Integração do Ubuntu 12.04 com o AD do Windows Server 2003

Cada S.O. tem sua particularidade quando se diz em Gerenciar usuários e seus previlégios, uns gostam do Samba, LDAP ou AD do Server Microsoft que ao meu ver tem muito recurso e muito fácil para a gerencia após montá-lo. Uma grande dificuldade que tive na rede corporativa foi a de ter que migrar todas as estações para Linux e não perdendo as raízes históricas do Servidor de Usuários o AD do Server 2003.

Esse passo a passo é uma boa dica para conectar as estações linux através dos usuários do AD Windows, permitindo assim  que eu possa ir migrando aos poucos as estações para Linux, e mantendo a mesma gerência em uma rede ainda híbrida.

Por fim nas estações linux através do AD eu tinha um perfil padrão para os usuários logados, então por que não também dar um jeito nisso nas estações Linux.

Requisitos utilizados:

  • Windows Server 2003 Enterprise Edition
  • Active Directory e DNS Server
  • GNU/Linux – Ubuntu 12.04 LTS
  • CentrifyDC

 

Instalação Centrify Direct Control

Primeira etapa instalando o CentrifyDC:

Abra o terminal e adicione a chave de repositório:

$ sudo add-apt-repository “deb http://archive.canonical.com/ oneric partner”

Depois, atualize a lista de repositórios:

$ sudo apt-get update

Agora basta instalar o pacote com o  comando:

$ sudo apt-get install centrifydc

Depois de instalado o CentrifyDC, vamos inserir a estação Linux no domínio.

**Vale lembrar que ja consideramos que a máquina tem acesso ao servidor DNS e esta com toda a sua configuração de rede correta.

O comando para inseri ao domínio é:

$ sudo addjoin –w seudominio.local -u UsuarioAdministradorDoAD

Depois de inserir o comando será solicitado a senha do usuario que tenha previlégios de administrador do AD e dando tudo certo será retornado uma mensagem que tem o seguinte inínio:

Centrify DirectControl started.
Loading domains and trusts information

….

 

Para testar se a máquina foi corretamente adicionada,  entre com o comando:

# adinfo

Irá retornar as informações da estação no AD.

Vá também no Servidor Windows e abra o Active Directory (executar: das.msc) e verifique se a máquina foi adicionada corretamente no domínio, na OU Computers, deverá conter o nome da máquina recém inserida no domínio.

Não estando na OU verifique as conexões de rede que são na grande maioria o problema que impede esta integração, corrigindo o problema basta repetir os passos iniciais.

 

Com estas etaps concluidas ja é possivel se logar na estação linux com o usuário devidamente configurado no AD Windows, ao se logar ja é criado uma pasta de usuário no /home da máquina.

Mas ainda não é possível logar pelo modo gráfico na tela de login inicial do Ubuntu.

Vamos la para resolver isso:

Se não estiver instalado o LIghtdm instale com o seguinte comando:

$ sudo apt-get install lightdm

se vc ja possui instalado na máquina basta entrar no conf do lightdm e fazer a seguinte alteração:

$ sudo joe /etc/lightdm/lighdm.conf

Lembrando que o “joe” é um editor de texto no terminal que utilizo, mas pode ser usado o “vim”, e adicione a seguinte linha:

greeter-show-manual-login=true

Feito isto reinicie o serviço:

$ sudo /etc/init.d/lightdm restart

 

Criação de Perfil Padrão (skeleton)

Bom ate aqui ja logamos com usuários no AD tanto pelo terminal quanto pelo modo gráfico, agora para finalizar vamos criar um perfil padrão para todos os novos usuários da máquina.

Em minha rede eu utilizo da seguinte forma, quando eu instalei uma nova estação Linux utilizei um usuário inicial com permissão sudoers Certo!, então ire usar ele como base do padrão.

Utilize este login do usuário inicial instalado e faça todas as alterações necessárias, que no meu caso eu configuro o proxy no navegador, crio alguns atalhos na área de trabalho do usuário, e configuro outras coisas que cada um utilizará como particularidade ou necessidade.

Feito isso finalizado um usuário ideal para sua rede, basta copiar este perfil para o diretório /etc/skel porém
vi muito tutorial dizendo para utilizar o comando:
# cp –av /home/modelo/* /etc/skel 

que já estaria resolvido!, mas eu tive muito problema por emular alguns programas Windows nas estações Linux através do Wine, que em meu usuário padrão rodava perfeitamente mas nos novos usuários não funcionava.
Para garantir isso passei a utilizar o Grsync em modo gráfico mesmo.

Se voce não tem ele instalado basta executar o seguinte comando:
$apt-get install grsync

Após isso entre no Dash e digite Grsync:

Grsync

 

Bom é isso ae, com isso vc terá seu parque de máquinas Linux conectando com usuários no AD Windows, já utilizo este recurso a 2 anos aqui no trabalho com mais de 200 máquinas e funcionam perfeitamente, inclusive algumas regras de usuário como senha expira em 90 dias, permissão de usuário para acessar em máquinas X e Y, controle de usuário por horário e dia, tudo gerenciado  no bom e  velho AD.

 

OBS:

Se houver necessidade deo remover a estação do domínio e ingressá-la novamente com o seguinte comando.

#sudo adleave –u Administrador

** Administrador é o usuário com permissões de alterações no domínio.

 

Espero ter ajudado..

 

Gde Abç

12 Comments

  1. Guilherme

    Ola, nas estações ubuntu você usa as impressoras remotas também, pois na empresa que trabalho utilizo windows server 2012 Standardt, e as estações todas windows se conectam via terminal server, mas quero trocar por ubuntu algumas estações, mas preciso que as impressoras funcionem, tem algum idéia para me auxililar?

    Grato pela Atenção
    Guilherme Bernardi.

    Reply
  2. Fernando Oliveira (Post author)

    Boa noite Guilherme, tudo jóia, primeiro obrigado pela visita no blog.
    Vamos lá, eu passo por esta situação hoje em dia, em meu cenário é o seguinte praticamente 90% das aplicações e necessidades dos usuários eu resolvi emulando inclusive aplicações que só rodavam em Windows XP. Recentemente implementamos uma aplicação gerencial que só roda em Win e esse ainda não consegui rodar no Ubuntu e então coloquei os usuários para acessarem a aplicação via TS. Pois bem ae surge a necessidade das benditas impressoras, e acontece duas situações em funcionamento.
    1 – Tenho um parque de impressoras em Outsourcing que são IPs e tenho um servidor de impressão em Server Win. Ae simples rodam que nem batata.
    2 – A aplicação gerencial tem sua própria configuração de impressoras que no Windows são carregadas no S.O. e que por terminal não funcionam, então para essas faço a conexão RDP pelo REMMINA, com ele vc configura o acesso ao servidor ao seu gosto, como cores, resolução e tem uma opção lá de subir o acesso com as impressoras locais, ae ao conectar ele carrega todas impressoras instaladas localmente e as com IP.

    A anos atrás eu utilizava o RDESKTOP muito mais simples e utilizo ele hoje pq ae personalizei um atalho com ícone bonitinho e tal só que ele eu ainda não consegui rodas a impressora subindo automático.

    Bom isso ae se quiser que monto uma tuto aqui destas opções só avisar, estamos na mesma guerra.

    Gde abç

    Fernando

    Reply
  3. RAFAEL

    Felizmente o server 2k3 morreu e deu lugar ao todo poderoso ws2k8r2 e ws2k12r2
    Quem sabe tu faz um tuto mostrando como se faz isso usando o ws2k12r2, que tal?
    Abs

    Reply
  4. Fernando Oliveira (Post author)

    Boa noite Rafael, tudo joia, muito obrigado pelo comentário, uma honra saber que passou pelo meu blog.
    Farei sim esta integração com o ws2k R2, está semana iniciei um novo AD na OM e terminei a relação de confiança com o domínio antigo, e nos próximos dias darei início na integração das estações com o novo AD no poderoso 2012 R2.

    Mas o 2003 por incrível q pareça ainda ta em funcionamento na OM que trabalho, inclusive uma maldita aplicação que só roda em XP mas a aplicação em seu lado servidor.
    Mas voltando sobre a integração pretendo fazer um tuto tanto Ubuntu quanto Mint.
    E obrigado mais uma vez.

    Gde Abc

    Reply
  5. Walter

    Fernando,
    Bom dia.

    configurando o Centrify no servidor Linux, integrando com o AD, eu consigo restringir o acesso ao servidor Linux através de uma OU do meu AD?

    Obrigado!

    Reply
    1. Fernando Oliveira (Post author)

      Bom dia Walter, desculpe a demora e obrigado pelo acesso viu..

      bom acredito que sim, pois em minha rede, minhas restrições iam basicamente por setor e horários/dia, mesmo sendo um servidor Linux, não deixa de ser uma máquina que estará logando na rede.

      gde abç

      Reply
  6. franze gurgel

    Como criar link de programa para área de trabalho de pasta sincronizado com Grsync, pois o link simbólico não abre o programa.

    Reply
  7. Fernando Oliveira (Post author)

    Boa tarde Walter, tudo certo?
    obrigado pela visita no blog e desculpe a demora.
    Não entendi direito a restrição, mas aqui em meu parque todos usuários estão com acesso restrido apenas às máquinas dos setores correspondentes e em horários determinados. Isso fiz a restrição no perfil do usuário inserindo o nome da máquina que eles podem acessar e o horário. Acredito que isto atenderá sua necessidade.
    Se não for isso passa o cenário certinho que vc pretende que bolamos uma idéia.

    abçs

    Reply
  8. Fernando Oliveira (Post author)

    Boa tarde Franze tudo certo?
    vamos lá, ver se entendi e se consigo ajudar,
    para criar atalhos na área de trabalho com o Ubuntu faço o seguinte procedimento:
    Execute o comando:
    gnome-desktop-item-edit –create-new /home/Usuario/Área\ de\ Trabalho/
    ******lembre-se nunca execute este comando como root
    Então abrirá uma janela “Criar Lançador” ae so configurar certinho o que quer e dar ok

    aqui para ficar mais fácil coloquei este comando no bachrc com um alias chamado atalho então o pessoal de suporte digital atalho no terminal e ja abri o lançador.
    se isso for o que precisa e precisar faço um passo a passo pra vc, isso é uma mão na roda, e não esquece de criar seus atalhos certinho no seu usuário modelo e depois verificar as permissões e ae sim rodar o grsync.

    gde abç

    Reply
  9. Leandro

    Fernando,

    gostei muito do seu post, parabéns!
    Segui algumas de suas dicas, gostaria de saber se você pode me ajudar com um problema que tenho aqui, quando a senha do usuário expira o ubuntu não permite alterar a senha. Você conseguiu resolver este problema?

    Obrigado.
    Leandro

    Reply
  10. Leonardo Antunes

    Ola, Gostei muito da matéria, porém estou com uma dúvida imensa. Ingresso no domínio perfeitamente, logo normalmente, mas as vezes eu tenho que excluir um usuário do AD por algum motivo, mas ele já logou no ubuntu, o que significa que o nome de usuário dele ainda aparece na página de login do ubuntu. Traz um grande incômodo por questão de estética do Sistema, já que cria uma grande lista de usuários. A minha pergunta é: Como faço para remover aquele nome de usuário? Lembrando que já tentei apagar a pasta pessoal dele em /home porém ainda se mantém o cadastro dele na página de login.

    Reply
  11. Fernando Oliveira (Post author)

    Leandro, bom dia, desculpe a demora, e muito obrigado pela visita no blog.

    Bom notei este problema logo que implantei esta solução, pois na tela de login o usuário conseguia acompanhar quantos dias faltam para expirar a senha, porem não tentei implementar uma solução para que o mesmo possa alterar a senha quando quiser. Ao final do prazo ai sim no primeiro acesso a estação obrigava o usuário a trocar a senha, ou quando resetarvamos no servidor a senha do danado.

    Mas a falta de tempo não deixou resolver este problema.

    gde abç

    Reply

Leave a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *