active directory

5/12/2018 Active Directory - slidepdf.com

http://slidepdf.com/reader/full/active-directory-55a35aefe3c92 1/50

Active Directory para LDAP22 de Setembro de 2008



Conteúdo

I Sobre essa apostila 3

II Informações Básicas 5

III GNU Free Documentation License 10

IV De AD para LDAP 19

1 De AD para LDAP 20

2 Plano de ensino 212.1 Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.2 Público Alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.3 Pré-requisitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.4 Descrição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.5 Metodologia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.6 Cronograma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.7 Programa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.8 Avaliação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222.9 Bibliografia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

3 Introdução 243.1 Pacotes utilizados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243.2 Ambiente utilizado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

4 Instalação 274.1 Instalando O Cyrus-Sasl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.2 Instalando o OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274.3 Configurando o servidor LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

5 Populando LDAP,Migrando Grupos de Usuários e Nss ldap 295.1 Populando LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295.2 Migrando os grupos e usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305.3 Nss ldap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

6 Samba 326.1 Smbldap-tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

1



CDTC Centro de Difusão de Tecnologia e Conhecimento Brasília/DF

7 Perl,Apache2 + PHP5, LAM 387.1 Pacotes Perl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

7.2 Nextuid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387.3 Apache2 + PHP5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397.4 LAM - Ldap Account Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39

8 SSL e LDAP 438.1 Implementando SSL ao seu LDAP Server . . . . . . . . . . . . . . . . . . . . . . . . 438.2 Gerando as chaves criptografadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438.3 O LDAP e seus arquivos de configurações . . . . . . . . . . . . . . . . . . . . . . . 458.4 Habilitando o SASL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468.5 Seu sistema ficou lento na inicialização? . . . . . . . . . . . . . . . . . . . . . . . . . 46

9 Adicionando máquinas Windows e Squid 479.1 Adicionando máquinas Windows XP/2000/2003 no Samba . . . . . . . . . . . . . . 479.2 Integrando seu Squid ao LDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48

2



Parte I

Sobre essa apostila

3




Conteúdo

O conteúdo dessa apostila é fruto da compilação de diversos materiais livres publicados na in-ternet, disponíveis em diversos sites ou originalmente produzido no CDTC em http://www.cdtc.org.br .

O formato original deste material bem como sua atualização está disponível dentro da licençaGNU Free Documentation License , cujo teor integral encontra-se aqui reproduzido na seção demesmo nome, tendo inclusive uma versão traduzida (não oficial).

A revisão e alteração vem sendo realizada pelo CDTC ([email protected] ), desde outubrode 2006. Criticas e sugestões construtivas são bem-vindas a qualquer tempo.

Autores

A autoria deste conteúdo, atividades e avaliações é de responsabilidade de Luka Braule La-cerda de Araujo ([email protected]) .

O texto original faz parte do projeto Centro de Difusão de Tecnolgia e Conhecimento, que vemsendo realizado pelo ITI em conjunto com outros parceiros institucionais, atuando em conjuntocom as universidades federais brasileiras que tem produzido e utilizado Software Livre, apoiandoinclusive a comunidade Free Software junto a outras entidades no país.

Informações adicionais podem ser obtidas atréves do email [email protected] , ou dahome page da entidade, através da URL http://www.cdtc.org.br.

Garantias

O material contido nesta apostila é isento de garantias e o seu uso é de inteira responsabi-lidade do usuário/leitor. Os autores, bem como o ITI e seus parceiros, não se responsabilizamdireta ou indiretamente por qualquer prejuízo oriundo da utilização do material aqui contido.

Licença

Copyright ©2006,Luka Braule Lacerda de Araujo ([email protected]) .

Permission is granted to copy, distribute and/or modify this document under the termsof the GNU Free Documentation License, Version 1.1 or any later version published bythe Free Software Foundation; with the Invariant Chapter being SOBRE ESSA APOS-TILA. A copy of the license is included in the section entitled GNU Free DocumentationLicense.

4



Parte II

Informações Básicas

5




Sobre o CDTC

Objetivo Geral

O Projeto CDTC visa a promoção e o desenvolvimento de ações que incentivem a dissemina-ção de soluções que utilizem padrões abertos e não proprietários de tecnologia, em proveito dodesenvolvimento social, cultural, político, tecnológico e econômico da sociedade brasileira.

Objetivo Específico

Auxiliar o Governo Federal na implantação do plano nacional de software não-proprietário ede código fonte aberto, identificando e mobilizando grupos de formadores de opinião dentre osservidores públicos e agentes políticos da União Federal, estimulando e incentivando o mercadonacional a adotar novos modelos de negócio da tecnologia da informação e de novos negóciosde comunicação com base em software não-proprietário e de código fonte aberto, oferecendotreinamento específico para técnicos, profissionais de suporte e funcionários públicos usuários,criando grupos de funcionários públicos que irão treinar outros funcionários públicos e atuar comoincentivadores e defensores de produtos de software não proprietários e código fonte aberto, ofe-recendo conteúdo técnico on-line para serviços de suporte, ferramentas para desenvolvimento deprodutos de software não proprietários e de seu código fonte livre, articulando redes de terceiros

(dentro e fora do governo) fornecedoras de educação, pesquisa, desenvolvimento e teste de pro-dutos de software livre.

Guia do aluno

Neste guia, você terá reunidas uma série de informações importantes para que você comeceseu curso. São elas:

• Licenças para cópia de material disponível

• Os 10 mandamentos do aluno de Educação a Distância

• Como participar dos fóruns e da wikipédia

• Primeiros passos

É muito importante que você entre em contato com TODAS estas informações, seguindo oroteiro acima.

Licença

Copyright ©2006, Luka Braule Lacerda de Araujo ([email protected]) .

6




É dada permissão para copiar, distribuir e/ou modificar este documento sob os termosda Licença de Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior

publicada pela Free Software Foundation; com o Capítulo Invariante SOBRE ESSAAPOSTILA. Uma cópia da licença está inclusa na seção entitulada "Licença de Docu-mentação Livre GNU".

Os 10 mandamentos do aluno de educação online

• 1. Acesso a Internet: ter endereço eletrônico, um provedor e um equipamento adequado épré-requisito para a participação nos cursos a distância.

• 2. Habilidade e disposição para operar programas: ter conhecimentos básicos de Informá-tica é necessário para poder executar as tarefas.

• 3. Vontade para aprender colaborativamente: interagir, ser participativo no ensino a distân-cia conta muitos pontos, pois irá colaborar para o processo ensino-aprendizagem pessoal,dos colegas e dos professores.

• 4. Comportamentos compatíveis com a etiqueta: mostrar-se interessado em conhecer seuscolegas de turma respeitando-os e fazendo ser respeitado pelo mesmo.

• 5. Organização pessoal: planejar e organizar tudo é fundamental para facilitar a sua revisãoe a sua recuperação de materiais.

• 6. Vontade para realizar as atividades no tempo correto: anotar todas as suas obrigações erealizá-las em tempo real.

• 7. Curiosidade e abertura para inovações: aceitar novas idéias e inovar sempre.

• 8. Flexibilidade e adaptação: requisitos necessário a mudança tecnológica, aprendizagense descobertas.

• 9. Objetividade em sua comunicação: comunicar-se de forma clara, breve e transparente éponto-chave na comunicação pela Internet.

• 10. Responsabilidade: ser responsável por seu próprio aprendizado. O ambiente virtual não

controla a sua dedicação, mas reflete os resultados do seu esforço e da sua colaboração.

Como participar dos fóruns e Wikipédia

Você tem um problema e precisa de ajuda?

Podemos te ajudar de 2 formas:

A primeira é o uso dos fóruns de notícias e de dúvidas gerais que se distinguem pelo uso:

O fórum de notícias tem por objetivo disponibilizar um meio de acesso rápido a informaçõesque sejam pertinentes ao curso (avisos, notícias). As mensagens postadas nele são enviadas a

7




todos participantes. Assim, se o monitor ou algum outro participante tiver uma informação queinteresse ao grupo, favor postá-la aqui.

Porém, se o que você deseja é resolver alguma dúvida ou discutir algum tópico específico docurso, é recomendado que você faça uso do Fórum de dúvidas gerais que lhe dá recursos maisefetivos para esta prática.

. O fórum de dúvidas gerais tem por objetivo disponibilizar um meio fácil, rápido e interativopara solucionar suas dúvidas e trocar experiências. As mensagens postadas nele são enviadasa todos participantes do curso. Assim, fica muito mais fácil obter respostas, já que todos podemajudar.Se você receber uma mensagem com algum tópico que saiba responder, não se preocupe com aformalização ou a gramática. Responda! E não se esqueça de que antes de abrir um novo tópicoé recomendável ver se a sua pergunta já foi feita por outro participante.

A segunda forma se dá pelas Wikis:

Uma wiki é uma página web que pode ser editada colaborativamente, ou seja, qualquer par-ticipante pode inserir, editar, apagar textos. As versões antigas vão sendo arquivadas e podemser recuperadas a qualquer momento que um dos participantes o desejar. Assim, ela oferece umótimo suporte a processos de aprendizagem colaborativa. A maior wiki na web é o site "Wikipé-dia", uma experiência grandiosa de construção de uma enciclopédia de forma colaborativa, porpessoas de todas as partes do mundo. Acesse-a em português pelos links:

• Página principal da Wiki - http://pt.wikipedia.org/wiki/

Agradecemos antecipadamente a sua colaboração com a aprendizagem do grupo!

Primeiros Passos

Para uma melhor aprendizagem é recomendável que você siga os seguintes passos:

• Ler o Plano de Ensino e entender a que seu curso se dispõe a ensinar;

• Ler a Ambientação do Moodle para aprender a navegar neste ambiente e se utilizar dasferramentas básicas do mesmo;

• Entrar nas lições seguindo a seqüência descrita no Plano de Ensino;

• Qualquer dúvida, reporte ao Fórum de Dúvidas Gerais.

Perfil do Tutor

Segue-se uma descrição do tutor ideal, baseada no feedback de alunos e de tutores.

O tutor ideal é um modelo de excelência: é consistente, justo e profissional nos respectivos

valores e atitudes, incentiva mas é honesto, imparcial, amável, positivo, respeitador, aceita asidéias dos estudantes, é paciente, pessoal, tolerante, apreciativo, compreensivo e pronto a ajudar.

8




A classificação por um tutor desta natureza proporciona o melhor feedback possível, é crucial, e,para a maior parte dos alunos, constitui o ponto central do processo de aprendizagem.’ Este tutor

ou instrutor:• fornece explicações claras acerca do que ele espera, e do estilo de classificação que irá

utilizar;

• gosta que lhe façam perguntas adicionais;

• identifica as nossas falhas, mas corrige-as amavelmente’, diz um estudante, ’e explica por-que motivo a classificação foi ou não foi atribuída’;

• tece comentários completos e construtivos, mas de forma agradável (em contraste com umreparo de um estudante: ’os comentários deixam-nos com uma sensação de crítica, deameaça e de nervosismo’)

• dá uma ajuda complementar para encorajar um estudante em dificuldade;

• esclarece pontos que não foram entendidos, ou corretamente aprendidos anteriormente;

• ajuda o estudante a alcançar os seus objetivos;

• é flexível quando necessário;

• mostra um interesse genuíno em motivar os alunos (mesmo os principiantes e, por isso,talvez numa fase menos interessante para o tutor);

• escreve todas as correções de forma legível e com um nível de pormenorização adequado;

• acima de tudo, devolve os trabalhos rapidamente;

9



Parte III

GNU Free Documentation License

10




(Traduzido pelo João S. O. Bueno através do CIPSGA em 2001)Esta é uma tradução não oficial da Licençaa de Documentação Livre GNU em Português

Brasileiro. Ela não é publicada pela Free Software Foundation, e não se aplica legalmente a dis-tribuição de textos que usem a GFDL - apenas o texto original em Inglês da GNU FDL faz isso.Entretanto, nós esperamos que esta tradução ajude falantes de português a entenderem melhora GFDL.

This is an unofficial translation of the GNU General Documentation License into Brazilian Por-tuguese. It was not published by the Free Software Foundation, and does not legally state thedistribution terms for software that uses the GFDL–only the original English text of the GFDL doesthat. However, we hope that this translation will help Portuguese speakers understand the GFDLbetter.

Licença de Documentação Livre GNU Versão 1.1, Março de 2000

Copyright (C) 2000 Free Software Foundation, Inc.59 Temple Place, Suite 330, Boston, MA 02111-1307 USA

É permitido a qualquer um copiar e distribuir cópias exatas deste documento de licença, masnão é permitido alterá-lo.

INTRODUÇÃO

O propósito desta Licença é deixar um manual, livro-texto ou outro documento escrito "livre"nosentido de liberdade: assegurar a qualquer um a efetiva liberdade de copiá-lo ou redistribui-lo,com ou sem modificações, comercialmente ou não. Secundariamente, esta Licença mantémpara o autor e editor uma forma de ter crédito por seu trabalho, sem ser considerado responsávelpelas modificações feitas por terceiros.

Esta Licença é um tipo de "copyleft"("direitos revertidos"), o que significa que derivações dodocumento precisam ser livres no mesmo sentido. Ela complementa a GNU Licença Pública Ge-ral (GNU GPL), que é um copyleft para software livre.

Nós fizemos esta Licença para que seja usada em manuais de software livre, por que softwarelivre precisa de documentação livre: um programa livre deve ser acompanhado de manuais queprovenham as mesmas liberdades que o software possui. Mas esta Licença não está restrita amanuais de software; ela pode ser usada para qualquer trabalho em texto, independentementedo assunto ou se ele é publicado como um livro impresso. Nós recomendamos esta Licença prin-cipalmente para trabalhos cujo propósito seja de introdução ou referência.

APLICABILIDADE E DEFINIÇÕES

Esta Licença se aplica a qualquer manual ou outro texto que contenha uma nota colocada pelodetentor dos direitos autorais dizendo que ele pode ser distribuído sob os termos desta Licença.

11




O "Documento"abaixo se refere a qualquer manual ou texto. Qualquer pessoa do público é umlicenciado e é referida como "você".

Uma "Versão Modificada"do Documento se refere a qualquer trabalho contendo o documentoou uma parte dele, quer copiada exatamente, quer com modificações e/ou traduzida em outralíngua.

Uma "Seção Secundária"é um apêndice ou uma seção inicial do Documento que trata ex-clusivamente da relação dos editores ou dos autores do Documento com o assunto geral doDocumento (ou assuntos relacionados) e não contém nada que poderia ser incluído diretamentenesse assunto geral (Por exemplo, se o Documento é em parte um livro texto de matemática, aSeção Secundária pode não explicar nada de matemática).

Essa relação poderia ser uma questão de ligação histórica com o assunto, ou matérias relaci-onadas, ou de posições legais, comerciais, filosóficas, éticas ou políticas relacionadas ao mesmo.

As "Seções Invariantes"são certas Seções Secundárias cujos títulos são designados, comosendo de Seções Invariantes, na nota que diz que o Documento é publicado sob esta Licença.

Os "Textos de Capa"são certos trechos curtos de texto que são listados, como Textos de CapaFrontal ou Textos da Quarta Capa, na nota que diz que o texto é publicado sob esta Licença.

Uma cópia "Transparente"do Documento significa uma cópia que pode ser lida automatica-mente, representada num formato cuja especificação esteja disponível ao público geral, cujos

conteúdos possam ser vistos e editados diretamente e sem mecanismos especiais com editoresde texto genéricos ou (para imagens compostas de pixels) programas de pintura genéricos ou(para desenhos) por algum editor de desenhos grandemente difundido, e que seja passível deservir como entrada a formatadores de texto ou para tradução automática para uma variedadede formatos que sirvam de entrada para formatadores de texto. Uma cópia feita em um formatode arquivo outrossim Transparente cuja constituição tenha sido projetada para atrapalhar ou de-sencorajar modificações subsequentes pelos leitores não é Transparente. Uma cópia que não é"Transparente"é chamada de "Opaca".

Exemplos de formatos que podem ser usados para cópias Transparentes incluem ASCII sim-ples sem marcações, formato de entrada do Texinfo, formato de entrada do LaTex, SGML ou XML

usando uma DTD disponibilizada publicamente, e HTML simples, compatível com os padrões, eprojetado para ser modificado por pessoas. Formatos opacos incluem PostScript, PDF, formatosproprietários que podem ser lidos e editados apenas com processadores de texto proprietários,SGML ou XML para os quais a DTD e/ou ferramentas de processamento e edição não estejamdisponíveis para o público, e HTML gerado automaticamente por alguns editores de texto comfinalidade apenas de saída.

A "Página do Título"significa, para um livro impresso, a página do título propriamente dita,mais quaisquer páginas subsequentes quantas forem necessárias para conter, de forma legível,o material que esta Licença requer que apareça na página do título. Para trabalhos que nãotenham uma página do título, "Página do Título"significa o texto próximo da aparição mais proe-

minente do título do trabalho, precedendo o início do corpo do texto.

12




FAZENDO CÓPIAS EXATAS

Você pode copiar e distribuir o Documento em qualquer meio, de forma comercial ou nãocomercial, desde que esta Licença, as notas de copyright, e a nota de licença dizendo que estaLicença se aplica ao documento estejam reproduzidas em todas as cópias, e que você não acres-cente nenhuma outra condição, quaisquer que sejam, às desta Licença.

Você não pode usar medidas técnicas para obstruir ou controlar a leitura ou confecção decópias subsequentes das cópias que você fizer ou distribuir. Entretanto, você pode aceitar com-pensação em troca de cópias. Se você distribuir uma quantidade grande o suficiente de cópias,você também precisa respeitar as condições da seção 3.

Você também pode emprestar cópias, sob as mesmas condições colocadas acima, e também

pode exibir cópias publicamente.

FAZENDO CÓPIAS EM QUANTIDADE

Se você publicar cópias do Documento em número maior que 100, e a nota de licença doDocumento obrigar Textos de Capa, você precisará incluir as cópias em capas que tragam, clarae legivelmente, todos esses Textos de Capa: Textos de Capa da Frente na capa da frente, eTextos da Quarta Capa na capa de trás. Ambas as capas também precisam identificar clara elegivelmente você como o editor dessas cópias. A capa da frente precisa apresentar o titulo com-

pleto com todas as palavras do título igualmente proeminentes e visíveis. Você pode adicionaroutros materiais às capas. Fazer cópias com modificações limitadas às capas, tanto quanto estaspreservem o título do documento e satisfaçam a essas condições, pode ser tratado como cópiaexata em outros aspectos.

Se os textos requeridos em qualquer das capas for muito volumoso para caber de formalegível, você deve colocar os primeiros (tantos quantos couberem de forma razoável) na capaverdadeira, e continuar os outros nas páginas adjacentes.

Se você publicar ou distribuir cópias Opacas do Documento em número maior que 100, vocêprecisa ou incluir uma cópia Transparente que possa ser lida automaticamente com cada cópia

Opaca, ou informar, em ou com, cada cópia Opaca a localização de uma cópia Transparentecompleta do Documento acessível publicamente em uma rede de computadores, a qual o públicousuário de redes tenha acesso a download gratuito e anônimo utilizando padrões públicos deprotocolos de rede. Se você utilizar o segundo método, você precisará tomar cuidados razoavel-mente prudentes, quando iniciar a distribuição de cópias Opacas em quantidade, para assegurarque esta cópia Transparente vai permanecer acessível desta forma na localização especificadapor pelo menos um ano depois da última vez em que você distribuir uma cópia Opaca (direta-mente ou através de seus agentes ou distribuidores) daquela edição para o público.

É pedido, mas não é obrigatório, que você contate os autores do Documento bem antes deredistribuir qualquer grande número de cópias, para lhes dar uma oportunidade de prover você

com uma versão atualizada do Documento.

13




MODIFICAÇÕES

Você pode copiar e distribuir uma Versão Modificada do Documento sob as condições das se-ções 2 e 3 acima, desde que você publique a Versão Modificada estritamente sob esta Licença,com a Versão Modificada tomando o papel do Documento, de forma a licenciar a distribuiçãoe modificação da Versão Modificada para quem quer que possua uma cópia da mesma. Alémdisso, você precisa fazer o seguinte na versão modificada:

A. Usar na Página de Título (e nas capas, se houver alguma) um título distinto daquele do Do-cumento, e daqueles de versões anteriores (que deveriam, se houvesse algum, estarem listadosna seção "Histórico do Documento"). Você pode usar o mesmo título de uma versão anterior seo editor original daquela versão lhe der permissão;

B. Listar na Página de Título, como autores, uma ou mais das pessoas ou entidades responsá-veis pela autoria das modificações na Versão Modificada, conjuntamente com pelo menos cincodos autores principais do Documento (todos os seus autores principais, se ele tiver menos quecinco);

C. Colocar na Página de Título o nome do editor da Versão Modificada, como o editor;

D. Preservar todas as notas de copyright do Documento;

E. Adicionar uma nota de copyright apropriada para suas próprias modificações adjacente àsoutras notas de copyright;

F. Incluir, imediatamente depois das notas de copyright, uma nota de licença dando ao públicoo direito de usar a Versão Modificada sob os termos desta Licença, na forma mostrada no tópicoabaixo;

G. Preservar nessa nota de licença as listas completas das Seções Invariantes e os Textos deCapa requeridos dados na nota de licença do Documento;

H. Incluir uma cópia inalterada desta Licença;

I. Preservar a seção entitulada "Histórico", e seu título, e adicionar à mesma um item dizendo

pelo menos o título, ano, novos autores e editor da Versão Modificada como dados na Página deTítulo. Se não houver uma sessão denominada "Histórico"no Documento, criar uma dizendo otítulo, ano, autores, e editor do Documento como dados em sua Página de Título, então adicionarum item descrevendo a Versão Modificada, tal como descrito na sentença anterior;

J. Preservar o endereço de rede, se algum, dado no Documento para acesso público a umacópia Transparente do Documento, e da mesma forma, as localizações de rede dadas no Docu-mento para as versões anteriores em que ele foi baseado. Elas podem ser colocadas na seção"Histórico". Você pode omitir uma localização na rede para um trabalho que tenha sido publicadopelo menos quatro anos antes do Documento, ou se o editor original da versão a que ela se refirader sua permissão;

K. Em qualquer seção entitulada "Agradecimentos"ou "Dedicatórias", preservar o título da

14




seção e preservar a seção em toda substância e fim de cada um dos agradecimentos de contri-buidores e/ou dedicatórias dados;

L. Preservar todas as Seções Invariantes do Documento, inalteradas em seus textos ou emseus títulos. Números de seção ou equivalentes não são considerados parte dos títulos da seção;

M. Apagar qualquer seção entitulada "Endossos". Tal sessão não pode ser incluída na VersãoModificada;

N. Não reentitular qualquer seção existente com o título "Endossos"ou com qualquer outrotítulo dado a uma Seção Invariante.

Se a Versão Modificada incluir novas seções iniciais ou apêndices que se qualifiquem como

Seções Secundárias e não contenham nenhum material copiado do Documento, você pode optarpor designar alguma ou todas aquelas seções como invariantes. Para fazer isso, adicione seustítulos à lista de Seções Invariantes na nota de licença da Versão Modificada. Esses títulos preci-sam ser diferentes de qualquer outro título de seção.

Você pode adicionar uma seção entitulada "Endossos", desde que ela não contenha qual-quer coisa além de endossos da sua Versão Modificada por várias pessoas ou entidades - porexemplo, declarações de revisores ou de que o texto foi aprovado por uma organização como adefinição oficial de um padrão.

Você pode adicionar uma passagem de até cinco palavras como um Texto de Capa da Frente

, e uma passagem de até 25 palavras como um Texto de Quarta Capa, ao final da lista de Textosde Capa na Versão Modificada. Somente uma passagem de Texto da Capa da Frente e uma deTexto da Quarta Capa podem ser adicionados por (ou por acordos feitos por) qualquer entidade.Se o Documento já incluir um texto de capa para a mesma capa, adicionado previamente porvocê ou por acordo feito com alguma entidade para a qual você esteja agindo, você não podeadicionar um outro; mas você pode trocar o antigo, com permissão explícita do editor anterior queadicionou a passagem antiga.

O(s) autor(es) e editor(es) do Documento não dão permissão por esta Licença para que seusnomes sejam usados para publicidade ou para assegurar ou implicar endossamento de qualquerVersão Modificada.

COMBINANDO DOCUMENTOS

Você pode combinar o Documento com outros documentos publicados sob esta Licença, sobos termos definidos na seção 4 acima para versões modificadas, desde que você inclua na com-binação todas as Seções Invariantes de todos os documentos originais, sem modificações, e listetodas elas como Seções Invariantes de seu trabalho combinado em sua nota de licença.

O trabalho combinado precisa conter apenas uma cópia desta Licença, e Seções Invariantes

Idênticas com multiplas ocorrências podem ser substituídas por apenas uma cópia. Se houvermúltiplas Seções Invariantes com o mesmo nome mas com conteúdos distintos, faça o título de

15




cada seção único adicionando ao final do mesmo, em parênteses, o nome do autor ou editororigianl daquela seção, se for conhecido, ou um número que seja único. Faça o mesmo ajuste

nos títulos de seção na lista de Seções Invariantes nota de licença do trabalho combinado.

Na combinação, você precisa combinar quaisquer seções entituladas "Histórico"dos diver-sos documentos originais, formando uma seção entitulada "Histórico"; da mesma forma combinequaisquer seções entituladas "Agradecimentos", ou "Dedicatórias". Você precisa apagar todas asseções entituladas como "Endosso".

COLETÂNEAS DE DOCUMENTOS

Você pode fazer uma coletânea consitindo do Documento e outros documentos publicadossob esta Licença, e substituir as cópias individuais desta Licença nos vários documentos comuma única cópia incluida na coletânea, desde que você siga as regras desta Licença para cópiaexata de cada um dos Documentos em todos os outros aspectos.

Você pode extrair um único documento de tal coletânea, e distribuí-lo individualmente sobesta Licença, desde que você insira uma cópia desta Licença no documento extraído, e siga estaLicença em todos os outros aspectos relacionados à cópia exata daquele documento.

AGREGAÇÃO COM TRABALHOS INDEPENDENTES

Uma compilação do Documento ou derivados dele com outros trabalhos ou documentos se-parados e independentes, em um volume ou mídia de distribuição, não conta como uma Ver-são Modificada do Documento, desde que nenhum copyright de compilação seja reclamado pelacompilação. Tal compilação é chamada um "agregado", e esta Licença não se aplica aos outrostrabalhos auto-contidos compilados junto com o Documento, só por conta de terem sido assimcompilados, e eles não são trabalhos derivados do Documento.

Se o requerido para o Texto de Capa na seção 3 for aplicável a essas cópias do Documento,então, se o Documento constituir menos de um quarto de todo o agregado, os Textos de Capado Documento podem ser colocados em capas adjacentes ao Documento dentro do agregado.Senão eles precisarão aparecer nas capas de todo o agregado.

TRADUÇÃO

Tradução é considerada como um tipo de modificação, então você pode distribuir traduçõesdo Documento sob os termos da seção 4. A substituição de Seções Invariantes por traduçõesrequer uma permissão especial dos detentores do copyright das mesmas, mas você pode incluirtraduções de algumas ou de todas as Seções Invariantes em adição às versões orignais dessasSeções Invariantes. Você pode incluir uma tradução desta Licença desde que você também in-clua a versão original em Inglês desta Licença. No caso de discordância entre a tradução e a

16




versão original em Inglês desta Licença, a versão original em Inglês prevalecerá.

TÉRMINO

Você não pode copiar, modificar, sublicenciar, ou distribuir o Documento exceto como expres-samente especificado sob esta Licença. Qualquer outra tentativa de copiar, modificar, sublicen-ciar, ou distribuir o Documento é nula, e resultará automaticamente no término de seus direitossob esta Licença. Entretanto, terceiros que tenham recebido cópias, ou direitos de você sob estaLicença não terão suas licenças terminadas, tanto quanto esses terceiros permaneçam em totalacordo com esta Licença.

REVISÕES FUTURAS DESTA LICENÇA

A Free Software Foundation pode publicar novas versões revisadas da Licença de Documen-tação Livre GNU de tempos em tempos. Tais novas versões serão similares em espirito à versãopresente, mas podem diferir em detalhes ao abordarem novos porblemas e preocupações. Vejahttp://www.gnu.org/copyleft/.

A cada versão da Licença é dado um número de versão distinto. Se o Documento especificarque uma versão particular desta Licença "ou qualquer versão posterior"se aplica ao mesmo, vocêtem a opção de seguir os termos e condições daquela versão específica, ou de qualquer versãoposterior que tenha sido publicada (não como rascunho) pela Free Software Foundation. Se oDocumento não especificar um número de Versão desta Licença, você pode escolher qualquerversão já publicada (não como rascunho) pela Free Software Foundation.

ADENDO: Como usar esta Licença para seus documentos

Para usar esta Licença num documento que você escreveu, inclua uma cópia desta Licençano documento e ponha as seguintes notas de copyright e licenças logo após a página de título:

Copyright (c) ANO SEU NOME.É dada permissão para copiar, distribuir e/ou modificar este documento sob os termos da Licençade Documentação Livre GNU, Versão 1.1 ou qualquer versão posterior publicada pela Free Soft-ware Foundation; com as Seções Invariantes sendo LISTE SEUS TÍTULOS, com os Textos daCapa da Frente sendo LISTE, e com os Textos da Quarta-Capa sendo LISTE. Uma cópia da li-cença está inclusa na seção entitulada "Licença de Documentação Livre GNU".

Se você não tiver nenhuma Seção Invariante, escreva "sem Seções Invariantes"ao invés dedizer quais são invariantes. Se você não tiver Textos de Capa da Frente, escreva "sem Textos deCapa da Frente"ao invés de "com os Textos de Capa da Frente sendo LISTE"; o mesmo para osTextos da Quarta Capa.

Se o seu documento contiver exemplos não triviais de código de programas, nós recomenda-mos a publicação desses exemplos em paralelo sob a sua escolha de licença de software livre,

17




tal como a GNU General Public License, para permitir o seu uso em software livre.

18



Parte IV

De AD para LDAP

19



Capítulo 1

De AD para LDAP

Este curso é um guia para técnicos que desejam migrar sua base de usuários do Active

Directory do MS Windows® para OpenLDAP+Samba.

20



Capítulo 2

Plano de ensino

2.1 Objetivo

Qualificar técnicos a migrarem suas bases de usuários do Active Directory para LDAP+Samba.

2.2 Público Alvo

Técnicos e administradores de redes.

2.3 Pré-requisitos

Os usuários deverão ter conhecimentos básicos de redes, LDAP, Samba e Active Directory.

2.4 Descrição

O curso de AD para LDAP será realizado na modalidade EAD e utilizará a plataforma Moodlecomo ferramenta de aprendizagem. Ele é composto de um módulo de aprendizado e avaliaçãoque será dado em uma semana. O material didático estará disponível on-line de acordo com asdatas pré-estabelecidas no calendário. Este curso visa ajudar técnicos e administradores de redea migrarem suas bases de usuários da plataforma Windows® para uma plataforma livre.

2.5 Metodologia

O curso está dividido da seguinte maneira:

2.6 Cronograma

• Lição 1 - Introdução;

• Lição 2 - Instalação

• Lição 3 - Populando LDAP, Migrando Grupos de Usuários e Nss ldap

21




• Lição 4 - Samba

• Lição 5 - Perl,Apache2 + PHP5, LAM

• Lição 6 - SSL e LDAP

• Lição 7 - Adicionando máquinas Windows e Squid

As lições contém o conteúdo principal. Elas poderão ser acessadas quantas vezes foremnecessárias, desde que estejam dentro da semana programada. Ao final de uma lição, vocêreceberá uma nota de acordo com o seu desempenho. Responda com atenção às perguntas decada lição, pois elas serão consideradas na sua nota final. Caso sua nota numa determinadalição for menor do que 6.0, sugerimos que você faça novamente esta lição.Ao final do curso será disponibilizada a avaliação referente ao curso. Tanto as notas das lições

quanto a da avaliação serão consideradas para a nota final. Todos os módulos ficarão visíveispara que possam ser consultados durante a avaliação final.Aconselhamos a leitura da "Ambientação do Moodle"para que você conheça a plataforma deEnsino a Distância, evitando dificuldades advindas do "desconhecimento"sobre a mesma.Os instrutores estarão a sua disposição ao longo de todo curso. Qualquer dúvida deverá serenviada no fórum. Diariamente os monitores darão respostas e esclarecimentos.

2.7 Programa

O curso de PenLinux oferecerá o seguinte conteúdo:

• Introdução

• Instalação

• Populando LDAP, Migrando Grupos de Usuários e Nss_ldap

• Samba

• Perl,Apache2 + PHP5, LAM

• SSL e LDAP

• Adicionando máquinas Windows e Squid

2.8 Avaliação

Toda a avaliação será feita on-line.Aspectos a serem considerados na avaliação:

• Iniciativa e autonomia no processo de aprendizagem e de produção de conhecimento;

• Capacidade de pesquisa e abordagem criativa na solução dos problemas apresentados.

Instrumentos de avaliação:

22




• Participação ativa nas atividades programadas.

• Avaliação ao final do curso.

• O participante fará várias avaliações referente ao conteúdo do curso. Para a aprovação eobtenção do certificado o participante deverá obter nota final maior ou igual a 6.0 de acordocom a fórmula abaixo:

• Nota Final = ((ML x 7) + (AF x 3)) / 10 = Média aritmética das lições

• AF = Avaliações

2.9 Bibliografia

• Site: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5178&pagina=1

23



Capítulo 3

Introdução

Reduzir custo gerencial é papel de todo bom administrador. Nada mais recomendável então,para se iniciar uma boa gestão de TI, do que manter centralizado o máximo possível de infor-mações. Tecnologicamente falando, uma base centralizada de usuários (e permissões a estesusuários) deixou de ser simplesmente uma opção de implementação e tornou-se uma necessi-dade real.

Isso se tornou bastante popular, os sistemas operacionais Microsoft Windows NT e Windows2000 fazem uso de uma base de dados centralizada para manter a organização de todas asinformações da rede: trata-se do Active Directory, que é o serviço de diretório implementadopela Microsoft para servir como depósito concentrador de informações comuns (objetos). Sãoexemplos de objetos do Active Directory: contas de usuários, grupos de usuários, impressorasde rede, políticas de controle, etc.

O fato do sistema operacional Linux estar conquistando cada vez mais espaço dentro dascorporações (atuando tanto como servidores quanto como estações de trabalho), incentivou acomunidade Open Source a integrá-lo as já existentes "redes Windows". É exatamente aí queentra o Samba, que faz a gerência de sistemas heterogêneos.

É bem verdade que máquinas com Linux e executando Samba podem completamente subs-tituir os controladores de domínio (PDC e BDCs), mas AINDA não podem por si só implementaro Active Directory (característica esta que certamente estará presente na versão 4 do Samba).Sendo assim vemos a necessidade de colocar ambos os sistemas operacionais para se comuni-car em um ambiente de rede; e conseguimos tal feito graças ao protocolo SMB.

Neste documento será abordado todos os detalhes necessários em como montar um PrimaryDomain Server (PDC) utilizando Samba + OpenLDAP. Este documento não aborda a explicação

teórica, mas sim a parte prática de tudo isso.Minha intenção na elaboração dessa solução é a unificação da autenticação dos usuários

da empresa, podendo assim os clientes acessarem todos os serviços disponibilizados utilizandoapenas 1 (um) usuário e senha.

Este tutorial, criado por Braulio Gomes, aborda a criação de um servidor Samba baseado embanco de dados LDAP com suporte à autenticação de usuários, tanto pelo Samba quanto peloSquid.

3.1 Pacotes utilizados

A seguir os pacotes que foram necessários nesta instalação. Neste instante considerarei quetodo o sistema operacional esteja instalado e configurado, pois não abordaremos a instalação do

24




Linux.Sugiro que você crie um diretório e armazene todos os pacotes dentro deste, o meu foi criado

dentro do /opt:# mkdir -p /opt/ldapPara a nosso LDAP-Server Linux, deveremos obter:

samba-3.0.20.tar.gzhttp://us5.samba.org/samba/ftp/stable/samba-3.0.20.tar.gz

smbldap-tools_0.9.2.orig.tar.gzhttp://ftp.debian.org/debian/pool/main/s/smbldap-tools/smbldap-tools_0.9.2.orig.tar.gz

cyrus-sasl-2.1.22.tar.gz

http://sunsite.rediris.es/pub/mirror/cyrus-mail/cyrus-sasl-2.1.22.tar.gz

openldap-2.3.24.tgzftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/openldap-2.3.24.tgz

nss_ldap-251.tgzhttp://www.padl.com/download/nss_ldap.tgz

MigrationTools-57.tgzhttp://www.padl.com/download/MigrationTools.tgz

Authen-SASL-2.10.tar.gzhttp://www.cpan.org/authors/.../Authen-SASL-2.10.tar.gz

Convert-ASN1-0.20.tar.gzhttp://search.cpan.org/CPAN/.../Convert-ASN1-0.18.tar.gz

Crypt-SmbHash-0.12.tar.gzftp://ftp.ntut.edu.tw/CPAN/authors/id/B/BJ/BJKUIT/Crypt-SmbHash-0.12.tar.gz

Digest-SHA1-2.11.tar.gzhttp://search.cpan.org/CPAN/.../Digest-SHA1-2.11.tar.gz

IO-Socket-SSL-0.97.tar.gzhttp://mirrors.ibiblio.org/pub/.../IO-Socket-SSL-0.97.tar.gz

Jcode-2.05.tar.gzhttp://search.cpan.org/CPAN/.../Jcode-2.05.tar.gz

Net_SSLeay.pm-1.25.tar.gzhttp://mirror.uta.edu/CPAN/.../Net_SSLeay.pm-1.25.tar.gz

URI-1.33.tar.gz

http://www.volity.org/frivolity/perl/URI-1.33.tar.gz

25




Unicode-Map-0.112.tar.gzhttp://search.cpan.org/CPAN/.../Unicode-Map-0.112.tar.gz

Unicode-Map8-0.12.tar.gzhttp://search.cpan.org/CPAN/.../Unicode-Map8-0.12.tar.gz

Unicode-MapUTF8-1.11.tar.gzhttp://search.cpan.org/CPAN/.../Unicode-MapUTF8-1.11.tar.gz

Unicode-String-2.09.tar.gzhttp://search.cpan.org/CPAN/.../Unicode-String-2.09.tar.gz

XML-SAX-Base-1.04.tar.gz

http://www.volity.org/frivolity/perl/XML-SAX-Base-1.04.tar.gz

perl-ldap-0.33.tar.gzhttp://search.cpan.org/CPAN/.../perl-ldap-0.33.tar.gz

httpd-2.0.58.tar.gzhttp://archive.apache.org/dist/httpd/httpd-2.0.58.tar.gz

php-5.1.4.tar.gzhttp://museum.php.net/php5/php-5.1.4.tar.gz

ldap-account-manager-1.0.2.tar.gzhttp://prdownloads.sourceforge.net/.../ldap-account-manager-1.0.2.tar.gz

3.2 Ambiente utilizado

Foi utilizado Slackware 10.2.0 com kernel 2.4.31, pois como já é um kernel default no Slackware,certamente está estável. O ambiente utilizado foi uma máquina virtual construída através do soft-ware Vmware Workstation.

Foi utilizado o ldap-account-manager como front-end, pois eu o achei mais amigável em rela-

ção aos outros front-ends utilizados, mas isso fica a critério do administrador.

26



Capítulo 4

Instalação

4.1 Instalando O Cyrus-Sasl

O Cyrus-Sasl é um pacote de autenticação segura que vamos usar para o Samba:# tar -zxvf cyrus-sasl-2.1.22.tar.gz # cd cyrus-sasl-2.1.22 # ./configure –with-bdb-libdir=/usr/lib

–with-bdb-incdir=/usr/include/db4 # make # make installSe tudo correu bem, vamos criar um link simbólico para que o LDAP consiga acessar o DB.

Para isso faça o comando:# ln -s /usr/local/lib/sasl2 /usr/lib/sasl2OBS.: É necessário que seu sistema tenha o DB4 instalado. Atualize a biblioteca do seu

sistema rodando o comando:# ldconfig

4.2 Instalando o OpenLDAP

O LDAP (Lightweight Directory Access Protocol) é um protocolo utilizado pelos servidorespara concentrar informações em um repositório logicamente organizado. É graças a ele queinformações comuns podem ser inseridas, alteradas, excluídas e consultadas como uma espéciede "banco de dados de informações". Ao se registrar um usuário no domínio, por exemplo, asinformações referentes a esse usuário estarão armazenadas e disponíveis graças ao uso desteprotocolo. Por sua vez, o OpenLDAP é uma implementação OpenSource do LDAP.

# tar -zxvf openldap-2.3.24.tgz # cd openldap-2.3.24 # env CPPFLAGS=-I/usr/include/db4"LDFLAGS

L/usr/lib"./configure –enable-crypt # make depend # make # make install

4.3 Configurando o servidor LDAP

No pacote do Samba existe o "samba.schema", que será necessário aqui. Vamos apenasdescompactar o Samba:

# tar -zxvf samba-3.0.20.tar.gzAgora basta copiar o arquivo "samba.schema"para que seja carregado no LDAP:# cp /opt/ldap/samba-3.0.20/examples/LDAP/samba.schema /usr/local/etc/openldap/schemasLembrando que o "qmail.schema"foi incluído porque usarei esta mesma base para a autenti-

cação no Postfix, que instalarei futuramente.

27




O nosso slapd.conf, que está no diretório /usr/local/etc/openldap/slapd.conf, deverá ficar daseguinte forma:

OBS: O rootpw deve ser gerado com slappasswd.

× Ð Ô º Ó Ò

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » Ó Ö º × Ñ

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » Ó × Ò º × Ñ

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » Ò Ø Ó Ö Ô Ö × Ó Ò º × Ñ

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » Ò × º × Ñ

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » × Ñ º × Ñ

Ò Ð Ù » Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » × Ñ » Õ Ñ Ð º × Ñ

Ô Ð » Ù × Ö » Ð Ó Ð » Ú Ö » Ö Ù Ò » × Ð Ô º Ô

Ö × Ð » Ù × Ö » Ð Ó Ð » Ú Ö » Ö Ù Ò » × Ð Ô º Ö ×

Ø ×

× Ù Ü Ð Ò Ù Ü Ù ¸ Ó Ö

Ö Ó Ó Ø Ò Ò Ñ Ò × Ø Ö Ó Ö ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ö Ó Ó Ø Ô Û ß Ë Ë À Ã Û Û Á Ï Ç Ð Ü Ä Õ ¼ Ç Ê Ò Ð ¼ Æ

Ö Ø Ó Ö Ý » Ù × Ö » Ð Ó Ð » Ú Ö » Ó Ô Ò Ð Ô ¹ Ø

Ô × × Û Ó Ö ¹ × ß Ê È Ì

Ô × × Û Ó Ö ¹ Ö Ý Ô Ø ¹ × Ð Ø ¹ Ó Ö Ñ Ø ° ½ ° º ×

Ò Ü Ó Ø Ð × × ¸ Ù Æ Ù Ñ Ö ¸ Æ Ù Ñ Ö Õ

Ò Ü Ò ¸ × Ò ¸ Ù ¸ × Ô Ð Ý Æ Ñ Ô Ö × ¸ × Ù ¸ Õ

Ò Ü Ñ Ñ Ö Í ¸ Ñ Ð ¸ Ñ Ð Ð Ø Ö Ò Ø Ö × × ¸ Ú Ò Ò Ñ ¸ Ó Ù Ò Ø Ë Ø Ø Ù × ¸ Ñ Ð À Ó × Ø ¸ Ð Ú Ö Ý Å Ó Õ

Ò Ü × Ñ Ë Á ¸ × Ñ È Ö Ñ Ö Ý Ö Ó Ù Ô Ë Á ¸ × Ñ Ó Ñ Ò Æ Ñ Õ

Ò Ü Ù Ð Ø × Ù

× × Ø Ó Ø Ø Ö × Ù × Ö È × × Û Ó Ö ¸ × Ñ Ä Å È × × Û Ó Ö ¸ × Ñ Æ Ì È × × Û Ó Ö

Ý × Ð Û Ö Ø

Ý Ò Ó Ò Ý Ñ Ó Ù × Ù Ø

Ý ¶ Ò Ó Ò

× × Ø Ó ¶

Ý ¶ Ö

28



Capítulo 5

Populando LDAP,Migrando Grupos deUsuários e Nss ldap

5.1 Populando LDAP

Como nossa base é bem simples, basta criar um arquivo chamado /root/base.ldif com o se-guinte conteúdo:

Ò Ð Ò Ù Ü Ù ¸ Ó Ö

Ð Ò Ù Ü Ù

Ó Ø Ð × × Ø Ó Ô

Ó Ø Ð × × Ó Ñ Ò

Ò Ó Ù Í × Ù Ö Ó × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ó Ù Í × Ù Ö Ó ×


Ó Ø Ð × × Ó Ö Ò Þ Ø Ó Ò Ð Í Ò Ø

Ò Ó Ù Ö Ù Ô Ó × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ó Ù Ö Ù Ô Ó ×



Ò Ó Ù Ó Ñ Ô Ù Ø Ó Ö × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ó Ù Ó Ñ Ô Ù Ø Ó Ö ×



Agora é só incluir essas entradas no LDAP usando o comando abaixo:

Ð Ô ¹ Ü ¹ Ò Ñ Ò × Ø Ö Ó Ö ¸ Ð Ò Ù Ü Ù ¸ Ó Ö ¹ Ï ¹ » Ö Ó Ó Ø » × º Ð

Ò Ø Ö Ä È È × × Û Ó Ö

Ò Ò Û Ò Ø Ö Ý Ð Ò Ù Ü Ù ¸ Ó Ö

Ò Ò Û Ò Ø Ö Ý Ó Ù Í × Ù Ö Ó × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ò Ò Û Ò Ø Ö Ý Ó Ù Ö Ù Ô Ó × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ò Ò Û Ò Ø Ö Ý Ó Ù Ó Ñ Ô Ù Ø Ó Ö × ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

29




Com isso nossa base já está inicializada, um simples "ldapsearch -x"mostra como ela ficou.Agora migraremos nossas contas do sistema para o LDAP usando o MigrationTools.

5.2 Migrando os grupos e usuários

Agora migraremos nossas contas do sistema para o LDAP:# tar zxvf MigrationTools.tgz

# cd MigrationTools-47

Edite o arquivo migrate_common.ph e altere as seguintes linhas:$NAMINGCONTEXT’passwd’ = "ou=Usuarios";

$NAMINGCONTEXT’group’ = "ou=Grupos";

$DEFAULT_MAIL_DOMAIN = "linuxajuda.org";$DEFAULT_BASE = "dc=linuxajuda,dc=org";$DEFAULT_MAIL_HOST = "mail.linuxajuda.org";

Salve e execute o seguinte comando para gerar o arquivo "grupos.ldif", que conterá todos osgrupos do sistema:

# ./migrate_group.pl /etc/group /root/grupos.ldif

Com isso ele irá gerar o arquivo /root/grupos.ldif com as entradas necessárias para o LDAP.Agora vamos inserir as entradas dos grupos no LDAP:# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/grupos.ldif

Pronto! Ele adicionou todos os grupos do sistema no LDAP. Não podemos esquecer de adici-onar também os usuários:

# ./migrate_passwd.pl /etc/passwd /root/usuarios.ldif# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org -W -f /root/usuarios.ldif

Pronto, nossa base do sistema já esta ok, basta agora informarmos para o sistema se auten-ticar no LDAP.

5.3 Nss ldap

Instale o pacote de configurações de contas:# tar zxvf nss_ldap.tgz

# cd nss_ldap-251# ./configure# make# make install

É necessário modificar o arquivo /etc/ldap.conf:host 127.0.0.1

base dc=linuxajuda,dc=org

rootbinddn cn=administrador,dc=linuxajuda,dc=org

30




Vamos agora modificar as linhas do /etc/nsswitch.conf, esse arquivo é onde o sistema buscaas informações de login.

Altere as seguintes linhas para que fique assim:passwd: files ldap

shadow: files ldap

group: files ldap

passwd: compat ldap

group: compat ldap

Agora vamos testar o LDAP:# id rootuid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel),11(floppy)

Se você verificar nos logs, vai ver que ele buscou as entradas no LDAP:# tail /var/log/debug

Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH base="dc=tropical,dc=local"scope=2deref=0 filter="(&(objectClass=posixGroup))"Jun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SRCH attr=cn userPassword membe-rUid gidNumberJun 29 17:17:03 tropical slapd[2526]: conn=11 op=1 SEARCH RESULT tag=101 err=0 nen-

tries=44 text=Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH base="dc=tropical,dc=local"scope=2deref=0 filter="(&(objectClass=posixGroup))"Jun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SRCH attr=cn userPassword membe-rUid gidNumberJun 29 17:17:03 tropical slapd[2527]: conn=11 op=2 SEARCH RESULT tag=101 err=0 nen-tries=44 text=Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH base="dc=tropical,dc=local"scope=2deref=0 filter="(&(objectClass=posixGroup)(gidNumber=512))"Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SRCH attr=cn userPassword membe-rUid gidNumber

Jun 29 17:17:03 tropical slapd[2528]: conn=11 op=3 SEARCH RESULT tag=101 err=0 nen-tries=1 text=Jun 29 17:17:03 tropical slapd[2521]: conn=11 fd=12 closed (connection lost)

Bom, o LDAP já está funcionando!

31



Capítulo 6

Samba

Vamos agora à parte que devemos ter mais atenção, que é a do Samba.Como já o tínhamos descompactado anteriormente, vamos entrar no diretório dele:# cd samba-3.0.20

# env CPPFLAGS=-I/usr/local/include/"# ./configure –bindir=/usr/local/bin –sbindir=/usr/local/sbin –libexecdir=/usr/local/libexec –with-configdir=/etc/samba –with-mandir=/usr/local/man –with-logfilebase=/var/log/samba –enable-cups –with-smbmount –with-ldapsam –with-syslog –with-quotas –with-acl-support –with-ads –enable-debug –with-winbind –with-krb5=/usr –enable-krb5developer

OBS.: As duas últimas opções, –with-krb5=/usr e –enable-krb5developer, use somente sevocê tiver o kerberos instalado, caso contrário não precisa.

# make

# make installVamos agora ao smb.conf, depois de uns três dias ralando em cima do Samba, pude real-

mente chegar a configuração ideal para ele implementado ao LDAP. Segue o smb.conf:

Ð Ó Ð ℄

Û Ó Ö Ö Ó Ù Ô Ä Á Æ Í Â Í

Ò Ø Ó × Ò Ñ È ¹ Ë Ê Î

× Ö Ú Ö × Ø Ö Ò Ë Ð Û Ö

× Ù Ö Ø Ý Ù × Ö

Ò Ö Ý Ô Ø Ô × × Û Ó Ö × Ý ×

Ù × Ø Ó Ù Ò Ø Ò Ó Ó Ý

Ð Ó Ð » Ú Ö » Ð Ó » × Ñ » ± Ñ º Ð Ó

Ñ Ü Ð Ó × Þ ¼

Ó × Ð Ú Ð ½ ¼ ¼

Ð Ó Ð Ñ × Ø Ö Ý ×

Ó Ñ Ò Ñ × Ø Ö Ý ×

Ô Ö Ö Ö Ñ × Ø Ö Ý ×

Ó Ñ Ò Ð Ó Ó Ò × Ý ×

Ñ Ò Ù × Ö × Ñ Ò × Ø Ö Ó Ö Ö Ó Ó Ø

Ð Ó Ó Ò × Ö Ô Ø ± Í º Ø

Ð Ó Ó Ò Ô Ø ± Ä Ô Ö Ó Ð × ± Í

Ó × Ø × Ð Ð Ó Û ½ ¼ º ¼ º ¼ º ½ ¾ º

32




Û Ò × × Ù Ô Ô Ó Ö Ø Ò Ó

Ò × Ô Ö Ó Ü Ý Ò Ó

Ð Ô Ô × × Û × Ý Ò Ý ×

Ð Ô Ð Ø Ò ×

Ô × × Ò Ð Ô × Ñ Ð Ô » » ½ ¾ º ¼ º ¼ º ½ »

Ð Ô Ñ Ò Ò Ò Ñ Ò × Ø Ö Ó Ö ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ð Ô × Ù Ü Ð Ò Ù Ü Ù ¸ Ó Ö

Ð Ô Ö Ó Ù Ô × Ù Ü Ó Ù Ö Ù Ô Ó ×

Ð Ô Ù × Ö × Ù Ü Ó Ù Í × Ù Ö Ó ×

Ð Ô Ñ Ò × Ù Ü Ó Ù Ó Ñ Ô Ù Ø Ó Ö ×

Ð Ô Ñ Ô × Ù Ü Ó Ù Á Ñ Ô

Ñ Ô Ò Ð Ô Ð Ô » » ½ ¾ º ¼ º ¼ º ½

Ñ Ô Ù ½ ¼ ¼ ¼ ¼ ¹ ½ ¼ ¼ ¼

Ñ Ô ½ ¼ ¼ ¼ ¼ ¹ ½ ¼ ¼ ¼

Ø Ñ Ô Ð Ø × Ð Ð » Ò » Ð ×

Û Ò Ò Ù × Ù Ð Ø Ó Ñ Ò Ò Ó

× Ñ Ô × × Û Ð » Ø » × Ñ » × Ñ Ô × × Û

Ô × × Û Ô Ö Ó Ö Ñ » Ù × Ö » Ò » Ô × × Û ± Ù

Ô × × Û Ø ¶ Æ Û ¶ Ô × × Û Ó Ö ¶ ± Ò ¶ Ê Ø Ý Ô ¶ Ò Û ¶ Ô × × Û Ó Ö ¶ ± Ò

¶ Ô × × Û ¶ Ð Ð ¶ Ù Ø Ò Ø Ø Ó Ò ¶ Ø Ó Ò × ¶ Ù Ô Ø ¶ × Ù × × Ù Ð Ð Ý ¶

× Ó Ø Ó Ô Ø Ó Ò × Ì È Æ Ç Ä Á È Ì Ç Ë Ä Ç Ï Ä Ë È Ö Ð ¸ Ô ¾ · È À È ¸ Ä Å Ç Ê Î Í ½ ¾ Ë Ç Ë Æ

Ñ Ò × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ù × Ö ¹ Û ± Ù

Ù × Ö × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ù × Ö ¹ Ñ ± Ù

Ð Ø Ù × Ö × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ù × Ö Ð ± Ù

Ñ Ò × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ù × Ö ¹ Û ± Ù

Ö Ó Ù Ô × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ö Ó Ù Ô ¹ Ô ±

Ð Ø Ö Ó Ù Ô × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ö Ó Ù Ô Ð ±

Ù × Ö Ø Ó Ö Ó Ù Ô × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ö Ó Ù Ô Ñ Ó ¹ Ñ ± Ù ±

Ð Ø Ù × Ö Ö Ó Ñ Ö Ó Ù Ô × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ö Ó Ù Ô Ñ Ó ¹ Ü ± Ù ±

× Ø Ô Ö Ñ Ö Ý Ö Ó Ù Ô × Ö Ô Ø » Ù × Ö » Ð Ó Ð » × Ò » × Ñ Ð Ô ¹ Ù × Ö Ñ Ó ¹ ± ± Ù

Ó × Ö × Ø Í Ì ¹

Ù Ò Ü Ö × Ø Í Ì ¹

Ó Ñ × ℄

Ó Ñ Ñ Ò Ø Ö Ø Ö Ó À Ó Ñ

Ö Ó Û × Ð Ò Ó

Û Ö Ø Ð Ý ×

Ö Ø Ñ × ¼ ¼ ¼

Ö Ø Ó Ö Ý Ñ × ¼ ¼ ¼

Ó Ö Ù × Ö ± Í

Ô Ö Ó Ð × ℄

Ô Ø » Ó Ñ » Ô Ö Ó Ð ×


Û Ö Ø Ð Ý ×

Ó Ö Ù × Ö ± Í

33




Ú Ð Ù × Ö × ± Í Ó Ñ Ò Ñ Ò ×

Ò Ø Ð Ó Ó Ò ℄

Ô Ø » Ó Ñ » Ò Ø Ð Ó Ó Ò


Ù × Ø Ó Ò Ó

Û Ö Ø Ð Ò Ó

× Ö Ñ Ó × Ò Ó

Ö Ó Ò Ð Ý Ý ×

Ô Ö Ò Ø Ö × ℄

Ó Ñ Ñ Ò Ø Á Ñ Ô Ö × × Ó Ö ×

Ô Ø » Ú Ö » × Ô Ó Ó Ð » × Ñ


Ù × Ø Ó Ò Ó

Û Ö Ø Ð Ò Ó

Ô Ö Ò Ø Ð Ý ×

Ô Ù Ð Ó ℄

Ó Ñ Ñ Ò Ø ý Ö È Ù Ð

Ô Ø » Ô Ù Ð Ó

Ö Ó Û × Ð Ý ×

Ö Ø Ñ × ¼

Ö Ø Ó Ö Ý Ñ × ¼

Ù × Ø Ó Ý ×

Û Ö Ø Ð Ý ×

Ó Ö Ù × Ö ± Í

× × Ø Ñ ℄

Ó Ñ Ñ Ò Ø ý Ö Ó Ë × Ø Ñ Ñ Ô Ö ×

Ô Ø » × × Ø Ñ

Ö Ó Û × Ð Ý ×

Ö Ø Ñ Ó ¼

Ö Ø Ó Ö Ý Ñ × ¼

Ù × Ø Ó Ý ×

Û Ö Ø Ð Ý ×

Ó Ö Ù × Ö ± Í

Edite-o de acordo com suas necessidades.Agora vamos criar um script para iniciar o Samba:

× Ñ × Ø Ö Ø ´ µ ß

¹ Ü » Ù × Ö » Ð Ó Ð » × Ò » × Ñ ¹ ¹ Ü » Ù × Ö » Ð Ó Ð » × Ò » Ò Ñ ¹ ¹ Ö » Ø » × Ñ » × Ñ º Ó Ò ℄ Ø Ò

34




Ó Ë Ø Ö Ø Ò Ë Ñ » Ù × Ö » Ð Ó Ð » × Ò » × Ñ ¹

» Ù × Ö » Ð Ó Ð » × Ò » × Ñ ¹

Ó » Ù × Ö » Ð Ó Ð » × Ò » Ò Ñ ¹

» Ù × Ö » Ð Ó Ð » × Ò » Ò Ñ ¹

× Ñ × Ø Ó Ô ´ µ ß

Ð Ð Ð Ð × Ñ Ò Ñ

× Ñ Ö × Ø Ö Ø ´ µ ß

× Ñ × Ø Ó Ô

× Ð Ô ¾

× Ñ × Ø Ö Ø

× ² ½ Ò

³ × Ø Ö Ø ³ µ

× Ñ × Ø Ö Ø

³ × Ø Ó Ô ³ µ

× Ñ × Ø Ó Ô

³ Ö × Ø Ö Ø ³ µ

× Ñ Ö × Ø Ö Ø

¶ µ

Ù Ð Ø × × Ø Ö Ø ¸ Ó Ö Û Ö × Ó Ñ Ô Ø Ð Ø Ý Û Ø Ô Ö Ú Ó Ù ×

Ë Ð Û Ö Ú Ö × Ó Ò × º Ì × Ñ Ý Ò Ø Ó ³ Ù × ³ Ö Ö Ó Ö × Ó Ñ Ý º

× Ñ × Ø Ö Ø

×

Crie o diretório /var/log/samba e rode o script /etc/rc.d/rc.samba:# /etc/rc.d/rc.samba start

6.1 Smbldap-tools

Pronto, o Samba está no ar, agora vamos configurar o smbldap-tools, que é uma ferramentade administração do LDAP.

Eu particularmente prefiro usar um front-end, pois pode acontecer de dar alguns erros comela, mas não deixa de ser uma boa ferramenta para administração.

# tar zxvf smbldap-tools_0.9.2.orig.tar.gz# cd smbldap-tools_0.9.2# cp -f smbldap-* /usr/local/sbin/# mkdir /etc/smbldap-tools/# cp smbldap.conf smbldap_bind.conf /etc/smbldap-tools/

35




# chmod 644 /etc/smbldap-tools/smbldap.conf# chmod 600 /etc/smbldap-tools/smbldap_bind.conf

Vamos editar o arquivo de configuração do smbladp-tools, que fica dentro do diretório quevocê acabou de criar. Lembrando que: o SID é obtido com o seguinte comando:

Ò Ø Ø Ð Ó Ð × Ð Ò Ù Ü Ù

× Ñ Ð Ô º Ó Ò

Ë Á Ë ¹ ½ ¹ ¹ ¾ ½ ¹ ½ ¾ ½ ½ ½ ¹ ¿ ¿ ¾ ¼ ¿ ¿ ¾ ¹ ½ ¿ ¾

× Ñ Ó Ñ Ò Ä Á Æ Í Â Í

× Ð Ú Ä È ½ ¾ º ¼ º ¼ º ½

× Ð Ú È Ó Ö Ø ¿

Ñ × Ø Ö Ä È ½ ¾ º ¼ º ¼ º ½

Ñ × Ø Ö È Ó Ö Ø ¿

Ð Ô Ì Ä Ë ¼

Ú Ö Ý

Ð

Ð Ò Ø Ö Ø

Ð Ò Ø Ý

× Ù Ü Ð Ò Ù Ü Ù ¸ Ó Ö

Ù × Ö × Ò Ó Ù Í × Ù Ö Ó × ¸ ° ß × Ù Ü

Ó Ñ Ô Ù Ø Ö × Ò Ó Ù Ó Ñ Ô Ù Ø Ó Ö × ¸ ° ß × Ù Ü

Ö Ó Ù Ô × Ò Ó Ù Ö Ù Ô Ó × ¸ ° ß × Ù Ü

Ñ Ô Ò Ó Ù Á Ñ Ô ¸ ° ß × Ù Ü

× Ñ Í Ò Ü Á È Ó Ó Ð Ò Ò Æ Ü Ø Ö Í Ò Ü Á ¸ ° ß × Ù Ü

× Ó Ô × Ù

Í Ò Ü Ô × × Û Ó Ö Ò Ö Ý Ô Ø Ó Ò ´ Ê È Ì ¸ Å ¸ Ë Å ¸ Ë Ë À ¸ Ë À ¸ Ä Ê Ì Ì µ

× Ò Ö Ý Ô Ø Ê È Ì

Ö Ý Ô Ø × Ð Ø Ó Ö Ñ Ø ° ½ ° ± º ×

Ù × Ö Ä Ó Ò Ë Ð Ð » Ò » Ð ×

Ù × Ö À Ó Ñ » Ó Ñ » ± Í

Ù × Ö À Ó Ñ Ö Ø Ó Ö Ý Å Ó ¼ ¼

Ù × Ö Ó × Ä Ô Í × Ö

Ù Ð Ø Í × Ö ½ ¼ ¼ ¼

Ù Ð Ø Ó Ñ Ô Ù Ø Ö ½ ¼ ¼ ¼

× Ð Ø Ó Ò Ö » Ø » × Ð

Ù Ð Ø Å Ü È × × Û Ó Ö

Ù × Ö Ë Ñ À Ó Ñ È ¹ Ë Ê Î ± Í

Ù × Ö È Ö Ó Ð È ¹ Ë Ê Î Ô Ö Ó Ð × ± Í

Ù × Ö À Ó Ñ Ö Ú À

Ù × Ö Ë Ö Ô Ø ± Í º Ø

Ñ Ð Ó Ñ Ò Ø Ö Ó Ô Ð º Ð Ó Ð

Û Ø × Ñ Ô × × Û ¼

× Ñ Ô × × Û » Ù × Ö » Ò » × Ñ Ô × × Û

Û Ø × Ð Ô Ô × × Û ¼

× Ð Ô Ô × × Û » Ù × Ö » × Ò » × Ð Ô Ô × × Û

36




Ò Ó Ò Ò Ö ½

E se notar, após isso ele automaticamente cria uma entrada no LDAP:

Ð Ô × Ö ¹ Ü

Ò × Ñ Ó Ñ Ò Æ Ñ Ð Ò Ù Ü Ù ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

× Ñ Ó Ñ Ò Æ Ñ Ð Ò Ù Ü Ù

× Ñ Ë Á Ë ¹ ½ ¹ ¹ ¾ ½ ¹ ½ ¾ ½ ½ ½ ¹ ¿ ¿ ¾ ¼ ¿ ¿ ¾ ¹ ½ ¿ ¾

× Ñ Ð Ó Ö Ø Ñ Ê × ½ ¼ ¼ ¼

Ó Ø Ð × × × Ñ Ó Ñ Ò

× Ñ Æ Ü Ø Í × Ö Ê ¿ ½ ¼ ¼ ¼

× Ñ Æ Ü Ø Ö Ó Ù Ô Ê ¿ ½ ¼ ¼ ½

Agora vamos armazenar a senha do admin do LDAP no secrets:

# smbpasswd -w SENHAEdite o arquivo /etc/smbldap-tools/smbldap_bind.conf e configure da seguinte forma:

× Ð Ú Æ Ò Ñ Ò × Ø Ö Ó Ö ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

× Ð Ú È Û × Ò

Ñ × Ø Ö Æ Ò Ñ Ò × Ø Ö Ó Ö ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ñ × Ø Ö È Û × Ò

Após isso é necessário copiar o arquivo smbldap_tools.pm para o diretório /usr/lib/perl5/5.8.7/i486-linux/:

# cp smbldap_tools.pm /usr/lib/perl5/5.8.7/i486-linux/

37



Capítulo 7

Perl,Apache2 + PHP5, LAM

7.1 Pacotes Perl

Agora vamos instalar os pacotes de módulos para o Perl. Descompacte um por um e use logoabaixo os comandos para instalação:

Ø Ö ¹ Þ Ü Ú ´ Ñ Ö Õ Ù Ú Ó × × µ

Ó Ò Ú Ö Ø ¹ Ë Æ ½ ¹ ¼ º ¾ ¼ º Ø Ö º Þ

Ù Ø Ò ¹ Ë Ë Ä ¹ ¾ º ½ ¼ º Ø Ö º Þ

Ö Ý Ô Ø ¹ Ë Ñ À × ¹ ¼ º ½ ¾ º Ø Ö º Þ

× Ø ¹ Ë À ½ ¹ ¾ º ½ ½ º Ø Ö º Þ

Á Ç ¹ Ë Ó Ø ¹ Ë Ë Ä ¹ ¼ º º Ø Ö º Þ

Â Ó ¹ ¾ º ¼ º Ø Ö º Þ

Æ Ø Ë Ë Ä Ý º Ô Ñ ¹ ½ º ¾ º Ø Ö º Þ

Í Ê Á ¹ ½ º ¿ ¿ º Ø Ö º Þ

Í Ò Ó ¹ Å Ô ¹ ¼ º ½ ½ ¾ º Ø Ö º Þ Í Ò Ó ¹ Å Ô ¹ ¼ º ½ ¾ º Ø Ö º Þ

Í Ò Ó ¹ Ë Ø Ö Ò ¹ ¾ º ¼ º Ø Ö º Þ

Å Ä ¹ Ë ¹ × ¹ ½ º ¼ º Ø Ö º Þ

Ô Ö Ð ¹ Ð Ô ¹ ¼ º ¿ ¿ º Ø Ö º Þ

Entre no diretório de cada um e execute:

Ô Ö Ð Å Ð º È Ä

Ñ

Ñ Ø × Ø

Ñ Ò × Ø Ð Ð

7.2 Nextuid

Pronto, agora precisamos informar qual será o próximo uid disponível para ele criar os usuá-rios. Para isso, inserimos a seguinte entrada no LDAP.

Salve as seguintes informações em um arquivo chamado "nextuid.ldif":

Ò Ò Æ Ü Ø Ö Í Ò Ü Á ¸ Ð Ò Ù Ü Ù ¸ Ó Ö

Ó Ø Ð × × Ò Ø Ç Ö È Ö × Ó Ò

38




Ó Ø Ð × × × Ñ Í Ò Ü Á È Ó Ó Ð

Ù Æ Ù Ñ Ö ½ ¼ ¼ ¼

Æ Ù Ñ Ö ½ ¼ ¼ ¼

Ò Æ Ü Ø Ö Í Ò Ü Á

× Ò Æ Ü Ø Ö Í Ò Ü Á

Inclua a entrada no LDAP:# ldapadd -x -D cn=administrador,dc=linuxajuda,dc=org, -W -f root/nextuid.ldif

Agora que temos nossa base praticamente pronta, vamos popular a base usando o comandoabaixo:

# smbldap-populate

7.3 Apache2 + PHP5

Pronto, nosso LDAP + Samba já está praticamente funcionando, bastando apenas administrá-lo. É agora que entra o LDAP Administrator Manager (LAM).

Primeiramente vamos instalar o servidor web (Apache):

Ø Ö ¹ Þ Ü Ú Ø Ø Ô ¹ ¾ º ¼ º º Ø Ö º Þ

Ø Ø Ô ¹ ¾ º ¼ º

º » Ó Ò Ù Ö ¹ ¹ Ò Ð ¹ × Ó

Ñ

Ñ Ò × Ø Ð Ð

Em seguida vamos instalar o PHP, resolvi usar o PHP5 que já está bem estável:

Ø Ö ¹ Þ Ü Ú Ô Ô ¹ º ½ º º Ø Ö º Þ

Ô Ô ¹ º ½ º

Ò Ú È È Ä Ë ¹ Á » Ù × Ö » Ð Ó Ð » Ò Ð Ù

º » Ó Ò Ù Ö ¹ ¹ Û Ø ¹ Ð Ô ¹ ¹ Û Ø ¹ Ø Ø Ü Ø ¹ ¹ Ð Ü Ö » Ù × Ö » Ð Ü » Ô ¹ ¹ Û Ø ¹ Ô Ü × ¾ » Ù × Ö » Ð

Ñ

Ñ Ò × Ø Ð Ð

Inclua as linhas abaixo no seu httpd.conf, que fica em /usr/local/apache2/confs/httpd.conf:

Ó Ò Ö × Ó È À È Ò Ó Ò Ð Ù Ù × × Ð Ò Ò Ó × Ù Ó Ò

Ä Ó Å Ó Ù Ð Ô Ô Ñ Ó Ù Ð Ñ Ó Ù Ð × » Ð Ô Ô º × Ó

Ì Ý Ô Ô Ô Ð Ø Ó Ò » Ü ¹ Ø Ø Ô ¹ Ô Ô º Ô Ô º Ô Ø Ñ Ð

Ì Ý Ô Ô Ô Ð Ø Ó Ò » Ü ¹ Ø Ø Ô ¹ Ô Ô ¹ × Ó Ù Ö º Ô Ô ×

Feito isso vamos iniciar o Apache:# /usr/local/apache2/bin/apachectl start

7.4 LAM - Ldap Account Manager

Depois de muito estudar sobre um bom front-end que pudesse me dar todas as ferramentaspara uma boa administração do LDAP, acabei encontrando o LAM, mas existem várias outrasferramentas, como o PhpLdapAdmin por exemplo.

39




Agora vamos instalar o Ldap Account Manager. Primeiro crie o usuário e o grupo httpd:

Ù × Ö Ø Ø Ô

Ö Ó Ù Ô Ø Ø Ô

Depois pegue o pacote ldap-account-manager-1.0.2.tar.gz e o mova para:# mv ldap-account-manager-1.0.2.tar.gz /usr/local/apache2/htdocsDescompacte-o:# tar -zxvf ldap-account-manager-1.0.2.tar.gzRenomeie-o:# mv ldap-account-manager-1.0.2 lam/

Entre no diretório:

» Ù × Ö » Ð Ó Ð » Ô ¾ » Ø Ó × » Ð Ñ

º » Ó Ò Ù Ö

Ñ Ò × Ø Ð Ð

Agora vamos configurá-lo. Entre no diretório /usr/local/apache2/htdocs/lam/config e copie osarquivos config.cfg.example e lam.conf.example:

Ô Ó Ò º º Ü Ñ Ô Ð Ó Ò º

Ô Ð Ñ º Ó Ò º Ü Ñ Ô Ð Ð Ñ º Ó Ò

Agora vamos editar os arquivos config.cfg e lam.conf. Deixe seu config.cf exatamente assim:

Ô × × Û Ó Ö Ø Ó » Ð Ø » Ö Ò Ñ Ó Ò Ù Ö Ø Ó Ò Ô Ö Ó Ð ×

Ô × × Û Ó Ö × Ý × Ø Ñ

Ù Ð Ø Ô Ö Ó Ð ¸ Û Ø Ó Ù Ø º Ó Ò

Ù Ð Ø Ð Ñ

Ó Ð Ñ º Ó Ò

Ä È Ó Ù Ò Ø Å Ò Ö Ó Ò Ù Ö Ø Ó Ò

× Ö Ú Ö Ö × × ´ º º Ð Ô » » Ð Ó Ð Ó × Ø ¿ Ó Ö Ð Ô × » » Ð Ó Ð Ó × Ø ¿ µ × Þ ¿

× Ö Ú Ö Í Ê Ä Ð Ô » » Ð Ó Ð Ó × Ø ¿

× Ø Ý Ð Ó Ò Ø ¹ Ñ Ð Ý Ó Ù Ö Ö Ò Û ¸ Ó Ù Ö Ö ¸ Ñ Ó Ò Ó × Ô Ó Ò Ø ¹ Û Ø Ó Ð »

Ð × Ø Ó Ù × Ö × Û Ó Ö Ð Ð Ó Û Ø Ó Ù × Ä È Ó Ù Ò Ø Å Ò Ö

Ò Ñ × Ú Ø Ó × Ô Ö Ø Ý × Ñ Ó Ð Ó Ò ×

º º Ñ Ò × Ò Ñ Ò ¸ Ý Ó Ù Ö Ó Ñ Ò ¸ Ó Ö Ò Ö Ó Ó Ø ¸ Ý Ó Ù Ö Ó Ñ Ò ¸ Ó Ö

Ñ Ò × Ò Ñ Ò × Ø Ö Ó Ö ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ô × × Û Ó Ö Ø Ó Ò Ø × Ô Ö Ö Ò × Ú Û Ö Ó Ò Ø Ò

Ô × × Û × Ý × Ø Ñ

× Ù Ü Ó Ø Ö Ú Û

º º Ý Ó Ù Ö Ó Ñ Ò ¸ Ó Ö

40




Ø Ö × Ù Ü Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ù × Ö × Ù Ü Ó Ù Í × Ù Ö Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ö Ó Ù Ô × Ù Ü Ó Ù Ö Ù Ô Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ó × Ø × Ù Ü Ó Ù Ó Ñ Ô Ù Ø Ó Ö × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ó Ñ Ò × Ù Ü Ó Ù Ó Ñ Ò Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ñ Ü Ñ Ù Ñ Ò Ù Ñ Ö Ó Ö Ó Û × Ø Ó × Ó Û Ò Ù × Ö » Ö Ó Ù Ô » Ó × Ø Ð × Ø ×

Ñ Ü Ð × Ø Ò Ø Ö × ¿ ¼

Ù Ð Ø Ð Ò Ù ´ Ð Ò Ö Ó Ñ Ó Ò » Ð Ò Ù µ

Ù Ð Ø Ä Ò Ù Ò º Ù Ø Í Ì ¹ Ò Ð × ´ Ö Ø Ö Ø Ò µ

È Ø Ø Ó Ü Ø Ö Ò Ð Ë Ö Ô Ø

× Ö Ô Ø È Ø

Ë Ö Ú Ö Ó Ü Ø Ö Ò Ð Ë Ö Ô Ø

× Ö Ô Ø Ë Ö Ú Ö

Æ Ù Ñ Ö Ó Ñ Ò Ù Ø × Ä Å × Ä È × Ö × º

Ø Ñ Ó Ù Ø

× Ñ ¿ Ý ×

Å Ó Ù Ð × Ø Ø Ò ×

Ñ Ó Ù Ð × Ô Ó × Ü Ó Ù Ò Ø Ñ Ò Í Á ½ ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ó Ù Ò Ø Ñ Ü Í Á ¿ ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ó Ù Ò Ø Ñ Ò Å Ò ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ó Ù Ò Ø Ñ Ü Å Ò ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ö Ó Ù Ô Ñ Ò Á ½ ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ö Ó Ù Ô Ñ Ü Á ¾ ¼ ¼ ¼ ¼

Ñ Ó Ù Ð × Ô Ó × Ü Ö Ó Ù Ô Ô Û À × Ê È Ì

Ñ Ó Ù Ð × Ô Ó × Ü Ó Ù Ò Ø Ô Û À × Ê È Ì

Ä × Ø Ó Ø Ú Ó Ù Ò Ø Ø Ý Ô × º

Ø Ú Ì Ý Ô × Ù × Ö ¸ Ö Ó Ù Ô ¸ Ó × Ø ¸ × Ñ Ó Ñ Ò

Ø Ý Ô × × Ù Ü Ù × Ö Ó Ù Í × Ù Ö Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ø Ý Ô × Ø Ø Ö Ù × Ö Ù Ú Ò Æ Ñ × Ò Ù Æ Ù Ñ Ö Æ Ù Ñ Ö

Ø Ý Ô × Ñ Ó Ù Ð × Ù × Ö Ò Ø Ç Ö È Ö × Ó Ò ¸ Ô Ó × Ü Ó Ù Ò Ø ¸ × Ó Û Ó Ù Ò Ø ¸ × Ñ Ë Ñ Ó Ù Ò Ø

Ø Ý Ô × × Ù Ü Ö Ó Ù Ô Ó Ù Ö Ù Ô Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ø Ý Ô × Ø Ø Ö Ö Ó Ù Ô Ò Æ Ù Ñ Ö Ñ Ñ Ö Í Á × Ö Ô Ø Ó Ò

Ø Ý Ô × Ñ Ó Ù Ð × Ö Ó Ù Ô Ô Ó × Ü Ö Ó Ù Ô ¸ × Ñ Ö Ó Ù Ô Å Ô Ô Ò

Ø Ý Ô × × Ù Ü Ó × Ø Ó Ù Ó Ñ Ô Ù Ø Ó Ö × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ø Ý Ô × Ø Ø Ö Ó × Ø Ò × Ö Ô Ø Ó Ò Ù Æ Ù Ñ Ö Æ Ù Ñ Ö

Ø Ý Ô × Ñ Ó Ù Ð × Ó × Ø Ó Ù Ò Ø ¸ Ô Ó × Ü Ó Ù Ò Ø ¸ × Ñ Ë Ñ Ó Ù Ò Ø

41




Ø Ý Ô × × Ù Ü × Ñ Ó Ñ Ò Ó Ù Ó Ñ Ò Ó × ¸ Ø Ö Ó Ô Ð ¸ Ð Ó Ð

Ø Ý Ô × Ø Ø Ö × Ñ Ó Ñ Ò × Ñ Ó Ñ Ò Æ Ñ Ó Ñ Ò Ò Ñ × Ñ Ë Á Ó Ñ Ò Ë Á

Ø Ý Ô × Ñ Ó Ù Ð × × Ñ Ó Ñ Ò × Ñ Ó Ñ Ò

42



Capítulo 8

SSL e LDAP

8.1 Implementando SSL ao seu LDAP Server

Todo administrador sempre deve estar preocupado com a segurança de seus servidores, porisso aqui está uma boa solução para acrescentar ao seu LDAP Server. A seguir vamos aplicar asconfigurações ao LDAP usando os utilitários do OpenSSL para gerar as chaves auto-assinadaspara ele.

8.2 Gerando as chaves criptografadas

Note que as chaves deverão ser geradas dentro do diretório /usr/local/etc/openldap/certificates/.

Foi desabilitada a verificação do certificado (se há alguma entidade certificadora que garantaque você é você mesmo). Estamos apenas interessados em usar um túnel criptografado.

Primeiramente vamos criar um diretório dentro do /usr/local/etc/openldap chamado certificatese depois um script para gerar as chaves criptografadas.

Utilize seu editor de textos preferido e crie o script gerador.sh:

» Ò » ×

» Ù × Ö » Ð Ó Ð » Ø » Ó Ô Ò Ð Ô » Ö Ø Ø × » Ö Ó Ö º ×

Ö Ø Ó Ô Ö Ù Ò Ó × Ö Ú Ö

Ó Ò × × Ö Ó Ô Ö Ó Ú Ö Ù Ñ × Ò Ô Ö Ú Ô Ö Ú º

Ó Ô Ò × × Ð Ò Ö × ¹ × ¿ ¹ Ó Ù Ø × Ö Ú Ö º Ý ¼

× Ø Ð Ò Ó Ö Ê Å Ç Î Ô × × Ô Ö × Ú Ô Ö Ú

Ó Ø Ô Ö Ñ Ö Ó × Ò Ú Ô Ö Ú ¸ Ô Ó × Ù Ñ Ô Ö Ö Ñ Ó Ú ¹ Ð

Ó Ô Ò × × Ð Ö × ¹ Ò × Ö Ú Ö º Ý ¹ Ó Ù Ø × Ö Ú Ö º Ý

Ó Ô Ò × × Ð Ö Õ ¹ Ò Û ¹ Ý × Ö Ú Ö º Ý ¹ Ó Ù Ø × Ö Ú Ö º × Ö

Ó Ô Ò × × Ð Ü ¼ ¹ Ö Õ ¹ Ý × ¿ ¹ Ò × Ö Ú Ö º × Ö ¹ × Ò Ý × Ö Ú Ö º Ý ¹ Ó Ù Ø × Ö Ú Ö º × Ö

Ö Ø Ó Ô Ö Ù Ò Ó Ð Ò Ø

Ó Ö Ò Ó Ú Ô Ö Ó Ð Ò Ø º Å × Ñ Ó Ô Ö Ó Ñ Ò Ø Ó Ò Ø Ö Ó Ö

Ó Ô Ò × × Ð Ò Ö × ¹ × ¿ ¹ Ó Ù Ø Ð Ò Ø º Ý ½ ¼ ¾

Ó Ô Ò × × Ð Ö × ¹ Ò Ð Ò Ø º Ý ¹ Ó Ù Ø Ð Ò Ø º Ý

Ó Ô Ò × × Ð Ö Õ ¹ Ò Û ¹ Ý Ð Ò Ø º Ý ¹ Ó Ù Ø Ð Ò Ø º × Ö

Ó Ô Ò × × Ð Ü ¼ ¹ Ö Õ ¹ Ý × ¿ ¹ Ò Ð Ò Ø º × Ö ¹ × Ò Ý Ð Ò Ø º Ý ¹ Ó Ù Ø Ð Ò Ø º × Ö

43




Use o comando a baixo para rodar o script:# sh gerador.sh

Ele fará algumas perguntas (veja abaixo) como requisição de senhas, escolha uma senha demaneira que você não a esqueca, eu usei a mesma do admin.

É necessário prover uma senha para a chave privada.

Ò Ö Ø Ò Ê Ë Ô Ö Ú Ø Ý ¸ ¼ Ø Ð Ó Ò Ñ Ó Ù Ð Ù ×

º º º

× ¿ ´ ¼ Ü ½ ¼ ¼ ¼ ½ µ

Ò Ø Ö Ô × × Ô Ö × Ó Ö × Ö Ú Ö º Ý

Î Ö Ý Ò ¹ Ò Ø Ö Ô × × Ô Ö × Ó Ö × Ö Ú Ö º Ý

Ø Ô Ö Ñ Ö Ó × Ò Ú Ô Ö Ú ¸ Ô Ó × Ù Ñ Æ Ì Ê Ô Ö Ö Ñ Ó Ú ¹ Ð º

Ò Ø Ö Ô × × Ô Ö × Ó Ö × Ö Ú Ö º Ý

Ö Ø Ò Ê Ë Ý

Ó Ù Ö Ó Ù Ø Ø Ó × Ø Ó Ò Ø Ö Ò Ó Ö Ñ Ø Ó Ò Ø Ø Û Ð Ð Ò Ó Ö Ô Ó Ö Ø

Ò Ø Ó Ý Ó Ù Ö Ö Ø Ø Ö Õ Ù × Ø º

Ï Ø Ý Ó Ù Ö Ó Ù Ø Ø Ó Ò Ø Ö × Û Ø × Ð Ð × Ø Ò Ù × Æ Ñ Ó Ö Æ º

Ì Ö Ö Õ Ù Ø Û Ð × Ù Ø Ý Ó Ù Ò Ð Ú × Ó Ñ Ð Ò

Ó Ö × Ó Ñ Ð × Ø Ö Û Ð Ð Ù Ð Ø Ú Ð Ù ¸

Á Ý Ó Ù Ò Ø Ö ³ º ³ ¸ Ø Ð Û Ð Ð Ð Ø Ð Ò º

¹ ¹ ¹ ¹ ¹

Ó Ù Ò Ø Ö Ý Æ Ñ ´ ¾ Ð Ø Ø Ö Ó µ Í ℄ Ê

Ë Ø Ø Ó Ö È Ö Ó Ú Ò Æ Ñ ´ Ù Ð Ð Ò Ñ µ Ë Ó Ñ ¹ Ë Ø Ø ℄ Ó ×

Ä Ó Ð Ø Ý Æ Ñ ´ ¸ Ø Ý µ ℄ Ó Ò

Ç Ö Ò Þ Ø Ó Ò Æ Ñ ´ ¸ Ó Ñ Ô Ò Ý µ Á Ò Ø Ö Ò Ø Ï Ø × È Ø Ý Ä Ø ℄ Ò Ð Ä Ò Ù Ü Ù

Ç Ö Ò Þ Ø Ó Ò Ð Í Ò Ø Æ Ñ ´ ¸ × Ø Ó Ò µ ℄

Ó Ñ Ñ Ó Ò Æ Ñ ´ ¸ Ç Í Ê Ò Ñ µ ℄ Ñ Ò × Ø Ö Ó Ö

Ñ Ð Ö × × ℄ Ñ Ò × Ø Ö Ó Ö Ð Ò Ù Ü Ù º Ó Ö

È Ð × Ò Ø Ö Ø Ó Ð Ð Ó Û Ò ³ Ü Ø Ö ³ Ø Ø Ö Ù Ø ×

Ø Ó × Ò Ø Û Ø Ý Ó Ù Ö Ö Ø Ø Ö Õ Ù × Ø

Ð Ð Ò Ô × × Û Ó Ö ℄ × Ý × Ø Ñ

Ò Ó Ô Ø Ó Ò Ð Ó Ñ Ô Ò Ý Ò Ñ ℄

Ë Ò Ø Ù Ö Ó

× Ù Ø » Ê » Ë Ì Ó × » Ä Ó Ò » Ç Ò Ð Ä Ò Ù Ü Ù » Æ Ñ Ò × Ø Ö Ó Ö » Ñ Ð Ö × × Ñ Ò × Ø Ö

Ø Ø Ò È Ö Ú Ø Ý

Ö Ò Ó Ú Ô Ö Ó Ð Ò Ø º Å × Ñ Ó Ô Ö Ó Ñ Ò Ø Ó Ò Ø Ö Ó Ö

Ò Ö Ø Ò Ê Ë Ô Ö Ú Ø Ý ¸ ½ ¼ ¾ Ø Ð Ó Ò Ñ Ó Ù Ð Ù ×

º º º

× ¿ ´ ¼ Ü ½ ¼ ¼ ¼ ½ µ

Ò Ø Ö Ô × × Ô Ö × Ó Ö Ð Ò Ø º Ý

Î Ö Ý Ò ¹ Ò Ø Ö Ô × × Ô Ö × Ó Ö Ð Ò Ø º Ý

Ò Ø Ö Ô × × Ô Ö × Ó Ö Ð Ò Ø º Ý

Û Ö Ø Ò Ê Ë Ý

Ó Ù Ö Ó Ù Ø Ø Ó × Ø Ó Ò Ø Ö Ò Ó Ö Ñ Ø Ó Ò Ø Ø Û Ð Ð Ò Ó Ö Ô Ó Ö Ø

44




Ò Ø Ó Ý Ó Ù Ö Ö Ø Ø Ö Õ Ù × Ø º

Ï Ø Ý Ó Ù Ö Ó Ù Ø Ø Ó Ò Ø Ö × Û Ø × Ð Ð × Ø Ò Ù × Æ Ñ Ó Ö Æ º

Ì Ö Ö Õ Ù Ø Û Ð × Ù Ø Ý Ó Ù Ò Ð Ú × Ó Ñ Ð Ò

Ó Ö × Ó Ñ Ð × Ø Ö Û Ð Ð Ù Ð Ø Ú Ð Ù ¸

Á Ý Ó Ù Ò Ø Ö ³ º ³ ¸ Ø Ð Û Ð Ð Ð Ø Ð Ò º

¹ ¹ ¹ ¹ ¹

Ó Ù Ò Ø Ö Ý Æ Ñ ´ ¾ Ð Ø Ø Ö Ó µ Í ℄ Ê

Ë Ø Ø Ó Ö È Ö Ó Ú Ò Æ Ñ ´ Ù Ð Ð Ò Ñ µ Ë Ó Ñ ¹ Ë Ø Ø ℄ Ó ×

Ä Ó Ð Ø Ý Æ Ñ ´ ¸ Ø Ý µ ℄ Ó Ò

Ç Ö Ò Þ Ø Ó Ò Æ Ñ ´ ¸ Ó Ñ Ô Ò Ý µ Á Ò Ø Ö Ò Ø Ï Ø × È Ø Ý Ä Ø ℄ Ò Ð Ä Ò Ù Ü Ù

Ç Ö Ò Þ Ø Ó Ò Ð Í Ò Ø Æ Ñ ´ ¸ × Ø Ó Ò µ ℄

Ó Ñ Ñ Ó Ò Æ Ñ ´ ¸ Ç Í Ê Ò Ñ µ ℄ Ñ Ò × Ø Ö Ó Ö

Ñ Ð Ö × × ℄ Ñ Ò × Ø Ö Ó Ö Ð Ò Ù Ü Ù º Ó Ö

È Ð × Ò Ø Ö Ø Ó Ð Ð Ó Û Ò ³ Ü Ø Ö ³ Ø Ø Ö Ù Ø ×

Ø Ó × Ò Ø Û Ø Ý Ó Ù Ö Ö Ø Ø Ö Õ Ù × Ø

Ð Ð Ò Ô × × Û Ó Ö ℄ × Ý × Ø Ñ

Ò Ó Ô Ø Ó Ò Ð Ó Ñ Ô Ò Ý Ò Ñ ℄

Ë Ò Ø Ù Ö Ó

× Ù Ø » Ê » Ë Ì Ó × » Ä Ó Ò » Ç Ò Ð Ä Ò Ù Ü Ù » Æ Ñ Ò × Ø Ö Ó Ö » Ñ Ð Ö × × Ñ Ò × Ø Ö

Ø Ø Ò È Ö Ú Ø Ý

OBS.: Onde perdir "Enter pass phrase for client"ou server, digite uma senha.

8.3 O LDAP e seus arquivos de configurações

São necessárias duas pequenas configurações no OpenLDAP para que ele aceite o certifi-cado criado. Em /etc/openldap/slapd.conf:

Ì Ä Ë Ö Ø Ø Ð » Ø » Ó Ô Ò Ð Ô » Ö Ø Ø × » × Ö Ú Ö º × Ö

Ì Ä Ë Ö Ø Ø Ã Ý Ð » Ø » Ó Ô Ò Ð Ô » Ö Ø Ø × » × Ö Ú Ö º Ý

Ì Ä Ë Î Ö Ý Ð Ò Ø ¼

Após isso modifique o arquivo /etc/ldap.conf para:

Ó × Ø Ð Ô º Ð Ò Ù Ü Ù º Ó Ö

× Ð Ò Ù Ü Ù ¸ Ó Ö

Ù Ö Ð Ô × » » Ð Ô º Ð Ò Ù Ü Ù º Ó Ö

× Ø Ý Ð Ó Ò Ø ¹ Ñ Ð Ý Ó Ù Ö Ö Ò Û ¸ Ó Ù Ö Ö ¸ Ñ Ó Ò Ó × Ô Ó Ò Ø ¹ Û Ø Ó Ð » Ö Ó Ó Ø Ò Ò Ò Ñ Ò

Ô Ó Ö Ø ¿

× × Ð Ø Ö Ù

Ì Ä Ë Ê Ì » Ø » Ó Ô Ò Ð Ô » Ö Ø Ø × » Ð Ò Ø º × Ö

Ì Ä Ë Ã » Ø » Ó Ô Ò Ð Ô » Ö Ø Ø × » Ð Ò Ø º Ý

Ì Ä Ë Ê É Ê Ì Ò Ú Ö

Altere a linha no smb.conf de:passdb backend = ldapsam:ldap://ldap.linuxajuda.org/para:

45




passdb backend = ldapsam:ldaps://ldap.linuxajuda.org/Vamos alterar também o lam.conf:

ServerURL: ldaps://ldap.tropical.local:636/>Altere o smbldap.conf nas seguintes linhas:

slavePort="636"masterPort="636"

Depois de gerar o certificado, tive que incluir uma entrada no DNS para o LDAP porque eleestava reclamando o hostname, aí bastou incluir ldap.linuxajuda.org no DNS e estava resolvido.Edite o arquivo /etc/resolv.conf e acrescente a linha:nameserver ldap.linuxajuda.org

Edite também o /etc/hosts:10.0.0.101 ldap.linuxajuda.orgAgora basta inicializar o slapd com o seguinte comando:# /usr/local/libexec/slapd -h "ldap:/// ldaps:///"; -4OBS.: Acrescente essa linha no seu rc.local para carregar seu LDAP no boot.

Agora vamos aos testes:# ldapsearch -x -ZZ -h ldap.linuxajudaorg -b ’dc=linuxajuda,dc=org’ (objectclass=*)’

8.4 Habilitando o SASL

Primeiro armazenamos a senha do usuário suporte com:# saslpasswd2 -c administradorPodemos listar os usuários com:

× × Ð Ð × Ø Ù × Ö × ¾

Ñ Ò × Ø Ö Ó Ö Ð Ò Ù Ü Ù Ñ Ù × × Ð × Ö Ø Ç Ì È

Ñ Ò × Ø Ö Ó Ö Ð Ò Ù Ü Ù Ù × Ö È × × Û Ó Ö

8.5 Seu sistema ficou lento na inicialização?

Depois que instalei o LDAP e alterei o nsswitch.conf, percebi que o sistema operacional tinha

ficado lento tanto para iniciar quanto para fazer login e digitar alguns comandos, foi então quequase sem querer encontrei a solução para o meu problema. Creio que você possa ter o mesmoproblema que eu, mas vamos à solução:

• abra o arquivo /etc/rc.d/rc.S e localize o trecho "Create a fresh utmp file:";

• comente a linha "chown root.utmp /var/run/utmp";

• mude a linha "chmod 664 /var/run/utmp"para "chmod 666 /var/run/utmp";

• abra o arquivo /etc/rc.d/rc.local e adicione as próximas duas linhas:

Ó Û Ò Ö Ó Ó Ø º Ù Ø Ñ Ô » Ú Ö » Ö Ù Ò » Ù Ø Ñ Ô

Ñ Ó » Ú Ö » Ö Ù Ò » Ù Ø Ñ Ô

Pronto, seu sistema está rápido de novo!

46



Capítulo 9

Adicionando máquinas Windows eSquid

1. Editar as propriedades de rede;2. Editar as propriedades do "Cliente para redes Microsoft";3. Selecionar a opção "Efetuar logon no domínio do Windows NT";4. Na opção "Domínio do Windows NT", digitar o nome do domínio;5. Selecionar a opção de "Logon rápido"e pressionar OK;6. Na opção "Logon primário da rede", selecionar clientes para redes Microsoft, aplicar as

alterações e reiniciar o computador.Para alterar a senha do usuário logado:

1. Entrar no "Painel de Controle";2. Entrar no ícone "Senhas";

3. Clicar em "Alterar a senha do Windows";

4. Selecionar "Rede Microsoft"e pressionar OK;

5. Digitar a senha atual, digitar a nova senha e confirmá-la;

6. Clicar no botão detalhes e selecionar a opção "Rede Microsoft";

7. Pressionar OK e fechar todas as janelas.

No servidor, rode o comando abaixo para cadastrá-la no domínio:# smbldap-useradd -w Maq01

9.1 Adicionando máquinas Windows XP/2000/2003 no Samba

1. Logar como um usuário local e administrador do sistema;2. Entrar no "Painel de Controle"em modo de exibição clássico, editar as propriedades do

ícone "Sistema";3. Clicar na aba "Nome do Computador"e no botão "ID da Rede";4. Na janela que irá aparecer, clicar em "Avançar";5. Selecionar a opção "Este computador faz parte de uma rede corporativa..."e clicar em

"Avançar";

47




6. Selecionar a opção "Minha empresa usa uma rede com um domínio", clicar em "Avançar"eclicar em "Avançar"novamente;

7. Digitar no "nome do usuário"um usuário que já exista no Samba, sua senha e o domínio eclicar em "Avançar";8. Digitar o nome do computador em questão, o domínio novamente e clicar em "Avançar";9. Digitar "root"no nome do usuário e sua senha e o domínio do Samba.10. Deixar selecionado a opção "Inserir o seguinte usuário"e clicar em "Avançar";11. Selecionar o nível de acesso "Outros", selecionar o grupo "Administradores"e clicar e

"Avançar"e "Concluir", mas NÃO reiniciar o computador;12. Entrar no "Painel de Controle"em modo de exibição clássico e entrar em "Ferramentas

Administrativas";13. Entrar em "Diretiva de Segurança local"e depois abrir a chave "Diretivas locais"e clicar em

"Opções de Segurança";

Dentro dessa janela as seguintes opções devem ser desabilitadas:

• Membro do domínio: criptografar ou assinar digitalmente os dados do canal seguro (sem-pre).

• Membro do domínio: desativar alterações de senha de conta da máquina.

• Membro do domínio: requerer uma chave de sessão de alta segurança (Windows 2000 ouposterior).

No registro, alterar/incluir a chave:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesnetlogonparameters"RequireSignOrSe

9.2 Integrando seu Squid ao LDAP

Bom, agora que já temos nosso servidor Samba com Active Directory usando o LDAP, penseiporque não colocar os usuários de internet para autenticar no LDAP para acessar a internet,lembrando que não vou abordar uma configuração mais afundo do Squid, para isso você deverábuscar em outras faqs ou manuais. Segue abaixo como instalar o Squid com suporte a LDAP:

Ø Ö ¹ Þ Ü Ô Ú × Õ Ù ¹ ¾ º º Ë Ì Ä º Ø Ö º Þ

» Ö Ó Ó Ø » × Õ Ù ¹ ¾ º º Ë Ì Ä

Faremos a compilação básica e depois compilaremos os programas de autenticação LDAP sepa-radamente. Para tanto, use a famosa seqüência:

º » Ó Ò Ù Ö ¹ ¹ Ô Ö Ü » Ù × Ö » Ð Ó Ð » × Õ Ù ´ × Ò Ó » Ù × Ö » Ð Ó Ð » × Õ Ù Ó Ð Ó Ð Ó Ò Ó × Õ Ù × Ö Ò

Ñ

Ñ Ò × Ø Ð Ð

Mude a propriedade do diretório Squid de root para nobody e crie o cache:# chown -R nobody.nobody /usr/local/squid/cache

Com isso o seu Squid já estará instalado e pronto para ser configurado.

48




Agora passaremos para o passo seguinte, onde iremos acessar squid-2.5.STABLE8/helpers /basic_auth/LDAP e compilar o daemon squid_ldap_auth, que fará a autenticação de usuários no

AD: » × Õ Ù ¹ ¾ º º Ë Ì Ä » Ð Ô Ö × » × Ù Ø » Ä È

Ñ

Após a compilação, copie o daemon squid_ldap_auth para dentro da libexec:# cp squid_ldap_auth /usr/local/squid/libexec

Acesse squid-2.5.STABLE8/helpers/external_acl/ldap_groupe compile o daemon squid_ldap_group:

» × Õ Ù ¹ ¾ º º Ë Ì Ä » Ð Ô Ö × » Ü Ø Ö Ò Ð Ð » Ð Ô Ö Ó Ù Ô

Ñ

Após a compilação, copie o squid_ldap_auth para dentro da libexec:# cp squid_ldap_group /usr/local/squid/libexecAgora adicione as seguintes linhas no seu squid.conf:

Ó Ò Ù Ö × Ù Ø Ò Ø Ó Ó Ô Ö Ó Ü Ý ¹ Ð Ô ´ Ø Ö Ó Õ Ù Ó Á È Ô Ð Ó Ó × Ù Ó Ñ Ò Ó µ

Ù Ø Ô Ö Ñ × Ö Ð Ñ ´ Ò Ð Ä Ò Ù Ü Ù µ Ù Ø Ò Ø Ó Í × Ù Ö Ó Ô Ö Á Ò Ø Ö Ò Ø

Ù Ø Ô Ö Ñ × Ô Ö Ó Ö Ñ » Ù × Ö » Ð Ó Ð » × Õ Ù » Ð Ü » × Õ Ù Ð Ô Ù Ø ¹ Ê ¹ Ó Ù Í × Ù Ö Ó × ¸ Ó Ù È Ó Ô Ð

Ù Ø Ô Ö Ñ × Ð Ö Ò ¿

Ù Ø Ô Ö Ñ × × × Ò × Ø Ú Ó

Ù Ø Ô Ö Ñ × Ö Ò Ø Ð × Ø Ø Ð ½ Ñ Ò Ù Ø ×

Feito isso, reinicie todos os serviços.

49

active directory

Documents