Ingressando desktop Linux no AD(Activity Directory)

Primeiro, vou passar uma visão do cenário:

Domínio → EMPRESA.INTRA
Servidor DNS primário → 192.168.0.2
Servidor DNS Secundário → 192.168.0.1
Servidor DHCP → 192.168.0.2
Servidor controlador de domínio → 192.168.0.2 (ad.empresa.intra)
Desktop Cliente → 192.168.0.80 (ubuntu-desktop)

Agora, vamos instalar os pacotes necessários para essa integração:

apt-get install krb5-user krb5-config winbind samba samba-common smbclient cifs-utils libpam-krb5 libpam-winbind libnss-winbind ntp

Agora, precisamos ajustar o arquivo “/etc/hosts”, deixando-o assim:

127.0.0.1 ubuntu-desktop.empresa.intra localhost ubuntu-desktop 192.168.0.2 ad

Para que não haja nenhum problema na hora da integração, é necessário que o horário do Desktop esteja devidamente sincronizado com o do AD. Para isso, edite o arquivo de configuração do serviço NTP usando o Vim:

vim /etc/ntp.conf

Nas linhas do arquivo onde o conteúdo começa com a palavra “server”, comente estas linhas com uma tralha (#), e adicione essas entradas:

server 192.168.0.2 restrict 192.168.0.2

Agora reinicie o serviço:

/etc/init.d/ntp restart

Vamos ajustar agora o /etc/resolv.conf:

vim /etc/resolv.conf

Deixe-o com esse conteúdo:

search empresa.intra domain empresa.intra nameserver 192.168.0.2 nameserver 192.168.0.1

Agora, precisamos ajustar o KERBEROS:

vim /etc/krb5.conf

Deixe-o com esse contéudo:

[libdefaults] default_realm = EMPRESA.INTRA [realms] EMPRESA.INTRA = { kdc = ad.empresa.intra default_domain = EMPRESA.INTRA admin_server = ad.empresa.intra kpasswd_server = ad.empresa.intra }[domain_realm] .empresa.intra = EMPRESA.INTRA empresa.intra = EMPRESA.INTRA

Salve e saia.

Agora vamos fazer um teste… Execute o comando abaixo. Eu estou usando o nome “henrique”, que é o meu usuário criado no domínio, mas substitua pelo nome do usuário que estiver cadastrado no servidor.

kinit henrique

Se o comando não retornar nenhuma saída, é porque a comunicação está sendo realizada com sucesso. Agora vamos listar o ticket obtido nessa comunicação usando o comando:

klist

O comando klist deverá retornar uma saída como a que está abaixo:

Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: henrique@EMPRESA.INTRA
Valid starting Expires Service principal
05-03-2016 15:48:35 14-11-2016 01:49:08 krbtgt/EMPRESA.INTRA@EMPRESA.INTRA
renew until 16-11-2016 15:48:35

Agora vamos ajustar o samba:

vim /etc/samba/smb.conf

Deixe o arquivo desse jeito:

[global]
security = ads
realm = EMPRESA.INTRA
workgroup = EMPRESA
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
winbind use default domain = yes
restrict anonymous = 2
winbind refresh tickets = yes

Vamos agora restartar os serviços:

/etc/init.d/samba restart
/etc/init.d/winbind restart

Agora finalmente é hora de ingressar a máquina no domínio com o comando net. Execute o comando abaixo como root:

net ads join -U Administrador

Digite a senha do usuário “Administrador”. A saída do comando deverá ser algo parecido com isso:

Using short domain name – EMPRESA
Joined ‘UBUNTU-DESTKOP’ to realm ‘EMPRESA.INTRA’

Agora, precisamos alterar o arquivo “/etc/nsswitch.conf”:

vim /etc/nsswitch.conf

Altere apenas as linhas que começam com “passwd”, “group”, “hosts” e deixe dessa maneira:

passwd: compat winbind
group: compat winbind
shadow: compat winbind
hosts: files dns wins

Agora, edite o arquivo “/etc/pam.d/common-session”, e abaixo da linha que contém “session required pam_unix.so“, insira o seguinte conteúdo:

session required pam_mkhomedir.so umask=0022 skel=/etc/skel[/sourcecode]

ATENÇÃO NESSA PARTE:

Edite o arquivo “/etc/pam.d/common-account” e edite as primeiras linhas, deixando-as assim:

account [success=2 new_authtok_reqd=done default=ignore] pam_winbind.so
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so

Repare que somente inverti a ordem dos módulos, colocando o módulo “pam_winbind.so” antes do módulo “pam_unix.so”.

Agora, pra finalizar, edite o arquivo “/etc/lightdm/lightdm.conf” e deixe-o assim:

[SeatDefaults]
allow-guest=false
greeter-show-manual-login=true
greeter-hide-users=true

Salve, saia, reinicie a máquina e logue com um usuário do domínio.
Isso é tudo!

Espero ter colaborado!

Luiz Henrique Marques Fagundes:

https://www.aprendendolinux.com/ingressando-desktop-linux-no-ad-active-directory/

Iniciar Conversa
1
Como posso ajudar?
Olá!
Podemos ajudar?