artigo samba4
DESCRIPTION
ARTIGO Samba4TRANSCRIPT
-
ACTIVE DIRECTORY: uma implementao prtica
envolvendo Samba 4
Jolson E. de Almeida, Alexssandro C. Antunes, Msc, Jferson M. de Limas, Msc
Instituto Federal De Educao, Cincia e Tecnologia Catarinense Campus Sombrio (IFC) Rua Francisco Caetano Lummertz, 818 B. Januria 88960-00 Sombrio/SC
[email protected], {alexssandro.antunes,jeferson}@ifc-
sombrio.edu.br
Abstract. This article describes the installation of a Directory Service (Active
Directory), using a network service called Samba 4. Samba is free software
which can be used in different environments of Microsoft Windows, for
example, Linux systems. Since this is a free tool, after 10 years of development
lies in its stable version. Thus, exploring its features and checking their
behavior as Active Directory Domain Controller. The version of Samba 4,
while maintaining compatibility with previous versions, have the directory
service, Based on the LDAP protocol (Lightweight Directory Access
Protocol), which in Portuguese means lightweight directory access protocol,
being the primary protocol for the development of the Active Directory. The
tests performed were all simulated in a virtual environment. Was added
Microsoft Windows clients to Samba 4, also control the Internet, integrating a
Squid Proxy server to Active Directory. Samba version 4 showed flexibility as
well as stability with respect to Active Directory. This solution Directory
Service can be implemented in small and medium-sized enterprises, because it
is a free tool. Thereby generating cost savings with respect to licenses to use
software and operating system, thus influencing the economy as a whole with
regard to solutions in Information Technology.
Resumo. Este artigo descreve a instalao de um Servio de Diretrio (Active
Directory), utilizando-se de um servio de rede chamado Samba 4. O Samba
software livre que pode ser utilizado em ambientes diferentes do Microsoft
Windows, por exemplo, em sistemas Linux. Tratando-se de uma ferramenta
grtis, aps 10 anos de desenvolvimento encontra-se em sua verso estvel.
Desta forma, explorando suas funcionalidades e verificando o seu
comportamento como Controlador de Domnio do Active Directory. A verso
4 do Samba, alm de manter a compatibilidade com as verses anteriores,
possui o Servio de Diretrio. Tendo como base o protocolo LDAP
(Lightweight Directory Access Protocol), que em portugus significa
protocolo leve de acesso a diretrios, sendo o principal protocolo para o
desenvolvimento do Active Directory. Os testes realizados foram todos
simulados em um ambiente virtual. Foi adicionado clientes Microsoft
Windows ao Samba 4, tambm controle de Internet, integrando um servidor
Proxy Squid ao Active Directory. O Samba verso 4 apresentou flexibilidade
bem como estabilidade, no que diz respeito ao Active Directory. Esta soluo
de Servio de Diretrio, pode ser implementada em empresas de pequeno e
mdio porte, por tratar-se de uma ferramenta livre. Com isso gerando
-
reduo de custos, com relao a licenas de uso de software e Sistema
Operacional, assim, influenciando na economia como um todo no que diz
respeito a solues em Tecnologia da Informao.
1. Introduo
Atualmente na rea da Tecnologia da Informao (TI), o Active Directory (AD) desempenha um papel central para a TI. Seu propsito principal o de fornecer um local de armazenamento centralizado para contas de usurio, adeses de grupos e configuraes de softwares. Alm disso, disponibiliza autenticao de usurio, acesso a objetos como: impressoras e arquivos, que ficam armazenados em seus diretrios com seus devidos atributos.
AD um Servio de Diretrio desenvolvido pela empresa Microsoft, sendo, portanto um software proprietrio. Utilizado em seus Sistemas Operacionais de Redes, est presente desde a verso Windows Server 2000 at a verso atual Windows Server 2012. O AD foi implementado atravs do protocolo LDAP, principal protocolo utilizado para acesso rpido s informaes de diretrios.
A ferramenta da Microsoft AD um software pago que gera custos para as empresas. Alm do AD, necessrio o uso de um sistema operacional Windows Server, gerando um custo adicional em relao licena do sistema operacional. Mais outro agravante em relao a custos so as licenas cals (Licena de Acesso Cliente), ou seja, permite o direito de acessar computadores na rede, servios e tecnologias disponibilizadas em sistemas operacionais instaladas em servidores. Utilizadas por mquinas clientes ou por usurios.
O Samba pode ser executado em uma plataforma diferente do Microsoft Windows, por ser um software livre, por exemplo, UNIX, Linux, IBM System 390, OpenVMS e outros sistemas operacionais. Samba utiliza o protocolo TCP/IP, que instalado no servidor host. Quando configurado corretamente, ele permite o compartilhamento de arquivos e impressoras entre mquinas Windows e Linux de forma transparente. (SAMBA.ORG-1, 2013).
Neste artigo, aplica-se o Servio de Diretrio (AD) utilizando Samba verso 4, e assim, integrando clientes Microsoft, alm de outros servios de rede local, como compartilhamento de arquivos e controle de acesso a Internet, atravs do servidor Proxy Squid.
Considerando ser livre de custos de licenas referente a sistema operacional e licenas cals, o Samba 4, pode ser uma alternativa para empresas que necessitam de um AD. Uma das suas vantagens a facilidade para o usurio final, autenticando uma nica vez no AD. Com esta autenticao, o usurio vai dispor dos servios de rede local, bem como servios de rede de longa distncia, no sendo necessrio autenticar a cada servio requisitado com um login e senha diferente para os mesmos. Desta forma o usurio vai poder autenticar nos servios que esto integrados junto ao AD com a sua conta local.
-
2. Objetivos Geral e Especfico
2.1. Geral
Implementar um Servio de Diretrio (Active Directory Domain Controller AD DC) utilizando software livre.
2.2. Especficos
Realizar o referencial terico sobre Active Directory; Selecionar as ferramentas de cdigo aberto disponveis para implantao de um
servidor Samba 4 Active Directory; Demonstrar as ferramentas em um cenrio virtual; Integrar o Active Directory com servio de rede local; Validar a implementao do ambiente proposto.
3. Fundamentao Terica
A fundamentao terica a base para que possa chegar ao conhecimento do assunto proposto, descrevendo um pouco sobre o papel de cada ferramenta, para posteriormente colocar em prtica a ideia sugerida no artigo.
3.1. Active Directory
Segundo Stanek (2009), o AD um Servio de Diretrio que gerencia de forma eficaz os recursos da rede, armazenando informaes generalizadas sobre todos os recursos disponveis. Facilitando a pesquisa e a autenticao, um Servio de Diretrio pode armazenar informaes de forma organizadas, para que assim facilite a recuperao das mesmas.
Servios de Diretrio esto disponveis no mercado atravs de alguns softwares proprietrios, a partir de um nmero de fornecedores. Em sua forma mais bsica, consiste em pesquisas de chave e valor em informaes estruturadas. Estas informaes so organizadas em uma hierarquia. (BARTLETT, 2005).
AD integra um conjunto de protocolos modernos de autenticao para redes de computadores. Alm de manter todos os protocolos antigos como o NT4 Servio de Diretrio NT. (METZMACHER, 2007).
O Servio de Diretrio emprega vrios protocolos para seu funcionamento, conforme Stanek (2009, p.1027), o protocolo principal para acesso ao Active Directory o LDAP (Lightweight Directory Access Protocol), um protocolo padro do setor para acesso a diretrios administrados atravs do TCP/IP.
3.2. Protocolos Envolvidos
Protocolos de redes so regras usadas para que haja a comunicao de dados entre computadores. Eles fazem com que dois ou mais computadores possam trocar mensagens entre si. (COMER, 2007).
Os protocolos envolvidos para implementao do Samba 4 AD so: DNS, LDAP, KERBEROS, NTP, SMB/CIFS, DHCP.
-
3.2.1. DNS
Segundo Tanenbaum e Wetherall (2011), em uma rede de computadores a comunicao entre as mquinas feita atravs do endereamento IP. Alguns programas que empregam o endereo IP (Internet Protocol) podem ser concebidos por pginas de internet, correios eletrnicos, servios de rede local, entre outros servios. Por existirem inmeras combinaes de endereos IPs, torna-se impossvel para as pessoas gravarem os mesmos. Surgiu assim a necessidade do desenvolvimento de um mecanismo para converter os IPs em nome e vice-versa. Para facilitar criou-se o DNS (Domain Name System).
Conforme Kurose e Ross (2010) h duas maneiras de identificar um dispositivo: atravs de seu nome na rede e por seu endereo IP. Para as pessoas, a forma mais fcil de identificar um computador ou um site na internet lembrando seu nome, j para um dispositivo de rede, como um roteador o endereo IP. Para que isso acontea, utiliza-se um Servio de Diretrio como o DNS, para fazer a traduo dos nomes em endereos IP.
Para gerenciamento de um AD, necessrio a utilizao de um servio DNS. O AD pode trabalhar com qualquer servidor DNS que tenha suporte a atualizaes dinmicas e registros SRV (Service Location). Alguns servidores DNS a utilizar-se em Servios de Diretrio so: BIND (Barkeley Internet Name Domain), OpenDNS, Microsoft Windows DNS. O prprio Samba 4 possui um servidor de DNS interno.
3.2.2. LDAP
LDAP (Lightweight Directory Access Protocol ou Protocolo Leve de Acesso a Diretrio), um protocolo de acesso rpido a Servios de Diretrio baseado nos padres X.500. Suas especificaes e definies so descritas nos RFCs 2251/2256. Tambm existem outros RFCs que tratam do assunto.
O Servio de Diretrio foi desenvolvido com base no LDAP um protocolo que define o acesso aos servios de diretrios, onde diretria uma estrutura de armazenamento organizada de forma hierrquica, que facilita o armazenamento e busca de informaes. (RIBEIRO JUNIOR, 2008, p. 1).
Conforme Trigo (2007), o LDAP um protocolo cliente/servidor que disponibiliza informaes contidas em um diretrio. O mesmo permite a navegao, leitura, armazenamento, pesquisar informaes e tambm realiza determinadas tarefas de gerenciamento em um Servio de Diretrio. considerado um banco de dados que aperfeioa a leitura, navegao e pesquisas de dados.
O protocolo LDAP utilizado para organizar as informaes, visando facilidade e agilidade na recuperao. Estas informaes so armazenadas em um banco de dados. No especificado qual banco de dados em particular as informaes sero guardadas. Sua organizao feita de forma hierrquica onde, a partir da raiz possvel chegar at aos recursos, que podem ser computadores, servidores, usurios, etc. Assim, o LDAP considerado um protocolo essencial para o Servio de Diretrio.
3.2.3. Kerberos
Conforme Calr Filho (2013), o Kerberos um protocolo que prev forte autenticao entre aplicaes cliente/servidor. Utiliza-se de criptografia de chave simtrica no qual
-
servidores fornecem acesso aos servios solicitados pelos clientes, caso comprovem sua autenticidade.
O Kerberos foi desenvolvido como parte do Projeto Athena, do MIT (Massachussets Institute of Technology) e seu nome vm da mitologia. Para os gregos um co com trs cabeas que tem por misso proteger a entrada de Hades, o Deus do mundo inferior, soberano dos mortos. O Kerberos utilizado nas redes de computadores para evitar que algum software malicioso libere acesso para fora da rede, deixando a rede, computadores servidores e demais hosts desprotegidos. Ele permite comunicaes individuais seguras e identificadas em uma rede insegura, proporcionando autenticao para aplicaes cliente/servidor atravs do uso de criptografia de chave secreta, de modo que um cliente prove sua identidade a um servidor e vice-versa. (STEINER, NEUMAN, SCHILLER, 1988).
O Kerberos no faz a autenticao do prprio host no servidor, e sim, da aplicao que oferece o servio. O esquema para autenticar feito atravs de tickets, que servem para comprovar a autenticidade de um usurio, e assim, garantindo o acesso aos servios e aplicaes. (KERBEROS V5, 2013).
Quando um cliente faz a requisio com um ticket para o KDC (Centro de Distribuio de Chaves), ento criado um TGT (bilhete de concesso de bilhete) para o cliente, que criptografado utilizando a senha secreta do usurio. Aps isso, o KDC retorna o TGT para o cliente, que por sua vez, recebe e descriptografa com sua senha, garantindo a sua identidade. (CALR FILHO, 2013).
Conforme descrito por Tanenbaum (2003), o protocolo Kerberos utilizado em vrios sistemas operacionais, inclusive nos sistemas Microsoft Windows. Para que sua utilizao seja bem sucedida, devem-se manter os relgios sincronizados para que no ocorra falha na hora da autenticao. Ele permite que seus bilhetes sejam renovados e tambm que os mesmos tenham um tempo de durao maior.
Cada domnio administrativo tem seu prprio banco de dados Kerberos, que contm informaes sobre os usurios e servios para um determinado site ou domnio. Este domnio administrativo chamado de realm (reino). Sendo que cada realm tem seu servidor de autenticao e uma poltica de segurana, que permite que uma organizao defina diferentes nveis de segurana. A diviso dos reinos tambm pode ser hierrquica, permitindo assim que cada rea da organizao possua um reino local vinculado ao reino central. (CALR FILHO, 2013).
3.2.4. NTP
NTP (Network Time Protocol) um protocolo usado para sincronizar relgios de computadores na rede local ou na internet, a partir de uma referncia padro de tempo aceita mundialmente, conhecida como UTC (Universal Time Coordinated). (RNP, 2000).
Para os administradores de redes, a utilizao do NTP importante, pois possibilita a sincronizao automtica dos equipamentos conectados em uma rede, assim facilitando a vida de quem a administra, desta forma, no necessrio ir de mquina em mquina acertar o relgio local. (RNP, 2000).
-
3.2.5. SMB/CIFS
O protocolo SMB/CIFS (Server Message Block / Common Internet File System), um protocolo de redes que permite a troca de informaes na rede, compartilhando arquivos e impressoras. O CIFS uma atualizao do protocolo SMB. (HERTEL, 2003).
O termo SMB usado para fazer referncia no compartilhamento de arquivos em si. O protocolo permite que o cliente manipule arquivos em rede, como se estivesse utilizando localmente. O CIFS atua como cliente/servidor e requisio/resposta, o cliente envia requisies e o servidor respondendo a cada uma das requisies enviadas. O cliente pode fazer leitura, escrita e excluir arquivos como se estivesse na sua mquina local. (BARREIROS, 2013).
3.2.6. DHCP
O BootP segundo Hunt (2004), um protocolo simples, que foi a base para o desenvolvimento do DHCP (Dynamic Host Configuration Protocol). Ele atua sobre o protocolo UDP, utiliza as portas de comunicao 67 e 68, a mesma utilizada no protocolo que foi sua base, s com melhorias significativas.
O DHCP foi criado para trabalhar atravs do TCP/IP, fornecendo todas as configuraes possveis aos clientes. Destaca-se uma melhoria importante com o uso do DHCP, que permite a distribuio dinamicamente de endereos IPs na rede, so designadas em uma faixa de IPs, que so configurados em seu arquivo de configurao, a faixa de endereos conhecida como pool. O DHCP possibilita o aluguel de um endereo IP para um host por um intervalo de tempo especfico. Quando este tempo acaba o host obriga-se a pedir renovao para o servidor DHCP, ou caso contrrio deve ser devolvido, para que possa ser utilizado em outro dispositivo. (HUNT, 2004).
O servio que um servidor DHCP faz responder aos pacotes de broadcast das estaes, ele responde enviando um pacote com um endereo IP livre, seguindo com os demais dados da rede. O broadcast endereado ao endereo 255.255.255.255, que retransmitindo atravs de um switch ou hub em todas as suas portas. (MORIMOTO, 2009).
3.3. Servios de Rede
Uma forma de descrever o que uma rede, esclarece quando so conectados dois ou mais computadores, compartilhando informaes entre si. Os clientes da rede so computadores, os quais solicitam informaes. Essas informaes requisitadas podem ser consideradas servios de rede. (SCRIMGER, et al, 2002).
As redes de computadores possuem servidores, que so computadores dedicados a exercerem determinadas tarefas, ou seja, estes servidores so designados a oferecer servios de rede aos clientes. Existem vrios tipos de servios de rede, alguns destes necessitam de um servidor nico para o mesmo, mais isso no quer dizer que no possa ter um nico servidor disponibilizando mais que um servio na rede. (SCRIMGER, et al, 2002).
Abaixo segue uma lista com alguns servios de rede de forma simplificada.
Servio DHCP; Servio de compartilhamento de arquivos;
-
Servio DNS; Servio de Proxy Servio de Web; Servio de E-mail.
3.4. Samba
Como descrito anteriormente, o protocolo CIFS evolui-se do SMB passando por vrias melhorias. O Samba nada mais do que uma implementao das mesmas funes para sistemas do mundo UNIX. O seu desenvolvimento foi baseado no SMB, e assim, foi evoluindo e atualizando-se, introduzindo suporte ao CIFS. Mantendo-se atualizado lado a lado com as verses mais recentes do Windows. (MORIMOTO, 2009).
O servidor Samba possibilita o compartilhamento de arquivos e impressoras, tambm atua como um PDC (Primary Domain Controller), autenticando os usurios em redes locais. O Samba um servio de rede bem completo e flexvel, atende muito bem clientes Linux, quanto clientes Windows. (MORIMOTO, 2009).
Samba composto por dois programas-chave, que so smbd e o nmbd. Suas funes de trabalho so a implementao dos quatro servios bsicos CIFS, que so: servios de arquivo e impresso, autorizao e autenticao, resoluo de nomes e por ltimo, anncio de servio de navegao. (SAMBA.ORG-2, 2013).
Os servios de arquivo e impresso so o carro chefe da sute CIFS. Estes so fornecidos pelo smbd, o SMB Daemon. Smbd tambm lida com o modo de autenticao e autorizao. J as outras duas peas CIFS, resoluo de nomes e de navegao, so tratados pelo nmbd. Estes dois servios envolvem basicamente a gesto e distribuio de listas de nomes NetBIOS. A resoluo de nomes assume duas formas: de broadcast e ponto-a-ponto. A mquina pode utilizar qualquer um ou ambos estes mtodos, dependendo da sua configurao. (SAMBA.ORG-2, 2013).
3.5. Samba 4
O samba 4 AD a evoluo de suas verses anteriores. Com o passar de um trabalho de dez anos, a equipe do Samba inclu-o junto com sua sute de servidor de arquivos, impresso e autenticao para cliente do Microsoft Windows. A primeira implementao de software livre de protocolos do AD da Microsoft. compatvel para todas as verses de clientes Microsoft Windows atualmente suportada. (SAMBA.ORG-3, 2013).
O Samba mantido por uma equipe, um grupo mundial de colaboradores, profissionais de informtica, que trabalham juntos atravs da internet, produzindo os servios que englobam todo o Samba. Mantendo constantemente atualizado os seus repositrios. (SAMBA.ORG-4, 2013).
O servio AD bem utilizado em ambientes de TI corporativo, ele o corao para implementaes de Servio de Diretrio. O Samba 4 continua a fornecer todas suas funes das verses anteriores, para que elas funcionem, deve ser adicionado em seu arquivo de configurao, smb.conf, os parmetros para elas entrarem em vigor. O servidor Samba 4 apresenta eficincia e flexibilidade, com sua interface de programao Python e um kit de ferramentas de administrao que ajuda o pessoal de TI nas implementaes corporativas. (SAMBA.ORG-3, 2013).
-
O Samba 4 AD, foi desenvolvido com o apoio da Microsoft, que disponibilizou publicando a documentao oficial do protocolo. A equipe Samba, tendo em mos o material disponibilizado sobre AD da Microsoft, fez do Samba 4 uma ferramenta interoperacional. A Microsoft est envolvida em apoiar a interoperabilidade entre as plataformas. (SAMBA.ORG-3, 2013).
Samba 4.0 permite a comunicao usando os protocolos SMB1, SMB2 e SMB3. Inclui servidor de diretrio LDAP, servidor de autenticao Kerberos, servidor DNS dinmico seguro, servidor SMB/CIFS e implementaes para todo procedimento remoto necessrio. Tambm oferece tudo que imprescindvel para servir como um Active Directory Domain Controller. (SCHNEIDER, 2012).
Alm dos servios citados acima, o Samba 4 AD oferece outros recursos como: Diretiva de Grupo, Perfis Mveis, ferramentas de administrao do Windows e integra-se com o Microsoft Exchange e servios compatveis com software livre como OpenChange. Tambm pode ser associado a um domnio existente do AD da Microsoft, da mesma forma, um servio de AD da Microsoft pode estar associado como membro de um Samba 4 AD. O que mostra uma verdadeira interoperabilidade entre Microsoft e Samba. (SAMBA.ORG-3, 2013).
Samba 4 AD tambm vem com uma melhoria do winbind, que um daemon que permite servidores de arquivos Linux, integrarem-se facilmente em servios do AD, sendo compatvel tanto com Microsoft AD e Samba 4 AD. (SAMBA.ORG-3, 2013).
O Samba 4 possibilita a integrao de outros servios de rede junto ao AD, como: E-mail, Web, Proxy, entre outros. Desta forma, centralizando vrios servios, e assim, facilitando na hora da manuteno.
4. Materiais e Mtodos
A metodologia cientfica segundo Gil (2010) baseia-se em vrios tipos de pesquisas, que so pontos cruciais para a elaborao de trabalhos cientficos. Conforme Gil (2010, p. 1) a pesquisa pode ser definida como o procedimento racional e sistemtico que tem como objetivo proporcionar respostas aos problemas que so propostos. A pesquisa em si, busca obter o conhecimento sobre um determinado assunto. Eleva vrias tcnicas de investigao para colher dados vlidos de fontes seguras para a elaborao de trabalhos.
4.1. Mtodos
Elaborou-se este artigo atravs de estudos bibliogrficos. Conforme descrito por Marconi e Lakatos (2012), a pesquisa bibliogrfica so fontes de outros autores que j foram publicadas em relao ao tema sobre o qual realiza-se a pesquisa. Essas publicaes so encontradas de vrias formas como, em jornais, livros, artigos, monografias, materiais disponibilizados pela internet, entre outros. Isso possibilita o pesquisador a obter contato direto com todas essas opes, para fins de coletar informaes para poder transcrever seu trabalho.
O embasamento terico de pesquisa deste artigo teve sua referncia baseada em livros, artigos e sites. Desta forma coletando informaes importantes para servir como fundamentao terica para o artigo.
-
4.2. Materiais
O ambiente utilizado para fins de estudos e prticas deste artigo baseado em um ambiente virtual. Utilizou-se software Oracle VM VirtualBox verso 4.3.2, que uma ferramenta grtis que possibilita a simulao de computadores reais em mquinas virtuais. O Quadro 1 especfica a lista com os Sistemas Operacionais e suas respectivas funes.
Quadro 1. Sistemas Operacionais Utilizados.
Sistemas Operacionais Utilizaes
Linux Debian 7 Wheezy x64 Servidor Samba 4 AD
Linux Ubuntu Server 12.04.3 LTS x64 Servidor Internet, DHCP e Proxy Squid
Linux Ubuntu Desktop 12.04.3 LTS x64 Cliente do AD
Windows 8 Pro x64 Cliente do AD
Windows 7 Pro x64 Mquina utilizada para gerenciar o Samba
4 AD e tambm cliente do AD
O Quadro 2 a seguir detalha quais servios de rede Linux que foram utilizados para a aplicao prtica do artigo bem como as verses que foram utilizadas.
Quadro 2. Servios Linux Utilizados.
Servios Verses
Isc-dhcp-server 4.1
Squid cache 3.3.10
Iptables 1.4.12
Samba 4 4.1.0
4.3. Modelo Proposto
A implementao deste artigo ser realizada em um ambiente virtual de testes, posteriormente podendo ser aplicada em empresas, que carecem de um Servio de Diretrio, disponvel para sua rede local, com a vantagem de ser implementado em software livre. Na Figura 1, ser mostrado o modelo proposto para implementar uma rede local com Samba 4.
-
4.4. Instalaes
4.4.1. Requisitos
Antes de iniciar-se o processo de instalao, deve-se primeiro verificar os requisitos necessrios para a implementao de um servidor Samba 4 AD. Seguindo a parte documentada do projeto Samba, instalando os pacotes, bibliotecas e preparando o sistema de arquivos, onde necessrio para que sua compilao seja feita com sucesso. Precisa-se tambm parar ou remover qualquer outra verso do samba anterior na mquina em que ser instalado o Samba 4 AD, evitando assim conflitos de configuraes mais tarde.
Figura 1. Implementao Samba 4.
-
O primeiro passo instalar todas as bibliotecas e programas recomendados conforme os requisitos. Para distribuies Debian ou Ubuntu, devem-se instalar as seguintes bibliotecas com o seguinte comando, conforme mostra a Figura 2. (SAMBA.ORG-5, 2013).
Para usar os recursos avanados do Samba 4, precisa-se que o sistema de arquivos tenha suporte a permisses adicionais como: xattr e acl, tanto para o usurio, como tambm ao sistema de arquivos. Se o sistema de arquivos que estiver sendo usado for do tipo ext3 ou ext4 precisa-se incluir essas opes no arquivo de configurao /etc/fstab, conforme o exemplo abaixo:
/dev/hda3 /home ext3 user_xattr,acl,barrier=1 1 1
4.4.2. Download e Instalao
Para fazer download da ltima verso do Samba 4 basta acessar a pgina principal do site do projeto samba.org como mostra a Figura 3.
Figura 2. Dependncias para Samba 4.
-
Aps o trmino do download, entre no local onde foi salvo o Samba 4, para dar incio ao processo de compilao e instalao. Descompacte o arquivo, aps ser extrado, acesse a pasta que contm todos os arquivos necessrios para a instalao. Lembrando que para instalar, o usurio tem que ter permisso do root. O processo de instalao manual, o samba por padro ser instalado em /usr/local/samba podendo tambm ser direcionado a outro local no momento de sua configurao. (SAMBA.ORG-6, 2013).
Os comandos e outros detalhes sobre a instalao encontram-se na pgina oficial do projeto samba.org. Primeiro comando ./configure a ser digitado no Shell que vai fazer a configurao de todos os pacotes do Samba 4, o segundo comando a ser digitado make que compila todo o projeto gerando os binrios para a instalao e por ltimo o comando make install que far a instalao. (SAMBA.ORG-6, 2013).
4.4.3. Configuraes
Para o funcionamento correto do Samba 4 AD preciso alguns ajustes para no acontecer erros. Necessita-se fazer uma alterao no arquivo hosts do Linux que fica localizado em /etc/hosts. Conforme mostra a Figura 4.
Figura 3. Download do Samba 4.
-
A terceira e quarta linha do arquivo visto na Figura 4, devem ser acrescentadas. A terceira linha corresponde ao endereo IP do servidor Samba 4, seguido do nome do hostname e o domnio utilizado no Samba 4 AD.
O prximo passo a configurao do arquivo resolv.conf, que tem a funo configurar a resoluo de nomes para a mquina local. Este arquivo fica localizado dentro do diretrio /etc, como ilustrado na Figura 5.
Seguindo o processo de configurao, deve-se acrescentar a seguinte linha que encontra-se destacada na Figura 6, no arquivo .bashrc que fica dentro de /root/.bashrc, facilitando desta forma o trabalho com o Samba para o administrador da rede.
O AD requer uma sincronizao de tempo exato entre os clientes e o controlador de domnio (DC). Recomenda-se a instalao do NTP para gerenciar a sincronizao entre ambos. (SAMBA.ORG-7, 2013).
Figura 4. Arquivo hosts.
Figura 5. Arquivo resolv.conf.
Figura 6. Arquivo .bashrc.
-
4.4.4. Provisionamento
Para efeitos de teste, adotaram-se as seguintes configuraes para o Samba 4:
Hostname do Servidor: debianad; DNS Domain Name: srvad.com; NT4 Domain Name: srvad; Endereo IP: 192.168.0.253; Funo do Servidor: DC.
O provisionamento cria um banco de dados, que usado quando se est configurando o Samba 4 pela primeira vez, em seu prprio domnio. Para poder inicializar o domnio, deve-se estar com privilgios de usurio root. O seguinte comando: samba-tool domain provision --use-rfc2307 --interactive, usado para criar o AD de forma interativa como mostra a Figura 7. (SAMBA.ORG-7, 2013).
A Figura 8 mostra o final do comando disparado mostrado anteriormente na Figura 7, com os detalhes finais sobre Active Directory Domain Controller.
Uma configurao de DNS de trabalho essencial para o funcionamento correto do Samba 4 AD. Sem as entradas DNS corretas, Kerberos no ir funcionar, o que significa que muitas das caractersticas bsicas tambm viro a falhar. Para o provisionamento para fins de teste, utilizou-se o DNS interno do Samba 4 que o padro, lembrando que para usar o Samba interno no deve ter mais nenhum outro programa de gerenciamento de DNS em uso. (SAMBA.ORG-7, 2013).
Figura 7. Provisionamento do AD.
Figura 8. Detalhes do provisionamento.
-
Aps o processo estar quase completo, deve-se mover ou apagar o arquivo krb5.conf que encontra-se no diretrio /etc, criado no momento da instalao das dependncias do Samba 4 AD. Depois basta copiar o arquivo, que foi criado junto ao provisionamento do Domnio do Samba 4 AD, que o arquivo de configurao do Kerberos. Encontra-se no diretrio /usr/local/samba/private/ com o nome krb5.conf. conforme mostra a Figura 9. (SAMBA.ORG-7, 2013).
Para finalizar, deve-se adicionar a linha /usr/local/samba/sbin/samba ao arquivo /etc/rc.local, desta forma quando o sistema operacional for reiniciado ou ligado, o servio do Samba 4 AD inicializar sem a interveno do usurio (administrador).
4.5. Ingressando Clientes ao Samba 4 AD
O AD um servio de rede, que permite ao administrador gerenciar de forma centralizada toda sua rede. Para permitir que clientes ingressem em um Samba 4 AD ou at mesmo em um Microsoft AD, preciso associar o computador cliente a algumas configuraes primrias, que so: configurar o DNS para responder ao Servidor AD, verificar-se a data, hora e fuso horrio esto sincronizados com AD e por ltimo juntar-se ao domnio. (SAMBA.ORG-8, 2013).
Clientes Linux tambm podem fazer parte do AD Samba 4, s que o processo para ingressar mquinas Linux ao AD mais complexo. No decorrer deste artigo, ingressaram-se clientes Linux ao AD para fins de testes, porm este processo no ser detalhado neste artigo.
Ingressando cliente Windows 8 ao domnio:
1. Entre nas propriedades de meu computador; 2. Encontre a opo com o dizer (Nome do computador, domnio e configuraes de
grupo de trabalho) e clique em alterar configuraes; 3. Na guia nome do computador clique em alterar; 4. Na opo membro de, marque a opo Domnio e digite o domnio do AD, exemplo
SRVAD.COM em caixa alta e clique em OK; 5. Encontrando o AD vai aparecer uma tela pedindo login e senha, para ingressar
informe o usurio administrador do AD e sua senha e aperte o boto OK; 6. Ir aparecer uma mensagem de boas vindas ao domnio, em seguida ser solicitado
para reiniciar o sistema.
Figura 9. Arquivo do kerberos.
-
Aps o sistema ser reiniciado, basta fazer o login do domnio com seu usurio do AD. A Figura 10 ilustra como ingressar um cliente Windows 8 ao AD.
4.6. Gerenciando Samba 4 AD
A gesto do Samba 4 AD, pode ser feita atravs das ferramentas administrativas remota do Windows, sendo disponibilizadas de forma gratuita no site da Microsoft. Para fazer a gerncia do Samba 4 AD, a mquina a qual vai ser utilizada, tem que estar ingressada ao mesmo, e com direitos administrativos, ento deve-se baixar e instalar as ferramentas administrativas referentes verso do Sistema Operacional. (SAMBA.ORG-9, 2013).
O Samba 4 tambm possibilita a gerncia por meio de sua ferramenta de gesto samba-tool, que disponibiliza vrios recursos, como adicionar e remover usurios, criar e gerenciar grupos, fazer a gerncia do DNS, entre outros.
4.7. Outros Servios
Utilizaram-se outros servios de rede local para o desenvolvimento deste artigo, sendo eles: DHCP, Iptables e Proxy Squid Cache, instalados na mquina com Sistema Operacional Ubuntu Server. No ser descrito o processo de instalao e configurao, pois eles no so o foco deste artigo. Ser exposta somente uma cpia dos arquivos de configurao de cada servio.
DHCP - /etc/dhcp/dhcpd.conf
Quadro 3. Configurao DHCP
ddns-update-style none; default-lease-time 600; max-lease-time 7200; authoritative;
Figura 10. Cliente Windows 8.
-
subnet 192.168.0.0 netmask 255.255.255.0 { range 192.168.0.10 192.168.0.30; option routers 192.168.0.254; option domain-name-servers 192.168.0.253,192.168.0.254; option broadcast-address 192.168.0.255; option domain-name "srvad.com"; } host AD { hardware ethernet 08:00:27:92:06:18; fixed-address 192.168.0.253; }
Squid Cache - /usr/local/squid/etc/squid.conf
Quadro 4. Configurao Squid.
# # Recommended minimum configuration: # visible_hostname servidor1.srvad.com cache_effective_user squid cache_effective_group squid # Example rule allowing access from your local networks. # Adapt to list your (internal) IP networks from where browsing # should be allowed acl localnet src 10.0.0.0/8 # RFC1918 possible internal network acl localnet src 172.16.0.0/12 # RFC1918 possible internal network acl localnet src 192.168.0.0/16 # RFC1918 possible internal network acl localnet src fc00::/7 # RFC 4193 local private network range acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT ####Fora do Cache acl NOCACHE url_regex -i "/usr/local/squid/etc/outcache"
-
no_cache deny NOCACHE ################################################### # autenticacao no AD ################################################### auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 30 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours ##### Faz a verificao por grupos no AD ##### external_acl_type grupo_ad %LOGIN /usr/local/squid/libexec/ext_wbinfo_group_acl ###GRUPOS#### acl grp-diretores external grupo_ad diretores acl grp-funcionarios external grupo_ad funcionarios acl grp-estagiarios external grupo_ad estagiarios ### sites que estao liberados ### acl sites_liberados url_regex -i "/usr/local/squid/etc/sites_liberados" ### fechar facebook ### acl face dstdomain .facebook.com acl face dstdomain .facebook.com.br acl face dstdomain www.facebook.com acl face dstdomain www.facebook.com.br acl web src "/usr/local/squid/etc/ips_liberados" http_access allow web http_access allow grp-diretores http_reply_access deny face http_access deny CONNECT face http_access allow grp-funcionarios !face http_access deny grp-estagiarios !sites_liberados http_access allow sites_liberados # # Recommended minimum Access Permission configuration: # # Deny requests to certain unsafe ports http_access deny !Safe_ports # Deny CONNECT to other than secure SSL ports http_access deny CONNECT !SSL_ports
-
# Only allow cachemgr access from localhost http_access allow localhost manager http_access deny manager # We strongly recommend the following be uncommented to protect innocent # web applications running on the proxy server who think the only # one who can access services on "localhost" is a local user #http_access deny to_localhost # # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS # # Example rule allowing access from your local networks. # Adapt localnet in the ACL section to list your (internal) IP networks # from where browsing should be allowed # And finally deny all other access to this proxy #http_access allow localnet http_access allow localhost http_access deny all # Squid normally listens to port 3128 http_port 3128 # Uncomment and adjust the following to add a disk cache directory. cache_dir ufs /usr/local/squid/var/cache/squid 256 16 256 # Leave coredumps in the first cache dir coredump_dir /usr/local/squid/var/cache/squid # # Add any of your own refresh_pattern entries above these. # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Iptables - /etc/init.d/firewall.sh
Quadro 5. Configurao iptables.
# Inicio echo " Iniciando o Firewall " #Zerando o Firewall iptables -F
-
iptables -X iptables -t nat -F iptables -t nat -X #Carrega os modulos modprobe iptable_nat echo 1 > /proc/sys/net/ipv4/ip_forward # Compartilha a conexo mascarando iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # Nat redirecionamento de Portas iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
5. Resultados
Neste artigo foram alcanados os objetivos propostos. Sendo estes, implementao de um Servio de Diretrio envolvendo Samba 4, a integrao de um servio de rede local ao AD, sendo que todos estes servios so exemplos de software livre.
Aps o processo de instalao do Samba 4 AD, tambm houve a necessidade de configurar o servio DHCP e Squid. Um detalhe a considerar, para que o servio Proxy funcione corretamente, que a mquina que est instalada o Squid Cache deve estar integrada ao AD. Desta forma, quando os usurios autenticados no AD forem utilizar a Internet, o Squid ir interagir fazendo a verificao junto aos grupos criados no Samba 4 AD. A Figura 11 ilustra o processo quando o cliente utiliza a Internet.
5.1. Unidades Organizacionais
Foram criadas Unidades Organizacionais (OUs), que facilitam a organizao dentro de um domnio. Para estudos foi criada a OU de nome empresa, a partir dela, criaram-se mais trs, diretores, funcionrios e estagirios.
Figura 11. Squid integrado ao AD.
-
Dentro da OU diretores criou-se um grupo com o nome de diretores, e dois usurios que so: Huguinho e Zzinho que fazem parte deste grupo. Nas seguintes OUs foi criado tambm um grupo para cada, com seus respectivos nomes, sendo que os integrantes da OU funcionrios so: Luisinho e Pedrinho e os integrantes Boby e Alice pertencem a OU estagirios. Conforme ilustrado na Figura 12.
5.2. Diretivas de Grupos
Foram testadas as diretivas de grupos, e foram associadas as respectivas OUs criadas anteriormente. Desta forma, as mesmas aplicam-se a todas as contas de usurios dentro da OU. A Figura 13 mostra uma diretiva de grupo criada.
Figura 12. OUs, Usurios e Grupos.
Figura 13. Diretiva de grupo.
-
Nos testes feitos com diretivas em clientes Windows, todas tiveram xito, j as diretivas em clientes Linux no tiveram a funcionalidade desejada, quando comparada as mquinas Windows. Foi criada uma diretiva para inserir o endereo do Servidor Proxy (automaticamente) no navegador (Internet Explorer), e outra para impedir que sejam alteradas as configuraes do Servidor Proxy, como por exemplo, endereo IP e Porta do Proxy. Conforme exposta na Figura 14.
5.3. Compartilhando Arquivos
Computadores conectados em redes precisam compartilhar arquivos. Como o Samba 4 manteve todas as caractersticas de suas verses anteriores, basta configur-lo para prover este servio na rede.
Para fazer a configurao deste servio, criou-se um diretrio com nome Arquivos, localizado dentro do diretrio /home. Depois desta etapa, basta somente adicionar uma configurao simples no arquivo do Samba 4, smb.conf, localizado em /usr/local/samba/etc/smb.conf. Acrescentando as seguintes linhas:
[Arquivos]
path = /home/Arquivos
read only = No
Figura 14. Funcionamento da diretiva.
-
Depois desta configurao, basta logar-se no domnio com o usurio Administrador, e dar permisso de acesso total ao diretrio Arquivos, assim ficando disponvel para todos os usurios do AD. (SAMBA.ORG-10, 2013).
6. Consideraes Finais
O Samba 4 AD apresenta-se como uma ferramenta para Servio de Diretrio, encontra-se em sua verso estvel e apresenta muita flexibilidade bem como estabilidade. Alm dessas vantagens no que diz respeito ao AD, pode ser considerado concorrente direto ao AD da Microsoft. Esta soluo de Servio de Diretrio com o Samba 4, pode ser implementada em empresas de pequeno e mdio porte, por tratar-se de uma ferramenta de cdigo aberto. Usualmente, em ambientes coorporativos, necessitaria de tempo hbil maior, e assim, tambm um estudo mais aprofundado.
Desta forma, ir gerar a reduo de custos com relao a licenas de uso de software, assim, influenciando na economia como um todo no que diz respeito a solues em TI.
6.1. Dificuldades Encontradas
No desenvolver do artigo, encontrou-se algumas dificuldades com relao a materiais para fundamentao terica sobre o Samba 4 AD, por tratar-se de algo novo. No foi encontrado nenhum livro especfico sobre o mesmo, sendo que o material para fundamentar e implementar o AD, foi basicamente encontrado no site oficial do projeto.
Outro ponto de dificuldade, foi achar documentao de fontes confiveis para ingressar clientes Linux ao AD, da mesma forma, interagir com Diretivas de Grupos em clientes Linux, um recurso que o AD disponibiliza, e que explorado pelos administradores de redes.
6.2. Trabalhos Futuros
O projeto do Samba 4 AD, est em corrente manuteno, verificando e corrigindo erros que surgem. Como esta ferramenta nova, ainda pode ser muito explorada por possuir uma srie de recursos que podem ser estudados em trabalhos futuros.
Sugestes para trabalhos futuros: Perfil Mvel, replicao do Servidor Samba 4 AD, explorar Diretivas de Grupos para clientes Linux e tambm fazer do Samba 4 um membro de um AD da Microsoft.
Referncias
BARTLETT, Andrew. (2005) Samba 4 - Active Directory, http://www.samba.org/samba/news/articles/abartlet_thesis.pdf, Agosto.
BARREIROS, Caio C. (2013) Redes de Computadores I, http://www.gta.ufrj.br/grad/01_2/samba/samba.htm, Novembro.
COMER, Douglas E. (2007) Redes de computadores e internet, 4. ed. Porto Alegre: Bookman.
CALR FILHO, Marcos M. (2013) Kerberos, http://www.gta.ufrj.br/grad/99_2/marcos/kerberos.htm, Novembro.
-
GIL, Antonio C. (2010 ) Como elaborar projetos de pesquisa, 5. ed. - So Paulo: Atlas.
HERTEL, Christopher R. (2003) Implementing CIFS, http://www.ubiqx.org/cifs/, Novembro.
HUNT, Craig. (2004) Linux: servidores de rede, Rio de Janeiro: Cincia Moderna.
KERBEROS V5. (2013) Kerberos V5 System Administrator's Guide, http://web.mit.edu/~kerberos /krb5-1.10/krb5 -1.10.7 /doc/krb 5- admin.html#Network-Services-and-Their-Client-Programs, Novembro.
KUROSE, James F., ROSS, Keith W. (2010) Rede de computadores e a Internet: uma abordagem top-down, 5. ed. So Paulo: Addison Wesley.
MARCONI, Marina de A., LAKATOS, Eva M. (2012) Tcnicas de pesquisa: planejamento e execuo de pesquisas, amostragens e tcnicas de pesquisa, elaborao, anlise e interpretao de dados, 7. ed. So Paulo: Atlas, 2012.
METZMACHER, Stefan. (2007) Active Directory Replication, http://www.samba.org/~metze/presentations/2007/thesis/StefanMetzmacher_Bachelorthesis_ENG_Draft-9811557.pdf, Setembro.
MORIMOTO, Carlos E. (2009) Servidores Linux, guia prtico, Porto Alegre: Sul Editores.
RNP (2000) Implementando o servio NTP na sua rede local, CAIS - Centro de Atendimento a Incidentes de Segurana, http://www.rnp.br/_arquivo/cais/manual_ntp_v1b.pdf, Novembro.
RIBEIRO JUNIOR, Jaime. (2008) OpenLDAP: a chave a centralizao, http://www.barbacena.ifsudestemg.edu.br/system/files/ldap-1.pdf, Novembro.
SAMBA.ORG-1. (2013) What is Samba?, http://www.samba.org/samba/what_is_samba.html, Setembro.
SAMBA.ORG-2. (2013) Samba: An Introduction, http://www.samba.org/samba/docs/SambaIntro.html, Novembro.
SAMBA.ORG-3. (2013) Samba Team Releases Samba 4.0, https://www.samba.org/samba/news/releases/4.0.0.html, Outubro.
SAMBA.ORG-4. (2013) The Samba Team, http://www.samba.org/samba/team/, Setembro.
SAMBA.ORG-5. (2013) Samba 4/OS Requirements, https://wiki.samba.org/index.php/Samba_4_OS_Requirements, Novembro.
SAMBA.ORG-6. (2013) Build Samba, https://wiki.samba.org/index.php/Build_Samba. Setembro.
SAMBA.ORG-7. (2013) Samba AD DC HOWTO, https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO, Setembro.
SAMBA.ORG-8. (2013) Configuring a windows client for AD, https://wiki.samba.org/ index.php/ Configuring_a _windows_client_for_AD, Novembro.
-
SAMBA.ORG-9. (2013) Samba AD management from Windows, https://wiki.samba.org/index.php/ Samba_AD_ management_ from_windows, Setembro.
SAMBA.ORG-10. (2013) Setup and configure file shares, https://wiki.samba.org/index.php/Setup_and_configure_file_shares, Outubro.
SCHNEIDER, Andreas. (2012) Features/Samba4, https://fedoraproject.org/wiki/Features/Samba4, Novembro.
SCRIMGER, Rob, LASALLE, Paul, PARIHAR, Mridula, GUPTA, Meeta. (2002) TCP/IP - A Bblia, Rio de Janeiro: Elsevier.
STANEK, William R. (2009) Windows Server 2008: guia completo, Porto Alegre: Bookman.
STEINER, Jennifer G., NEUMAN Clifford, SCHILLE Jeffrey I. (1988) Kerberos: An Authentication Service for Open Network Systems, http://www.cse.nd.edu/~dthain/courses/cse40771/fall2004/papers/kerberos.pdf, Outubro.
TANENBAUM, Andrew S. (2003) Redes de Computadores, Rio de Janeiro: Elsevier.
TANENBAUM, Andrew S., WETHERALL, David. (2011) Redes de Computadores, So Paulo: Pearson Prentice Hall.
TRIGO, Clodonil H. (2007) OpenLDAP - Uma Abordagem Integrada, So Paulo: Novatec.