Integrando UserAuth com DC Samba
Atualizado
Atualizado
Para autenticar usuários previamente cadastrados num Servidor PDC SAMBA (com o recurso de Controlador de Domínio ativado) no pfSense® com o UserAuth, faz-se necessários alguns pré-requisitos. A maioria das configurações são implementadas no lado do próprio Servidor SAMBA.
Abaixo, descreveremos um passo a passo a ser seguido:
O primeiro pré-requisito para usarmos autenticação de usuários no UserAuth através de servidor SAMBA, é verificar a versão do pacote no seu servidor Linux. O formato do arquivo de Log interpretado pelo UserAuth só está disponível a partir do SAMBA 4.10, conforme documentação oficial
Para verificar a versão do pacote SAMBA instalada no seu servidor Linux, basta executar o seguinte comando (logado como root):
O primeiro passo é verificar no servidor SAMBA se a versão do serviço “smbd” já possui suporte a JSON. Para validar este ponto, basta executar o comando abaixo, conforme a documentação oficial do próprio SAMBA disponível na internet.
Após verificar se o suporte ao JSON está ativado, é necessário ativar o recurso de log incluindo a linha abaixo no arquivo smb.conf e reiniciar o serviço do SAMBA.
Neste segundo passo iremos possibilitar ao pfSense® ler os logs do servidor SAMBA. Neste sentido, iremos utilizar o NFS – um recurso bem conhecido em servidores Unix-Like. Neste ponto, o pré-requisito é a instalação de alguns pacotes no seu Servidor SAMBA.
O exemplo abaixo aborda um exemplo de comando em servidores Debian/Ubuntu Linux:
OBS: O nome dos pacotes pode variar de acordo com versão da distribuição Linux que vocês está utilizando.
Após a instalação deve-se parametrizar o arquivo /etc/exports. Esta configuração irá implementar uma ACL permitindo a leitura dos logs somente por intermédio do IP do seu servidor pfSense®.
Neste exemplo o IP “192.168.65.1” é o IP do Firewall pfSense® onde o UserAuth está instalado. Após o procedimento o serviço “NFS” precisa ser reiniciado no seu Servidor SAMBA.
Ainda, pode ser necessário (dependendo da configuração atual do SAMBA) alterar a permissão da pasta de logs.
Arquivo de log
O arquivo que é lido pela UserAuth para identificar os eventos de autenticação dos usuários no dominio é o /var/log/samba/log.smbd, caso o samba não esteja encaminhando o log dos eventos para este arquivo deve-se aplicar este parâmetro no arquivo de configuração do serviço e reinicia-lo.
Alem disso, os log gerados pela autenticação podem ser conferidos neste arquivo a cada autenticação.
Com todos os pré-requisitos satisfeitos, basta configurar a integração no UserAuth com o Servidor PDC SAMBA. Acesse a aba Domains da ferramenta e adicionar uma nova configuração, preenchendo as informações conforme descrição de cada campo.
Feita a configuração, pode-se acompanhar o status da integração na aba “Logs”. A ferramenta mostrará que foi capaz de montar a unidade remota (NFS) para leitura dos logs.
Neste momento, o UserAuth será capaz de identificar automaticamente os usuários que fizerem login nas estações ingressadas no PDC SAMBA, da mesma forma como procede com um Servidor Windows Active Directory.
Para configurar/alterar a pesquisa dos grupos de origem dos usuários para o Servidor SAMBA, basta acessar a dashboard inicial da ferramenta UserAurh e selecionar a opção: “Samba LDAP groups”.
Leitura dos usuários nos grupos configurados.