Cada S.O. tem sua particularidade quando se diz em Gerenciar usuários e seus previlégios, uns gostam do Samba, LDAP ou AD do Server Microsoft que ao meu ver tem muito recurso e muito fácil para a gerencia após montá-lo. Uma grande dificuldade que tive na rede corporativa foi a de ter que migrar todas as estações para Linux e não perdendo as raízes históricas do Servidor de Usuários o AD do Server 2003.
Esse passo a passo é uma boa dica para conectar as estações linux através dos usuários do AD Windows, permitindo assim que eu possa ir migrando aos poucos as estações para Linux, e mantendo a mesma gerência em uma rede ainda híbrida.
Por fim nas estações linux através do AD eu tinha um perfil padrão para os usuários logados, então por que não também dar um jeito nisso nas estações Linux.
Requisitos utilizados:
- Windows Server 2003 Enterprise Edition
- Active Directory e DNS Server
- GNU/Linux – Ubuntu 12.04 LTS
- CentrifyDC
Instalação Centrify Direct Control
Primeira etapa instalando o CentrifyDC:
Abra o terminal e adicione a chave de repositório:
$ sudo add-apt-repository “deb http://archive.canonical.com/ oneric partner”
Depois, atualize a lista de repositórios:
$ sudo apt-get update
Agora basta instalar o pacote com o comando:
$ sudo apt-get install centrifydc
Depois de instalado o CentrifyDC, vamos inserir a estação Linux no domínio.
**Vale lembrar que ja consideramos que a máquina tem acesso ao servidor DNS e esta com toda a sua configuração de rede correta.
O comando para inseri ao domínio é:
$ sudo addjoin –w seudominio.local -u UsuarioAdministradorDoAD
Depois de inserir o comando será solicitado a senha do usuario que tenha previlégios de administrador do AD e dando tudo certo será retornado uma mensagem que tem o seguinte inínio:
Centrify DirectControl started.
Loading domains and trusts information
….
Para testar se a máquina foi corretamente adicionada, entre com o comando:
# adinfo
Irá retornar as informações da estação no AD.
Vá também no Servidor Windows e abra o Active Directory (executar: das.msc) e verifique se a máquina foi adicionada corretamente no domínio, na OU Computers, deverá conter o nome da máquina recém inserida no domínio.
Não estando na OU verifique as conexões de rede que são na grande maioria o problema que impede esta integração, corrigindo o problema basta repetir os passos iniciais.
Com estas etaps concluidas ja é possivel se logar na estação linux com o usuário devidamente configurado no AD Windows, ao se logar ja é criado uma pasta de usuário no /home da máquina.
Mas ainda não é possível logar pelo modo gráfico na tela de login inicial do Ubuntu.
Vamos la para resolver isso:
Se não estiver instalado o LIghtdm instale com o seguinte comando:
$ sudo apt-get install lightdm
se vc ja possui instalado na máquina basta entrar no conf do lightdm e fazer a seguinte alteração:
$ sudo joe /etc/lightdm/lighdm.conf
Lembrando que o “joe” é um editor de texto no terminal que utilizo, mas pode ser usado o “vim”, e adicione a seguinte linha:
greeter-show-manual-login=true
Feito isto reinicie o serviço:
$ sudo /etc/init.d/lightdm restart
Criação de Perfil Padrão (skeleton)
Bom ate aqui ja logamos com usuários no AD tanto pelo terminal quanto pelo modo gráfico, agora para finalizar vamos criar um perfil padrão para todos os novos usuários da máquina.
Em minha rede eu utilizo da seguinte forma, quando eu instalei uma nova estação Linux utilizei um usuário inicial com permissão sudoers Certo!, então ire usar ele como base do padrão.
Utilize este login do usuário inicial instalado e faça todas as alterações necessárias, que no meu caso eu configuro o proxy no navegador, crio alguns atalhos na área de trabalho do usuário, e configuro outras coisas que cada um utilizará como particularidade ou necessidade.
Feito isso finalizado um usuário ideal para sua rede, basta copiar este perfil para o diretório /etc/skel porém
vi muito tutorial dizendo para utilizar o comando:
# cp –av /home/modelo/* /etc/skel
que já estaria resolvido!, mas eu tive muito problema por emular alguns programas Windows nas estações Linux através do Wine, que em meu usuário padrão rodava perfeitamente mas nos novos usuários não funcionava.
Para garantir isso passei a utilizar o Grsync em modo gráfico mesmo.
Se voce não tem ele instalado basta executar o seguinte comando:
$apt-get install grsync
Após isso entre no Dash e digite Grsync:
Bom é isso ae, com isso vc terá seu parque de máquinas Linux conectando com usuários no AD Windows, já utilizo este recurso a 2 anos aqui no trabalho com mais de 200 máquinas e funcionam perfeitamente, inclusive algumas regras de usuário como senha expira em 90 dias, permissão de usuário para acessar em máquinas X e Y, controle de usuário por horário e dia, tudo gerenciado no bom e velho AD.
OBS:
Se houver necessidade deo remover a estação do domínio e ingressá-la novamente com o seguinte comando.
#sudo adleave –u Administrador
** Administrador é o usuário com permissões de alterações no domínio.
Espero ter ajudado..
Gde Abç
Ola, nas estações ubuntu você usa as impressoras remotas também, pois na empresa que trabalho utilizo windows server 2012 Standardt, e as estações todas windows se conectam via terminal server, mas quero trocar por ubuntu algumas estações, mas preciso que as impressoras funcionem, tem algum idéia para me auxililar?
Grato pela Atenção
Guilherme Bernardi.
Boa noite Guilherme, tudo jóia, primeiro obrigado pela visita no blog.
Vamos lá, eu passo por esta situação hoje em dia, em meu cenário é o seguinte praticamente 90% das aplicações e necessidades dos usuários eu resolvi emulando inclusive aplicações que só rodavam em Windows XP. Recentemente implementamos uma aplicação gerencial que só roda em Win e esse ainda não consegui rodar no Ubuntu e então coloquei os usuários para acessarem a aplicação via TS. Pois bem ae surge a necessidade das benditas impressoras, e acontece duas situações em funcionamento.
1 – Tenho um parque de impressoras em Outsourcing que são IPs e tenho um servidor de impressão em Server Win. Ae simples rodam que nem batata.
2 – A aplicação gerencial tem sua própria configuração de impressoras que no Windows são carregadas no S.O. e que por terminal não funcionam, então para essas faço a conexão RDP pelo REMMINA, com ele vc configura o acesso ao servidor ao seu gosto, como cores, resolução e tem uma opção lá de subir o acesso com as impressoras locais, ae ao conectar ele carrega todas impressoras instaladas localmente e as com IP.
A anos atrás eu utilizava o RDESKTOP muito mais simples e utilizo ele hoje pq ae personalizei um atalho com ícone bonitinho e tal só que ele eu ainda não consegui rodas a impressora subindo automático.
Bom isso ae se quiser que monto uma tuto aqui destas opções só avisar, estamos na mesma guerra.
Gde abç
Fernando
Felizmente o server 2k3 morreu e deu lugar ao todo poderoso ws2k8r2 e ws2k12r2
Quem sabe tu faz um tuto mostrando como se faz isso usando o ws2k12r2, que tal?
Abs
Boa noite Rafael, tudo joia, muito obrigado pelo comentário, uma honra saber que passou pelo meu blog.
Farei sim esta integração com o ws2k R2, está semana iniciei um novo AD na OM e terminei a relação de confiança com o domínio antigo, e nos próximos dias darei início na integração das estações com o novo AD no poderoso 2012 R2.
Mas o 2003 por incrível q pareça ainda ta em funcionamento na OM que trabalho, inclusive uma maldita aplicação que só roda em XP mas a aplicação em seu lado servidor.
Mas voltando sobre a integração pretendo fazer um tuto tanto Ubuntu quanto Mint.
E obrigado mais uma vez.
Gde Abc
Fernando,
Bom dia.
configurando o Centrify no servidor Linux, integrando com o AD, eu consigo restringir o acesso ao servidor Linux através de uma OU do meu AD?
Obrigado!
Bom dia Walter, desculpe a demora e obrigado pelo acesso viu..
bom acredito que sim, pois em minha rede, minhas restrições iam basicamente por setor e horários/dia, mesmo sendo um servidor Linux, não deixa de ser uma máquina que estará logando na rede.
gde abç
Como criar link de programa para área de trabalho de pasta sincronizado com Grsync, pois o link simbólico não abre o programa.
Boa tarde Walter, tudo certo?
obrigado pela visita no blog e desculpe a demora.
Não entendi direito a restrição, mas aqui em meu parque todos usuários estão com acesso restrido apenas às máquinas dos setores correspondentes e em horários determinados. Isso fiz a restrição no perfil do usuário inserindo o nome da máquina que eles podem acessar e o horário. Acredito que isto atenderá sua necessidade.
Se não for isso passa o cenário certinho que vc pretende que bolamos uma idéia.
abçs
Boa tarde Franze tudo certo?
vamos lá, ver se entendi e se consigo ajudar,
para criar atalhos na área de trabalho com o Ubuntu faço o seguinte procedimento:
Execute o comando:
gnome-desktop-item-edit –create-new /home/Usuario/Área\ de\ Trabalho/
******lembre-se nunca execute este comando como root
Então abrirá uma janela “Criar Lançador” ae so configurar certinho o que quer e dar ok
aqui para ficar mais fácil coloquei este comando no bachrc com um alias chamado atalho então o pessoal de suporte digital atalho no terminal e ja abri o lançador.
se isso for o que precisa e precisar faço um passo a passo pra vc, isso é uma mão na roda, e não esquece de criar seus atalhos certinho no seu usuário modelo e depois verificar as permissões e ae sim rodar o grsync.
gde abç
Fernando,
gostei muito do seu post, parabéns!
Segui algumas de suas dicas, gostaria de saber se você pode me ajudar com um problema que tenho aqui, quando a senha do usuário expira o ubuntu não permite alterar a senha. Você conseguiu resolver este problema?
Obrigado.
Leandro
Ola, Gostei muito da matéria, porém estou com uma dúvida imensa. Ingresso no domínio perfeitamente, logo normalmente, mas as vezes eu tenho que excluir um usuário do AD por algum motivo, mas ele já logou no ubuntu, o que significa que o nome de usuário dele ainda aparece na página de login do ubuntu. Traz um grande incômodo por questão de estética do Sistema, já que cria uma grande lista de usuários. A minha pergunta é: Como faço para remover aquele nome de usuário? Lembrando que já tentei apagar a pasta pessoal dele em /home porém ainda se mantém o cadastro dele na página de login.
Leandro, bom dia, desculpe a demora, e muito obrigado pela visita no blog.
Bom notei este problema logo que implantei esta solução, pois na tela de login o usuário conseguia acompanhar quantos dias faltam para expirar a senha, porem não tentei implementar uma solução para que o mesmo possa alterar a senha quando quiser. Ao final do prazo ai sim no primeiro acesso a estação obrigava o usuário a trocar a senha, ou quando resetarvamos no servidor a senha do danado.
Mas a falta de tempo não deixou resolver este problema.
gde abç