Administrando seu servidor Samba com o User Manager

Introdução

O aplicativo User Manager, originário do Windows NT Server, permite administrar facilmente as contas de usuários de um domínio, permitindo a criação/alteração/exclusão de contas e também permitindo alterar políticas do domínio, tais como regras de alteração de senhas, bloqueio de contas, etc. O interessante é que esta ferramenta funciona em cima do Samba, pois ele é baseado no Windows NT. :-)

Neste artigo, descreverei as etapas de configuração necessárias para que o aplicativo funcione, e mostrarei suas principais funcionalidades.

Requisitos

Para utilizar o User Manager, é necessário que:

A versão do Samba no servidor seja a 3.0.23 ou superior. O aplicativo funciona em versões mais antigas, porém de maneira mais limitada.

O servidor esteja configurado para atuar como PDC (não pude testar estas dicas em um BDC, mas creio que não há problemas).

A conta do usuário root exista na base do Samba. Se você não a criou, use o comando "smbpasswd –a root" para criá-la.

Os grupos "Domain Admins", "Domain Users" e "Domain Guests" estejam mapeados aos seus respectivos grupos do Linux. Mais informações podem ser obtidas neste artigo, de minha autoria: Configurando administradores de domínio no Samba.

E os itens abaixo são altamente recomendados:

Experiência prévia com o Samba. Leia este artigo por inteiro! Muita dor de cabeça pode ser evitada se você ler, entender e aplicar

TODAS as partes deste texto.

Configuração do Samba

Insira/modifique as seguintes linhas na seção [global]:

# Scripts para automação de tarefasadd group script = /usr/sbin/groupadd '%g'add user script = /usr/sbin/useradd -m '%u'add user to group script = /usr/bin/gpasswd -a '%u' '%g'# check password script = ALGUM_PROGRAMA_DE_VERIFICAÇÃOdelete group script = /usr/sbin/groupdel '%g'delete user from group script = /usr/bin/gpasswd -d '%u' '%g'delete user script = /usr/sbin/userdel -r '%u'rename user script = /usr/sbin/usermod -l '%unew' '%uold'set primary group script = /usr/sbin/usermod -g '%g' '%u'

Pequenas correções podem ser necessárias nos caminhos ou parâmetros acima. Creio que no Debian nenhuma alteração será necessária.

Baixando e utilizando o User Manager

Primeiro baixe o programa através deste link. Ao abrí-lo serão extraídos quatro arquivos: SRVMGR.EXE (Server Manager), SRVMGR.HLP (Ajuda do Server Manager), USRMGR.EXE (User Manager) e USRMGR.HELP (Ajuda do User Manager). Abra o USRMGR.EXE.

OBS: Vale lembrar que para utilizar o programa é necessário que você tenha efetuado logon em uma estação Windows do domínio com a conta root ou com uma conta que faça parte do grupo "Domain Admins".

Tela principal:

Serão listados todos os usuários do domínio na parte superior da tela e na parte inferior serão listados todos os grupos.

Opções de conta:

Ao dar um duplo clique em cima de um usuário, você poderá alterar várias propriedades dele, como:

Full Name: nome completo. Description: descrição da conta. Password / Confirm password: campos para digitação de senha. User must change password at next logon: força o usuário a alterar sua senha no seu próximo logon. User cannot change password: impede que o usuário altere sua própria senha. Password never expires: faz com que a validade da senha nunca expire. Account Disabled: desabilita a conta. Desta forma, o usuário não consegue mais fazer logon. Account locked out: esta opção só fica disponível quando a conta é bloqueada por várias tentativas

de logon com senha inválida. Desmarque esta caixa para desbloquear a conta.

Além disto, há mais alguns botões. Segue a explicação sobre o que cada um faz.

Groups:

Permite gerenciar os grupos aos quais o usuário pertence. É necessário que ele pertença a pelo menos um grupo. A caixa "Member of" lista os grupos aos quais ele pertence, e a "Not member of" lista os grupos disponíveis. Você pode usar os botões Add e Remove para mudar os grupos. O botão "Set Primary Group" lhe permite dizer qual é o grupo primário do usuário.

Observação: não é possível remover o usuário de um grupo se este for o seu grupo primário. Neste caso, selecione outro grupo do qual ele faça parte e o defina como primário.

Profile:

Permite especificar o local onde será guardado o perfil do usuário (campo "User profile path"), o script de logon a ser executado para ele ("Logon script") e o diretório inicial (campos "Local path" ou Connect). Se estes campos não forem preenchidos, serão usadas as definições dos parâmetros "logon path", "logon script" e "logon home"/"logon drive", respectivamente, do arquivo de configuração do Samba.

Hours:

Permite especificar os horários nos quais o usuário pode efetuar logon. Por padrão, ele pode efetuar logon a qualquer horário. Para mudar isto, selecione um período e clique em Allow (Permitir) ou Disallow (Negar).

Logon to:

Permite especificar se o usuário pode efetuar logon em qualquer máquina do domínio ("User may log on to all workstations") ou apenas nas estações especificadas ("User may logon to these workstations"). Se você selecionar a segunda opção, você pode especificar até 8 máquinas nas quais o usuário pode efetuar logon.

Account:

Na seção "Account expires", você pode definir se a conta tem validade infinita (Never), ou se ela se “auto-destruirá” após o prazo especificado (End of). A seção "Account Type" permite especificar se a conta é global (domínio) ou é local (BUILTIN).

Dialin:Em um domínio com Windows NT Server, esta opção permite que o usuário efetue logon através de uma conexão dial-up. Em um domínio Samba, até onde eu sei, isto não tem utilidade.

Voltando à tela principal, ao dar um duplo clique em um dos grupos, você poderá definir a descrição dele, bem como os seus membros. A tela é bastante intuitiva, logo eu não vou explicar os seus campos.

Agora vamos aos menus, começando pelo User:

New User: adiciona usuários ao domínio; New Group: adiciona um novo grupo; New Local Group: adiciona um novo grupo local (BUILTIN); Copy: copia o item selecionado (usuário ou grupo); Delete: deleta o item selecionado; Rename: renomeia o item selecionado; Properties: acessa as propriedades do item selecionado; Select Users: permite selecionar todos os usuários de um determinado grupo, para facilitar a

administração de múltiplos usuários simultaneamente; Select Domain: esta opção só tem utilidade se o seu servidor tem uma relação de confiança com

outro controlador de domínio. Ela permite, nestes casos, selecionar qual domínio será administrado; Exit: sai do programa (meio óbvia esta, não? :-) ).

Menu View

Sort by full name: ordena a lista de usuários pelo nome completo; Sort by username: ordena a lista de usuários pelo login; Refresh: atualiza a tela. O programa não é muito “esperto”, logo você pode precisar atualizar a tela

para visualizar as alterações que você fizer.

Menu Policies:

O item Accounts permite gerenciar certas políticas do domínio, que, portanto afetarão todos os usuários. É uma das opções mais interessantes do programa.

No item "Maximum password age", você pode fazer com que as senhas não tenham validade ("Password never expires") ou que expirem em um determinado número de dias.

O item "Minimum password age", você pode dar uma validade mínima para as senhas, de forma que os usuários não possam alterá-la antes deste prazo.

O item "Minimum password length" permite especificar um tamanho mínimo para as senhas. Ao selecionar "Permit blank password", você permitirá que os usuários tenham senhas em branco.

O item "Password uniqueness" serve para forçar o usuário a usar senhas diferentes das anteriores. Por exemplo, se você definir para o servidor se lembrar das três últimas senhas, a nova senha do usuário terá que ser diferente das três últimas senhas utilizadas por ele. Útil em ambientes que seguem boas práticas de segurança.

Ao ativar o item "Account lockout", você pode bloquear a conta do usuário após "n" tentativas mal sucedidas de logon. O campo "Lockout after" defina a quantidade de tentativas; o "Reset counter after" define quanto tempo o servidor irá esperar para zerar o contador de tentativas inválidas após uma tentativa válida; para a seção "Lockout duration", se for definido Forever, a conta permanecerá bloqueada até um administrador desbloqueá-la; caso contrário, você pode definir quantos minutos o servidor irá aguardar para desbloquear a conta automaticamente.

O item "Forcibly disconnect remote users from server when logon hours expire" serve para forçar o logoff dos usuários ao terminar o seu horário de utilização.

Por fim, temos o item "Users must logon in order to change password", que se selecionado, faz com que os usuários com senha expirada dependam do administrador para voltarem a utilizar suas contas. Por padrão, o próprio usuário pode alterar sua senha.

Voltando ao menu, temos a opção User Rights, que permite dar privilégios específicos a determinados usuários ou grupos. Para usar este recurso, a opção "enable privileges" precisa estar definida como "yes" na seção [global] do smb.conf (isto já é o padrão a partir da versão 3.0.23). Sua função se assemelha à do comando "net rpc rights".

A opção "Audit Policy", teoricamente, definiria que eventos o Samba registraria em log. Porém, atualmente esta opção é ignorada. Se você precisa auditar tais eventos, use os módulos VFS audit, extd_audit ou full_audit.

A opção "Trust Relationships" permite configurar relações de confiança entre domínios distintos. Não vou me ater a explicações sobre esta tecnologia, já que não é o foco deste artigo; para isto, acesse: Interdomain Trust Relationships.

Por fim, temos os menus Options e Help, que são auto-explicativos.

Conclusão

Como podemos ver, muitas coisas interessantes podem ser feitas com esta ferramenta. Explore-a bastante!

Uma observação importante: como esta ferramenta foi projetada para o Windows NT, bugs podem surgir. Nestes casos, a única solução é verificar com a equipe do Samba se há uma correção para o problema, ou então apelar para outras ferramentas.