Configuração SAMBA · 8 min read · Oct 06, 2025
Servidor de Diretório Mandriva no Debian Etch - Página 2
5 SAMBA
5.1 Configuração Básica
Primeiro pare o SAMBA.
/etc/init.d/samba stopCopie o arquivo de configuração de exemplo do SAMBA para o diretório do SAMBA …
cp /usr/share/doc/python-mmc-base/contrib/samba/smb.conf /etc/samba/… e ajuste-o conforme suas necessidades.
vi /etc/samba/smb.confDefina os seguintes valores na seção [global]:
workgroup = EXAMPLE
netbiosname = PDC-SRV-EXAMPLE
ldap admin dn = cn=admin,dc=example,dc=com
ldap suffix = dc=example,dc=com
logon path = \%N\profiles\%U
Adicione as seguintes linhas à seção [global]:
preferred master = yes
os level = 65
wins support = yes
timeserver = yes
socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
logon drive = H:
passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = “Mudando a senha para Nova senha“ %n\n “Digite a nova senha novamente“ %n\n
add user script = /usr/sbin/smbldap-useradd -m “%u”
add user to group script = /usr/sbin/smbldap-groupmod -m “%u” “%g”
set primary group script = /usr/sbin/smbldap-usermod -g “%g” “%u”
add group script = /usr/sbin/ambldap-groupadd -p “%g”
delete user script = /usr/sbin/smbldap-userdel “%u”
delete user from group script = /usr/sbin/smbldap-groupmod -x “%u” “%g”
delete group script = /usr/sbin/smbldap-groupdel “%g”
obey pam restrictions = no
ldap idmap suffix = ou=Users
ldap delete dn = yes
security = user
Adicione a seguinte linha à seção [homes]:
hide files = /Maildir/Remova a seguinte linha das seções [printers] e [print$]:
printer admin = root,@lpadminDefina os seguintes valores na seção [print$]:
write list = Administrator,root,@lpadmin
Adicione a seguinte linha à seção [profiles]:
hide files = /desktop.ini/ntuser.ini/NTUSER.*/Defina os seguintes valores na seção [archives]:
path = /home/samba/archives
Neste ponto, o arquivo de configuração do SAMBA deve parecer com isto:
[global]
workgroup = EXAMPLE
netbiosname = PDC-SRV-EXAMPLE
preferred master = yes
os level = 65
wins support = yes
enable privileges = yes
timeserver = yes
socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
log level = 3
null passwords = yes
security = user
# unix charset = ISO8859-1
name resolve order = bcast host
domain logons = yes
domain master = yes
printing = cups
printcap name = cups
logon path = \\%N\profiles\%U
logon script = logon.bat
logon drive = H:
map acl inherit = yes
nt acl support = yes
passdb backend = ldapsam:ldap://127.0.0.1/
obey pam restrictions = no
ldap admin dn = cn=admin,dc=example,dc=com
ldap suffix = dc=example,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Users
ldap passwd sync = yes
ldap delete dn = yes
passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = "Mudando a senha para*
Nova senha*" %n\n "*Digite a nova senha novamente*" %n\n
add user script = /usr/sbin/smbldap-useradd -m "%u"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add group script = /usr/sbin/ambldap-groupadd -p "%g"
add machine script = /usr/lib/mmc/add_machine_script '%u'
delete user script = /usr/sbin/smbldap-userdel "%u"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
[homes]
comment = Diretórios pessoais
browseable = no
writeable = yes
create mask = 0700
directory mask = 0700
hide files = /Maildir/
[public]
comment = Compartilhamento público
path = /home/samba/shares/public
browseable = yes
public = yes
writeable = yes
[archives]
comment = Compartilhamento de backup
path = /home/samba/archives
browseable = yes
public = no
writeable = no
[printers]
comment = Impressoras
path = /tmp
browseable = no
public = yes
guest ok = yes
writeable = no
printable = yes
[print$]
comment = Drivers
path = /var/lib/samba/printers
browseable = yes
guest ok = yes
read only = yes
write list = Administrator,root,@lpadmin
[netlogon]
path = /home/samba/netlogon
public = no
writeable = no
browseable = no
[profiles]
path = /home/samba/profiles
writeable = yes
create mask = 0700
directory mask = 0700
browseable = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
[partage]
comment = aucun
path = /home/samba/partage
browseable = yes
public = no
writeable = yesSe tudo correr bem, o comando …
testparm… não deve apresentar erros.
Agora forneça ao SAMBA as credenciais necessárias para gravar no LDAP.
smbpasswd -w %ldap_admin_password%Por exemplo:
smbpasswd -w howtoforgeA saída deve parecer com isto:
Definindo a senha armazenada para "cn=admin,dc=example,dc=com" em secrets.tdbEm seguida, você precisa criar um SID para seu grupo de trabalho.
net getlocalsid %your_workgroup%Por exemplo:
net getlocalsid EXAMPLEA saída deve parecer com isto - anote, você precisará disso em alguns momentos:
SID para o domínio EXAMPLE é: S-1-5-21-3159899821-123882392-54881133Verifique se o SID foi realmente registrado no LDAP.
slapcat | grep sambaDomainNameA saída deve parecer com isto:
dn: sambaDomainName=EXAMPLE,dc=example,dc=com
sambaDomainName: EXAMPLEAgora inicie o SAMBA
/etc/init.d/samba start5.2 Diretório LDAP
Primeiro você precisa criar o arquivo de configuração do smbldap-tools - ele define como se comunicar com o servidor LDAP.
vi /etc/smbldap-tools/smbldap_bind.confO conteúdo deve parecer com isto:
slaveDN="cn=admin,dc=example,dc=com"
slavePw="howtoforge"
masterDN="cn=admin,dc=example,dc=com"
masterPw="howtoforge"Agora crie o arquivo de configuração principal.
vi /etc/smbldap-tools/smbldap.confO conteúdo deve parecer com isto (Substitua o SID pelo seu próprio!):
SID="S-1-5-21-3159899821-123882392-54881133"
sambaDomain="EXAMPLE"
ldapTLS="0"
suffix="dc=example,dc=com"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=EXAMPLE,${suffix}"
scope="sub"
hash_encrypt="SSHA"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\\PDC-SRV-EXAMPLE\%U"
userProfile="\\PDC-SRV-EXAMPLE\profiles\%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="example.com"
smbpasswd="/usr/bin/smbpasswd"Hora de popular o diretório LDAP. Isso também criará a conta do administrador do domínio (Administrador)
smbldap-populate -m 512 -a AdministratorNota: Você será solicitado a inserir uma senha para a conta do administrador do domínio.
Depois, você deve modificar o número uid para esta conta - caso contrário, você não poderá usar o servidor de e-mail com esta conta. Além disso, adicionamos esta conta ao grupo “Domain Users”:
smbldap-usermod -u 3000 -G "Domain Users" Administrator5.3 Configuração NSS LDAP
Neste passo, configuramos o sistema para usar o diretório LDAP para obter listas de usuários e grupos.
Edite a configuração do nsswitch.
vi /etc/nsswitch.confO conteúdo deve parecer com isto:
# /etc/nsswitch.conf
#
# Exemplo de configuração da funcionalidade do GNU Name Service Switch.
# Se você tiver os pacotes `glibc-doc' e `info' instalados, tente:
# `info libc "Name Service Switch"' para informações sobre este arquivo.
passwd: compat ldap
group: compat ldap
shadow: compat ldap
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis5.4 Diretórios SAMBA
Crie os diretórios necessários para o servidor SAMBA, …
mkdir -p /home/samba/shares/public/
mkdir /home/samba/netlogon/
mkdir /home/samba/profiles/
mkdir /home/samba/partage/
mkdir /home/samba/archives/… mude a propriedade e ajuste os direitos.
chown -R :"Domain Users" /home/samba/
chmod 777 /var/spool/samba/ /home/samba/shares/public/
chmod 755 /home/samba/netlogon/
chmod 770 /home/samba/profiles/ /home/samba/partage/
chmod 700 /home/samba/archives/6 Configuração PAM LDAP
Neste passo, você adicionará suporte LDAP ao PAM.
vi /etc/pam.d/common-accountO conteúdo deve parecer com isto:
#
# /etc/pam.d/common-account - configurações de autorização comuns a todos os serviços
#
# Este arquivo é incluído de outros arquivos de configuração PAM específicos de serviço,
# e deve conter uma lista dos módulos de autorização que definem
# a política de acesso central para uso no sistema. O padrão é
# apenas negar serviço a usuários cujas contas estão expiradas em /etc/shadow.
#
account required pam_unix.so
account sufficient pam_ldap.sovi /etc/pam.d/common-authO conteúdo deve parecer com isto:
#
# /etc/pam.d/common-auth - configurações de autenticação comuns a todos os serviços
#
# Este arquivo é incluído de outros arquivos de configuração PAM específicos de serviço,
# e deve conter uma lista dos módulos de autenticação que definem
# o esquema de autenticação central para uso no sistema
# (por exemplo, /etc/shadow, LDAP, Kerberos, etc.). O padrão é usar os
# mecanismos tradicionais de autenticação Unix.
#
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.sovi /etc/pam.d/common-passwordO conteúdo deve parecer com isto:
#
# /etc/pam.d/common-password - módulos relacionados a senhas comuns a todos os serviços
#
# Este arquivo é incluído de outros arquivos de configuração PAM específicos de serviço,
# e deve conter uma lista de módulos que definem os serviços a serem
# usados para mudar senhas de usuários. O padrão é pam_unix
# A opção "nullok" permite que usuários mudem uma senha vazia, caso contrário
# senhas vazias são tratadas como contas bloqueadas.
#
# (Adicione `md5' após o nome do módulo para habilitar senhas MD5)
#
# A opção "obscure" substitui a antiga opção `OBSCURE_CHECKS_ENAB' em
# login.defs. Também as opções "min" e "max" impõem o comprimento da
# nova senha.
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.so
# Verificação de força alternativa para senha. Note que isso
# requer que o pacote libpam-cracklib esteja instalado.
# Você precisará comentar a linha de senha acima e
# descomentar as próximas duas para usar isso.
# (Substitui `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH')
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5vi /etc/pam.d/common-sessionO conteúdo deve parecer com isto:
#
# /etc/pam.d/common-session - módulos relacionados a sessões comuns a todos os serviços
#
# Este arquivo é incluído de outros arquivos de configuração PAM específicos de serviço,
# e deve conter uma lista de módulos que definem tarefas a serem realizadas
# no início e no final das sessões de *qualquer* tipo (tanto interativas quanto
# não interativas). O padrão é pam_unix.
#
session required pam_unix.so
session optional pam_ldap.soDepois reinicie o sistema.
rebootQuando o sistema estiver novamente ativo, dê ao grupo “Domain Admins” o direito de adicionar máquinas ao domínio.
net -U Administrator rpc rights grant 'DOMAIN\Domain Admins' SeMachineAccountPrivilege7 SSL Para Email
Primeiro prepare um arquivo de configuração com as informações necessárias.
vi /etc/ssl/mail.cnfAdicione o seguinte conteúdo:
[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
prompt = no
string_mask = nombstr
x509_extensions = server_cert
[ req_distinguished_name ]
countryName = DE
stateOrProvinceName = Niedersachsen
localityName = Lueneburg
organizationName = Projektfarm GmbH
organizationalUnitName = IT
commonName = server1.example.com
emailAddress = [email protected]
[ server_cert ]
basicConstraints = critical, CA:FALSE
subjectKeyIdentifier = hash
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
nsCertType = server
nsComment = "mailserver"Agora crie o certificado SSL …
openssl req -x509 -new -config /etc/ssl/mail.cnf -out /etc/ssl/certs/mail.pem -keyout /etc/ssl/private/mail.key -days 365 -nodes -batch… e ajuste os direitos para que apenas o root possa lê-lo.
chmod 600 /etc/ssl/private/mail.keyReceba novas postagens na sua caixa de entrada
Sem spam. Cancele a assinatura a qualquer momento.