Active Directory X Linux

[emjr7l]

Pessoal, sou novo no fórum e no mundo Linux.
Seguinte:
Um ex-funcionário da empresa montou um servidor Win2003/Active Directory(AD) e depois saiu. Esse servidor provê os seguintes serviços: Dominio com Autenticação de Usuários previamente cadastrados no AD, DNS, Compartilhamento de Arquivos e Impressoras, e o principal: Politicas de Segurança de Rede ( Por exemplo: Qual Usuário pode Acessar Determinado Recurso em Determinada Máquina, Qual Grupo pode fazer isso ou aquilo, etc).
Então, gostaria de saber, se posso subistituir esse Servidor Win2003/AD por um Linux, sem perder absolutamente nenhum recurso ou serviço que o Win2003/AD me fornece atualmente.
Se a resposta for sim, qual distribuição e quais os serviços devo configurar e levantar?
Qual configuração de Hardware seria legal pra prover tudo isso em uma Única Máquina?
Talvez eu tenha que fazer tudo novamente para o Linux funcionar e rodar legal, e por isso mesmo, gostaria de criar e manter uma política de bkp, gostaria de dicas sobre isso também.
Pretendemos fazer tudo bem documentado, para que se um dos Administradores da Rede sair da empresa, outros possam manter e até melhorar o que já foi implementado.
Conto com vocês.

Obrigado.

[mtec]

Samba + Ldap + DHCP + CUPS.

O AD nada + é, que um Servidor LDAP em relacao a autenticacao.

Ah... ainda tem kerberos!!

mtec

[lucianogf]

cara..

como o mtec disse, você pode usar as ferramentas acima, mas tem um porém.. no linux você não dispõe de ferramenta para política de segurança como o AD, você precisaria de gerar algumas políticas numa maquina windows, ae quando o usuário loga no sistema é executado algumas modificações no registro do windows...

assim você pode especificar qual usuário terá acesso a q...

valeu

[Laedrus]

Cara, pelo que pude entender uma solução extremamente simples para você e que deve lhe atender (pelo que entendi) é um servidor SAMBA PDC, ele serve como controlador primário de domínio(PDC), e com isso você cadastra os clientes winXP, e eles podem fazer autenticação no domínio, o que implica na necessidade de um cadastro no servidor, ele monta automáticamente como mapeamento do windows o seu home numa letra qualquer, definida no smb.conf, uma coisa que não entendi o que quis dizer foi

"Qual Usuário pode Acessar Determinado Recurso em Determinada Máquina, Qual Grupo pode fazer isso ou aquilo, etc)."

o que chama de recurso, ou fazer isso ou aquilo?? seja mais específico, então posso lhe dizer se essa solução será praticável para você ou não, se servir, posso lhe mandar uma documentação e meu conf comentado, falou!

[lucianogf]

Citação:

Postado Originalmente por Laedrus

uma coisa que não entendi o que quis dizer foi

"Qual Usuário pode Acessar Determinado Recurso em Determinada Máquina, Qual Grupo pode fazer isso ou aquilo, etc)."

o que chama de recurso, ou fazer isso ou aquilo??

ele quis dizer com relação a usuário que pode acessar recursos do tipo "painel de controle", instalar ou remover programas, acessar o prompt, etc...

[mtec]

Citação:

Postado Originalmente por Laedrus

Cara, pelo que pude entender uma solução extremamente simples para você e que deve lhe atender (pelo que entendi) é um servidor SAMBA PDC, ele serve como controlador primário de domínio(PDC), e com isso você cadastra os clientes winXP, e eles podem fazer autenticação no domínio, o que implica na necessidade de um cadastro no servidor, ele monta automáticamente como mapeamento do windows o seu home numa letra qualquer, definida no smb.conf, uma coisa que não entendi o que quis dizer foi

"Qual Usuário pode Acessar Determinado Recurso em Determinada Máquina, Qual Grupo pode fazer isso ou aquilo, etc)."

o que chama de recurso, ou fazer isso ou aquilo?? seja mais específico, então posso lhe dizer se essa solução será praticável para você ou não, se servir, posso lhe mandar uma documentação e meu conf comentado, falou!

Que o SAMBA é ótimo e cheio de recursos, ninguem tem dúvida. Mas vc sabe o que é um AD?? Já viu uma aplicação com Samba e LDAP funcionando?!?! Sabe oque este serviço provê na rede??

Att,

mtec

[emjr7l]

Citação:

Postado Originalmente por Laedrus

Cara, pelo que pude entender uma solução extremamente simples para você e que deve lhe atender (pelo que entendi) é um servidor SAMBA PDC, ele serve como controlador primário de domínio(PDC), e com isso você cadastra os clientes winXP, e eles podem fazer autenticação no domínio, o que implica na necessidade de um cadastro no servidor, ele monta automáticamente como mapeamento do windows o seu home numa letra qualquer, definida no smb.conf, uma coisa que não entendi o que quis dizer foi

"Qual Usuário pode Acessar Determinado Recurso em Determinada Máquina, Qual Grupo pode fazer isso ou aquilo, etc)."

o que chama de recurso, ou fazer isso ou aquilo?? seja mais específico, então posso lhe dizer se essa solução será praticável para você ou não, se servir, posso lhe mandar uma documentação e meu conf comentado, falou!

obrigado Laedrus.
O Samba como PDC eu entendi. Ja testei a um tempo atras e funcionou legal.

Os recursos a que me refiro são compartilhamento de pastas e impressoras nas maquinas windows.
EX: quatro maquinas numa rede da seguinte forma:
servidor samba PDC
estacao1 windows xp pro
estacao2 windows xp pro
estacao3 windows xp pro
preciso que as tres estações sejam autenticadas pelo servidor.
Tenho uma pasta "musicas" compartilhada na estacao1
quero que a estacao2 tenha acesso a esta pasta, com permissão somente leitura.
quero que na estacao3 não tenha acesso a esta pasta.

"Qual usuario pode fazer o que"
Tenho o mesmo servidor PDC Samba.
Tenho dois ambientes de trabalho:
um ambiente de aula e um ambiente administrativo.
Quero que os usuarios do ambiente de aula não tenham acesso ao painel de controle, alterar entre os modos do menu iniciar, meus locais de rede e etc.
Quero que os usuarios da area administrativa tenha acesso a todos os recursos citados acima.

Obrigado.

[Laedrus]

bom, quanto a esses acessos um pouco avançados não sei lhe dizer, mas já espiei as configurações de compartilhamento quando a máquina WINXP está no domínio, muda um pouco, se não me engano tem permissões por usuário sim, mas tenho que checar isso com mais calma, quanto ao painel de controle e ferramentas admin. do windows, tenho quase certeza que o samba não faz isso, porém, existem maneiras de se fazer isso no próprio windows, se der pra fazer isso por um script, é só tornar esse script (DOS) como script de logon da máquina, e vai desabilitar ou não, controle por usuário também, senão seria bom estudarmos o LDAP como diz o amigo mtec, mas pelos rumores que ouvi falar sobre o LDAP não parece ter muito a ver, mas só pesquisando a fundo para ver mesmo.

mtec, se você já viu funcionando, nos diga por favor as vantagens, estou curioso.

[Laedrus]

Pessoal, depois de muito tempo reli esse tópico, e vi que é uma necessidade constante de nós mesmos, algumas das funcionalidades do Active Directory, da Microsoft, bom, tive essa idéia há um bom tempo, mas só agora base para postar, a minha idéia é "arranjar um jeito" de conseguir todas as funcionalidades do AD, para (ou através) do Linux, ou seja, se o AD pode bloquear prompt, painel de controle, onde os usuários logam, etc... arranjaríamos uma solução mais próxima possível, se é que não já existe e desconheço.

Pensei primeiro em FreeAD, o que daria em FAD, depois saiu esse nome cômico, "FrADe", mas antes do projeto nascer precisamos reunir interessados, para que possamos juntos desenvolver isso, fico no aguardo de vocês, valeu!