Pesquisar neste blog

segunda-feira, 8 de novembro de 2010

Adicionando máquina com openSUSE a domínio com Active Directory Windows Server 2008





Essa dica foi adaptada de uma das referências citadas ao final. A mesma se propõe a demonstrar como adicionar uma máquina com openSUSE 11.3, 11.4, 12.1 64 bits a um domínio com Active Directory gerenciado pelo Windows Server 2008 64 bits. A atenção deve ser redobrada no caso do openSUSE 12.1 em configurações referente ao tema do login como é tratado abaixo.

Com o firewall desativado, proceda da seguinte forma:

1. Registrar o controlador de domínio e o nome do computador na lista de hosts da máquina cliente via Yast na opção "Serviços de rede\Nomes de máquina" ou editando o arquivo /etc/hosts Inserindo o IP, depois o nome totalmente qualificado e em seguida o nome curto do servidor:

Exemplo:
127.0.0.1 ESTACAO01.DOMINIO.COM.BR ESTACAO01
192.168.0.1 SRV01.DOMINIO.COM.BR SRV01

2. editar o arquivo /etc/resolv.conf e adicionar seu controlador de domínio como "nameserver"

nameserver = SRV01.DOMINIO.COM.BR

ou

nameserver = 192.168.0.1

3. Agora abrar o YAST e configurar Kerberos na opção "Serviços de rede\Cliente do Kerberos" e marque a opção "Usar Kerberos".
Muita atenção para o fato do realm ser em letras maiúsculas. se não estiver assim não funcionará. Insira os parâmetros da seguinte forma:




Domínio padrão: DOMINIO.COM.BR
Realm padrão: DOMINIO.COM.BR
Endereço do Servidor KDC: SRV01.DOMINIO.COM.BR

Clique em "Ok" e aceite a instalação dos pacotes pam_krb5 e krb5-client.

4. Agora configure o SAMBA com YAST ou pelo terminal. No Yast acesse a opção "Serviços de Rede\Servidor Samba".
Na tela que abrir na opção "Nome de Grupo de trabalho ou domínio" informe o nome do domínio sem o ".com.br", ou seja, apenas "DOMINIO". Na tela seguinte marque a opção "Não é um Controlador de Domínio". Em seguida marque para iniciar "Durante a inicialização". Vá a aba "identidade" e selecione em "Configurações avançadas" a opção "Configurações globais avançadas".
Altere aqui a opção "security" de "users" para "ADS" ou "domain" e caso não exista adicione o seguinte parâmetro realm: (Atenção para as letras em maiúsculo) realm = DOMINIO.COM.BR. Clique em "ok" e depois em "ok" novamente. Na tela que abrir clique em "Não participar".
Dica: Caso queira que as pastas dos usuários sejam criadas diretamente em /home/ altere o parâmetro template homedir para "/home/%U". O padrão é "/home/%D/%U". Com isso, durante o login do usuário é criado uma pasta como nome do domínio e dentro dela as pastas de usuário. Caso seja removida a opção %D, usuários do domínio que tenham contas locais na máquina, não poderão fazer logon.




5. Agora abra o YAST e vá na opção "Serviços de rede\Participação no domínio do Windows". Na tela que abrir marque as opções "Também usar informação SMB para autenticação Linux" e "Criar diretório pessoal no login". Se essa segunda opção não for marcada, ao iniciar o computador será gerado o erro "Cannot enter home directory. Using /". Clique em "Ok" e aceite a sugestão de instalação do pacote "samba-winbind', com isso também serão instaladas várias dependências.
Após a instalação será exibida uma mensagem informando que a máquina não é membro do domínio e solicitará se deseja "Entrar do domínio", clique em "Sim". O Sistema irá pedir um nome de usuário e senha. Deve ser informado um usuário administrador do servidor de domínio e sua senha. Após digitar usuário e senha, clique na opção "obter lista" para escolher em qual "OU" deseja incluir a máquina, caso contrário simplesmente clique em "Ok" para adicionar a "OU" padrão. Se tudo correu bem o sistema emitirá uma mensagem informando que a maquina ingressou no domínio com sucesso. Caso o login automático esteja habilitado o sistema solicitará a desativação. Após concluído esse processo, reinicie a máquina.




6. Infelizmente o mundo não é perfeito e o openSUSE também não. Na versão 12.1 o tema de login não funciona com logon samba/winbind. Se você, como eu, descobriu isso ao tentar fazer logon após todas as configurações e recebeu uma mensagem dizendo que não era impossível, não se desespere. Clique na opção na tela de login para fazer logon no console e digite o login do root e a senha definida, depois, já no terminal digite xdm. Com isso ele volta para a interface visual e solicita senha e usuário. Feito isso, vá ao yast\sistema\editor do /etc/sysconfig. Na tela que abrir navegue até Desktop\Display manager\DISPLAYMANAGER_KDM_THEME. Onde está o valor SUSE digite Oxygen. Com isso já dever ser possível efetuar logon no domínio

7. Agora o login já pode ser feito no domínio. Pode levar de 10 a 15 segundos para que apareça o domínio na lista, mas é só aguardar. Até que isso aconteça serão exibidas a opção local e null. Segue abaixo lista de alguns comandos e arquivos úteis para manutenção e configuração da participação em domínio Windows e alguns erros comuns.


Comandos úteis:
Para logar no domínio
#kinit

Para ver os tickets emitidos
#klist

Para destruir a lista de tickets
#kdestroy

Testar configurações do samba
#testparm

Adicionar máquina ao domínio
#net ads join -UNomeUsuario

Verificar se foi adicionado com sucesso:
#net ads testjoin

Arquivos e diretórios usados na configuração:
/etc/hosts
/etc/krb5.conf
/etc/pam.d/
/etc/resolv.conf
/etc/samba/smb.conf
/etc/security/limits.conf

Mensagens de erro:
failed to join domain: failed to find DC for domain [DOMINIO]
1 - Ligado ao arquivo /etc/resolv.conf tem que informar o endereço do servidor
2 - Ligada ao arquivo /etc/samba/smb.conf informação contida no parâmetro realm

No DNS domain configured for [host]. Unable to perform DNS Update.
1 - Alterar o arquivo /etc/hosts para ficar da seguinte forma:
127.0.0.1 nomedohost.dominio.com nomedohost
127.0.0.2 nomedohost.dominio.com nomedohost


DNS update failed!
1 - Criar um registro no DNS de Tipo A para o nomede host da máquina.





Claudir Pereira dos Santos

Matelândia - PR, 29/12/2011.

Referência:

http://www.linuxquestions.org/questions/suse-novell-60/failed-to-join-domain-659062/
http://www.novell.com/pt-br/documentation/

Nenhum comentário:

Postar um comentário