Este capítulo documenta a configuração de máquinas clientes NetBEUI, requerimentos de cada configuração e documenta os passos necessários para ter o cliente se comunicando perfeitamente com o seu servidor. Serão explicadas tanto a configuração de grupo de trabalho como de domínio e como a configuração é compatível entre Linux e Windows, estas explicações são perfeitamente válidas para configurar clientes que acessem servidores Windows.
Sistemas com implementações NetBIOS mais antigos, como o Windows for Workgroups (Windows 3.11) e o Lan Manager (DOS), enviam somente a senha para acesso ao compartilhamento, desta forma, para o acesso ser autorizado pelo samba, você deverá especificar a diretiva user = usuario para que a senha confira com o usuário local do sistema. A senha enviada também é em formato texto plano. Este problema não ocorre no Windows 95 e superiores, que enviam o nome de usuário que efetuou o logon junto com a respectiva senha.
Se a segurança do seu samba depende de senhas criptografadas, será necessário
utilizar a diretiva "include =
outro_arquivo_de_configuração.%m
para definir configurações
específicas de acesso para estas máquinas.
Outro detalhe que deve ser lembrado é que o Windows for
Workgroups envia sempre a senha em MAIÚSCULAS, então é preciso
configurar o SAMBA para tentar combinações de maiúsculas/minúsculas usando o
parâmetro mangle case e default
case
na seção global do smb.conf
.
Para configurar o cliente para fazer parte de um grupo de
trabalho, é necessário apenas que tenha em mãos o nome do
grupo de trabalho
(workgroup) que os clientes farão parte e o nome de
uma outra máquina que faz parte do mesmo grupo (para testes iniciais). Com
estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja
configurar para incluir no grupo de trabalho:
Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.
Para tornar uma máquina parte do grupo de trabalho, siga os seguintes passos:
-
Entre nas propriedades de rede no Painel de Controle
-
Instale o Cliente para redes Microsoft (caso não esteja instalado).
-
Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.
-
Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.
-
Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres) e o nome do grupo de trabalho que ele fará parte(por exemplo "workgroup", "suporte", etc) . No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").
-
Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de compartilhamento" (a não ser que tenha configurado um servidor que mantenha um controle de nível de usuário na rede para as máquinas fora do domínio).
-
Clique em OK até reiniciar o computador.
A máquina cliente agora faz parte do grupo de trabalho! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"
Siga as instruções de “Windows XP Professional Edition”.
-
Logue como administrador do sistemas local.
-
Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta.
-
No campo Descrição do Computador, coloque algo que descreva a máquina (opcional).
-
Clique na TAB Nome do Computador e no botão Alterar na parte de baixo da janela.
-
No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
-
Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
-
Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.
Siga as instruções de “Windows XP Professional Edition”.
Veja “Windows NT Server”.
-
Clique no item
Rede
do painel de controle. -
Na tab
Serviços
, confira se os serviçosEstação de trabalho
,Interface de NetBIOS
eServiços TCP/IP simples
estão instalados. Caso não estejam, faça sua instalação usando o botãoAdicionar
nesta mesma janela. -
Na tab
Protocolos
, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botãoAdicionar
nesta mesma janela. -
Na tab identificação, clique no botão
Alterar
-
Na janela que se abrirá, coloque o nome do computador no campo
Nome do Computador
-
Clique em
Grupo de trabalho
e escreva o nome do grupo de trabalho em frente. -
Clique em
OK
até voltar. -
Pronto, seu computador agora faz parte do grupo de trabalho.
-
Logue como administrador do sistemas local.
-
Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Computador" e então no botão "Propriedades".
-
No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
-
Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
-
Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.
-
Logue como administrador do sistemas local.
-
Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Descrição de rede" e então no botão "Propriedades".
-
No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.
-
Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.
-
Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.
Os aplicativos smbclient e smbmount são usados para navegação e montagem dos discos e impressoras compartilhadas em máquinas Linux. Se você procura programas de navegação gráficos, como o Ambiente de Rede do Windows ou mais poderosos, veja “Programas de navegação gráficos”. Como complemento, também é explicado o programa nmblookup para resolução de endereços NetBIOS em IP e vice-versa e a forma que as funções de máquinas são definidas em uma rede NetBEUI.
O smbmount é uma ferramenta que permite a montagem de um disco compartilhado por uma máquina NetBEUI remota como uma partição. Veja alguns exemplos:
- smbmount //servidor/discoc /mnt/discoc
-
Monta o compartilhamento de //servidor/discoc em
/mnt/discoc
usando o nome de usuário atual. Será pedido uma senha para acessar o conteúdo do compartilhamento, caso ele seja público, você pode digitar qualquer senha ou simplesmente pressionar enter. - smbmount //servidor/discoc /mnt/discoc -N
-
Semelhante ao comando cima, com a diferença que o parâmetro
-N
não pergunta por uma senha. Isto é ideal para acessar compartilhamentos anônimos. - smbmount //servidor/discoc /mnt/discoc -o username=gleydson,workgroup=teste
-
Semelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usuário e teste como grupo de trabalho. Este método é ideal para redes que tem o nível de acesso por usuário ou para acessar recursos compartilhados em um domínio.
O smbclient é uma ferramenta de navegação
em
servidores
SAMBA. Ao invés dela montar o compartilhamento como um disco local, você
poderá navegar na estrutura do servidor de forma semelhante a um cliente FTP e
executar comandos como ls
, get
,
put
para fazer a transferência de arquivos entre a máquina
remota e a máquina local. Também é através dele que é feita a interface com
impressoras compartilhadas remotamente. Veja exemplos do uso do
smbclient:
- smbclient -L samba1
-
Lista todos os compartilhamentos existentes (
-L
) no servidorsamba1
. - smbclient //samba1/discoc
-
Acessa o conteúdo do compartilhamento
discoc
no servidorsamba1
. - smbclient //samba1/discoc -N
-
Idêntico ao acima, mas não utiliza senha (ideal para compartilhamentos com acesso anônimo).
- smbclient //samba1/discoc -I 192.168.1.2
-
Se conecta ao compartilhamento usando o endereço IP
192.168.1.2
ao invés da resolução de nomes. - smbclient //samba1/discoc -U gleydson -W teste
-
Se conecta ao compartilhamento como usuário
gleydson
usando o grupo de trabalhoteste
. - smbclient //samba1/discoc -U gleydson%teste1 -W teste
-
Idêntico ao acima, mas também envia a senha
teste1
para fazer a conexão diretamente.
Caso receba a mensagem NT Status Access Denied
, isto quer
dizer que não possui direitos de acesso adequados para listas ou acessar os
compartilhamentos da máquina. Nesse caso, utilize as opções -U
usuário
e -W grupo/domínio
para fazer acesso com
uma conta válida de usuário existente na máquina.
OBS:Note que a ordem das opções faz diferença no smbmount.
Esta é uma ferramenta usada para procurar nomes de cliente usando o endereço IP, procurar um IP usando o nome e listar as características de cada cliente. Veja alguns exemplos:
- nmblookup -A 127.0.0.1
-
Lista o nome e as opções usadas pelo servidor
127.0.0.1
- nmblookup servidor
-
Resolve o endereço IP da máquina
servidor
.
A listagem exibida pela procura de IP do nmblookup possui códigos hexadecimais e cada um deles possui um significado especial no protocolo NetBEUI. Segue a explicação de cada um:
- Identificação da máquina
-
-
COMPUTADOR<00>= O serviço NetBEUI está sendo executado na máquina.
-
COMPUTADOR<03> = Nome genérico da máquina (nome NetBIOS).
-
COMPUTADOR<20> = Serviço LanManager está sendo executado na máquina.
-
- Identificação de grupos/domínio
-
-
GRUPO_TRABALHO<1d> - <GRUPO> = Navegador Local de Domínio/Grupo.
-
GRUPO_TRABALHO<1b> = Navegador Principal de Domínio.
-
GRUPO_TRABALHO<03> - <GRUPO> = Nome Genérico registrado por todos os membros do grupo de trabalho.
-
GRUPO_TRABALHO<1c> - <GRUPO> = Controladores de Domínio / Servidores de logon na rede.
-
GRUPO_TRABALHO<1e> - <GRUPO> = Resolvedores de Nomes Internet (
WINS
).
-
Estes códigos podem lhe ser úteis para localizar problemas mais complicados que possam ocorrer durante a configuração de um servidor.
Para configurar qualquer um dos cliente abaixo para fazer parte de um domínio de rede, é necessário apenas que tenha em mãos os seguintes dados:
-
Nome do controlador de domínio PDC
-
Nome do domínio
-
Nome de usuário e senha que foram cadastrados no servidor.
-
Acesso administrador no SERVIDOR PDC (SAMBA, NT, etc).
-
Cria uma conta de máquina no domínio (no caso da máquina ser um Windows NT, Windows XP, Windows 2k ou Linux). Veja “Contas de máquinas de domínio” para maiores detalhes.
Como o Windows 3.11, Windows 95, Windows 98, Windows ME não possuem uma conta de máquina, eles nunca serão um membro real de um domínio, podendo sofrer um name spoofing e terem a identidade roubada. Mesmo assim, eles terão pleno acesso aos recursos do domínio e uma configuração mais fácil que os demais clientes. Com estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja integrar no grupo de trabalho:
OBS: O Windows 2000 apresenta algumas dificuldades em entrar na rede do SAMBA 2.2, sendo necessário o uso do SAMBA TNG 2.2.x para aceitar o logon de estações Windows 2000.
Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.
Para tornar uma máquina parte do domínio, siga os seguintes passos:
-
Entre nas propriedades de rede no Painel de Controle
-
Instale o Cliente para redes Microsoft (caso não esteja instalado).
-
Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.
-
Clique em "Cliente para redes Microsoft", marque a opção "Efetuar logon no domínio do Windows NT". Coloque o nome do domínio que irá configurar o cliente para fazer parte na caixa "Domínio do Windows NT" (por exemplo, "suporte"). Na parte de baixo da caixa de diálogo, você poderá escolher como será o método para restaurar as conexões de rede. Inicialmente, recomendo que utilize a "Efetuar logon e restaurar as conexões de rede" que é mais útil para depurar problemas (possíveis erros serão mostrados logo que fizer o logon no domínio).
Adeque esta configuração as suas necessidades quando estiver funcionando :)
-
Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.
-
Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres).
-
Digite o nome de um grupo de trabalho que a máquina fará parte no campo "Grupo de Trabalho" (por exemplo "workgroup", "suporte", etc). Este campo somente será usado caso o logon no domínio NT não seja feito com sucesso. No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").
-
Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de usuário e especifique o nome da máquina que serve a lista de usuários, que normalmente é a mesma do PDC.
-
Clique em OK até reiniciar o computador.
Quando for mostrada a tela pedindo o nome/senha, preencha com os dados da conta de usuário que criou no servidor. No campo domínio, coloque o domínio que esta conta de usuário pertence e tecle <Enter>. Você verá o script de logon em ação (caso esteja configurado) e a máquina cliente agora faz parte do domínio! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"
Não é possível fazer o Windows XP Home Edition ser parte de um domínio, por causa de limitações desta versão.
-
Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em “Windows XP Professional Edition”.
-
Atualize o registro para permitir a entrada no domínio:
-
Copie o seguinte conteúdo para o arquivo
WinXP-Dom.reg
:REGEDIT4 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters "RequireSignOrSeal"=dword:00000000 "SignSecureChannel"=dword:00000000
-
Execute o comando
regedit WinXP-Dom.reg
no cliente XP.
-
-
Entre nos ítens (em seqüencia) Painel de controle/Ferramentas Administrativas/ Política de segurança local/políticas locais e depois em "opções de segurança". Na janela de opções de segurança, desative as opções "Encriptar digitalmente ou assinar um canal seguro (sempre)", "Desativar modificações de senha na conta de máquina" e "Requer chave de seção forte (Windows 2000 ou superior)."
-
Reinicie a máquina.
-
Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.
-
Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.
-
Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.
-
Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.
Siga os procedimentos documentados em “Windows XP Professional Edition”
Veja os passos em “Windows NT Server”.
-
Clique no item
Rede
do painel de controle. -
Na tab
Serviços
, confira se os serviçosEstação de trabalho
,Interface de NetBIOS
eServiços TCP/IP simples
estão instalados. Caso não estejam, faça sua instalação usando o botãoAdicionar
nesta mesma janela. -
Na tab
Protocolos
, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botãoAdicionar
nesta mesma janela. -
Na tab identificação, clique no botão
Alterar
-
Na janela que se abrirá, coloque o nome do computador no campo
Nome do Computador
-
Clique em
Dominio
e escreva o nome do domínio que deseja entrar. -
Para criar uma conta de máquina no domínio, clique em
criar uma conta de computador no domínio
e coloque na parte de baixo o nome do usuário sua senha. O usuário deverá ter poderes para adicionar máquinas no domínio. Caso a conta de máquina não seja criada, o Windows NT será como um Windows 95/98 na rede, sem a segurança que seu nome NetBIOS não seja usado por outros (veja “Contas de máquinas de domínio”). -
Clique em OK até voltar.
-
Pronto, seu computador agora faz parte do domínio.
Siga os passos descritos em “Windows 2000 Server”.
-
Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em “Windows 2000 Server”.
-
Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.
-
Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.
-
Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.
-
Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.
Caso não consiga trocar a senha do Windows 2000 no servidor PDC, desative a
opção unix password sync
.
-
Entre no sistema como usuário root.
-
Instale o SAMBA caso não esteja ainda instalado.
-
Edite o arquivo de configuração do samba
/etc/samba/smb.conf
, será necessário modificar as seguintes linhas na seção [global]:[global] workgroup = nome_domínio security = domain password server = nome_pdc nome_bdc encrypt passwords = true
Onde:
-
workgroup
- Nome do domínio que deseja fazer parte. -
security
- Nível de segurança. Nesta configuração, utilize "domain". -
password server
- Nome da máquina PDC, BDC. Também poderá ser usado*
, assim o SAMBA tentará descobrir o servidor PDC e BDC automaticamente, da mesma forma usada pelo Windows. -
encrypt passwords
- Diz se as senhas serão encriptadas ou não. Sempre utilize senhas criptografadas para colocar uma máquina em um domínio.
Reinicie o servidor SAMBA após estas modificações.
-
-
Execute o comando:
smbpasswd -j domínio -r PDC/BDC -U usuario_admin
. Onde:-
domínio
- Domínio que deseja fazer o logon -
PDC/BDC
- Nome da máquina PDC/BDC do domínio. Em alguns casos, pode ser omitido. -
usuario_admin
- Usuário com poderes administrativos para ingressara a máquina no domínio.
-
-
Se tudo der certo, após executar este comando, você verá a mensagem:
Joined domain "domínio".
Se sua configuração não funcionou, revise com atenção todos os ítens acima. Verifique se a conta de máquina foi criada no servidor e se o SAMBA na máquina cliente foi reiniciado. De também uma olhada em “Erros conhecidos durante o logon do cliente”.
OBS:O SAMBA envia primeiramente um usuário/senha falso para verificar se o servidor rejeita o acesso antes de enviar o par de nome/senha corretos. Por este motivo, seu usuário pode ser bloqueado após um determinado número de tentativas em alguns servidores mais restritivos. Para acessar os recursos compartilhados, veja “Linux”. Note que não é obrigatório realizar as configurações acima para acessar os recursos de uma máquina em domínio, basta apenas que autentique com seu nome de usuário/senha no domínio e que ela seja autorizada pelo PDC.
Esta seção contém os erros mais comuns e a forma de correção da maioria dos problemas que ocorrem quando um cliente SAMBA tenta entrar em domínio.
-
error creating domain user: NT_STATUS_ACCESS_DENIED
- A conta de máquina no domínio não foi criada. Veja “Contas de máquinas de domínio” para mais detalhes. -
NT_STATUS_NO_TRUST_SAM_ACCOUNT
- Não existe conta de máquina no Windows NT para autenticar uma máquina no domínio. Esta mensagem é mostrada quando a máquina SAMBA é cliente de um domínio NT. -
error setting trust account password: NT_STATUS_ACCESS_DENIED
- A senha para criação de conta na máquina está incorreta ou a conta utilizada não tem permissões para ingressar uma máquina no domínio (veja “Criando uma conta de administrador de domínio”). Caso esteja usando um cliente SAMBA, verifique se o parâmetroencrypt passwords
está ativado. -
A senha informada não está correta ou o acesso ao seu servidor de logon foi negado
- Verifique primeiro os logs de acessos do sistema. Caso o SAMBA esteja sendo executado via inetd, verifique se a configuração padrão é restritiva e se o acesso está sendo negado pelos arquivos do tcp wrappershosts.allow
ehosts.deny
. -
não existem servidores de logon no domínio
- Verifique se o parâmetrodomain logons = yes
foi usado para permitir o logon em domínio.
O smbclient, nmblookup e smbmount são ferramentas extremamente poderosas auxiliando bastante o administrador na tarefa de configuração de sua rede e resolver problemas. Para o uso no dia a dia ou quando não é necessária a operação via console, você pode utilizar uma das alternativas abaixo que são front-ends a estas ferramentas e facilitam o trabalho de navegação na rede.
Cliente SAMBA baseado em GTK, muito leve e possibilita a navegação entre os grupos máquinas em forma de árvore. Ele também permite a montagem de compartilhamentos remotos. Caso precise de recursos mais complexos e autenticação, recomendo o “TkSmb”.
São ferramentas que permitem a configuração do samba usando a interface gráfica. Isto facilita bastante o processo, principalmente se estiver em dúvidas em algumas configurações, mas como todo bom administrador UNIX sabe, isto não substitui o conhecimento sobre o funcionamento de cada opção e ajustes e organização feita diretamente no arquivo de configuração.
Ferramenta de configuração gráfica usando o GNOME. Com ele é possível definir configurações localmente. Ele ocupa pouco espaço em disco, e se você gosta de GTK, este é o recomendado.
As opções do SAMBA são divididas em categorias facilitando sua localização e uso.
Ferramenta de administração via web do samba. Este é um daemon que opera na
porta 901 da máquina onde o servidor samba foi instalado. A configuração é
feita através de qualquer navegador acessando
http://ip_do_servidor:901
e logando-se como usuário root (o
único com poderes para escrever no arquivo de configuração).
Esta ferramenta vem evoluindo bastante ao decorrer dos meses e é a recomendada
para a configuração do servidor SAMBA remotamente. Seu modo de operação
divide-se em básico e avançado. No
modo básico
, você terá disponível as opções mais comuns e
necessárias para compartilhar recursos na rede. O modo
avançado
apresenta praticamente todos os parâmetros aceitos
pelo servidor samba (restrições, controle de acesso, otimizações, etc.).
Copyright © 1999-2020 - Gleydson Mazioli da Silva