segunda-feira, 6 de maio de 2013

Samba 4 (Active Directory) no Debian/Ubuntu Server

Samba 4 (Active Directory) no Debian/Ubuntu Server

Introdução / Preparação / Dependências

Primeiramente, gostaria de agradecer aos leitores desse tão renomado site de software livre e agradecer também à equipe de desenvolvimento do Samba, que com sua última versão, possibilitou a criação de um domínio Active Directory, tornando a vida dos administradores de redes mais simples e mostrando que o GNU/Linux também tem a robustez do seu eterno rival.

Todos sabemos e conhecemos o sacrifício que é configurar o Samba com o OpenLDAP, que depois de configurado, fica uma beleza, mas ainda assim, não é tão bom quanto o Active Directory da MS. Porém, com esse novo modo de pensar do time Samba.org, temos em primeira mão o Samba 4, ou melhor dizendo, o nosso Active Directory open source.

Nesse artigo, vou mostrar como instalar e configurar o Samba 4, mostrando um pouco do meu conhecimento sobre a ferramenta e direi também algumas melhores práticas, porém, ressalto que o foco é a instalação do Samba 4. Assim, este artigo deverá servir como um guia de instalação.

Preparação do servidor

Bom, como falei antes, o servidor deverá ter as particularidades de cada empresa, no meu caso, eu utilizo o sistema de arquivos com RAID + LVM para facilitar a minha manutenção. Vou colocar aqui a configuração que utilizei para fazer os testes:
  • / → 30 GB (ext4) - Onde será instalado o Samba 4.
  • /home → 47 GB (ext4) - Onde será feito o controle de quota de disco.
  • SWAP → 4 GB.

Instalando dependências

Tendo particionado o seu sistema de arquivos, vamos para a instalação das dependências, lembrando que eu testei e configurei em sistemas Debian e Ubuntu server, então, para outras distribuições, a instalação é diferente, porém, a instalação e configuração do Samba 4 não difere.

# apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev libgnutls-dev libreadline-dev python-dev python-dnspython gdb pkg-config libpopt-dev libldap2-dev dnsutils libbsd-dev attr krb5-user docbook-xsl

Caso esteja utilizando outra distribuição, favor verificar a instalação das dependências no site oficial do Samba.org e procurar sobre a sua distribuição:

Após feito a instalação das dependências, vamos fazer a configuração do sistema de arquivos para receber o Samba 4.

Nas dependências, instalamos o "attr", que dará suporte a recursos avançadas do Samba 4. Também devemos ter um sistema de arquivos que suporte ACL, pois ela nos dará mais possibilidades de configuração de permissões especiais do Active Directory. E a opção de "barrier=1", que nos dá a segurança para que as transações do "tdb" e "ldb" sejam realizadas de forma segura, prevenindo assim, um erro por falha de energia que pode corromper do banco de dados do AD.

Vamos então ao fstab (Obs.: muito cuidado ao mexer no fstab, pois você poderá deixar o sistema não inicializável).

* Outra dica: o ideal é que o sistema de arquivos seja ext3, ext4 ou superior, no meu caso, estou utilizando o ext4.

$ sudo vim /etc/fstab

Localize a linha que monta o seu sistema de arquivos /home e modifique-a para a seguinte forma:

/dev/sdb1    /home     ext4   user_xattr,acl,barrier=1   1  1


Nesse caso eu adicionei apenas "user_xattr,acl,barrier=1", como expliquei anteriormente, agora vamos remontar e testar se as modificações estão OK?

# mount -o remount,rw /home

Testes no sistema de arquivos:

# touch test.txt
# setfattr -n user.test -v test test.txt
# setfattr -n security.test -v test2 test.txt
# getfattr -d test.txt
# getfattr -n security.test -d test.txt


Se estiver tudo correto, os comandos acima retornarão essas respostas, respectivamente:
# file: test.txt
user.test="test"

# file: test.txt
security.test="test2"

Se até aqui estiver tudo certinho, vamos para o próximo passo.


#############################################

Compilação / Kerberos

Depois de ter instalado as dependências, estamos prontos para instalar o Samba 4 e provisionar um domínio. Vamos lá.

Compilando o Samba 4

A compilação é bem simples, basta faze o download do source do Samba 4 no site samba.org. Durante o desenvolvimento deste artigo, o Samba está na versão 4.0.5. Assim, podemos fazer o download através deste link:

Feito isto, vamos descompactar e compilar:

# tar -zxvf samba-4.0.5.tar.gz
# cd samba-4.0.5


Pronto, já descompactamos. Agora vamos fazer a compilação do source.

O time do Samba recomenda que utilize as opções "--enable-debug" e "--enable-selftest", que irão colocar informações de debug para ajudar a identificar bugs, mas as opções são totalmente opcionais, podendo ser executado sem qualquer opção:

# ./configure

Se o comando acima for executado sem nenhum erro, então todas as dependências foram instaladas com sucesso e podemos prosseguir.

Agora basta executar um:

# make

E depois um:

# make install

O tempo de compilação vai depender do hardware que está sendo executado, mas demora um pouco mesmo, se não ocorrer nenhum erro no make ou no make install, então o Samba 4 foi instalado com sucesso. Vamos agora começar a criação do domínio.
Se não especificarmos nada no "./configure", então o Samba será instalado no diretório padrão, que seria /usr/local/samba.

O Samba vem com uma ferramenta chamada "samba-tool", que é equivalente à ferramenta da solução proprietária DCPromo. Vamos aos passos para a criação do domínio.

# /usr/local/samba/bin/samba-tool domain provision

Então, a primeira pergunta é:

Realm []: TESTE.LOCAL

Aqui você deverá inserir o seu domínio totalmente qualificado FQDN, nesse caso, utilizei um domínio local (TESTE.LOCAL). Depois vem a seguinte pergunta:

Domain [TESTE]:

Então, é só confirmar o domínio sugerido. Após, vem a pergunta decisiva:

Server Role (dc, member, standalone) [dc]:

Esta pergunta é onde você irá dizer se é um servidor Domain Controle, se é um Membro, ou se será Standalone, no meu caso, será um controlador de domínio mesmo, então é só aceitar o dc sugerido.

Na próxima pergunta é onde será selecionado como será o DNS do Samba 4, o Samba vem pronto para utilizar o seu DNS interno que faz tudo, inclusive, a inclusão dinâmica de máquinas no DNS.

A grande desvantagem é que não é possível controlá-lo, a vantagem é que não é necessário ter o BIND instalado. Vejamos a seguir:

DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:

Como vemos, ele nos dá quatro opções que se pode resumir em três:
  • SAMBA_INTERNAL;
  • BIND9_FLATFILE;
  • BIND9_DLZ.

Pois sabemos que o Active directory necessita de um DNS para funcionar perfeitamente como eu havia dito anteriormente, o Samba sugere a utilização do SAMBA_INTERNAL, mas também temos outras duas opções, a opção BIND9_FLATFILE que nos dá a flexibilidade de manutenção do DNS.

Só é aconselhável utilizar esta opção quando já tem um DNS funcionando na rede e se você dominar a configuração do BIND 9. Em outros casos, poderá ter a mesma flexibilidade de manutenção do BIND 9, só que deixando o Samba 4 fazer toda a configuração por você, mas, para isto, é preciso instalar outras dependências antes de instalar o Samba 4.

Para utilizar esta opção, consulte o site:

E verifique a parte de DNS dinâmico, nesse caso, vamos aceitar a sugestão e utilizar o SAMBA_INTERNAL.

Então, ele pedirá um DNS para encaminhamento caso o DNS dele não saiba identificar o endereço, normalmente um DNS externo, por exemplo "8.8.8.8" do Google ou outro do seu provedor:
DNS forwarder IP address (write 'none' to disable forwarding) [127.0.0.1]: 8.8.8.8

Depois ele pedirá a senha do Administrator:

Administrator password:

Então, a senha deverá ter um nível de complexidade misturando letras maiúsculas, minúsculas, caracteres especiais (!@#$%) e números. Também deverá ter no mínimo 8 caracteres, e acredito que até 16 caracteres, então a senha que eu irei utilizar aqui é: P4ssW@rd

O Samba irá criar as entradas de DNS, criará o arquivo "smb.conf", e os bancos de dados "tbd", "ldb", e o "schema" do Active Directory.

Ao finalizar, já podemos subir e testar o AD open source com o seguinte comando:

# /usr/local/samba/sbin/samba

Agora vamos testar o domínio e o DNS. Vamos verificar primeiro se o "smbclient" está na mesma versão do Samba 4:

# /usr/local/samba/bin/smbclient --version

Agora que vimos que está na mesma versão, então vamos testar a conexão:

# /usr/local/samba/bin/smbclient -L localhost -U%

O retorno do comando acima é para ser este:
Sharename       Type      Comment
---------       ----      -------
netlogon        Disk
sysvol          Disk
IPC$            IPC       IPC Service (Samba 4.0.5)


Se até agora não ocorreu nenhum erro, então está perfeito. Vamos testar a autenticação:

# /usr/local/samba/bin/smbclient //localhost/netlogon -UAdministrator%'P4ssW@rd' -c 'ls'

O retorno desse comando acima, é para ser este:
Domain=[TESTE] OS=[Unix] Server=[Samba 4.0.5]
  .                                   D        0  Thu Jan 10 08:00:36 2013
  ..                                  D        0  Thu Jan 10 08:02:28 2013


Se o retorno foi este, então está tudo certo e podemos testar o DNS.

O DNS deverá ser na mesma máquina do AD open source, então, a máquina deverá estar configurada com IP estático, o "resolv.conf" deverá ser da seguinte forma:

# vim /etc/resolv.conf

domain TESTE.LOCAL
nameserver 127.0.0.1


Com o "resolv.conf" apontando para a própria máquina, então vamos fazer o teste do DNS:

# host -t SRV _ldap._tcp.teste.local.
_ldap._tcp.teste.local has SRV record 0 100 389 arquivos.teste.local.

# host -t SRV _kerberos._udp.teste.local.
_kerberos._udp.teste.local has SRV record 0 100 88 arquivos.teste.local.

# host -t A arquivos.teste.local.
arquivos.teste.local has address 192.168.0.2


Se os retornos dos comandos forem bem-sucedidos, então o DNS também está OK, e já podemos configurar o Kerberos para autenticação.

Configurando o Kerberos

Kerberos é um protocolo de comunicação segura na rede com autenticação.

A configuração dele, para funcionar o nosso AD open source, é bastante simples, quando terminamos de fazer o provisionamento, o Samba cria um arquivo do Kerberos que deverá substituir o arquivo que se encontra no "/etc/krb5.conf".

É simples, se a instalação for feita no local padrão, ele gera o arquivo dentro do "/usr/local/samba/shared/setup/krb5.conf", então, é só excluir o "/etc/krb5.conf" e copiar o novo arquivo "/usr/local/samba/shared/setup/krb5.conf" para dentro do "/etc".

Vamos editar o arquivo que copiamos:

# vim /etc/krb5.conf

E substituir o "${REALM}" pelo realm que foi configurado.

* Lembrando de deixar todo ele em letra maiúscula (exemplo: "TESTE.LOCAL") e pronto, o nosso Kerberos já está configurado e pronto para funcionar. Agora vamos testar:

# kinit administrator@TESTE.LOCAL

Irá pedir a senha do Administrator que foi cadastrada no provisionamento, agora vamos verificar se ele gerou o ticket:

# klist

O retorno do comando acima será:
Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: administrator@TESTE.LOCAL
 Valid starting     Expires            Service principal
01/10/13 08:39:48  01/11/13 08:39:46  krbtgt/TESTE.LOCAL@TESTE.LOCAL

Se houver ticket, então significa que está tudo certo até o momento, então vamos para o próximo passo.

######################################

Controle de quota de disco

A ideia, desde o início, era instalar o Samba 4, porém, depois de instalado, senti necessidade de criar um controle de quota de disco, pois além do AD, teremos um servidor de arquivos, então, notei que os usuários do Samba 4 não eram identificado pelo sistema operacional, para isto, teremos que adicionar a biblioteca do "winbind" que vem com o Samba 4. Vamos lá.

Agora vamos fazer com que o nosso GNU/Linux enxergue os usuários do domínio corretamente.

Primeiro, temos que criar esses links simbólicos para dentro das bibliotecas do GNU/Linux, na instalação do Samba 4 dentro da pasta "/usr/local/samba/lib/", estão as bibliotecas necessárias:

# ln -s /usr/local/samba/lib/libnss_winbind.so.2 /lib/libnss_winbind.so
# ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2


Agora vamos adicionar as entradas "winbind" dentro no arquivo "/etc/nsswitch.conf", ficando assim:

passwd:     files winbind
group:       files winbind
shadow:     files
...


Confirmando que a biblioteca subiu:

# ldconfig -v | grep winbind

Testando se está tudo OK:

# /usr/local/samba/bin/wbinfo -p
Ping to winbindd succeeded

# /usr/local/samba/bin/wbinfo -u
...
Administrator
...

Populando o passwd:

# getent passwd
...
Administrator:x:0:100::/home/Administrator:/bin/false
...

Verificando se ficou tudo certo:

# id Administrator
uid=0(root) gid=100(users) groupes=0(root),100(users),3000004(Group Policy Creator Owners),3000008(Domain Admins)

Agora que o nosso S.O. está enxergando os usuários do domínio, vamos começar as configurações necessárias para as quotas de disco.

Instalando o sistema que controla as quotas:

# apt-get install quota

Agora temos que ir no "/etc/fstab" e editar a linha da partição que queremos controlar as quotas, no meu caso, como estou utilizando o Ubuntu, ficou da seguinte maneira:

UUID=0fc9f11f-7705-44ce-af05-9f8da7b99d4e /home     ext4   defaults, usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0, user_xattr,acl,barrier=1    0    2


Acrescentei somente os parâmetros "usrjquota=aquota.user,grpjquota=aquota.group", "jqfmt=vfsv0", "user_xattr", "acl", "barrier=1", o restante ficou da mesma forma.

Obs.: esse tipo de parâmetro só serve para sistemas de arquivos ReiserFS e ext4 ou superior.

Feito isto, agora é só remontar a partição e o sistema de quotas está pronto para uso:

# mount -o remount,rw /home

Tem uma ferramenta de gerenciamento de quota de disco que é Webmin, é só baixar no site do desenvolvedor. Segue o link:

Após o download da ferramenta para a sua distribuição correta, é só fazer a instalação e já poderá administrar as quotas dos usuários ou grupos pela Web.

Segue abaixo o comando para instalar no Debian/Ubuntu:

# dpkg -i webmin_1.610_all.deb

Se por algum acaso pedir algumas dependências, instalar através do comando:

# aptitude install nome_da_dependencia

Considerações finais

A criação da unidade de compartilhamento de arquivos é muito simples, nesta versão do Samba, o arquivo "smb.conf" pode ser editado no quente, sem a necessidade de um restart depois da alteração, o que é ótimo.

Fiz apenas a criação do diretório no Samba da forma antiga, como no exemplo:

[dados]
          path = /home/dados
          comment = Descrição do que se trata esta pasta
          read only = No
          browseable = Yes
          writeable = Yes


As permissões da pasta deverão ser para o grupo "users" e as permissões deverão ser 770 para a pasta, da seguinte forma:

# chown root:users /home/dados/ -R
# chmod 770 /home/dados/ -R


O restante é configuração do Active Directory, já testei as GPOs e funciona perfeito, já testei as políticas de senhas também funcionou perfeito. Acho que é isso!

A administração do Samba 4 deverá ser feita através do aplicativo de gerenciamento gratuito disponibilizado no site do Samba 4:

Ou, também poderá ser gerenciado pela ferramenta em modo texto que vem instalada com o Samba:

Qualquer dúvida, posta aí!

domingo, 5 de maio de 2013

LVM (Logical Volume Manager)

LVM (Logical Volume Manager)

Introdução

O LVM (Logical Volume Manager) é um recurso incluído no kernel Linux a partir da versão 2.4, que cria uma camada de abstração entre o sistema operacional e os HDs.

Imagine que, no LVM, o sistema não vê HDs e partições, mas um ou mais volumes lógicos. Cada volume se comporta como se fosse uma partição, que é formatada e montada da forma usual.

Estes volumes são agrupados em um grupo de volumes lógicos (Logical Volume Group) que se comporta de forma similar a um HD.

O grupo de volumes lógicos pode combinar o espaço de vários HDs e ser modificados conforme necessário, incorporando mais HDs. Os volumes lógicos dentro dele, também podem ser redimensionados livremente, conforme for necessário.

Exemplo: se você precisa de mais espaço dentro do volume referente à pasta "/home", por exemplo, você poderia reduzir o tamanho de um dos outros volumes do sistema (que estivesse com espaço vago*) e aumentar o tamanho do volume referente ao /home, tudo isso com o servidor operante.

* Dica: não reduzir para um tamanho menor do que esteja em uso, caso isso aconteça, você perderá seus dados.
Linux: LVM (Logical Volume Manager)

Logical Volume Manager

É importante enfatizar que o LVM é apenas uma mudança na forma como o sistema acessa os discos, ele não é um substituto para o RAID.

No LVM, você pode agrupar vários HDs em um único grupo de volumes lógicos, mas se um dos HDs apresentar defeito, o servidor ficará inoperante e você perderá os dados armazenados no disco afetado; diferente do RAID, onde você pode sacrificar parte do espaço para ter uma camada de redundância.

Baseado em: Entendendo o LVM - Dicas

Instalação (PV, GV, LV)

No ambiente para esta dica, digamos que vamos criar um LVM adicionando 100 GB. E este disco será o "/dev/sdb1" (este "device/partição" é apenas um exemplo, poderia ser "sdc1", "sdd1", etc).

Vamos instalar o LVM2, o software que irá gerenciar os discos LVM.

Em distribuições baseadas no Debian, execute:

# apt-get install lvm2

Inserindo o disco ao LVM:: Physical Volumes (PV):

# pvcreate /dev/sdb1

Este comando deve retornar:
Physical volume "/dev/sdb1"    successfully created

Para visualizar o disco adicionado, usamos o comando pv ou pvscan:

# pvscan
PV /dev/sdb1                   lvm2 [100,00 GiB]
Total: 1 [100,00 GiB] / in use: 0 [0   ] / in no VG: 1 [100,00 GiB]


# pvs
  PV                  VG        Fmt       Attr       PSize          PFree
/dev/sdb1            lvm2        a-      100,00g    100,00g


Acima, podemos observar que o PV lista o device (/dev/sdb1), mas ainda é preciso criar o VG (Volume Group).

Volume Group (VG)

É preciso dar um nome para o VG, com o comando:

# vgcreate nome_do_vg pv_device

Vamos criá-lo:

# vgcreate dados /dev/sdb1
Volume group "dados" successfully created


Logical Volumes (LV)

# lvcreate -L size -n nome_do_lv nome_do_vg

Onde:
  • -L :: Tamanho do volume logical
  • -n :: Nome do LV

Exemplo:

# lvcreate -L 100G -n cliente_x dados
Rounding up size to full physical extent 100,00 GiB
Logical volume "cliente_x"  created


Para visualizar o LV, usado o lvs ou lvscan:

# lvs
LV             VG        Attr   LSize
cliente_x     dados     -wi-a    100g


Com o lvscan podemos ver ser o LV esta ativo ou não:

# lvscan
ACTIVE            "/dev/dados/cliente_x" [100 GiB] inherit


Após a criação do PV, VG e LV, precisamos formatar este disco novo:

# mkfs.ext4 /dev/samba_vg/samba_lv

Vamos montar o LV criado no servidor:

# mkdir /Arquivos
# mount /dev/mapper/dados-cliente_x /Arquivos


Visualizar o conteúdo dos sistemas de arquivos:

# df -h
Sist. Arq.                   Size  Used  Avail  Use%   Mounted on
/dev/sda1                    77G   800M    73G    2%   /
tmpfs                        61M      0    61M    0%   /lib/init/rw
udev                         57M   164K    57M    1%   /dev
tmpfs                        61M      0    61M    0%   /dev/shm
/dev/mapper/dados-cliente_x  100G    0M   100G    0%   /Arquivos


fstab

Configurando o fstab para quando iniciar a máquina, o volume já estiver montado.

Acrescentar na última linha do arquivo "/etc/fstab":

/dev/mapper/dados-cliente_x  /Arquivos   ext4    defaults    0    0


Exemplo:
# /etc/fstab: static file system information.
#
# Use "blkid" to print the universally unique identifier for a
# device; this may be used with UUID= as a more robust way to name devices
# that works even if disks are added and removed. See fstab(5).
#
# <file system>                              <mount point>      <type>         <options>         <dump>    <pass>
proc                                            /proc            proc          defaults             0        0
# / was on /dev/sda1 during installation
UUID=31688aa8-a395-498a-bb10-524839a97665       /                ext3          errors=remount-ro    0        1
# swap was on /dev/sda5 during installation
UUID=e4e960af-85b4-4453-96be-fb6590edbb95       none             swap          sw                   0        0
/dev/scd0                                       /media/cdrom0    udf,iso9660   user,noauto          0        0
/dev/mapper/dados-cliente_x                     /Arquivos        ext4          defaults             0        0


O LV (/dev/mappar/dados-cliente_x) será montado em "/Arquivos", e o sistema de arquivos está no formato ext4.

Valeu pessoal, espero ter ajudado.

Dica também publicada em: LVM (Logical Virtual Manager) « evandrofigueiredo.valogexpress.com.br