Re: Migrando estações windows XP para o Servidor Samba PDC com perfil móvel

[Edmundo Valle Neto <edmundo.valle@terra.com.br>]

Carolinux escreveu:
> --
> Caroline de Souza "Carolinux"
> Suporte de TI
>
> " Seja Livre, seja Linux "
> " Não basta ser software, tem que ser Livre "
>
>
> Citando Gele Meurer <gelemeurer@yahoo.com.br>:
>
>   
> > Carolinux escreveu:
> >     
> > > Olá pessoal,
> > >
> > > Estou configurando um servidor samba PDC com perfis móveis e estou tendo
> > >       
> > algumas
> >     
> > > dificuldades, será que vcs podem me ajudar?
> > >
> > > Minha configuração é a seginte:
> > >  -> Debian 3.1 RC3
> > >  -> Kernel 2.6.18
> > >  -> Samba 3.0
> > >  -> Estações windows XP Pro
> > >
> > > Até então depois de muito estudar e pesquisar (foi complicado, meu primeiro
> > > servidor samba, hehehe) configurei meu servidor e ele está funcionando da
> > > seguinte forma:
> > >
> > >  - Os usuários fazem login em suas máquinas windows, nesse momento o
> > >       
> > profile
> >     
> > > dele é carregado (seu papel de parede, ícones, dados, histórico, favoritos,
> > > etc...);
> > >  - Ao efetuar o logoff ocorre o sincronismo desses dados;
> > >  - O relógio é atualizado;
> > >  - Ele consegue trabalhar normalmente na máquina acessa os diretórios a
> > >       
> > qual tem
> >     
> > > direito (unidades mapeadas no login com o uso do .bat);
> > >  - Seu acesso localmente na máquina Windows XP é de um usuário comum (não
> > > instala e nem remove programas, por exemplo);
> > >  - Os dados do perfil são verificados periodicamente pelo Anti-vírus ClamAV
> > >       
> > que
> >     
> > > está no servidor;
> > >  - Se algum arquivo dos diretórios do samba (unidade de rede que são
> > >       
> > mapeadas
> >     
> > > para as máquinas windows) for apagado, ele cai automaticamente na lixeira
> > >       
> > do
> >     
> > > servidor (Recycle).
> > >
> > > Ufa, acabei... heheh agora vamos as dúvidas.
> > >
> > >  - No momento que o profile é carregado os dados do usuário são copiados
> > >       
> > para a
> >     
> > > máquina (local), e se o usuário se logar em várias máquinas ele terá seus
> > >       
> > dados
> >     
> > > em
> > > todas elas. Como posso fazer para que esses dados só fique na máquina que
> > > realmente é dele, ou seja, se ele se logar na máquina de outra pessoa os
> > >       
> > dados
> >     
> > > no logoff são apagados da estação?
> > >
> > >  - Existe uma forma de fazer com que um usuário do samba possa ao se logar
> > >       
> > (em
> >     
> > > qualquer máquina) seja visto como como administrador da mesma. Motivo: o
> > > suporte quer fazer instalação de novos softwares nas máquinas, ele pode se
> > >       
> > logar
> >     
> > > com a própria conta ou uma específica do suporte e fazer todas as
> > >       
> > alterações
> >     
> > > estando na rede (a solução fácil e chata seria entrar como adm do windows
> > >       
> > no
> >     
> > > boot com F8), quero algo mas integrado e profissional, será que dá?
> > >
> > >
> > > Alguem que trabalhe nessa área ou tem experiência pode me dar uma
> > >       
> > "forcinha"
> >     
> > > trabalhei bastante nisso tudo e agora acho q cheguei no meu limite preciso
> > >       
> > de
> >     
> > > ajuda, pois essas informações já são mais específicas da integração com
> > > linux/windows.
> > >
> > > Desde já obrigada pela atenção.
> > >
> > > Abraços,
> > >
> > > Carolinux
> > >
> > > --
> > > Caroline de Souza "Carolinux"
> > > Suporte de TI
> > >
> > > " Seja Livre, seja Linux "
> > > " Não basta ser software, tem que ser Livre "
> > >
> > >       
> > Olá!
> >
> > Legal seu primeiro samba, está bem estruturado já!
> >
> > Bom, vamos aos questionamentos:
> >
> > A primeira pergunta não sei como poderias solucionar, penso que alguma
> > coisa com script, logando alguma informação e talvez usando o postexec
> > ou preexec para comandar alguma execução. Vai da sua criatividade... :)
> >     
>
> Ainda não consegui pensar numa maneira de resolver isso... quero que os perfis
> sejam móveis mas nas máquinas oficiais de cada usuário quero que exista uma
> cópia na máquina.
>   

Nunca usei roaming profiles mas sei que existem policies que podem ser 
definidas nas estações para alterar o comportamento delas, mas são 
opções do tipo ou tudo ou nada (ou todas são apagadas ou não).

gpedit.msc
Diretiva Computador Local -> Configuração do Computador -> Modelos 
Administrativos -> Sistema -> Perfis de usuário -> Excluir cópias em 
cache de perfis móveis.

>   
> > Quanto a segunda pergunta, é bem fácil de resolver. Basta usar o comando
> > "net groupmap". Alguns links que vão te ajudar:
> >
> >     
> Eu já havia utilizado esse comando no meu samba, mas não obtive sucesso. Dei uma
> olhada nos links que vc me passou e em man net /groupmap e descobri coisas muito
> legais. Me ajudou bastante e com isso consegui resolver meu problema, mas não
> dentro do smb.conf, é até estranho dizer mas a mesma linha deu certo fora do
> samba e dentro não deu:
>
> #net groupmap modify ntgroup="Domain Admins" unixgroup=admdomain
>
> após isso ao dar #net groupmap list, tudo estava conforme deveria. Mas não
> funciona se a linha de cima estiver dentro do smb.conf. Mas tudo bem acredito
> que não vá atrapalhar, se for o caso posso fazer um script que execute isso.
>
>   

Como assim "dentro do samba"? o comando net é uma aplicação isolada que 
serve entre outras coisas para fazer este tipo de mapeamento de grupos, 
a própria ferramenta sabe como fazer isso pois lê a configuração 
colocada no arquivo smb.conf a respeito dos scripts a serem utilizados e 
a base de autenticação usada.

edmundo@msik7n2d:~$ strace net 2>&1 | grep smb.conf
...
stat64("/etc/samba/smb.conf", {st_mode=S_IFREG|0644, st_size=10774, 
...}) = 0
open("/etc/samba/smb.conf", O_RDONLY|O_LARGEFILE) = 3
...

Não entendi nem qual foi o propósito de sugerir o "net groupmap" aqui.

Esse tipo de configuração normalmente se faz nas estações, colocando um 
grupo do domínio dentro do grupo de administradores (local da estação). 
Assim qualquer usuário que estiver neste grupo do domínio será um 
administrador local da estação. Obs.: Assim que o cliente entra no 
domínio o grupo "Domain Admins" já é automaticamente adicionado ao grupo 
de administradores locais. Caso você não queira colocar os usuário no 
grupo de administradores do dominio, simplesmente crie um grupo separado 
conforme dito acima.

>   
> > http://www.dicas-l.com.br/dicas-l/20050202.php
> > http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/groupmapping.html
> >
> > Se precisares entre em contato ou dê uma procurada melhor no google.
> >
> > Uma curiosidade. Quantas estações tens usando o perfil móvel? Tenho
> > interesse em saber da velocidade no carregamento dos perfis.
> >     
>
> Ainda não migrei as máquinas windows para a minha rede... por enquanto, só eu
> "como teste" estou utilizando o servidor, mas assim que começar a migrar eu te
> passo mais informações.
>   
> > Abraço e sucesso,
> >
> > Gele Meurer
> >
> >     
> Aproveitando o assunto de Samba PDC, ainda não consegui fazer com q meu usuário
> do consiga pelo windows trocar a senha, e pelo que pesquisei isso é possível.
> Vc tem idéia de como fazer isso?
>   

Qual é o problema? Não lembro de ter utilizado isso sem ldap, 
provavelmente se eu colocar alguma coisa aqui sem ler a documentação vai 
sair besteira, mas é possível sim.

Se não me engano a troca de senha simplesmente funciona se não for 
sincronizada com os usuários unix, mas para fazer a sincronia você  
configura os parametros que seguem:

unix password sync = yes
passwd program = (o valor que já vem no smb.conf padrão do debian serve)
passwd chat = (o valor que já vem no smb.conf padrão do debian serve)

> valeu pela ajuda!!!
>
> Carolinux

Atenciosamente.

Edmundo Valle Neto