandro@10.10.10.10/c$/TEMP
###############################################################################
# Gerenciando/Administrando o Servidor SAMBA e Autenticação:
###############################################################################
### Para ver o status do SAMBA:
smbstatus
### ADMINISTRANDO O SAMBA
## Para saber a versão do SAMBA execute:
smbd -V
## http://www.comptechdoc.org/os/linux/manual4/sambausers.html
## Adicionando o usuário alessandro ao servidor SAMBA e definindo uma senha:
smbpasswd -a alessandro
## Alterando a senha de usuário no servidor SAMBA:
smbpasswd alessandro
## Para remover um usuário do SAMBA:
smbpasswd -x aluno
## Para verificar se os usuários estão cadastrados na base de dados do tdbsam
# -L – mostra todos os usuários, -w – lista no formato do smbpasswd
pdbedit -Lw
## Para verificar a conta de um usuário específico:
# -L – mostra todos os usuários, -w – lista no formato do smbpasswd
# -u <usuario> – mostra informações de um usuário em específico
pdbedit -Lw -u alessandro
## Para desabilitar a conta de um usuário:
smbpasswd -d alessandro
## Para habilitar a conta de um usuário:
smbpasswd -e alessandro
## Para ver as propriedades de um usuário:
pdbedit -L -v alessandro
### Gerenciando Grupos:
É necessário criar o grupo de usuários no Linux que será mapeado ao “Domain Admins” do Samba. Para tanto, editei meu arquivo /etc/group e acresci a seguinte linha:
domainadmins:x:502:root,alessandro,admin
(Fonte: http://www.vivaolinux.com.br/artigo/Configurando-administradores-de-dominio-no-Samba/?pagina=3)
domain admin group = domainadmins
net groupmap modify ntgroup=”Domain Admins” unixgroup=domainadmins
WBINFO:
## Pinga o dominio para ver se está up:
wbinfo -p dominio
Kerberos:
## (Fonte: http://www.fnal.gov/docs/strongauth/html/princ_pw.html)
## Para alterar a senha do usuário no domínio:
kpasswd alessandro@DOMINIO.LOCAL
|##########^ Gerenciando/Administrando o Servidor SAMBA e Autenticação #######|
###############################################################################
# Troubleshooting
###############################################################################
>Troubleshooting
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
## Erros conhecidos:
## Sintoma:
Ao executar o comando “smbpasswd -a alessandro” aparece a seguinte
mensagem de erro:
Failed to modify password entry for user alessandro
## Causa:
O usuário não existe no sistema local.
## Solução: (Solution)
Crie o usuário no sistema Unix primeiro.
——————————————————————————-
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
## Erros conhecidos:
## Sintoma:
Ao executar o comando “smbpasswd alessandro” aparece a seguinte
mensagem de erro:
Failed to find entry for user usuario.teste
Failed to modify password entry for user usuario.teste
## Causa:
O usuário não existe na base de dados do samba.
## Solução:
Crie o usuário no sistema Unix primeiro e depois crie o usuário com o
comando “smbpasswd -a alessandro”
——————————————————————————-
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
## Erros conhecidos:
## Sintoma:
Ao executar o comando “pdbedit -Lw” aparece a seguinte
mensagem de erro:
tdbsam_open: Failed to open/create TDB passwd [/var/lib/samba/passdb.tdb]
tdbsam_getsampwnam: failed to open /var/lib/samba/passdb.tdb!
## Causa:
Você pode estar executando o comando como um usuário comum
## Solução:
Execute o referido comando com o usuário “root”
——————————————————————————-
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
## Erros conhecidos:
## Sintoma:
Ao executar o comando “smbclient -L /ad-server.dominio.local -k”
aparece a seguinte mensagem de erro:
smbclient -L /ad-server.dominio.local -k
ads_krb5_mk_req: krb5_get_credentials failed for ad-server$@dominio.local (Ticket expired)
spnego_gen_negTokenTarg failed: Ticket expired
session setup failed: SUCCESS – 0
## Causa:
O Ticket expirou.
## Solução:
Execute o comando “kinit alessandro@dominio.local”, onde, alessandro é
usuário com permissção no domínio.
——————————————————————————-
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
## Erros conhecidos:
## Sintoma:
No cliente Windows ao tentar conectar em um servidor SAMBA (Linux)
aparece a seguinte mensagem:
\\10.10.10.1\compartilhamento
O caminho da rede não foi encontrado.
## Causa:
A causa deste erro pode ser por vários motivos, os que incluem:
No SAMBA, na seção compartilhamento, em path faltou colocar o caminho
correto ou o diretório não existe.
## Solução:
Verificar a causa e executar o procedimento específico.
——————————————————————————-
## Erros conhecidos:
## Sintoma:
No cliente ao tentar logar pelo modo gráfico aparece a seguinte tela
de erro:
The system administrator has disabled your account
## Causa:
Este erro é por conta que no arquivo /etc/samba/smb.conf
faltou a seguinte linha:
—————————
.
..
…
## Na seção global:
template shell = /bin/bash
…
..
.
—————————
Com o erro acima, usando o comando “getent passwd” no modo texto e
logado como usuário root, será possível ver que a saída do comando
terá o shell /bin/false:
## Solução:
Adicione a linha abaixo no arquivo /etc/samba/smb.conf:
—————————
.
..
…
## Na seção global:
template shell = /bin/bash
…
..
.
—————————
——————————————————————————-
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
#### Erros conhecidos: (Known Errors)
## Questão/ Problema: (Question/Issue)
Não consegue acessar o compartilhamento.
## Sintomas: (Symptom)
Ao tentar acessar o compartilhamento “financeiro” no servidor SAMBA
aparece o erro abaixo:
Could not display “smb://lablinux;aluno@172.16.8.200/financeiro/”.
Error: Failed to mount Windows share
Please select another viewer and try again.
## Causa: (Cause)
Podem ter vários motivos para o erro acima, em meu caso houve um
problema na configuração do grupo. Estava usando @ no lugar do +
O @ é para grupos do NIS no SAMBA 3, enquanto que o + é para grupos
locais do Linux.
## Solução: (Solution)
Se estiver usando grupos locais do Linux, use o + em “valid users” no
arquivo /etc/samba/smb.conf
Exemplo:
——————————-
Arquivo: /etc/samba/smb.conf
..
…
valid user = +grupo
…
..
.
|—————————–|
|—————————————————————————–|
|<<<<<<<<<<<<<< #### Troubleshooting ####
——————————————————————————-
#### Erros conhecidos: (Known Errors)
## Questão/ Problema: (Question/Issue)
Não conecta no servidor.
## Sintomas: (Symptom)
Ao tentar conectar no servidor aparece a mensagem de erro abaixo:
Connection to 172.16.8.200 failed (Error NT_STATUS_CONNECTION_REFUSED)
## Causa: (Cause)
O serviço não estava rodando.
## Solução: (Solution)
Inicie no serviço:
————————————————-
Iniciar o serviço do SAMBA no Debian 5.0 Lenny:
/etc/init.d/samba start
————————————————-
|—————————————————————————–|
kinit(v5): Preauthentication failed while getting initial credentials
Senha errada.
kinit (5): Clock Skew too great while getting initial credentials
Data e Hora muito adiantada ou atrasada.
## O usuário precisa de uma nova senha
## No AD estava marcado para pedir nova senha
pam_winbind user DOMINIO\usuario needs new password
|##########^ Troubleshooting #################################################|
###############################################################################
# Referências:
###############################################################################
Samba, parte 2: Configuração avançada do Samba – Auditando os acessos
http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina6.html
Samba, parte 2: Configuração avançada do Samba – Backends: smbpasswd ou tdbsam:
http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina7.html
“TDB” (trivial database)
http://www.linuxtopia.org/online_books/network_administration_guides/samba_reference_guide/18_passdb_21.html
http://linwin33.blogspot.com/2007/10/alterar-senha-samba-shell.html
How to install Kerberos 5
http://www.berabera.info/oldblog/lenglet/howtos/kerberoshowto/index.html
How To Integrate Samba (File Sharing) Using Active Directory For Authentication:
http://www.howtoforge.com/samba_active_directory
|##########^ Referências #####################################################|
###############################################################################
# FAQ:
###############################################################################
>FAQ
(Tópico: Características do SAMBA)
——————————————————————————-
Q.)
Como bloquear a gravação de arquivos de músicas e vídeos? Como bloquear .mp3,
.wmv, .wma, etc?
A.)
Entre na console de gerência do CACIC > Acesso > Troca de Senha
|—————————————————————————–|
|##########^ FAQ #############################################################|
###############################################################################
# Atividades:
###############################################################################
### Iniciar o serviço do SAMBA no Debian:
## Para quando o serviço não tiver sido inicializado
/etc/init.d/samba restart
### Reiniciar o serviço do SAMBA no Debian:
## Para resolver algum problema
/etc/init.d/samba restart
|##########^ Atividades ######################################################|
###############################################################################
# MAIS++:
###############################################################################
De uma forma geral, um único PDC usando o tdbsam como backend atende bem a até 250 clientes. Este limite não é relacionado ao uso do tdbsam, mas sim a questões práticas relacionadas ao desempenho da rede. Ele pode ser maior ou menor na prática, de acordo com a velocidade da rede (100 ou 1000 megabits), o hardware do servidor e a carga sobre a rede. A partir daí, passa a fazer sentido migrar para um banco de dados LDAP e passar a adicionar servidores BDC secundários.
(Fonte: http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/pagina7.html)
apt-get install swat
inetd e xinetd (CLL p. 411)
-
OUTRAS COISAS:
http://www.cesarkallas.net/arquivos/tutoriais/linux/activedirectory/AutenticarLinuxAD.html
apt-get install libnss-ldap
/usr/share/doc/libnss-ldap/examples/nsswitch.ldap
vim /etc/libnss-ldap.conf
apt-get install ldap-utils
SAMBA:
workgroup = MYDOMAINNAME
security = domain
From the command line ran the following
net join -W MYDOMAINNAME -U administrator
net ads info -S server-ad.dominio.local -w dominio -U administrador
http://www.roboguys.com/index.php?option=com_content&task=view&id=78&Itemid=47
http://docs.sun.com/app/docs/doc/819-3321/ggdqi?a=view
http://www.novell.com/coolsolutions/appnote/19671.html
” [2007/07/09 11:47:15, 0] utils/net_ads.c:ads_startup_int(285)
ads_connect: No such file or directory”
pam_krb5
krb5-client
kinit(v5): Cannot resolve network address for KDC in requested realm while getting initial credentials
NET:
# verifica se a máquina está no domínio:
# Testa se a máquina está no domínio:
net ads testjoin
No Ubuntu:
ActiveDirectoryWinbindHowto:
https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
* Samba
* Kerberos
https://help.ubuntu.com/community/Samba/Kerberos
https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
apt-get install krb5-user
Este erro é um bug do SAMBA:
http://www.archivum.info/linux.samba/2006-08/msg00595.html
pam_winbind[1081]: pam_sm_acct_mgmt success but PAM_WINBIND_NEW_AUTHTOK_REQD is set
chown -R “DOMINIO\alessandro.kuramoto:users” /diretorio
===============================================================================
TESTES:
OpenSUSE:
zypper search krb5
zypper install krb5-client
_______________________________________________________________________________
Arquivo: /etc/krb5.conf (Permissões: -rw-r–r– 1 root root)
——————————————————————
[libdefaults]
default_realm = dominio.local
[realms]
dominio.local = {
kdc = ad-server.dominio.local
admin_server = ad-server.dominio.local
}
+—————————————————————————–|
## Não conseguiu encontrar o servidor KDC pelo nome
Erro: kinit(v5): Cannot resolv network address for KDC in realm cpd10.local while getting initial credentials.
## Descobrir o erro abaixo e problema era o seguinte
## Na tentativa de ingressar um máquina ao dominio ele tenta conectar
## no servidor de AD assim:
## ad-server.dominio.local:389, porém por algum motivo apesar de estar configurado
## o DNS corretamente, mesmo assim não está fazendo resolução de nome
## como Workaround fiz o seguinte, adicionei no arquivo hosts o nome
## ad-server.dominio.local apontando para o IP correto.
https://bugzilla.novell.com/show_bug.cgi?id=331036#c3
Failed to join domain: Operations error
ntpdate 172.16.10.200
## Túnel Proxy:
http://dtunnel.com
http://webtools.live2support.com/linux/case.php
###############################################################################
# Troubleshooting dos LOGS
###############################################################################
May 30 19:06:52 postgresql sshd[8317]: Invalid user CPD10\\alessandro.kuramoto from 127.0.0.1
May 30 19:06:52 postgresql sshd[8322]: pam_winbind(sshd:auth): getting password (0×00000000)
May 30 19:07:01 postgresql sshd[8322]: pam_winbind(sshd:auth): pam_winbind_request: write to socket failed!
May 30 19:07:01 postgresql sshd[8322]: pam_winbind(sshd:auth): internal module error (retval = 3, user = ‘CPD10\alessandro.kuramoto’)
May 30 19:07:01 postgresql sshd[8317]: error: PAM: User not known to the underlying authentication module for illegal user CPD10\\alessandro.kuramoto from localhost
May 30 19:07:01 postgresql sshd[8317]: Failed keyboard-interactive/pam for invalid user CPD10\\alessandro.kuramoto from 127.0.0.1 port 59175 ssh2
May 30 19:07:01 postgresql sshd[8327]: pam_winbind(sshd:auth): getting password (0×00000000)
May 30 19:07:30 postgresql winbindd[8351]: [2009/05/30 19:07:30, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
May 30 19:07:30 postgresql winbindd[8351]: initialize_winbindd_cache: clearing cache and re-creating with version number 1
May 30 19:07:30 postgresql winbindd[8353]: [2009/05/30 19:07:30, 0] libsmb/cliconnect.c:cli_session_setup_spnego(857)
May 30 19:07:30 postgresql winbindd[8353]: Kinit failed: Clock skew too great
May 30 19:07:30 postgresql winbindd[8351]: [2009/05/30 19:07:30, 0] libsmb/cliconnect.c:cli_session_setup_spnego(857)
May 30 19:07:30 postgresql winbindd[8351]: Kinit failed: Clock skew too great
——————————————————————————–
LOG OK – Autenticação OK
Cliente: ssh
ssh CPD10\\alessandro.kuramoto@localhost
Cliente: putty
Login: CPD10\teste
May 31 12:28:41 postgresql sshd[8401]: pam_winbind(sshd:auth): getting password (0×00000000)
May 31 12:28:41 postgresql syslog-ng[2465]: STATS: dropped 0
May 31 12:28:51 postgresql sshd[8401]: pam_winbind(sshd:auth): user ‘CPD10\alessandro.kuramoto’ granted access
May 31 12:28:51 postgresql sshd[8401]: pam_winbind(sshd:account): user ‘CPD10\alessandro.kuramoto’ OK
May 31 12:28:51 postgresql sshd[8401]: pam_winbind(sshd:account): user ‘CPD10\alessandro.kuramoto’ granted access
May 31 12:28:51 postgresql sshd[8395]: Accepted keyboard-interactive/pam for CPD10\\alessandro.kuramoto from 127.0.0.1 port 32963 ssh2
——————————————————————————–
LOG ERRO -
May 31 12:29:32 postgresql sshd[8451]: Invalid user CPD10alessandro.kuramoto from 127.0.0.1
May 31 12:29:32 postgresql sshd[8456]: pam_winbind(sshd:auth): getting password (0×00000000)
May 31 12:29:46 postgresql sshd[8456]: pam_winbind(sshd:auth): request failed: No such user, PAM error was User not known to the underlying authentication module (10), NT error was NT_STATUS_NO_SUCH_USER
May 31 12:29:46 postgresql sshd[8451]: error: PAM: User not known to the underlying authentication module for illegal user CPD10alessandro.kuramoto from localhost
May 31 12:29:46 postgresql sshd[8451]: Failed keyboard-interactive/pam for invalid user CPD10alessandro.kuramoto from 127.0.0.1 port 32964 ssh2
May 31 12:29:46 postgresql sshd[8463]: pam_winbind(sshd:auth): getting password (0×00000000)
LOG Erro -
Não há um servidor de Login para autenticar o usuário:
May 31 14:21:50 postgresql sshd[11724]: pam_winbind(sshd:auth): getting password (0×00000000)
May 31 14:22:28 postgresql sshd[11724]: pam_winbind(sshd:auth): request failed: No logon servers, PAM error was Authentication service cannot retrieve authentication info (9), NT error was NT_STATUS_NO_LOGON_SERVERS
May 31 14:22:28 postgresql sshd[11724]: pam_winbind(sshd:auth): internal module error (retval = 9, user = ‘CPD10\alessandro.kuramoto’)
May 31 14:22:28 postgresql sshd[11741]: pam_winbind(sshd:auth): getting password (0×00000000)
LOG de erro:
Mesmo sabendo que a senha estava correta, aparecia o erro abaixo. Este erro pode ter acontecido porque a máquina não foi inicializada.
Outra justificativa o quanto ao serviço nscd que estava iniciado, em um momento parei o serviço e voltou a funcionar:
Same problem as the one above. Your system is likely running nscd, the name
service caching daemon. Shut it down, do not restart it! You will find your
problem resolved.
http://lists.samba.org/archive/samba/2005-May/105007.html
Jun 1 03:23:53 suse sshd[23601]: Invalid user LABLINUX\\alessandro from 127.0.0.1
Jun 1 03:23:53 suse sshd[23606]: pam_winbind(sshd:auth): getting password (0×00000000)
Jun 1 03:23:57 suse sshd[23606]: pam_winbind(sshd:auth): request failed: Wrong Password, PAM error was Authentication failure (7), NT error was NT_STATUS_WRONG_PASSWORD
Jun 1 03:23:57 suse sshd[23606]: pam_winbind(sshd:auth): user ‘LABLINUX\alessandro’ denied access (incorrect password or invalid membership)
Jun 1 03:23:57 suse sshd[23601]: Failed keyboard-interactive/pam for invalid user LABLINUX\\alessandro from 127.0.0.1 port 22693 ssh2
Jun 1 03:23:57 suse sshd[23609]: pam_winbind(sshd:auth): getting password (0×00000000)
——————————————————————————-
## LOG de erro:
Jun 2 07:38:39 ctisst81260 sshd[4829]: Invalid user DOMINIO\\alessandro from 127.0.0.1
Jun 2 07:38:39 ctisst81260 sshd[4829]: Failed none for invalid user DOMINIO\\alessandro from 127.0.0.1 port 43510 ssh2
## Causa
Este erro foi causado porque o winbind (linux) não consegui enxergar os
usuários no AD
Com o comando “wbinfo -u” aparece a seguinte mensagem:
Error looking up domain users.
## Solução:
1. Tente reiniciar/iniciar o winbind;
Ubuntu: invoke-rc.d winbind stop
invoke-rc.d winbind start
——————————————————————————-
