Ingressando o CentOS no AD (Active Directory)

Prezado Colegas,

Primeiramente saudações pinguianas!
Vida longa e prospera.

Hoje precisei integrar uma máquina com Linux CentOS em um domínio Active Directory.

Efetuei algumas pesquisas e percebi que existem meios diferentes. A maçante maioria das documentações, mostram como efetuar essa ação usando o sssd. Porém, eu ainda prefiro a boa e velha técnica de usar o Winbind com o Samba.

Então, chega de “blá blá blá” e vamos para ação.

Vou considerar que a máquina Linux a ser ingressada no domínio esteja com todas as configurações de rede adequadas, pingando para o domínio, DNS ok, hostname setado e etc.

O cenário é o seguinte:

• Domínio → EMPRESA.INTRA
• Servidor controlador de domínio → ad.empresa.intra

Agora, vamos instalar os pacotes necessários. Obs: Eu sempre sugiro que copie e cole os comandos para que não haja erros.

Para instalar os pacotes que precisamos, faça o comando abaixo:

yum install -y samba samba-common cifs-utils \
ntpdate krb5-workstation pam_krb5 samba-winbind-clients \
samba-winbind libwbclient oddjob-mkhomedir

Agora, precisamos sincronizar a hora do CentOS com a hora do servidor AD. Para isso, faça o comando abaixo:

ntpdate empresa.intra

O próximo passo é ajustar as configurações do Kerberos. Para isso, faça o comando abaixo (lembre-se de substituir EMPRESA.INTRA/empresa.intra/ad.empresa.intra pelo nome do seu domínio/controlador):

cat > /etc/krb5.conf << EOF
[libdefaults]
    default_realm = EMPRESA.INTRA
 
[realms]
    EMPRESA.INTRA  =  {
        kdc  =  ad.empresa.intra
        default_domain  =  EMPRESA.INTRA
    admin_server  =  ad.empresa.intra
    kpasswd_server = ad.empresa.intra
} 
 
[domain_realm]
    .empresa.intra = EMPRESA.INTRA
    empresa.intra = EMPRESA.INTRA
EOF

Agora, precisamos configurar o SAMBA. Primeiro faça o comando abaixo para garantir a integridade do arquivo padrão de configurações:

mv /etc/samba/smb.conf /etc/samba/smb.conf.default

Agora, vamos inserir tudo que precisamos em um novo smb.conf. Faça o comando abaixo (lembrando de substituir as informações do domínio pelas de seu ambiente):

cat > /etc/samba/smb.conf << EOF
[global]
   security = user
   realm = EMPRESA.INTRA
   workgroup = EMPRESA
   idmap uid = 10000-15000
   idmap gid = 10000-15000
   winbind enum users = yes
   winbind enum groups = yes
   template homedir = /home/%U
   template shell = /bin/bash
   client use spnego = yes
   client ntlmv2 auth = yes
   winbind use default domain = yes
   restrict anonymous = 2
   winbind refresh tickets = yes
EOF

Agora, vamos habilitar os serviços para subir junto com o sistema:

systemctl enable smb && systemctl enable winbind

Agora, vamos iniciar os serviços:

systemctl start smb && systemctl start winbind

Agora que o Winbind foi carregado, precisamos colocar o Samba para funcionar em modo “ads”:

sed -i 's/security = user/security = ads/' /etc/samba/smb.conf

Recarregue novamente o Samba para efetivar a alteração:

systemctl restart smb

Agora, vamos enfim ingressar a máquina no domínio:

net ads join -U Administrador

Você deve então digitar a senha do Administrador.

Feito isso, agora faz-se necessário ajustar o arquivo “/etc/nsswitch.conf”. Para isso, execute os dois comandos abaixo:

cat > /etc/nsswitch.conf << EOF
passwd:     compat winbind files sss
shadow:     compat winbind files sss
group:      compat winbind files sss
hosts:      files dns wins myhostname

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   compat winbind files sss

netgroup:   nisplus sss

publickey:  nisplus

automount:  files nisplus sss
aliases:    files nisplus
EOF

Agora, precisamos configurar o “system-auth” para que sempre que um usuário fizer login, a pasta “home” seja criada no caso de não existir. Para isso, vamos executar o comando abaixo:

echo "session optional pam_mkhomedir.so skel=/etc/skel umask=077" >> /etc/pam.d/system-auth

Por último, vamos reiniciar a máquina:

reboot

Se tudo correu como esperado, após o sistema iniciar, a máquina já se encontra no domínio. Para testar, podemos usar o comando para ver todos os usuários do AD:

wbinfo -u

E para ver os grupos do AD, faça o comando abaixo:

wbinfo -g

Isso é tudo!