Ao utilizar um servidor Linux como “back end” para o armazenamento e o acesso aos arquivos do ZENworks, você precisa configurá-lo (antes de instalar o Servidor do ZENworks Desktop Management ou após a conclusão da instalação) para que o ZENworks possa acessar, posteriormente, os arquivos armazenados nesse local.
NOTA:A configuração do servidor Linux para o acesso aos arquivos é opcional; você pode configurar os servidores NetWare® ou Windows para fornecer acesso aos arquivos enquanto ainda estiver utilizando o servidor back end do Linux.
Esta seção inclui informações sobre como configurar os servidores SUSE® Linux Enterprise Server (SLES) para acesso aos arquivos do ZENworks em vez de configurar os servidores Novell Open Enterprise Server (OES) para essa finalidade. O OES Linux já inclui o Novell eDirectory™ e fornece acesso ao seu sistema de arquivos pelo NSS (Novell Storage Services). Portanto, os arquivos de política ou de aplicativos armazenados no servidor OES Linux podem utilizar simplesmente o caminho estilo UNC (isto é, \\nome_servidor_OES/sys/public/....), tornando desnecessária a configuração para o acesso aos arquivos do ZENworks.
A configuração de um servidor SLES para ativar o acesso aos arquivos requer a configuração do software do servidor Samba para obter as informações de autenticação do domínio do Active Directory* ou da árvore do eDirectory e, em seguida, a criação de um ou mais compartilhamentos Samba no servidor. Isso permite que o compartilhamento seja gerenciado pelo diretório.
O objetivo desta seção é apresentar um método básico que mostre como realizar a autenticação necessária. Há várias maneiras de configurar o Samba. Para obter mais informações, consulte a Coleção de Documentação do Samba.
As informações a seguir estão incluídas nesta seção:
Se você pretende usar o Active Directory no servidor SLES 9 ou SLES 10 no qual deseja instalar o Servidor do ZENworks Management, será necessário habilitar o acesso CIFS baseado em diretório, aos aplicativos e a outros arquivos que deseja armazenar nesse servidor para serem usados pelo ZENworks.
IMPORTANTE:Embora não seja recomendado, os usuários podem acessar um servidor OES/compartilhamento Samba de uma estação de trabalho Windows em que o Novell Client™ está instalado, mas será necessário configurar o Samba para fornecer um nome netBIOS que seja diferente do nome do servidor OES.
Esta seção inclui as seguintes informações:
Siga as etapas abaixo a fim de configurar o servidor SLES 9 para usar Kerberos* para autenticação:
Edite o arquivo de configuração de Kerberos (heimdal-lib versão 0.6 ou posterior) para indicar o nome do domínio do Active Directory que deseja usar.
Utilizando um editor de texto, abra /etc/krb5.conf no servidor Linux.
Localize as seguintes linhas no arquivo:
[libdefaults]
default_realm = SEU.DOMNIO.KERBEROS
[realms]
SEU.DOMNIO.KERBEROS = {
kdc = your.kerberos.server
}
Revise essas linhas como se segue:
[libdefaults]
default_realm = NOME_DOMNIO
[realms]
NOME_DOMNIO = {
kdc = nome_wins
admin_server = nome_wins
kpasswd_server = nome_wins
}
O valor NOME_DOMíNIO mostrado no exemplo é o nome completo do domínio do Active Directory no qual você deseja ingressar (por exemplo, RESEARCH.MYLOCATION.MYCOMPANY.COM). Insira esse nome utilizando caracteres maiúsculos.
O valor nome_wins mostrado na linha kdc revisada e nas linhas admin_server e kpasswd_server adicionadas recentemente é o controlador de domínio primário ou qualquer controlador no domínio (por exemplo, DC1).
Edite o arquivo de configuração do servidor Samba para indicar que o Kerberos será usado para autenticar usuários para o domínio do Active Directory.
Utilizando um editor de texto, abra /etc/samba/smb.conf no servidor Linux.
Localize a seguinte linha na seção Global do arquivo:
security = user
Revise essa linha e adicione mais linhas como se segue:
security = ADS realm = SEU.DOMNIO.KERBEROS encrypt passwords = yes netbios name = nome_divulgado
O valor YOUR.KERBEROS.REALM mostrado no exemplo é o nome do domínio especificado no arquivo krb5.conf (consulte a Etapa 1.c).
O valor nome_divulgado mostrado na linha netbios name é o nome divulgado da rede do servidor Samba, bem como seu nome no Active Directory (por exemplo, myserver_smb).
Coloque o nome do servidor em um container do Active Directory:
Na linha de comando do servidor Linux, digite o seguinte comando:
kinit administrator@SEU.DOMNIO.KERBEROS
O valor YOUR.KERBEROS.REALM mostrado nesse exemplo é o nome do domínio especificado no arquivo krb5.conf.
Na linha de comando do servidor Linux, digite o seguinte comando:
net ads join
É necessário criar um compartilhamento Samba para que as estações de trabalho Windows acessem os arquivos no servidor SLES 9 ou SLES 10.
Utilizando um editor de texto, abra /etc/samba/smb.conf no servidor Linux e adicione as seguintes linhas ao arquivo:
[nome compartilhado] path = diretrio_local guest ok = no read only = no
O valor sharename mostrado na primeira linha é o nome divulgado da rede do compartilhamento Samba (por exemplo, zenfiles).
O valor local_directory mostrado na segunda linha é o diretório local no servidor em que o compartilhamento deve estar localizado.
Mapeie todos os usuários que acessarão o compartilhamento para uma única conta do Linux.
Na linha de comando do servidor Linux, digite o seguinte comando:
/usr/sbin/useradd nome_conta_nova
O parâmetro new_account_name é a conta do Linux que você está criando (por exemplo, smbuser).
Localize o arquivo /etc/samba/smbusers no servidor Linux.
Adicione a seguinte linha ao arquivo:
nome_conta_nova = *
O valor new_account_name nessa linha é o nome da conta criada na Etapa 2.a.
Na linha de comando do servidor Linux, digite os seguintes comandos para alterar a propriedade do caminho para o compartilhamento:
mkdir -p nome_diretrio
chown -R nome_conta_Linux nome_diretrio
chmod 755 nome_diretrio
O valor directory_name é o caminho até o diretório local especificado na Etapa 1.
O valor Linux_account_name é o “nome da nova conta” atribuído na Etapa 2.a.
Na linha de comando do servidor Linux, digite o seguinte comando para reiniciar o servidor Samba para que o arquivo de configuração seja executado com seus novos parâmetros:
/etc/init.d/smb restart
Se você pretende usar o eDirectory no servidor SLES 9 ou SLES 10 no qual deseja instalar o Servidor do ZENworks Management, é necessário ativar o acesso CIFS baseado em diretório, aos aplicativos e a outros arquivos que deseja armazenar nesse servidor para serem usados pelo ZENworks.
Esta seção inclui as informações necessárias para configurar o servidor SLES 9 ou SLES 10 para ser usado com o ZENworks Desktop Management em um ambiente do eDirectory:
Esta seção descreve as etapas necessárias para configurar um servidor SLES 9 ou SLES 10 (que atua como o cliente LDAP) e o Novell eDirectory (que atua como o servidor LDAP) para fornecer redirecionamento de autenticação sobre LDAP para o Novell eDirectory. O conteúdo presume que o Novell eDirectory 8.7.3 (ou posterior) já tenha sido instalado no servidor SLES 9 ou SLES 10.
Após a configuração do servidor, qualquer usuário pode efetuar login no servidor SLES 9 ou SLES 10 utilizando as credenciais do eDirectory.
Use os procedimentos a seguir na ordem listada abaixo:
A configuração do servidor SLES 9 ou SLES 10 para autenticação do eDirectory requer a extensão do esquema do eDirectory existente (o esquema em um servidor OES já foi estendido pela instalação do ZENworks).
A extensão do esquema pode ser realizada por meio do utilitário ndsschema ou do utilitário ICE. Os dois utilitários estão localizados no servidor SLES 9 ou SLES 10. A sintaxe da linha de comando para os dois utilitários é fornecida nesta seção.
IMPORTANTE:Antes de usar o utilitário ICE, você deve utilizar o ConsoleOne para marcar as propriedades do objeto Grupo LDAP na árvore do eDirectory a ser utilizada.
Clique o botão direito do mouse no objeto Grupo LDAP, clique em , em e, em seguida, anule a seleção de .
O esquema para a autenticação de conta do Linux é definido no RFC 2307. A Novell oferece arquivos de importação de esquemas no formato tradicional de esquemas do eDirectory e em LDIF (Lightweight Data Interchange Format) para ser usado para a extensão do esquema do Novell eDirectory.
Siga as etapas abaixo para estender o esquema do eDirectory no seu ambiente:
Efetue login no servidor Linux que está executando o Novell eDirectory como um usuário raiz.
No prompt do bash, digite cd /usr/lib/nds-schema.
Execute um utilitário para estender o esquema.
Método ndsschema: No prompt do bash, digite os seguintes comandos para estender o esquema:
ndssch cn=nome_admin.o=nome_container_admin rfc2307-usergroup.sch
Método ICE: No prompt do bash, digite os seguintes comandos para estender o esquema:
ice -S LDIF -f rfc2307-usergroup.ldif -D LDAP -s localhost -d cn=nome_admin,o=nome_container_admin -W
No prompt do bash, digite o seguinte comando:
cd /usr/share/doc/packages/samba/examples/LDAP
Esse local é fornecido pelo pacote RPM do samba-doc. Como alternativa, você pode usar o seguinte comando para localizar o arquivo do esquema no pacote RPM do samba-client:
cd /usr/share/samba/LDAP
Digite o seguinte comando para usar o utilitário ICE para estender o esquema do eDirectory para Samba:
ice -S LDIF -f samba-nds.schema -D LDAP -s localhost -d cn=nome_admin,o=nome_container_admin -W
Siga as etapas abaixo para configurar um usuário de proxy no eDirectory para vinculações anônimas:
%%No ConsoleOne, crie uma nova conta de usuário e defina a senha como nula. Não clique em quando solicitado; clique em para que as chaves Pública/Privada sejam geradas.
Clique o botão direito do mouse no novo objeto Usuário, cliente em , clique em e, em seguida, desmarque .
No objeto Raiz da árvore, clique o botão direito do mouse no objeto, selecione , conceda ao novo usuário direitos de entrada Pesquisar e, em seguida, os direitos de propriedade Ler e Comparar nos seguintes atributos:
Certifique-se de que esteja selecionado para cada um desses atributos, à medida que os configura.
Remova da lista de atributos para esse objeto Usuário.
Clique o botão direito do mouse no objeto Servidor LDAP, clique em , clique em e, em seguida, selecione esse novo usuário como um usuário de proxy.
DICA:Você não pode acessar a guia da versão do ConsoleOne incluída no CD ZENworks 7 Companion 1. Para usar o ZENworks Desktop Management adequadamente, é preciso fazer o download de snap-ins para o ConsoleOne 1.3.6 do ZENworks 7 Desktop Management no site de downloads da Novell.
Siga as instruções no site de downloads para instalar os snap-ins.
Clique o botão direito do mouse no objeto Grupo LDAP, clique em , clique em e, em seguida, selecione .
Inicie o Centro de Controle do YaST2.
Execute /sbin/yast2
Digite menu.
No menu, selecione , selecione e .
Como uma alternativa às Etapas 1 e 2 acima, você pode simplesmente executar /sbin/yast2 ldap na linha de comando para abrir a janela de configuração do cliente LDAP.
Adicione o servidor LDAP no campo de servidor e a base de pesquisa em que os usuários estão localizados. Por exemplo:
DN de Base: ou=users, ou=novell
Endereços de Servidores LDAP: 127.0.0.1
Selecione e, em seguida, clique em para gravar as alterações.
Siga as etapas abaixo para adicionar uma classe auxiliar posixAccount a uma conta de usuário e definir os campos exigidos:
No ConsoleOne, selecione e clique o botão direito do mouse em uma conta de Usuário.
Selecione .
Clique em .
Na lista, selecione e clique em .
Na caixa de diálogo Edição Genérica, clique em .
Na caixa de diálogo Novo posixAccount, preencha os campos. A tabela a seguir mostra os nomes dos campos, sua descrição e um exemplo dos dados que serão inseridos.
Outros atributos exigidos e que podem ser adicionados na página Outros do objeto Usuário incluem:
Clique em para gravar as mudanças.
As credenciais do Samba para qualquer usuário gerenciado são mantidas separadas das credenciais padrão do Linux. Siga as etapas abaixo para adicionar as credenciais do Samba para qualquer conta de usuário.
Efetue login como Raiz no servidor SLES 9 ou SLES 10 e digite o seguinte comando no prompt do bash:
smbpasswd -a nome_do_usurio
Essa configuração solicita aos usuários que estão efetuando login no servidor a senha do Samba para o servidor. Nessa sintaxe, username é o nome do usuário do eDirectory. Os usuários devem estar no contexto especificado como o DN de base, durante a configuração para um cliente LDAP. Para obter mais informações, consulte Configurar o servidor SLES 9 ou SLES 10 (cliente LDAP).
NOTA:Esse é um método básico para a criação de conta do Samba. Há muitos utilitários e métodos que podem ser usados para manter as senhas do Linux e do Samba com um comando. Para obter mais informações, consulte a Coleção de Documentação do Samba.
É necessário criar um compartilhamento Samba para que as estações de trabalho Windows acessem os arquivos no servidor SLES 9 ou SLES 10.
Utilizando um editor de texto, abra /etc/samba/smb.conf no servidor Linux e adicione as seguintes linhas ao arquivo:
[nome compartilhado] path = diretrio_local guest ok = no read only = no
O valor sharename mostrado na primeira linha é o nome divulgado da rede do compartilhamento Samba (por exemplo, zenfiles).
O valor local_directory mostrado na segunda linha é o diretório local no servidor em que o compartilhamento deve estar localizado.
Na linha de comando do servidor Linux, digite os seguintes comandos para alterar a propriedade do caminho para o compartilhamento:
mkdir -p nome_diretrio
chown -R nome_usurio_admin
chmod 755 nome_diretrio
O valor admin_user_name é o nome de usuário que você utiliza ao criar políticas e aplicativos no ZENworks. Esse nome de usuário é utilizado para acessar o compartilhamento Samba.
O valor directory_name representa o caminho até o diretório local especificado na Etapa 1.
Na linha de comando do servidor Linux, digite o seguinte comando para reiniciar o servidor Samba para que o arquivo de configuração seja executado com seus novos parâmetros:
/etc/init.d/smb restart
Se você precisar acessar a política associada à estação de trabalho e os arquivos do aplicativo em um servidor SLES 9 utilizando o método do eDirectory, o compartilhamento Samba deverá ser marcado para permitir o acesso Guest. Siga as etapas abaixo para marcar o compartilhamento Samba:
Utilizando um editor de texto, abra /etc/samba/smb.conf no servidor.
Localize a seguinte linha na seção [sharename] do arquivo:
guest ok = no
O valor sharename é o nome divulgado da rede do compartilhamento Samba (por exemplo, zenfiles).
Modifique a linha como se segue:
guest ok = yes
Se você estiver usando um Servidor de Camada Intermediária Windows para acessar os arquivos de política e de aplicativo associados à estação de trabalho em um servidor SLES 9 ou SLES 10 utilizando o método do eDirectory, o compartilhamento Samba não terá que ser marcado como “World-read” (Permissão de Leitura para Todos) (consulte a Etapa 3 acima) para permitir acesso Guest. Siga as etapas abaixo para permitir acesso aos arquivos:
Verifique se o Servidor de Camada Intermediária Windows (credenciais de compartilhamento) está ativo quando você cria a Camada intermediária durante a instalação. Ele também pode ser configurado na Camada Intermediária usando o utilitário NSAdmin (credenciais LMAUTH).
Verifique se o Servidor de Camada Intermediária tem as mesmas credenciais localmente.
Mesmo que você tenha um firewall, a Camada Intermediária pode acessar os arquivos do ZENworks em nome da estação de trabalho.
É possível modificar o arquivo smb.conf para que você defina o usuário que terá os direitos de modificação de arquivo restringidos. Siga as etapas abaixo para definir os usuários restritos.
Utilizando um editor de texto, abra /etc/samba/smb.conf no servidor.
Localize a seguinte linha na seção [sharename] do arquivo:
read only = no
O valor sharename é o nome divulgado da rede do compartilhamento Samba (por exemplo, zenfiles).
Modifique a linha como se segue:
read only = yes
No prompt do bash, digite o seguinte comando:
write list = admin_user_name
NOTA:O valor admin_user_name é o nome do usuário (ou uma lista de nomes de usuários separados por vírgula) que tem apenas direitos de leitura nos arquivos no compartilhamento Samba.