Não deixe de conferir as postagens antigas
nas sessões ao lado!!! --->

segunda-feira, 16 de março de 2009

Linux Integrado ao AD Windows Server 2003 - parte2

Configurações iniciais

Logue-se na máquina2 (Windows Server 2003) e adicione um registro do tipo "A" para a máquina membersvr no DNS, que após adicionado ficará mais ou menos assim:

membersvr Host(A) 192.168.10.254

Logue-se na máquina1(Debian) e efetue as seguintes configurações:

Edite /etc/hosts e adicione as linhas abaixo:

192.168.10.254 membersvr.nats.com membersvr
192.168.10.250 dc-jund.nats.com dc-jund
Agora edite o /etc/resolv.conf e adicione o IP do servidor DNS do Windows Server 2003 (se tiver mais que um, faça com que este seja o primário, colocando-o em primeiro na lista):

nameserver 192.168.10.250
Instale os seguintes pacotes: krb5-user e krb5-config

Configure o /etc/krb5.config, mas por medidas de segurança eu costumo fazer uma cópia dos arquivos originais de configuração que vem com os pacotes antes de alterá-los, e costumo renomeá-los com por exemplo /etc/krb5.config.orig.

Então o arquivo /etc/krb5.config deve ficar exatamente assim:

[libdefaults]
default_realm = NATS.COM
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
NATS.COM = {
kdc = dc-jund.nats.com
default_domain = NATS.COM
}

[domain_realm]
.nats.com = NATS.COM
NOTA: Lembre-se de respeitar quando as letras estão em maiúsculas ou minúsculas (caixa alta ou baixa).

Agora testaremos a conexão com o Kerberos localizado no DC do domínio nats.com (Windows Server 2003) com o seguinte comando:

# kinit user-teste@NATS.COM

O usuário "user-teste" deve estar criado no AD do Windows Server 2003, se você não tiver este usuário pode criá-lo antes ou especificar um usuário que esteja criado na BD do AD.

Após executar o comando acima, digite a senha (lembrando que o user não pode ter senha em branco).

Se for digitado o comando especificando o domínio com letras minúsculas, como por exemplo, user-teste@nats.com, será apresentado o seguinte erro:

Kinit(v5): Cannot find kdc for requested realm while getting initial credentials.

Mas se aparecer o erro:

Kinit(v5): clock skew too great while getting initial credentials.

É provável que a hora entre as duas máquinas (membersvr e dc-jund) está muito dessincronizada. Uma forma de resolver isto é instalar o pacote ntpdate e sincronizar a hora do membersvr baseado na hora do dc-jund, ex.:

# ntpdate dc-jund.nats.com

Se o comando "kinit user-teste@NATS.COM" não apresentar nenhum erro, podemos continuar...

Execute o comando "klist" (sem parâmetros) para confirmar o sucesso do comando "kinit" mencionado acima:

# klist

Link para parte-3 deste artigo!
Postado por Loammy P. Lima às 21:14
Marcadores:

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)
 
BlogBlogs.Com.Br