Ajuda em Autenticação de Linux em windows 2003

Iniciado por SelkSantos, 12 de Março de 2008, 15:07

tópico anterior - próximo tópico

SelkSantos

boa tarde amigos...
venho pedi uma ajuda a todos..
meu cenario é: tenho um PDC windows 2003 server com AD,DNS,DHCP e outro servidor Linux que quero colocar Proxy e Firewall.

és minha duvida.. tenho o ubuntu server 7.10, e NÃO conheço muito o linux via shell..

quem tem um tutorial mostrando como faz para fazer a insalação do proxy e firewall e fazer que o servidor linux se autentique no AD do windows 2003.

obrigado a todos..

arlei

Olá amigo, seja bem vindo.

Favor dar uma olhada nas regras aqui do fórum, pois o título deste seu tópico não esta em conformidade com as mesmas.

http://ubuntuforum-br.org/index.php/topic,22077.0.html

T+
Arlei

SelkSantos

Citação de: arlei online 12 de Março de 2008, 15:13
Olá amigo, seja bem vindo.

Favor dar uma olhada nas regras aqui do fórum, pois o título deste seu tópico não esta em conformidade com as mesmas.

http://ubuntuforum-br.org/index.php/topic,22077.0.html

T+
Arlei

obrigado por me orientar... sinceramente nao tive tempo de entrar e ler todas as regras...
mais ainda bem que tem pessoas como vc parceiras para orintar os novatos..

desde já agraço a atenção de vc e de todos.

Lex Luthor

SelkSantos,

Eu já fiz isso com o Squid. Se é ele que você quer colocar é bem fácil, só que não tenho como te dizer neste momento porque tem um bom tempo que fiz isso.
Mas o básico é você instalar um squid com a autenticação NTLM habilitada, no squid.conf você configura aonde ele vai buscar os usuários e você pode configurar as listas de acesso de acordo com os grupos existentes no PDC.
Eu fiz isso tem uns 5 anos atrás, então eu não tenho como te orientar diretamente, pois sei que muita coisa mudou, embora ache que isso nem tanto, mas não me lembro dos detalhes.

Acho que o melhor lugar para você procurar informações mais detalhadas sobre esse assunto é a lista do Squid. Lá tem informações completas sobre como instalar e configurar o NTLM.

  Mesmo sem conhecer linha de comando, não é difícil, mas para facilitar mais ainda, instale o WEBMIN, um servidor web para configuração do seu servidor e de todos os serviços. Muito bom mesmo, vai facilitar a sua vida, inclusive para configurar as listas de acesso do Squid.

Abraços...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

Lex Luthor

Selk,

    Procurei aqui na internet para ver o que achava, e olha só: http://www.flatmtn.com/article/setting-squid-ntlm-auth

     Nesta página, tem tudo explicadinho. Não é para o Ubuntu, mas Squid é um só, é só ignorar os procedimentos de compilação. Estou considerando é claro que o Squid nos repositórios está compilado com o winbind (para a autenticação NTLM).

      Os pontos relevantes:

       1) Configurar SAMBA (/etc/samba/smb.conf):


[global]
workgroup = [WORKGROUP]
netbios name = [MACHINE_NAME]
password server = [PDC]
security = domain
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes



    Isso vai fazer o winbind pegar e mapear os usuários e grupos nessa faixa descrita acima.


     2)  Configurar o SQUID (/etc/squid/squid.conf):

# note: you may need to increase children based on your number of users
auth_param ntlm program /usr/lib/squid/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/lib/squid/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# only need this if you want to use Windows Domain Groups for acl(s)
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl




   Essa parte acima configura o helper que vai fazer a autenticação e algumas acls baseadas em grupos para serem utilizadas pelo squid.

  3) Inserir o seu servidor no domínio PDC e iniciar os serviços:


iniciar samba
smbpasswd -j [DOMAIN] -r [PDC] -U [user_name]
iniciar winbind


   4) Teste básico da rede Ruindows:


wbinfo -t    (teste para ver se se juntou ao dominio, deve retornar "Secret is good")
wbinfo -a [domain]\\[user]%[password]   (Teste para ver se está aceitando o NTLM)


   5) Teste do helper do Squid:


./wbinfo_group.pl
[domain]\[user] [domain]\[group]


   Deve retornar OK ou ERR. Para sair, CTRL+C


Isso é o básico, daí é testar pelo squid.
Resumi bastante, para ver se ajuda, não é muito complicado não, mas na época foi um saco mais por causa de permissões no PDC que eu não tinha, mas de resto funciona que é uma beleza, inclusive você pode logar com o squid o nome do usuário junto com a requisição, fazer acls para restrições por usuário e tudo mais.

Espero ter ajudado.
Abraços...
Analista de Redes- Segurança da Informação
Bacharel em Ciências da Computação - UnB
Ubuntu Forever - Compiz Fusion -

SelkSantos


Citação de: Lex Luthor online 12 de Março de 2008, 16:11
Selk,

    Procurei aqui na internet para ver o que achava, e olha só: http://www.flatmtn.com/article/setting-squid-ntlm-auth

     Nesta página, tem tudo explicadinho. Não é para o Ubuntu, mas Squid é um só, é só ignorar os procedimentos de compilação. Estou considerando é claro que o Squid nos repositórios está compilado com o winbind (para a autenticação NTLM).

      Os pontos relevantes:

       1) Configurar SAMBA (/etc/samba/smb.conf):


[global]
workgroup = [WORKGROUP]
netbios name = [MACHINE_NAME]
password server = [PDC]
security = domain
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes



    Isso vai fazer o winbind pegar e mapear os usuários e grupos nessa faixa descrita acima.


     2)  Configurar o SQUID (/etc/squid/squid.conf):

# note: you may need to increase children based on your number of users
auth_param ntlm program /usr/lib/squid/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/lib/squid/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# only need this if you want to use Windows Domain Groups for acl(s)
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl




   Essa parte acima configura o helper que vai fazer a autenticação e algumas acls baseadas em grupos para serem utilizadas pelo squid.

  3) Inserir o seu servidor no domínio PDC e iniciar os serviços:


iniciar samba
smbpasswd -j [DOMAIN] -r [PDC] -U [user_name]
iniciar winbind


   4) Teste básico da rede Ruindows:


wbinfo -t    (teste para ver se se juntou ao dominio, deve retornar "Secret is good")
wbinfo -a [domain]\\[user]%[password]   (Teste para ver se está aceitando o NTLM)


   5) Teste do helper do Squid:


./wbinfo_group.pl
[domain]\[user] [domain]\[group]


   Deve retornar OK ou ERR. Para sair, CTRL+C


Isso é o básico, daí é testar pelo squid.
Resumi bastante, para ver se ajuda, não é muito complicado não, mas na época foi um saco mais por causa de permissões no PDC que eu não tinha, mas de resto funciona que é uma beleza, inclusive você pode logar com o squid o nome do usuário junto com a requisição, fazer acls para restrições por usuário e tudo mais.

Espero ter ajudado.
Abraços...

Lex, muito obrigado mesmo, vou fazer os testes agora mesmo..  vou fazer os teste no VMware.. depois passo direto para os servidores..

novamente.. obrigado mesmo.
abraço.