[Renato Alves]

Com um pouco de dificuldade eu consegui compreender a ordem das regras e fazer funcionar. Não vou ter muito trabalho para fazê-las funcionar porque o meu ambiente é simples, mas se eu tiver, eu sei que é nó cego meu, porque funcionar funciona. Sobre a Autenticação integrada ao AD, eu fiz da seguinte forma.

Fui lá no nome do host e configurei ele com o nome de minha preferência .nomedomeudominio (Netbios). Fui na rede e adicionei os hosts que são os meus servidores AD. No proxy eu configurei a autenticação da seguinte maneira:

Domíno de autenticação:meudomino.com.br

número de processos, número de IP´s e os TTL´s eu deixei como está.

nome de domínio do servidor AD: meudominio.com.br

Nome do servidor primario do AD: meuservidor

IP do servidor primario do AD: IP do meu servidor

Nome do servidor secundario do AD: meuservidor

IP do servidor secundario do AD: ip do servdidor

Salvei e fui adicionar no AD. Usei usuário e senha de uma conta de administrador do AD e funcionou beleza… Só que, eu tive problemas, muitos, e preciso informar que eu estou tentando adicionar no AD desde quarta-feira passada. Eu tenho um tópico pronto, que eu discuti todos os meus problemas relacionado ao ingredo no AD com outro usuário, os problemas a soluções foram relatados nesse tópico. http://endian.eth0.com.br/topic/erro-ao-tentar-entrar-no-dominio-no-windows-server-2008-nao-e-r2

[Renato Alves]

Deu pau. Mas eu consegui resolver aqui denovo. para isso eu segui o link que você postou: http://endian.eth0.com.br/topic/autenticacao-ntlm

Vou explicar em situação real oque aconteceu porque muita gente vai ter dúvida quanto a isso e é certeza. Para explicar o problema e a solução, eu preciso falar duas coisas. O nome FQDN do meu domínio AD é “contabilidadeinconfidencia.com.br” o nome netbios dele é “contabilidadein”. Depois que eu fui lá no arquivo winbind.conf e mudei o Workgroup de contabilidadeinconfidencia para contabilidadein ele logou no AD. Só que depois eu reiniciei o serviço samba e ele deu pau denovo! Por quê? Pelo seguinte, eu li o problema do link acima e o URIEL está dizendo que é necessário mudar os arquivos winbind.tmpl e o krb5.conf.tmpl, porque quando você restarta os serviços, ele lê os arquivos tmpl que são arquivos modelo, e pega os valores das variáveis que estão nesses arquivos e jogam nos arquivos .conf. Dessa forma, eu fui lá no winbind.conf da primeira vez e mudei o workgroup de contabilidadeinconfidencia para contabilidadein e funcionou, mas ao restartar o serviço a opção workgroup voltou para contabilidadeinconfidencia, já que o serviço leu o arquivo template. No arquivo winbind.tmpl (template) a opção workgroup está configurada com a seguinte variável:

${AUTH_REALM.split(“.”)[0].upper()}

Eu não sou nenhum expert em linguagem shell, mas imaginei que o valor da variavel AUTH_REALM é “contabilidadeinconfidencia.com.br” o “.split” e o “[0]” eu não sei oque significa o “.upper” eu imaginei que era para converter todos os caracteres em maiúsculo. Dessa forma, após ler essa linha eu imaginei que a opção workgroup pegaria o nome FQDN “contabilidadeinconfidencia.com.br” e removeria tudo o que está após o “.” e converterá as letras em maiúsculo, utilizando o contabilidadeinconfidencia como se fosse o nome NETBIOS do meu dominio. Aí que está o problema, Como sabemos, o nome NETBIOS permite apenas 15 caractéres utilizáveis, e o nome NETBIOS do meu domínio não é “contabilidadeinconfidencia”, é “contabilidadein”. Oque eu fiz para resolver isso foi colocar o nome NETBIOS do meu domíno na opçao workgroup do arquivo winbind.tmpl como CONTABILIDADEIN. Salvei o arquivo reiniciei os serviços e o firewall voltou para o AD.

Eu não alterei nada no arquivo krb5.conf.tmpl. Antes de alterar o arquivo tmpl na mão eu fiz um backup dele tá. Acho que isso que eu fiz foi uma gambiarra, pois se outra pessoa precisar alterar as configurações de autenticação AD desse firewall aqui e não souber dessas mudanças que eu fiz na mão…. Eu não quero nem imaginar a dor de cabeça que essa pessoa vai ter. Só que eu não soube fazer isso de maneira que não “estragasse” o código, então se alguém tiver uma sugestão legal seria ótimo. Mesmo porquê, eu acho que nesse ponto os desenvolvedores deixaram a desejar. Eles criaram uma regra de nome NETBIOS que parte do princípio que o nome netbios do domínio é o nome que está antes do “.” do nome FQDN, e nesse caso, se você tiver um domíno com nome netbios diferente, vai ter problemas igual eu. Acho que isso poderia ser resolvido na próxima versão, se ao adicionar o firewall ao AD, tivesse uma opção de especificar o nome NETBIOS manualmente.

Estou testando a última vez para ter certeza que nada deu errado, e….

Voalá! Está ok.

[Renato Alves]

Nilo, eu também estou com problemas para fazer o meu endian comunicar com o AD, mas eu recebi uma mensagem igual essa sua e constatei que o erro está no seguinte campo:

Authentication Realm:* (Domínio de autenticação no Português)

Endian Proxy Server

Nesse campo você deve colocar o nome do seu domínio AD. Nesse ponto há dois problemas:

1º Quando eu coloco o nome NETBIOS do domínio, salvo e tento ingressar no AD ele apresenta a seguinte mensagem de erro:

Failed to join domain: Invalid configuration (“realm” set to ‘meudominio’, should be ‘meudominio.com.br’) and configuration modification was not requested.

Então eu vou lá e mudo o dominio de autenticação para meudominio.com.br e ele me apresenta a segunta mensagem de erro:

Failed to join domain: Invalid configuration (“workgroup” set to ‘meudominio(ele omite o .com.br, oque indica que o campo workgroup está preenchido com meudominio.com.br)’, should be ‘meudominio’) and configuration modification was not requested.

Resumindo, parece que as configurações devem ser com o nome netbios do domínio, e o FQDN só deve ser preenchido quando for solicitado. Eu não sei na interface onde está esse campo workgroup, mas acessei pelo putty, fui no caminho /etc/samba/winbind.conf e nesse arquivo encontrei na linha 21 a opção WORKGROUP preenchido com o nome do meu dominio de maneira incorreta (ao invés do netbios, era o FQDN, só que sem o .com.br). Ajustei na mão mesmo e dei um reload no serviço winbind /etc/init.d/winbind reload. Depois disso eu tentei novamente e consegui… Pelo menos quando eu tentei adicionar ao AD novamente apareceu a mensagem “Adicionado ao domínio com sucesso”. Veja se essas condições lhe ajudam.

[Renato Alves]

É, desse jeito aí que você tá querendo parece não ter solução mesmo não. A não ser que você crie regras de saída no firewall que bloqueie os sites de destino, e a origem seja apenas aquela estação. Mas daria muito trabalho e eu não sei se tô falando algo que funcionaria.

[Renato Alves]

Monitoramento de tráfego foi ativado.

Dessa forma minha configuração de serviços está feita. Agora vou para a configuração de Firewall e Proxy. Meu objetivo é criar um proxy autenticado. Quero autenticar esse proxy no meu active directory, e não pretendo usar as blacklists pré-definida do dansguardian.

[Renato Alves]

Sobre os servidores NTP, eu optei por não usar os servidores padrão do Endian, e adicionei 5 servidores manuais para sincronizar a hora. Os servidores estão na seguinte ordem: Meu DC Primário, Meu DC Secundário, a.ntp.br, b.ntp.br, c.ntp.br.

[Renato Alves]

Me desculpem por escrever alguns posts fora de ordem, eu vou colocando na medida que eu vou lembrando. Nesse caso aqui eu esqueci de falar sobre o hardware do meu firewall. É uma máquina montada com processador Dual Core 2160 (se não me engano) HD sata de 80 GB e 2 GB de memória ram. Por hora ela tem 2 NIC, mas quando eu terminar isso tudo vou adicionar mais uma.

[Renato Alves]

Eu esqueci de falar aqui, antes de configurar o DNS eu já havia configurado a conexão PPPoE para discagem pelo Oi Velox. Meu modem é daqueles modens Thompson da GVT. Na primeira vez que eu fui configurar o firewall para discar por PPPoE (há algumas semanas atrás) ele não discava, para resolver isso eu precisei primeiro acessar a interface desse modem da GVT que por padrão é roteado e desativar o roteamento dela, configurando o modem como Bridge PPPoE, dessa forma a discagem do firewall pôde passar por ele sem problema e estabelecer a conexão.

[Renato Alves]

Acabei de conseguir configurar o DNS Dinâmico. Na parte da manhã tentei configurar o DNS usando o no-ip. Tentei de todas as formas (Pela interface apenas) e não consegui fazer o no-ip funcionar. Resolvi usar o Dyndns, porém quando criei a conta no dyndns ele me pediu dados de cartão de crédito e blá e blá e blá e como eu vi que não ia dar em nada…. conectei nele com uma conta antiga que eu tenho, e com essa conta eu consegui criar a conta dyndns e na configuração do firewall funcionou de primeira. Só um detalhe do dyndns que pode servir para alguns. Quando eu fui escolher o domínio no dyndns, eu escolhi dyndns-office.com e passou numa boa, mas na segunda tentativa eu escolhi dyndns.org e ele pediu os dados do cartão do mesmo jeito, aí eu apaguei essa solicitação e fiquei com a primeira mesmo.

[Renato Alves]

Meu primeiro problema hoje foi com a definição das senhas. Eu configurei as senhas e apertei enter. Ele pulou para a próxima etapada da configuração mas não salvou as senhas. Depois que eu apliquei as configurações pediu senha para acessar o web e a senha que eu coloquei não funcionou. Assim eu cheguei à conclusão de que há senhas default, e que ao apertar a tecla enter na tela de configuração de senhas ele não configura as senhas que digitou. Como eu não sei as senhas default eu reinstalei e comecei denovo.

[Autor]

Posts