Administrando seu servidor Samba com o User Manager

Por: Daniel Olops (danielolops@yahoo.com.br)

Chamada Neste artigo, veremos como utilizar as ferramentas User Manager e Server Manager, ambas originrias do Windows NT Server, para administrar com agilidade e praticidade as contas de usurio e configuraes de seu servidor Samba. Introduo O aplicativo User Manager, originrio do Windows NT Server, permite administrar facilmente as contas de usurio de um domnio, permitindo a criao/alterao/excluso de contas, e tambm permitindo alterar polticas do domnio. O interessante que esta ferramenta funciona em cima do Samba, pois ele baseado no Windows NT. :-) Neste artigo, descreverei as etapas de configurao necessrias para que o aplicativo funcione, e mostrarei suas principais funcionalidades. Requisitos Para utilizar o User Manager, necessrio que: - A verso do Samba no servidor seja a 3.0.23 ou superior. O aplicativo funciona em verses mais antigas, porm de maneira mais limitada. - O servidor esteja configurado para atuar como PDC (no pude testar estas dicas em um BDC, mas creio que no h problemas); - A conta do usurio root exista na base do Samba. Se voc no a criou, use o comando smbpasswd a root para cri-la. - Os grupos Domain Admins, Domain Users e Domain Guests estejam mapeados aos seus respectivos grupos do Linux. Mais informaes podem ser obtidas neste artigo, de minha autoria: http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=2002# E os itens abaixo so altamente recomendados: Experincia prvia com o Samba. Leia este artigo por inteiro! Muita dor de cabea pode ser evitada se voc ler, entender e aplicar todas as partes deste artigo...

Configurao do Samba Insira as seguintes linhas na seo [global]:

add user script = /usr/sbin/useradd -m %u delete user script = /usr/sbin/userdel -r %u add group script = /usr/sbin/groupadd %g delete group script = /usr/sbin/groupdel %g add user to group script = /usr/bin/gpasswd a %u %g delete user from group script = /usr/bin/gpasswd d %u %g set primary group script = /usr/sbin/usermod g %g %u shutdown script = /var/lib/samba/scripts/shutdown.sh %m %t %r %f abort shutdown script = /sbin/shutdown c

Pequenas correes podem ser necessrias nos caminhos ou parmetros acima. Pelo menos no Debian, nenhuma alterao necessria. Baixando e utilizando o User Manager Primeiro, vamos baixar o programa, atravs do seguinte link: http://download.microsoft.com/download/winntwks40/utility/7/nt4/enus/srvtools.exe. Ao abrir o executvel SRVTOOLS.EXE, ele extrair quatro arquivos: SRVMGR.EXE (Server Manager), SRVMGR.HLP (Ajuda do Server Manager), USRMGR.EXE (User Manager) e USRMGR.HELP (Ajuda do User Manager). Abra o USRMGR.EXE. Vale lembrar que para utilizar o programa, necessrio que voc esteja logado em uma estao Windows do domnio com a conta root ou com uma que faa parte do grupo Domain Admins, que so, por definio, as pessoas que podem administrar as contas de usurios. Sero listados todos os usurios do domnio na parte superior da tela, e na parte inferior sero listados todos os grupos. Ao dar um duplo clique em cima de um usurio, voc poder alterar vrias propriedades dele, como: - Full Name: nome completo; - Description: descrio da conta; - Password / Confirm password: campos para digitao de senha; - User must change password at next logon: fora o usurio a alterar sua senha no seu prximo logon; - User cannot change password: impede que o usurio altere sua prpria senha; - Password never expires: faz com que a validade da senha nunca expire; - Account Disabled: desabilita a conta. Desta forma, o usurio no consegue mais fazer logon. - Account locked out: esta opo s fica disponvel quando a conta bloqueada por vrias tentativas de logon com senha invlida. Desmarque esta caixa para desbloquear a conta. Alm disto, h mais alguns botes. Segue a explicao sobre o que cada um faz. Groups Permite gerenciar os grupos aos quais o usurio pertence. necessrio que ele pertena a pelo menos um grupo. A caixa Member of lista os grupos

aos quais ele pertence, e a Not member of lista os grupos disponveis. Voc pode usar os botes Add e Remove para mudar os grupos. O boto Set Primary Group lhe permite dizer qual o grupo primrio do usurio. Observao: no possvel remover o usurio de um grupo se este for o seu grupo primrio. Neste caso, selecione outro grupo do qual ele faa parte e o defina como primrio. Profile Permite especificar o local onde ser guardado o perfil do usurio (campo User profile path), o script de logon a ser executado para ele (Logon script), e o diretrio inicial (campos Local path ou Connect). Se estes campos no forem preenchidos, sero usadas as definies dos parmetros logon path, logon script e logon home, respectivamente, do arquivo de configurao do Samba. Hours Permite especificar os horrios que o usurio pode efetuar logon. Por padro, ele pode efetuar logon a qualquer horrio. Para mudar isto, selecione um perodo e clique em Allow (Permitir) ou Disallow (Negar). Logon to Permite especificar se o usurio pode efetuar logon em qualquer mquina do domnio (User may log on to all workstations) ou apenas nas estaes especificadas (User may logon to these workstations). Se voc selecionar a segunda opo, voc pode especificar at 8 mquinas nas quais o usurio pode efetuar logon. Account Na seo Account expires, voc pode definir se a conta tem validade infinita (Never), ou se ela se auto-destruir aps o prazo especificado (End of). A seo Account Type permite especificar se a conta global (domnio) ou local (BUILTIN). Dialin Em um domnio com Windows NT Server, esta opo permite que o usurio efetue logon atravs de uma conexo dial-up. Em um domnio Samba, at onde eu sei, isto no tem utilidade. Voltando tela principal, ao dar um duplo clique em um dos grupos, voc poder definir a descrio dele, bem como os seus membros. A tela bastante intuitiva, logo eu no vou explicar os seus campos. Agora vamos aos menus, comeando pelo User: - New User: adiciona usurios ao domnio; - New Group: adiciona um novo grupo; - New Local Group: adiciona um novo grupo local (BUILTIN); - Copy: copia o item selecionado (usurio ou grupo); - Delete: deleta o item selecionado; - Rename: renomeia o item selecionado;

- Properties: acessa as propriedades do item selecionado; - Select Users: permite selecionar todos os usurios de um determinado grupo, para facilitar a administrao de mltiplos usurios simultaneamente; - Select Domain: esta opo s tem utilidade se o seu servidor tem uma relao de confiana com outro controlador de domnio. Ela permite, nestes casos, selecionar qual domnio ser administrado; - Exit: sai do programa (meio bvia esta, no? ). Menu View: - Sort by full name: ordena a lista de usurios pelo nome completo; - Sort by username: ordena a lista de usurios pelo login; - Refresh: atualiza a tela. O programa no muito esperto, logo voc pode precisar atualizar a tela para visualizar as alteraes que voc fizer. Menu Policies: O item Accounts permite gerenciar certas polticas do domnio, que, portanto afetaro todos os usurios. uma das opes mais interessantes do programa. No item Maximum password age, voc pode fazer com que as senhas no tenham validade (Password never expires) ou que expirem em um determinado nmero de dias. O item Minimum password age, voc pode dar uma validade mnima para as senhas, de forma que os usurios no possam alter-la antes deste prazo. O item Minimum password length permite especificar um tamanho mnimo para as senhas. Ao selecionar Permit blank password, voc permitir que os usurios tenham senhas em branco. O item Password uniqueness serve para forar o usurio a usar senhas diferentes das anteriores. Por exemplo, se voc definir para o servidor se lembrar das trs ltimas senhas, a nova senha do usurio ter que ser diferente das trs ltimas senhas utilizadas por ele. til em ambientes que seguem boas prticas de segurana. Ao ativar o item Account lockout, voc pode bloquear a conta do usurio aps n tentativas mal sucedidas de logon. O campo Lockout after defina a quantidade de tentativas; o Reset counter after define quanto tempo o servidor ir esperar para zerar o contador de tentativas invlidas aps uma tentativa vlida; para a seo Lockout duration, se for definido Forever, a conta permanecer bloqueada at um administrador desbloque-la; caso contrrio, voc pode definir quantos minutos o servidor ir aguardar para desbloquear a conta automaticamente. O item Forcibly disconnect remote users from server when logon hours expire serve para forar o logoff dos usurios ao terminar o seu horrio de utilizao. Por fim, temos o item Users must logon in order to change password, que se selecionado, faz com que os usurios com senha expirada dependam do administrador para voltarem a utilizar suas contas. Por padro, o prprio usurio pode alterar sua senha.

Voltando ao menu, temos a opo User Rights, que permite dar privilgios especficos a determinados usurios ou grupos. Para usar este recurso, a opo enable user privileges = yes precisa ser inserida na seo [global] do smb.conf, e a verso do Samba precisa ser igual ou superior a 3.0.14. Seu uso se assemelha ao comando net rpc rights. A opo Audit Policy, teoricamente, definiria que eventos o Samba registraria em log. Porm, atualmente esta opo ignorada. Se voc precisa auditar tais eventos, use os mdulos VFS audit, extd_audit ou full_audit. A opo Trust Relationships permite configurar relaes de confiana entre domnios distintos. No vou me ater a explicaes sobre esta tecnologia, j que no o foco deste artigo; para isto, acesse: Interdomain Trust Relationships. Por fim, temos os menus Options e Help, que so auto-explicativos. Concluso e observaes finais Como podemos ver, muitas coisas interessantes podem ser feitas com esta ferramenta. Explore-a bastante! Uma observao importante: como esta ferramenta foi projetada para o Windows NT, bugs podem surgir. Nestes casos, a nica soluo verificar com a equipe do Samba se h uma correo para o problema, ou ento apelar para outras ferramentas. Se voc vir erros neste artigo (ortografia, gramtica, conceito, comandos, etc.), por favor, mande um e-mail para danielolops@yahoo.com.br. At mais!