SERECOMP 2016 Semana do Curso de Redes de Computadores

INSTITUTO FEDERAL DE EDUCAÇÃO CIÊNCIA E

TECNOLOGIA DO SUL DE MINAS GERAIS

Fernando Rodrigues de Albuquerque

*

MINICURSO

SAMBA 4: Controlador de Domínio e Servidor de Arquivos

Completo, Livre e Gratuito

SERECOMP 2016

Semana do Curso de Redes de Computadores

Inconfidentes - MG

Outubro de 2016

* _{Especializado em MBA em Gestão de Tecnologia da Informação pelo Centro Universitário do Sul de} Minas (UNIS-MG). Graduado em Tecnologia em Redes de Computadores pelo Centro Superior de Ensino e Pesquisa de Machado (MG), CESEP/FEM. Analista em Tecnologia da Informação, Coordenador de Operações de TIC da Reitoria do IFSULDEMINAS, servidor público efetivo desde janeiro de 2009. Email: fernando.rodrigues@ifsuldeminas.edu.br

Índice

Introdução ... 1

1. O Samba 4 ... 2

1.1. Funções do Samba 4 ... 2

1.2. Features do Samba 4 como DC ... 2

1.3. Features do Samba 4 como Compartilhamento de Arquivos ... 3

1.4. Saiba mais: ... 3

2. Ambiente (Topologia) a ser estudado: ... 3

3. Colocando em Prática ... 4

3.1. Configurando as Máquinas Virtuais ... 4

3.2. Instalando a VM com o Ubuntu Server 14.04 ... 6

3.3. Instalando e Configurando o Samba 4... 10

3.4. Integrando o Windows ao Domínio ... 16

3.5. Remote Server Administration Tools (RSAT) ... 18

3.6. Utilizando o RSAT ... 19

3.6.1 – Gerenciando Usuários ... 20

4. Conclusão ... 22

Introdução

No dia 11 de dezembro de 2012 foi lançado oficialmente o Samba 4, trazendo diversos aprimoramentos em relação ao seu antecessor, com diversas features que permitirão a melhoria da eficiência na administração de computadores interconectados através de redes locais.

Portanto, este minicurso visa apresentar o Samba 4, considerado como um dos sistemas mais ansiosamente aguardados pela comunidade Open Source e até mesmo por profissionais de TI que não possuem muita familiaridade com sistemas GNU/Linux, pelo fato de que sua proposta é ser o First Free Software Active Directory Compatible Server (Primeiro Software Livre do Active Directory Server Compatível ) totalmente livre. Ou seja, ser o primeiro sistema totalmente compatível com Microsoft Active Directory, porém grátis e que não gera custos com licenças e CALs de acesso.

O que é o Samba?

“O Samba é um "software servidor" para Linux (e outros sistemas baseados em Unix) que permite o gerenciamento e compartilhamento de recursos em redes formadas por computadores com o Windows. Assim, é possível usar o Linux como servidor de arquivos, servidor de impressão, entre outros, como se a rede utilizasse servidores Windows (NT, 2000, XP, Server 2003).” [1]

1. O Samba 4

“O Samba 4 tem 22 features que enchem os olhos dos profissionais de TI, porque algumas dessas features eram apenas encontradas no mundo Windows e agora o Samba 4 oferece estas features de forma Livre totalmente grátis sem custo com licença e CALs de acesso. ” [2]

1.1. Funções do Samba 4

Neste minicurso abordaremos a duas principais funções do Samba 4, a primeira como sendo o Controlador de Domínio da Rede Local e a segunda, como Servidor de Compartilhamento de Arquivos da Rede Local.

Basicamente, o Controlador de Domínio (DC, sigla em inglês), conforme descrito na Wikipédia [3] é um servidor que responde a requisições de autenticação (login, verificação de permissões etc.) dentro de um domínio Windows. Um domínio é um conceito introduzido no Windows NT em que um usuário pode ter acesso a uma série de recursos de computador com o uso de uma única combinação de nome de usuário e senha.

Portanto em uma empresa, por exemplo, os funcionários possuiriam uma credencial de acesso, que de forma independente poderia se autenticar nos computadores autorizados pelo Servidor Controlador de Domínio.

Já o Servidor de Compartilhamento de Arquivos, como descrito na Wikipédia [4], é um computador conectado a uma rede que tem o objetivo principal de proporcionar um local para o armazenamento compartilhado de arquivos de computadores (como documentos, arquivos de som, fotografias, filmes, imagens, bases de dados, etc) que podem ser acessados pelo trabalho que estão ligados à rede de computadores.

1.2. Features do Samba 4 como DC

 Ele pode ser controlador de domínio principal  Ele pode ser controlador de domínio adicional

 Ele pode ser um controlador de domínio gravável e somente leitura ( RODC)  Ele pode ser catálogo global

 Ele pode ser Schema Master, Domain Naming Master, PDC Emulator, RID Master ou Infrastructure Master.

 Ele pode ser um servidor bridgehead  Pode Trabalhar com GPO

 Já vem com DNS, kerberos e LDAP integrado  Tem unidades organizacionais

1.3. Features do Samba 4 como Compartilhamento de Arquivos

 Possível implementar Enumeração baseado em acesso (como no Windows)  Possível implementar Triagem de Arquivos (como no Windows)

 Possível implementar cópia de sombra (como no Windows)  Possível implementar Namespace DFS (como no Windows)  Possível Implementar replicação DFS (como no Windows)  Possível implementar Desduplicação (como no Windows)  Possível implementar cota de discos (como no Windows)  Possível implementar Auditoria de acesso (como no Windows)  Possível Implementar perfil móvel

 Possível Implementar pasta Base

 Possível Implementar Redirecionamento de pastas

 Possível Trabalhar com Permissões NTFS (como no Windows)

1.4. Saiba mais:

Como todo e qualquer sistema a ser implementado em um parque tecnológico, é necessário um estudo exaustivo no que se trata à qual é a melhor abordagem em se utilizar o referido sistema.

Para tanto, vejo como importante se criar ambientes de testes e que simulam as características específicas das redes à que se propõem tais implementações.

Mais informações e recomendações para implementação do Samba 4, sugiro acessar:

https://joaolacerda209.files.wordpress.com/2016/01/5-ebook-samba4.pdf

2. Ambiente (Topologia) a ser estudado:

O ambiente proposto neste minicurso simulará uma rede de computadores com máquinas Windows (que podem ser tanto com Windows 7 e/ou Windows 10), que será demonstrado na figura a seguir:

3. Colocando em Prática

Primeiramente precisaremos, para criar o nosso ambiente, ter instalado em nosso computador o VirtualBox, onde até a data de criação deste material está em sua versão 5.1.6.

Uma vez com o VirtualBox instalado, deveremos utilizar duas máquinas virtuais, uma Windows, que simulará nossa estação de trabalho e proporcionará também a interface de administração do Domínio e também, uma Máquina Virtual com GNU/Linux, que será criada durante este minicurso, que por sua vez terá a função de ser o Servidor Samba 4.

3.1. Configurando as Máquinas Virtuais

Máquina Windows: Em nosso material teremos como exemplo uma Máquina Virtual com o Sistema Operacional Windows 10, que necessariamente deverá ser nas distribuições Professional, Enterprise ou Ultimate, para que o programa de Administração Remota do Samba 4 (RSAT) possa funcionar.

Máquina GNU/Linux: Utilizaremos um servidor com a Distribuição Ubuntu Server 14.04 LTS, do qual será instalado durante a apresentação deste minicurso.

1 – A primeira coisa que deveremos fazer é verificar como estão configuradas as interfaces de rede das VMs, pois a primeira interface do SAMBA 4 deverá estar em modo NAT e a segunda em modo Rede Interna:

Interface 2 do Samba 4 (LAN):

Interface 1 do Windows (LAN):

Clicando com o botão direito em cima da VM e depois selecionando a opção “Configurações”.

2 – Quanto à configuração de rede que cada aluno deverá estar configurando, o objetivo é que a VM (Máquina Virtual) do Windows esteja comunicando com a VM do Samba 4 através da Rede Interna configurada.

Windows: IP: 192.168.0.11 Máscara de Rede: 255.255.255.0 Gateway: 192.168.0.10 DNS: 192.168.0.10 Samba 4:

Interface eth0 em DHCP cliente Interface eth1:

IP: 192.168.0.10

Máscara de Rede: 255.255.255.0

DNS: 192.168.0.10, 8.8.8.8, DNS da rede Local

3.2. Instalando a VM com o Ubuntu Server 14.04

Neste tópico contemplaremos a instalação da VM do Samba 4, conforme a seguir:

1 - Adicionar a ISO do ubuntu server 14.04 na unidade de disco óptico

3 – Selecionar o idioma e pressionar a tecla enter.

Seguir os demais passos que aparecerão na tela. Atentar-se para a configuração da Rede:

5 – Selecionar a interface eth0 como primária

6 – Nomear a VM como samba4

Seguir os demais parâmetros e lembrar-se de não habilitar a criptografia da pasta pessoal.

7 – Selecionar a opção de utilizar o Particionamento Assistido Concluir o Particionamento Assistido

8 – Opcionalmente, para facilitar o acesso à VM poderá ser selecionada a opção de instalação do OpenSSH Server, deixar as demais opções desmarcadas.

9 – Permitir a instalação da inicialização do GRUB no disco

10 – Finalizar o processo de instalação do Sistema Operacional

Após finalizada a instalação do Sistema Operacional a VM será reiniciada e já será possível acessá-la utilizando-se a credencial (login e senha) configurada no momento da instalação.

3.3. Instalando e Configurando o Samba 4

Uma vez instalado o Sistema Operacional GNU/Linux será possível iniciar com a instalação do Samba 4 propriamente, para tanto os passos a seguir serão necessários [5] - [6]:

1 – Atualizar a lista de repositórios e atualizar o sistema: # sudo apt-get update && apt-get upgrade 2 – Instale a dependências necessárias:

# sudo apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl

Caso apareça uma tela solicitando senha do Kerberos, deixa-la em branco:

3 - É importante que a hora do servidor esteja atualizada. Por isso vamos instalar o serviço ntp:

# sudo apt-get install ntp # sudo /etc/init.d/ntp status

* NTP server is running

4 – Agora, deverá ser configurada a partição / (ou /home) para permitir as configurações e features de acl:

# nano /etc/fstab

Na linha onde estiver / (ou /home), adicione este conteúdo após ext4:

user_xattr,acl,barrier

Ficando conforme a seguir:

/dev/mapper/samba4--vg-root / ext4 errors=remount-ro,user_xattr,acl,barrier 1 1 1 Agora remonte a partição:

# sudo mount -o remount,rw

5 – Para compilar o samba 4 deve-se baixá-lo através do seguinte comando: # wget https://download.samba.org/pub/samba/stable/samba-4.4.6.tar.gz 6 – Extrair o seu conteúdo com o comando:

# tar zxvf samba-4.4.6.tar.gz

7 – Acesse o diretório extraído com o comando: # cd samba-4.4.6

8 – Execute o comando para iniciar a configuração de compilação: # sudo ./configure

Ao término será apresentada a seguinte informação: 'configure' finished successfully (56.306s)

9 – Execute os seguintes comandos: # sudo make

# sudo make install

Geralmente estes comandos demoram a serem concluídos de 7 a 12 minutos* 'build' finished successfully (10m12.171s)

'install' finished successfully (2m55.802s)

10 – Execute o comando de provisionamento do serviço: # sudo /usr/local/samba/bin/samba-tool domain provision O Samba irá fazer perguntas:

*O padrão é o que está entre colchetes. Vamos lá:

Realm [meudominio.local]: (aperte enter como padrão) Realm [meudominio]: (aperte enter como padrão)

Server Role (dc, member, standalone) [dc]: (aperte enter como padrão)

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: (aperte enter como padrão)

DNS forwarder IP address (write 'none' to disable forwarding) [x.x.x.x]:8.8.8.8 (digite 8.8.8.8)

Acima você pode perceber que ele detectou o DNS que você está usando (x.x.x.x). O 8.8.8.8 será um DNS externo (Google).

Administrator password: Senha@sua (informe a senha FORTE do usuário Administrator de domínio)

Após isso verá algo parecido:

A Kerberos configuration suitable for Samba 4 has been generated at /usr/local/samba/private/krb5.conf

Once the above files are installed, your Samba4 server will be ready to use Server Role: active directory domain controller

Hostname: samba4

NetBIOS Domain: MEUDOMINIO DNS Domain: meudominio.local

DOMAIN SID: S-1-5-21-631880342-2659944935-475803411

11 – Execute os comandos abaixo e verifique o funcionamento e versão instalada do samba:

# sudo /usr/local/samba/sbin/samba

# sudo /usr/local/samba/bin/smbclient –version

12 – O próximo comando faz uma nova verificação:

# sudo /usr/local/samba/bin/smbclient -L localhost -U% Será apresentada informações conforme abaixo:

Domain=[MEUDOMINIO] OS=[Windows 6.1] Server=[Samba 4.4.6] Sharename Type Comment

--- ---- --- netlogon Disk

sysvol Disk

IPC$ IPC IPC Service (Samba 4.4.6) Domain=[MEUDOMINIO] OS=[Windows 6.1] Server=[Samba 4.4.6] Server Comment

--- --- Workgroup Master --- ---

13 – Teste a autenticação do Administrator como o comando abaixo:

# sudo /usr/local/samba/bin/smbclient //localhost/netlogon -U Administrator%'suaSenha@forte' -c 'ls'

Domain=[MEUDOMINIO] OS=[Windows 6.1] Server=[Samba 4.4.6] . D 0 Wed Oct 12 15:46:57 2016

.. D 0 Wed Oct 12 15:47:05 2016 7331536 blocks of size 1024. 4942420 blocks available

14 – Configurando o DNS

# sudo nano /etc/resolv.conf Edite conforme a seguir:

Domain MEUDOMINIO.LOCAL nameserver 127.0.0.1

nameserver 192.168.0.10 nameserver 8.8.8.8

ATENÇÃO: não retire nenhum DNS de seu resolv.conf, apenas adicione. 15 – Executando os testes de DNS:

# host -t SRV _ldap._tcp.meudominio.local.

_ldap._tcp.meudominio.local has SRV record 0 100 389 samba4.meudominio.local. # sudo host -t SRV _kerberos._udp.meudominio.local.

_kerberos._udp.meudominio.local has SRV record 0 100 88 samba4.meudominio.local.

# host -t A samba4.meudominio.local. samba4.meudominio.local has address x.x.x.x 16 – Configurando a interface interna (eth1): # sudo nano /etc/network/interfaces Inserir as seguintes linhas:

auto eth1

iface eth1 inet static

address 192.168.0.10 netmask 255.255.255.0 # ifup eth1

# ifconfig

17 – Configurando o Kerberos:

# sudo cp /usr/local/samba/share/setup/krb5.conf /etc/ Editar o arquivo de configuração do Kerberos:

# sudo nano /etc/krb5.conf Substituir o REALM pelo seu domínio. ${"MEUDOMINIO.LOCAL"}

Vai ficar assim: [libdefaults]

default_realm = ${"MEUDOMINIO.LOCAL"} dns_lookup_realm = false

dns_lookup_kdc = true *Salvar e sair

Testar o Kerbertos com o seguinte comando:

# sudo kinit administrator@MEUDOMINIO.LOCAL

Insira sua senha do administrator, que você colocou na criação do domínio. Deverá aparecer algo assim:

warning: Your password will expire in 41 days on Qua 23 Nov 2016 16:47:03 BRST # sudo klist

Valid starting Expires Service principal

12-10-2016 16:20:04 13-10-2016 02:20:04 krbtgt/MEUDOMINIO.LOCAL@MEUDOMINIO.LOCAL renew until 13-10-2016 16:19:59

Se houve autenticação e o ticket foi gerado, está tudo ok com o kerberos. 18 – Copiando o arquivo binário do Samba para init.d:

# sudo cp /usr/local/samba/sbin/samba /etc/init.d/samba # sudo chmod +x /etc/init.d/samba

# sudo su

Instalando um pacote que força a inicialização do samba e podemos escolher os níveis de execução adequados:

# sudo apt-get install sysv-rc-conf # sudo sysv-rc-conf

Deixe os níveis de execução do Samba 2 3 4 5 marcados com x (você pode marcar e desmarcar com a tecla barra de espaço do teclado). Vejam como fica:

19 – Configurando o compartilhamento de arquivos em rede:

Para que possamos definir no arquivo de configuração do Samba 4 qual pasta compartilhada vamos ter em nosso servidor, precisamos primeiro criar esses diretórios.

Primeiro criar-se-á um diretório onde irá ficar centralizado todos os demais diretórios, lembrando que podemos ter um outro disco (unidade) somente para isso:

# sudo mkdir /home/dados

Agora será criada a estrutura dos diretórios conforme a necessidade: # sudo mkdir /home/dados/publica

# sudo mkdir /home/dados/ti

# sudo mkdir /home/dados/diretoria

20 - Alterando o arquivo de configuração do Samba: # sudo nano /usr/local/samba/etc/smb.conf

Adicionar: [Publica] path = /home/dados/publica read only = No [TI] path =/home/dados/ti read only = No [Diretoria] path = /home/dados/diretoria read only = No

3.4. Integrando o Windows ao Domínio

Com o Samba 4 em funcionamento o próximo passo é inserir a VM com Windows no Domínio, para tanto devemos fazer um teste simples de ping para ter certeza que as duas máquinas estão se comunicando entre si:

1 – Abra o prompt de comando no Windows e execute o comando de ping, conforme demonstrado na figura abaixo:

Uma vez que a comunicação esteja existindo a VM com o Windows deverá ser adicionada ao domínio:

2 – No Windows 10 acesse a sessão de Configurações > Sistema > Sobre e clique sobre o botão “Ingressar em um domínio”:

Insira o nome do domínio completo: Seguindo o exemplo deste material será meudomonio.local

Clique em avançar para continuar

Insira as credenciais do usuário Administrator (configurado anteriormente):

Clique em OK

Configure o usuário Administrator como Administrador do sistema:

Após o sistema ser reiniciado já será possível o login do usuário Administrator no domínio do Samba 4:

Após realizar o logon na máquina será possível visualizar as pastas de rede compartilhadas que foram anteriormente criadas:

Para abrir no Windows Explorer basta digitar o endereço de rede do servidor (\\samba4)

3.5. Remote Server Administration Tools (RSAT)

O RSAT trata-se de um conjunto de Ferramentas de Administração de Servidor Remoto para sistemas Windows, das quais permitem que os administradores de TI gerenciem o Windows Servers (no nosso caso o Samba4) de um computador remoto que executa a versão completa do Windows (Professional, Enterprise e Ultimate).

1 – Executar o arquivo de instalação do RSAT:

2 – Reiniciar após a conclusão:

3.6. Utilizando o RSAT

Após a reinicialização do sistema será possível acessar através do menu iniciar o RSAT, que se apresentará com o nome de aplicação “Gerenciador de Servidores”

Após abrir o RSAT, acessar a opção “Adicionar outros servidores para gerenciar”

Na janela em que se abrir clicar no botão “Localizar” e posteriormente clicar sobre a seta para a direita quando selecionar o servidor Samba:

Clicar no botão OK

3.6.1 – Gerenciando Usuários

Uma vez instalado o RSAT (Gerenciador de Servidores) é possível acessar o painel de configurações de usuários do domínio, para tanto basta abrir a Ferramenta Administrativa de nome “Usuários e Computadores do Active Directory”

Nesta janela serão apresentadas as Unidades Organizacionais (OU) do Domínio, conforme o exemplo acima foi criada uma OU chamada “MeuDominio” da qual foi subdividida em “Usuarios” e “Grupos”.

Na OU “Usuarios” foram adicionados os usuários do Domínio, já a OU “Grupos” foi criada com o objetivo de contemplar os grupos referentes aos setores do Domínio. Para a configuração das Políticas de Acesso de Grupos (GPOs) deve-se acessar a Ferramenta “Gerenciamento de Política de Grupo”:

4. Conclusão

Este material pretendeu de maneira sucinta abordar a criação de um servidor Samba 4, como Controlador de Domínio e Servidor de Arquivos, sob a distribuição GNU/Linux Ubuntu Server (v.14.04). Sabe-se que inúmeras são as possibilidades de como fazê-lo, utilizando-se de diversas maneiras, ferramentas, tutoriais espalhados pela internet e variadas bibliografias.

É importante ressaltar que todos os métodos aqui empregados foram previamente testados, com suas fontes de pesquisa devidamente expostas e refletindo as próprias experiências do autor.

Espera-se que este material possa servir de norte para os assuntos aqui explanados, e também, como fonte prática de pesquisa e implementação.

Referências:

[1] http://www.infowester.com/linuxsamba.php - Emerson Alecrim - Servidor Samba:

o que é

[2]

http://blog.astreinamentos.com.br/2016/01/o-samba4-e-um-sistema-seguro-e-confiavel.html - Alexander Silva - O samba4 é um sistema seguro e confiável?

[3] https://pt.wikipedia.org/wiki/Controlador_de_dom%C3%ADnio - Wikipédia -

Controlador de domínio

[4]https://pt.wikipedia.org/wiki/Servidor_de_arquivos - Wikipédia - Servidor de

Arquivos

[5] http://www.br-open.com/?p=260 - Claudio Maciel - Configurando Samba 4

como Controlador de Domínio e Servidor de Arquivos

[6]

https://www.vivaolinux.com.br/artigo/Samba-4-Active-Directory-Open-Source-Ubuntu-14044 - Felipe Valim - Samba 4 - Active Directory Open Source - Ubuntu