{"id":347,"date":"2012-08-21T10:31:18","date_gmt":"2012-08-21T13:31:18","guid":{"rendered":"http:\/\/linuxrs.com.br\/?p=347"},"modified":"2012-08-21T10:31:36","modified_gmt":"2012-08-21T13:31:36","slug":"autenticacao-de-servidores-centosred-hat-6-em-windows-2008","status":"publish","type":"post","link":"https:\/\/blog.clusterweb.com.br\/?p=347","title":{"rendered":"Autentica\u00e7\u00e3o de servidores CentOS\/Red Hat 6 em Windows 2008"},"content":{"rendered":"\n\n\n\n
Introdu\u00e7\u00e3o – Pr\u00e9-requisitos<\/strong><\/p>\n
Este artigo foi criado para ensinar a configura\u00e7\u00e3o de autentica\u00e7\u00e3o de servidores CentOS<\/em> e Red Hat<\/em>(vers\u00e3o 6) no Windows 2008.Diversos artigos encontrados na Internet, fazem uso do Winbind para possibilitar esta autentica\u00e7\u00e3o, contudo, como esta configura\u00e7\u00e3o depende da instala\u00e7\u00e3o do servi\u00e7o Samba<\/em> (e consequente abertura de portas, vulnerabilidades, etc), optei por fazer esta configura\u00e7\u00e3o utilizando-se apenas do servi\u00e7o de LDAP, que j\u00e1 \u00e9 disponibilizado pelo Windows 2008, e pelo servi\u00e7o Kerberos 5<\/em>.<\/p>\n

Assim, n\u00e3o \u00e9 necess\u00e1ria a abertura de nenhuma porta nos clientes de autentica\u00e7\u00e3o, e caso seja uma autentica\u00e7\u00e3o entre redes distintas com firewall, apenas a abertura das portas do LDAP, Kerberos 5 e DNS ser\u00e3o suficientes.<\/p>\n

Defini\u00e7\u00f5es<\/h1>\n

Estas defini\u00e7\u00f5es ser\u00e3o utilizadas durante o artigo, e ser\u00e3o explicadas conforme o desenvolvimento do mesmo:<\/p>\n

    \n
  • Dom\u00ednio: SPRINGFIELD.CORP (LDAP: DC=SPRINGFIELD, DC=CORP)<\/li>\n
  • Hostname do Domain Controller: Homer (HOMER.SPRINGFIELD.CORP)<\/li>\n
  • IP do Domain Controller: 192.168.5.151<\/li>\n
  • Conta de servi\u00e7o LDAP: CN=AuthLinux,CN=Users,DC=Springfield,DC=Corp<\/li>\n
  • Usu\u00e1rio criado para testes de Logon: rkatz@SPRINGFIELD.CORP<\/li>\n
  • Grupo criado com atributos Unix: Linux<\/li>\n<\/ul>\n

    Configura\u00e7\u00e3o do Windows 2008 (Domain Controller)<\/h1>\n

    Assumindo que o seu Domain Controller<\/em> j\u00e1 esteja instalado e em funcionamento, as seguintes configura\u00e7\u00f5es abaixo dever\u00e3o ser feitas:<\/p>\n

    1. Atualiza\u00e7\u00e3o do ambiente<\/p>\n

    N\u00e3o \u00e9 necessariamente um pr\u00e9-requisito para o correto funcionamento do ambiente, mas recomendo executar um ‘Windows Update’ no ambiente, apenas por garantia. \ud83d\ude09<\/p>\n

    2. Instala\u00e7\u00e3o do Unix Integration Tools<\/p>\n

    Para que a autentica\u00e7\u00e3o funcione com sucesso, devemos instalar o Unix Integration Tools<\/em> nos Domain Controllers. Esta nova role<\/em>cria atributos espec\u00edficos necess\u00e1rios para a autentica\u00e7\u00e3o em Unix\/Linux, como Home Directory e Default Shell.<\/p>\n

      \n
    • Em Server Manager, na aba (lateral esquerda), selecionar ‘Roles’.<\/li>\n
    • Na se\u00e7\u00e3o ‘Role Services’ da role ‘Active Directory Domain Services’, adicionar o servi\u00e7o ‘Identity Management for Unix’, atrav\u00e9s do link ‘Add Role Services’, incluindo todos os demais servi\u00e7os (Server for Network Information Services, Password Syncronization e Administration Tools).<\/li>\n<\/ul>\n

      Cria\u00e7\u00e3o das contas no DC<\/h1>\n

      Para o correto funcionamento da configura\u00e7\u00e3o, devemos criar uma conta de servi\u00e7o que ser\u00e1 utilizada para o BIND (conex\u00e3o) ao LDAP, uma vez que o Windows 2008 n\u00e3o permite conex\u00e3o an\u00f4nima ao LDAP. Tamb\u00e9m criaremos um grupo e uma conta exemplo, que ser\u00e3o utilizados nos testes de Login.<\/p>\n

      Conta de servi\u00e7o<\/h1>\n

      Esta conta dever\u00e1 ser criada com a pol\u00edtica de “n\u00e3o expira\u00e7\u00e3o de senha”, pois esta senha ser\u00e1 utilizada na configura\u00e7\u00e3o de todos os clientes. Caso a senha expire, a mesma dever\u00e1 ser trocada no servidor, e consequentemente em todos os clientes.<\/p>\n

      * Importante: Lembre-se ao criar esta conta, de que o ‘Full Name’ da conta criada \u00e9 utilizada como RDN no LDAP.<\/p>\n

      Exemplo:<\/p>\n

        \n
      • FullName=Bart Simpson<\/li>\n
      • CN=Bart Simpson<\/li>\n
      • CN=Users<\/li>\n
      • DC=Dom\u00ednio.<\/li>\n<\/ul>\n

        Assim, recomenda-se criar a conta com um ‘Full Name’ de uma palavra, como ‘AuthLinux’, para n\u00e3o haver maiores problemas.<\/p>\n

        A conta ser\u00e1 criada conforme abaixo:<\/p>\n

          \n
        • FullName: AuthLinux<\/li>\n
        • User Logon Name: AuthLinux<\/li>\n
        • Senha (exemplo, alterar no seu ambiente): 12qw!@QW<\/li>\n
        • Configura\u00e7\u00f5es: ‘User Cannot Change Password’, e ‘Password Never Expires’<\/li>\n<\/ul>\n

          Ap\u00f3s a cria\u00e7\u00e3o desta conta de servi\u00e7o, alterar o seu grupo, colocando-o apenas como membro do grupo “Domain Guests” e removendo todos os demais grupos, de forma que este usu\u00e1rio n\u00e3o possua nenhuma permiss\u00e3o no dom\u00ednio.<\/p>\n

          Cria\u00e7\u00e3o do Grupo<\/h1>\n

          Ou, altera\u00e7\u00e3o de grupo j\u00e1 existente.<\/p>\n

          Deve ser criado um grupo (ou alterado um j\u00e1 existente) para que o mesmo possua atributos Unix<\/em>, possibilitando sua utiliza\u00e7\u00e3o em nosso ambiente. Isso deve ser feito, primeiro criando-se o grupo (caso j\u00e1 n\u00e3o exista) e depois, alterando-o conforme abaixo.<\/p>\n

          No nosso exemplo, foi criado o grupo “Linux”. Ap\u00f3s isso, na aba ‘Unix Attributes’ das propriedades do grupo, alterar o NIS Domain para ‘SPRINGFIELD’ (ou o Dom\u00ednio utilizado). Manter o GID criado padr\u00e3o, e n\u00e3o adicionar nenhum usu\u00e1rio no grupo.<\/p>\n

          Cria\u00e7\u00e3o de usu\u00e1rio com permiss\u00e3o de Login<\/h1>\n

          Ou, altera\u00e7\u00e3o de usu\u00e1rio j\u00e1 existente.<\/p>\n

          Um usu\u00e1rio deve ser criado (ou alterado) de forma que possamos efetuar logon em um ambiente Unix. Nesse artigo, ser\u00e1 criado o usu\u00e1rio ‘rkatz’, conforme abaixo:<\/p>\n

            \n
          • Criar o usu\u00e1rio (ou alterar) desabilitando a op\u00e7\u00e3o ‘User Must Change Password on Next Logon’;<\/li>\n
          • Editar o usu\u00e1rio, e na aba ‘Unix Attributes’ alterar o NIS Domain para ‘SPRINGFIELD’;<\/li>\n
          • Alterar o ‘Login Shell’ para o Shell padr\u00e3o utilizado no ambiente (como \/bin\/bash);<\/li>\n
          • E, Primary group Name\/GID para o grupo criado acima (Linux).<\/li>\n<\/ul>\n<\/div>\n<\/td>\n<\/tr>\n

Configura\u00e7\u00e3o do S.O.<\/strong><\/p>\n
Assumindo que sua instala\u00e7\u00e3o do sistema operacional j\u00e1 esteja feita (eu utilizei o CentOS neste artigo), os seguintes passos devem ser feitos:<\/p>\n

Atualiza\u00e7\u00e3o do sistema operacional<\/h1>\n

Tal como no ambiente Windows, esse n\u00e3o \u00e9 um pr\u00e9-requisito, mas altamente recomend\u00e1vel para garantirmos a estabilidade da autentica\u00e7\u00e3o.<\/p>\n

Configura\u00e7\u00e3o de DNS e NTP<\/h1>\n

O nosso cliente deve ‘conhecer’ o dom\u00ednio que ser\u00e1 utilizado, para o seu correto funcionamento. Assim, no arquivo \/etc\/resolv.conf<\/em>, o IP dos Domain Controllers do ambiente, dever\u00e3o ser utilizados conforme abaixo:<\/p>\n

nameserver 192.168.5.151<\/div>\n

Testar o funcionamento, efetuando um nslookup<\/em> (ou ping<\/em>, mesmo) para o nome SPRINGFIELD.CORP (Dom\u00ednio) e HOMER.SPRINGFIELD.CORP (Domain Controller) e verificar o correto funcionamento.<\/p>\n

Tamb\u00e9m, o hor\u00e1rio do cliente dever\u00e1 estar sincronizado com o do restante do dom\u00ednio. Assim, os pacotes do NTP dever\u00e3o ser instalados:<\/p>\n

# yum install ntp ntpdate<\/strong><\/p>\n

Ap\u00f3s a instala\u00e7\u00e3o dos pacotes de NTP, uma primeira sincroniza\u00e7\u00e3o dever\u00e1 ser efetuada com o comando ntpdate<\/em>:<\/p>\n

# ntpdate springfield.corp<\/strong><\/p>\n

Feita a primeira sincroniza\u00e7\u00e3o do hor\u00e1rio, o arquivo \/etc\/ntp.conf<\/em> deve ser editado, removendo-se todas as linhas ‘server’ e adicionando apenas a seguinte:<\/p>\n

server springfield.corp<\/div>\n

Ap\u00f3s isso, adicionar o servi\u00e7o de NTP \u00e0 inicializa\u00e7\u00e3o do ambiente, e iniciar o servi\u00e7o. Ent\u00e3o, verificar o funcionamento:<\/p>\n

# chkconfig ntpd on
\n# \/etc\/init.d\/ntpd on
\n# ntpq -c pe<\/strong><\/p>\n

\n
\n\n\n\n\n
\n
\n
remote\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 refid\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 st t\u00a0 when poll reach\u00a0 delay\u00a0\u00a0 offset\u00a0\u00a0 jitter<\/code><\/div>\n
==============================================================================<\/code><\/div>\n
192.168.5.151\u00a0\u00a0 200.160.7.186\u00a0\u00a0 2\u00a0 u\u00a0\u00a0 12\u00a0\u00a0 64\u00a0\u00a0 377\u00a0\u00a0\u00a0 0.762\u00a0 449.851\u00a0 17.746<\/code><\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

Instala\u00e7\u00e3o dos pacotes de autentica\u00e7\u00e3o e Kerberos<\/h1>\n

Em uma instala\u00e7\u00e3o padr\u00e3o os pacotes necess\u00e1rios para autentica\u00e7\u00e3o n\u00e3o vem instalados por padr\u00e3o. Assim, devemos instalar os pacotes necess\u00e1rios, conforme abaixo:<\/p>\n

# yum install nss-pam-ldapd krb5-workstation pam_krb5 nscd openldap-clients<\/strong><\/p>\n

Verifica\u00e7\u00e3o de conta de servi\u00e7o<\/h1>\n

Para garantirmos o correto funcionamento, a conta de servi\u00e7o criada na configura\u00e7\u00e3o do Windows 2008 (AuthLinux) dever\u00e1 ser testada. Podemos testar essa conta com o seguinte comando (ser\u00e1 solicitada a senha da conta):<\/p>\n

# ldapsearch -v -x -H “ldap:\/\/springfield.corp” -D “cn=AuthLinux,cn=Users,dc=Springfield,dc=corp” -b “dc=Springfield,dc=corp” -s sub -W<\/strong><\/p>\n

Caso o comando n\u00e3o retorne nenhum erro (mas uma sa\u00edda LDIF), a conta de servi\u00e7o est\u00e1 funcionando corretamente. Caso contr\u00e1rio, dever\u00e1 ser verificado se os dados utilizados para autentica\u00e7\u00e3o (cn, senha) est\u00e3o corretos.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Autentica\u00e7\u00e3o LDAP<\/strong><\/p>\n
Ap\u00f3s a configura\u00e7\u00e3o do ambiente, devemos configurar o sistema operacional de forma a autenticar-se no AD. As seguintes configura\u00e7\u00f5es devem ser efetuadas:<\/p>\n

NSLCD (Autentica\u00e7\u00e3o LDAP)<\/h1>\n

O NSLCD (local LDAP name service daemon) ser\u00e1 utilizado para a autentica\u00e7\u00e3o ao LDAP. Antes configurado atrav\u00e9s do arquivo \/etc\/ldap.conf<\/em> (no RHEL 5 e derivados), agora este recurso possui um daemon<\/em> pr\u00f3prio.<\/p>\n

Para configur\u00e1-lo, devemos alterar o arquivo \/etc\/nslcd.conf<\/em> conforme abaixo (as explica\u00e7\u00f5es est\u00e3o nos coment\u00e1rios do arquivo):<\/p>\n

# Versao LDAP
\nldap_version 3
\n# Usuario e grupo para executar o daemon
\nuid nslcd
\ngid ldap# Limite de timeout de bind e de busca
\nbind_timelimit 30
\ntimelimit 30<\/p>\n

# Servidor LDAP e BaseDN
\nuri ldap:\/\/springfield.corp
\nbase dc=springfield,dc=corp<\/p>\n

# O SSL ainda n\u00e3o ser\u00e1 configurado
\nssl no
\ntls_cacertdir \/etc\/openldap\/cacerts<\/p>\n

# usu\u00e1rio e senha de servi\u00e7o
\nbinddn cn=AuthLinux,cn=Users,dc=springfield,dc=corp
\nbindpw 12qw!@QW<\/p>\n

scope sub
\nscope\u00a0\u00a0\u00a0group\u00a0\u00a0\u00a0sub scope\u00a0\u00a0\u00a0hosts\u00a0\u00a0\u00a0sub<\/p>\n

# Ignorar lookup de grupos para os usu\u00e1rios de sistema
\nnss_initgroups_ignoreusers root,nslcd,bin,daemon,mail,nobody,sshd,nscd,ntp<\/p>\n

# Caso seja necess\u00e1rio algum filtro, para apenas algum usu\u00e1rio de algum grupo logar
\n# pam_authz_search (gidNumber=10000)<\/p>\n

# Configuracoes de Mapping – AD
\npagesize 1000
\nreferrals off
\nfilter\u00a0passwd (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
\nmap\u00a0\u00a0\u00a0\u00a0passwd uid\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0sAMAccountName
\nmap\u00a0\u00a0\u00a0\u00a0passwd homeDirectory\u00a0\u00a0unixHomeDirectory
\nmap\u00a0\u00a0\u00a0\u00a0passwd gecos\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0displayName
\nfilter shadow (&(objectClass=user)(!(objectClass=computer))(uidNumber=*)(unixHomeDirectory=*))
\nmap\u00a0\u00a0\u00a0\u00a0shadow uid\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0sAMAccountName
\nmap\u00a0\u00a0\u00a0\u00a0shadow shadowLastChange pwdLastSet
\nfilter\u00a0group (objectClass=group)
\nmap\u00a0\u00a0\u00a0\u00a0group uniqueMember\u00a0\u00a0\u00a0\u00a0member<\/p>\n<\/div>\n

Ap\u00f3s isso, devemos iniciar o daemon do nslcd<\/em> e coloc\u00e1-lo na inicializa\u00e7\u00e3o:<\/p>\n

# chkconfig nslcd on
\n# \/etc\/init.d\/nslcd on<\/strong><\/p>\n

Kerberos 5<\/h1>\n

A configura\u00e7\u00e3o do Kerberos<\/em> dever\u00e1 ser feita de forma a validar um usu\u00e1rio, e permitir, entre outras coisas, sua autentica\u00e7\u00e3o e posteriores opera\u00e7\u00f5es (como query<\/em> de grupos a que pertence, etc).<\/p>\n

A configura\u00e7\u00e3o dever\u00e1 ser feita conforme abaixo.<\/p>\n

Alterar o arquivo \/etc\/krb5.conf<\/em>, conforme abaixo (as explica\u00e7\u00f5es est\u00e3o nos coment\u00e1rios do arquivo):<\/p>\n

# Nao validar o hostname do servidor (senao precisa de entradas no DNS e Reverso)
\n[appdefaults]
\nvalidate = false# Locais de Logging
\n[logging]
\ndefault = FILE:\/var\/log\/krb5libs.log
\nkdc = FILE:\/var\/log\/krb5kdc.log
\nadmin_server = FILE:\/var\/log\/kadmind.log<\/p>\n

# Configuracoes Padrao
\n[libdefaults]
\n# Dominio Padrao – SPRINGFIELD.CORP – Deve ser o mesmo do AD
\ndefault_realm = SPRINGFIELD.CORP
\ndns_lookup_realm = false
\ndns_lookup_kdc = false
\nticket_lifetime = 24h
\nrenew_lifetime = 7d
\nforwardable = true<\/p>\n

[realms]
\n# Configuracao do servidor de KERBEROS
\n# Utilizando o nome do DOMINIO, ele vai para o DC
\nSPRINGFIELD.CORP = {
\nkdc = SPRINGFIELD.CORP
\nadmin_server = SPRINGFIELD.CORP
\n}<\/p>\n

# Configuracoes de DOMINIO – Qual REALM deve ser usado para qual dominio
\n[domain_realm]
\nspringfield.corp = springfield.corp
\n.springfield.corp = springfield.corp<\/p>\n<\/div>\n

Testar a gera\u00e7\u00e3o de um ticket de autentica\u00e7\u00e3o para um usu\u00e1rio qualquer do dom\u00ednio, como o Administrador:<\/p>\n

# kinit -V Administrator@SPRINGFIELD.CORP<\/strong><\/p>\n

A sa\u00edda seria:<\/p>\n

Using default cache: \/tmp\/krb5cc_0
\nUsing principal: Administrator@SPRINGFIELD.CORP
\nPassword for Administrator@SPRINGFIELD.CORP: [DIGITAR A SENHA]
\nAuthenticated to Kerberos v5<\/p><\/blockquote>\n

Caso o retorno seja diferente de:<\/p>\n

Authenticated to Kerberos v5<\/p><\/blockquote>\n

A configura\u00e7\u00e3o deve ser verificada novamente, pois alguma configura\u00e7\u00e3o foi efetuada incorretamente.<\/p>\n

Configura\u00e7\u00e3o do NSCD e NSSWITCH<\/h1>\n

Devemos agora, configurar o daemon de cache de logins, e o NSSWITCH, que ir\u00e1 direcionar a autentica\u00e7\u00e3o de usu\u00e1rios e grupos para o NSLCD (LDAP), caso n\u00e3o seja encontrado um usu\u00e1rio local.<\/p>\n

Por padr\u00e3o, o arquivo \/etc\/nscd.conf<\/em> j\u00e1 vem configurado com par\u00e2metros aceit\u00e1veis, sendo necess\u00e1rio apenas descomentar a linha “logfile \/var\/log\/nscd.log”, para que o daemon efetue log, caso algo d\u00ea errado.<\/p>\n

Devemos ent\u00e3o, alterar o arquivo \/etc\/nsswitch.conf<\/em>, deixando as linhas: passwd, shadow<\/em> e group<\/em>, conforme abaixo:<\/p>\n

\u00a0\u00a0passwd:\u00a0\u00a0\u00a0\u00a0files ldap
\nshadow:\u00a0\u00a0\u00a0\u00a0files ldap
\ngroup:\u00a0\u00a0\u00a0\u00a0\u00a0files ldap<\/div>\n

Por fim, o daemon do NSCD deve ser colocado na inicializa\u00e7\u00e3o do S.O., e ser iniciado:<\/p>\n

# chkconfig nscd on
\n# \/etc\/init.d\/nscd start<\/strong><\/p>\n

Para verificar o funcionamento correto da configura\u00e7\u00e3o, utilizar o comando getent<\/em> no usu\u00e1rio e grupo criado na etapa de “Pr\u00e9 requisitos”:<\/p>\n

# getent passwd rkatz<\/strong><\/p>\n

A sa\u00edda seria:<\/p>\n

rkatz:*:10002:10000:Ricardo P. Katz:\/home\/rkatz:\/bin\/bash<\/p><\/blockquote>\n

E:<\/p>\n

# getent group Linux<\/strong><\/p>\n

Linux:*:10000:rkatz<\/p><\/blockquote>\n

Configura\u00e7\u00e3o do PAM<\/h1>\n

A etapa final da configura\u00e7\u00e3o \u00e9 a altera\u00e7\u00e3o do PAM (Plugable Authentication Modules), de forma que as autentica\u00e7\u00f5es do Sistema Operacional sejam enviadas ao servidor LDAP (Domain Controller).<\/p>\n

Adicionalmente, quando um usu\u00e1rio n\u00e3o possuir diret\u00f3rio ‘home’ no ambiente, o esperado \u00e9 que o PAM crie esse diret\u00f3rio.<\/p>\n

O arquivo \/etc\/pam.d\/system-auth<\/em> dever\u00e1 ser alterado para ficar conforme abaixo. O arquivo aqui \u00e9 um exemplo, sugiro que verifique se n\u00e3o h\u00e1 nenhum mecanismo de autentica\u00e7\u00e3o j\u00e1 em uso no ambiente, e adeque as configura\u00e7\u00f5es \u00e0s suas necessidades:<\/p>\n

\n
\n\n\n\n
\n
\n
#%PAM-1.0<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_env.so<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_fprintd.so<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_unix.so nullok try_first_pass<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 requisite\u00a0\u00a0\u00a0\u00a0 pam_succeed_if.so uid >= 500 quiet<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_krb5.so use_first_pass<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so<\/code><\/div>\n
<\/div>\n
account\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_unix.so<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_localuser.so<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_succeed_if.so uid < 500 quiet<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 [default=bad success=ok user_unknown=ignore] pam_krb5.so<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_permit.so<\/code><\/div>\n
<\/div>\n
password\u00a0\u00a0\u00a0 requisite\u00a0\u00a0\u00a0\u00a0 pam_cracklib.so try_first_pass retry=3 <\/code>type<\/code>=<\/code><\/div>\n
password\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_unix.so sha512 shadow nullok try_first_pass use_authtok<\/code><\/div>\n
password\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_krb5.so use_authtok<\/code><\/div>\n
password\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so<\/code><\/div>\n
<\/div>\n
session\u00a0\u00a0\u00a0\u00a0 optional\u00a0\u00a0\u00a0\u00a0\u00a0 pam_keyinit.so revoke<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_limits.so<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_mkhomedir.so skel=<\/code>\/etc\/skel<\/code> umask<\/code>=0022<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 [success=1 default=ignore] pam_succeed_if.so service <\/code>in<\/code> crond quiet use_uid<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_unix.so<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 optional\u00a0\u00a0\u00a0\u00a0\u00a0 pam_krb5.so<\/code><\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

Alterar tamb\u00e9m o arquivo \/etc\/pam.d\/password-auth<\/em>, conforme configura\u00e7\u00e3o abaixo:<\/p>\n

\n
\n\n\n\n\n
\n
\n
#%PAM-1.0<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_env.so<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_unix.so nullok try_first_pass<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 requisite\u00a0\u00a0\u00a0\u00a0 pam_succeed_if.so uid >= 500 quiet<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_krb5.so use_first_pass<\/code><\/div>\n
auth\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so<\/code><\/div>\n
<\/div>\n
account\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_unix.so broken_shadow<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_localuser.so<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_succeed_if.so uid < 500 quiet<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 [default=bad success=ok user_unknown=ignore] pam_krb5.so<\/code><\/div>\n
account\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_permit.so<\/code><\/div>\n
<\/div>\n
password\u00a0\u00a0\u00a0 requisite\u00a0\u00a0\u00a0\u00a0 pam_cracklib.so try_first_pass retry=3 <\/code>type<\/code>=<\/code><\/div>\n
password\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_unix.so sha512 shadow nullok try_first_pass use_authtok<\/code><\/div>\n
password\u00a0\u00a0\u00a0 sufficient\u00a0\u00a0\u00a0 pam_krb5.so use_authtok<\/code><\/div>\n
password\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_deny.so<\/code><\/div>\n
<\/div>\n
session\u00a0\u00a0\u00a0\u00a0 optional\u00a0\u00a0\u00a0\u00a0\u00a0 pam_keyinit.so revoke<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_limits.so<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 [success=1 default=ignore] pam_succeed_if.so service <\/code>in<\/code> crond quiet use_uid<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 required\u00a0\u00a0\u00a0\u00a0\u00a0 pam_unix.so<\/code><\/div>\n
session\u00a0\u00a0\u00a0\u00a0 optional\u00a0\u00a0\u00a0\u00a0\u00a0 pam_krb5.so<\/code><\/div>\n<\/div>\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<\/div>\n<\/div>\n

Ap\u00f3s as altera\u00e7\u00f5es, logar-se em um novo terminal com o usu\u00e1rio criado no AD (no exemplo, o usu\u00e1rio: rkatz), e verificar se o login \u00e9 autorizado, bem como o diret\u00f3rio home criado.<\/p>\n

Verificar tamb\u00e9m com o comando id<\/em>, se os grupos a que o usu\u00e1rio pertence s\u00e3o carregados. Caso n\u00e3o funcione, os arquivos \/var\/log\/messages<\/em> e \/var\/log\/secure<\/em> podem ser verificados em busca de erros.<\/p>\n<\/div>\n<\/td>\n<\/tr>\n

Habilita\u00e7\u00e3o de SSL (LDAPs)<\/strong><\/p>\n
Para que as informa\u00e7\u00f5es n\u00e3o fiquem trafegando em texto plano, faz-se necess\u00e1ria a configura\u00e7\u00e3o de comunica\u00e7\u00e3o utilizando-se de SSL.Assume-se que, o AD j\u00e1 esteja com essa funcionalidade (LDAPS) habilitada.<\/p>\n

Caso n\u00e3o, pode ser verificado em<\/p>\n