Configuração de Clientes NetBEUI

Este capítulo documenta a configuração de máquinas clientes NetBEUI, requerimentos de cada configuração e documenta os passos necessários para ter o cliente se comunicando perfeitamente com o seu servidor. Serão explicadas tanto a configuração de grupo de trabalho como de domínio e como a configuração é compatível entre Linux e Windows, estas explicações são perfeitamente válidas para configurar clientes que acessem servidores Windows.

Considerações sobre o Windows for Workgroups e LanManager

Sistemas com implementações NetBIOS mais antigos, como o Windows for Workgroups (Windows 3.11) e o Lan Manager (DOS), enviam somente a senha para acesso ao compartilhamento, desta forma, para o acesso ser autorizado pelo samba, você deverá especificar a diretiva user = usuario para que a senha confira com o usuário local do sistema. A senha enviada também é em formato texto plano. Este problema não ocorre no Windows 95 e superiores, que enviam o nome de usuário que efetuou o logon junto com a respectiva senha.

Se a segurança do seu samba depende de senhas criptografadas, será necessário utilizar a diretiva "include = outro_arquivo_de_configuração.%m para definir configurações específicas de acesso para estas máquinas.

Outro detalhe que deve ser lembrado é que o Windows for Workgroups envia sempre a senha em MAIÚSCULAS, então é preciso configurar o SAMBA para tentar combinações de maiúsculas/minúsculas usando o parâmetro mangle case e default case na seção global do smb.conf.

Configurando clientes em Grupo de Trabalho

Para configurar o cliente para fazer parte de um grupo de trabalho, é necessário apenas que tenha em mãos o nome do grupo de trabalho (workgroup) que os clientes farão parte e o nome de uma outra máquina que faz parte do mesmo grupo (para testes iniciais). Com estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja configurar para incluir no grupo de trabalho:

Windows 9X

Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.

Para tornar uma máquina parte do grupo de trabalho, siga os seguintes passos:

  • Entre nas propriedades de rede no Painel de Controle

  • Instale o Cliente para redes Microsoft (caso não esteja instalado).

  • Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.

  • Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.

  • Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres) e o nome do grupo de trabalho que ele fará parte(por exemplo "workgroup", "suporte", etc) . No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").

  • Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de compartilhamento" (a não ser que tenha configurado um servidor que mantenha um controle de nível de usuário na rede para as máquinas fora do domínio).

  • Clique em OK até reiniciar o computador.

A máquina cliente agora faz parte do grupo de trabalho! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"

Windows XP Home Edition

Siga as instruções de “Windows XP Professional Edition”.

Windows XP Professional Edition

  • Logue como administrador do sistemas local.

  • Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta.

  • No campo Descrição do Computador, coloque algo que descreva a máquina (opcional).

  • Clique na TAB Nome do Computador e no botão Alterar na parte de baixo da janela.

  • No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.

  • Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.

  • Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

Windows XP Server Edition

Siga as instruções de “Windows XP Professional Edition”.

Windows NT WorkStation

Veja “Windows NT Server”.

Windows NT Server

  • Clique no item Rede do painel de controle.

  • Na tab Serviços, confira se os serviços Estação de trabalho, Interface de NetBIOS e Serviços TCP/IP simples estão instalados. Caso não estejam, faça sua instalação usando o botão Adicionar nesta mesma janela.

  • Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botão Adicionar nesta mesma janela.

  • Na tab identificação, clique no botão Alterar

  • Na janela que se abrirá, coloque o nome do computador no campo Nome do Computador

  • Clique em Grupo de trabalho e escreva o nome do grupo de trabalho em frente.

  • Clique em OK até voltar.

  • Pronto, seu computador agora faz parte do grupo de trabalho.

Windows 2000 Professional

  • Logue como administrador do sistemas local.

  • Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Computador" e então no botão "Propriedades".

  • No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.

  • Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.

  • Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

Windows 2000 Server

  • Logue como administrador do sistemas local.

  • Entre no item Sistema dentro do painel de controle. A tela propriedades de sistema será aberta. Clique em "Descrição de rede" e então no botão "Propriedades".

  • No campo nome do computador, coloque um nome de no máximo 15 caracteres para identificar a máquina na rede.

  • Clique em grupo de trabalho e digite o nome do grupo de trabalho na caixa de diálogo.

  • Clique em OK e aguarde a mensagem confirmando sua entrada no grupo de trabalho. Será necessário reiniciar a máquina.

Linux

Os aplicativos smbclient e smbmount são usados para navegação e montagem dos discos e impressoras compartilhadas em máquinas Linux. Se você procura programas de navegação gráficos, como o Ambiente de Rede do Windows ou mais poderosos, veja “Programas de navegação gráficos”. Como complemento, também é explicado o programa nmblookup para resolução de endereços NetBIOS em IP e vice-versa e a forma que as funções de máquinas são definidas em uma rede NetBEUI.

smbmount

O smbmount é uma ferramenta que permite a montagem de um disco compartilhado por uma máquina NetBEUI remota como uma partição. Veja alguns exemplos:

smbmount //servidor/discoc /mnt/discoc

Monta o compartilhamento de //servidor/discoc em /mnt/discoc usando o nome de usuário atual. Será pedido uma senha para acessar o conteúdo do compartilhamento, caso ele seja público, você pode digitar qualquer senha ou simplesmente pressionar enter.

smbmount //servidor/discoc /mnt/discoc -N

Semelhante ao comando cima, com a diferença que o parâmetro -N não pergunta por uma senha. Isto é ideal para acessar compartilhamentos anônimos.

smbmount //servidor/discoc /mnt/discoc -o username=gleydson,workgroup=teste

Semelhante aos anteriores, mas acessa o compartilhamento usando gleydson como nome de usuário e teste como grupo de trabalho. Este método é ideal para redes que tem o nível de acesso por usuário ou para acessar recursos compartilhados em um domínio.

smbclient

O smbclient é uma ferramenta de navegação em servidores SAMBA. Ao invés dela montar o compartilhamento como um disco local, você poderá navegar na estrutura do servidor de forma semelhante a um cliente FTP e executar comandos como ls, get, put para fazer a transferência de arquivos entre a máquina remota e a máquina local. Também é através dele que é feita a interface com impressoras compartilhadas remotamente. Veja exemplos do uso do smbclient:

smbclient -L samba1

Lista todos os compartilhamentos existentes (-L) no servidor samba1.

smbclient //samba1/discoc

Acessa o conteúdo do compartilhamento discoc no servidor samba1.

smbclient //samba1/discoc -N

Idêntico ao acima, mas não utiliza senha (ideal para compartilhamentos com acesso anônimo).

smbclient //samba1/discoc -I 192.168.1.2

Se conecta ao compartilhamento usando o endereço IP 192.168.1.2 ao invés da resolução de nomes.

smbclient //samba1/discoc -U gleydson -W teste

Se conecta ao compartilhamento como usuário gleydson usando o grupo de trabalho teste.

smbclient //samba1/discoc -U gleydson%teste1 -W teste

Idêntico ao acima, mas também envia a senha teste1 para fazer a conexão diretamente.

Caso receba a mensagem NT Status Access Denied, isto quer dizer que não possui direitos de acesso adequados para listas ou acessar os compartilhamentos da máquina. Nesse caso, utilize as opções -U usuário e -W grupo/domínio para fazer acesso com uma conta válida de usuário existente na máquina.

OBS:Note que a ordem das opções faz diferença no smbmount.

nmblookup

Esta é uma ferramenta usada para procurar nomes de cliente usando o endereço IP, procurar um IP usando o nome e listar as características de cada cliente. Veja alguns exemplos:

nmblookup -A 127.0.0.1

Lista o nome e as opções usadas pelo servidor 127.0.0.1

nmblookup servidor

Resolve o endereço IP da máquina servidor.

A listagem exibida pela procura de IP do nmblookup possui códigos hexadecimais e cada um deles possui um significado especial no protocolo NetBEUI. Segue a explicação de cada um:

Identificação da máquina
  • COMPUTADOR<00>= O serviço NetBEUI está sendo executado na máquina.

  • COMPUTADOR<03> = Nome genérico da máquina (nome NetBIOS).

  • COMPUTADOR<20> = Serviço LanManager está sendo executado na máquina.

Identificação de grupos/domínio
  • GRUPO_TRABALHO<1d> - <GRUPO> = Navegador Local de Domínio/Grupo.

  • GRUPO_TRABALHO<1b> = Navegador Principal de Domínio.

  • GRUPO_TRABALHO<03> - <GRUPO> = Nome Genérico registrado por todos os membros do grupo de trabalho.

  • GRUPO_TRABALHO<1c> - <GRUPO> = Controladores de Domínio / Servidores de logon na rede.

  • GRUPO_TRABALHO<1e> - <GRUPO> = Resolvedores de Nomes Internet (WINS).

Estes códigos podem lhe ser úteis para localizar problemas mais complicados que possam ocorrer durante a configuração de um servidor.

Configurando clientes em Domínio

Para configurar qualquer um dos cliente abaixo para fazer parte de um domínio de rede, é necessário apenas que tenha em mãos os seguintes dados:

  • Nome do controlador de domínio PDC

  • Nome do domínio

  • Nome de usuário e senha que foram cadastrados no servidor.

  • Acesso administrador no SERVIDOR PDC (SAMBA, NT, etc).

  • Cria uma conta de máquina no domínio (no caso da máquina ser um Windows NT, Windows XP, Windows 2k ou Linux). Veja “Contas de máquinas de domínio” para maiores detalhes.

Como o Windows 3.11, Windows 95, Windows 98, Windows ME não possuem uma conta de máquina, eles nunca serão um membro real de um domínio, podendo sofrer um name spoofing e terem a identidade roubada. Mesmo assim, eles terão pleno acesso aos recursos do domínio e uma configuração mais fácil que os demais clientes. Com estes dados em mãos, selecione na lista abaixo o nome do cliente que deseja integrar no grupo de trabalho:

OBS: O Windows 2000 apresenta algumas dificuldades em entrar na rede do SAMBA 2.2, sendo necessário o uso do SAMBA TNG 2.2.x para aceitar o logon de estações Windows 2000.

Windows 9X

Estas configurações são válidas para clientes Windows 95, Windows 95OSR/2, Windows 98. Caso utilize o Windows 95 (qualquer uma das séries) é aconselhável atualizar a stack TCP/IP e NetBEUI para corrigir alguns problemas que podem deixar sua máquina vulnerável na versão que acompanha o WinSock do Windows 95.

Para tornar uma máquina parte do domínio, siga os seguintes passos:

  • Entre nas propriedades de rede no Painel de Controle

  • Instale o Cliente para redes Microsoft (caso não esteja instalado).

  • Instale o Protocolo TCP/IP. Você também pode instalar o protocolo NetBIOS, mas utilizaremos o suporte NetBIOS sobre TCP/IP que é o usado pelo SAMBA além de ter um melhor desempenho, permitir integração com servidores WINS, etc.

  • Clique em "Cliente para redes Microsoft", marque a opção "Efetuar logon no domínio do Windows NT". Coloque o nome do domínio que irá configurar o cliente para fazer parte na caixa "Domínio do Windows NT" (por exemplo, "suporte"). Na parte de baixo da caixa de diálogo, você poderá escolher como será o método para restaurar as conexões de rede. Inicialmente, recomendo que utilize a "Efetuar logon e restaurar as conexões de rede" que é mais útil para depurar problemas (possíveis erros serão mostrados logo que fizer o logon no domínio).

    Adeque esta configuração as suas necessidades quando estiver funcionando :)

  • Clique em "Protocolo TCP/IP" e em Propriedades. Clique na tab "NetBIOS" e marque a opção "Desejo ativar o NetBIOS através do TCP/IP". Caso esta caixa esteja em cinza, então está tudo certo também.

  • Clique na tab "Identificação" e coloque lá o nome que identificará o computador (até 15 caracteres).

  • Digite o nome de um grupo de trabalho que a máquina fará parte no campo "Grupo de Trabalho" (por exemplo "workgroup", "suporte", etc). Este campo somente será usado caso o logon no domínio NT não seja feito com sucesso. No campo "Descrição do Computador", coloque algo que identifique a máquina na rede (por exemplo, "Computador da área de suporte").

  • Clique na tab "Controle de Acesso" e marque o "Controle de acesso a nível de usuário e especifique o nome da máquina que serve a lista de usuários, que normalmente é a mesma do PDC.

  • Clique em OK até reiniciar o computador.

Quando for mostrada a tela pedindo o nome/senha, preencha com os dados da conta de usuário que criou no servidor. No campo domínio, coloque o domínio que esta conta de usuário pertence e tecle <Enter>. Você verá o script de logon em ação (caso esteja configurado) e a máquina cliente agora faz parte do domínio! Tente acessar um outro computador da rede e navegar através do ambiente de rede. Caso a lista de máquinas demore em aparecer, tente acessar diretamente pelo nome do computador, usando o seguinte formato: "\\computador"

Windows XP Home Edition

Não é possível fazer o Windows XP Home Edition ser parte de um domínio, por causa de limitações desta versão.

Windows XP Professional Edition

  • Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em “Windows XP Professional Edition”.

  • Atualize o registro para permitir a entrada no domínio:

    1. Copie o seguinte conteúdo para o arquivo WinXP-Dom.reg:

      REGEDIT4
      
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
      "RequireSignOrSeal"=dword:00000000
      "SignSecureChannel"=dword:00000000
      
    2. Execute o comando regedit WinXP-Dom.reg no cliente XP.

  • Entre nos ítens (em seqüencia) Painel de controle/Ferramentas Administrativas/ Política de segurança local/políticas locais e depois em "opções de segurança". Na janela de opções de segurança, desative as opções "Encriptar digitalmente ou assinar um canal seguro (sempre)", "Desativar modificações de senha na conta de máquina" e "Requer chave de seção forte (Windows 2000 ou superior)."

  • Reinicie a máquina.

  • Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.

  • Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.

  • Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.

  • Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.

Windows XP Server Edition

Siga os procedimentos documentados em “Windows XP Professional Edition”

Windows NT WorkStation

Veja os passos em “Windows NT Server”.

Windows NT Server

  • Clique no item Rede do painel de controle.

  • Na tab Serviços, confira se os serviços Estação de trabalho, Interface de NetBIOS e Serviços TCP/IP simples estão instalados. Caso não estejam, faça sua instalação usando o botão Adicionar nesta mesma janela.

  • Na tab Protocolos, verifique se os protocolos NetBEUI e TCP/IP estão instalados. Caso não estejam, faça sua instalação clicando no botão Adicionar nesta mesma janela.

  • Na tab identificação, clique no botão Alterar

  • Na janela que se abrirá, coloque o nome do computador no campo Nome do Computador

  • Clique em Dominio e escreva o nome do domínio que deseja entrar.

  • Para criar uma conta de máquina no domínio, clique em criar uma conta de computador no domínio e coloque na parte de baixo o nome do usuário sua senha. O usuário deverá ter poderes para adicionar máquinas no domínio. Caso a conta de máquina não seja criada, o Windows NT será como um Windows 95/98 na rede, sem a segurança que seu nome NetBIOS não seja usado por outros (veja “Contas de máquinas de domínio”).

  • Clique em OK até voltar.

  • Pronto, seu computador agora faz parte do domínio.

Windows 2000 Professional

Siga os passos descritos em “Windows 2000 Server”.

Windows 2000 Server

  • Primeiro, siga todos os passos para ingressar a máquina em um grupo de trabalho como documentado em “Windows 2000 Server”.

  • Após reiniciar a máquina, volte na tela de alteração de identificação de máquina na rede.

  • Clique com o mouse em "Domínio" e digite o nome do domínio na caixa de diálogo.

  • Na tela seguinte, será lhe pedido o nome de usuário e senha com poderes administrativos que podem inserir/remover máquinas do domínio.

  • Clique em OK e aguarde a mensagem confirmando sua entrada no domínio. Será necessário reiniciar a máquina após concluir este passo.

Caso não consiga trocar a senha do Windows 2000 no servidor PDC, desative a opção unix password sync.

Linux

  • Entre no sistema como usuário root.

  • Instale o SAMBA caso não esteja ainda instalado.

  • Edite o arquivo de configuração do samba /etc/samba/smb.conf, será necessário modificar as seguintes linhas na seção [global]:

    [global]
     workgroup = nome_domínio
     security = domain
     password server = nome_pdc nome_bdc
     encrypt passwords = true
    

    Onde:

    • workgroup - Nome do domínio que deseja fazer parte.

    • security - Nível de segurança. Nesta configuração, utilize "domain".

    • password server - Nome da máquina PDC, BDC. Também poderá ser usado *, assim o SAMBA tentará descobrir o servidor PDC e BDC automaticamente, da mesma forma usada pelo Windows.

    • encrypt passwords - Diz se as senhas serão encriptadas ou não. Sempre utilize senhas criptografadas para colocar uma máquina em um domínio.

    Reinicie o servidor SAMBA após estas modificações.

  • Execute o comando: smbpasswd -j domínio -r PDC/BDC -U usuario_admin. Onde:

    • domínio - Domínio que deseja fazer o logon

    • PDC/BDC - Nome da máquina PDC/BDC do domínio. Em alguns casos, pode ser omitido.

    • usuario_admin - Usuário com poderes administrativos para ingressara a máquina no domínio.

  • Se tudo der certo, após executar este comando, você verá a mensagem:

    Joined domain "domínio".
    

Se sua configuração não funcionou, revise com atenção todos os ítens acima. Verifique se a conta de máquina foi criada no servidor e se o SAMBA na máquina cliente foi reiniciado. De também uma olhada em “Erros conhecidos durante o logon do cliente”.

OBS:O SAMBA envia primeiramente um usuário/senha falso para verificar se o servidor rejeita o acesso antes de enviar o par de nome/senha corretos. Por este motivo, seu usuário pode ser bloqueado após um determinado número de tentativas em alguns servidores mais restritivos. Para acessar os recursos compartilhados, veja “Linux”. Note que não é obrigatório realizar as configurações acima para acessar os recursos de uma máquina em domínio, basta apenas que autentique com seu nome de usuário/senha no domínio e que ela seja autorizada pelo PDC.

Erros conhecidos durante o logon do cliente

Esta seção contém os erros mais comuns e a forma de correção da maioria dos problemas que ocorrem quando um cliente SAMBA tenta entrar em domínio.

  • error creating domain user: NT_STATUS_ACCESS_DENIED - A conta de máquina no domínio não foi criada. Veja “Contas de máquinas de domínio” para mais detalhes.

  • NT_STATUS_NO_TRUST_SAM_ACCOUNT - Não existe conta de máquina no Windows NT para autenticar uma máquina no domínio. Esta mensagem é mostrada quando a máquina SAMBA é cliente de um domínio NT.

  • error setting trust account password: NT_STATUS_ACCESS_DENIED - A senha para criação de conta na máquina está incorreta ou a conta utilizada não tem permissões para ingressar uma máquina no domínio (veja “Criando uma conta de administrador de domínio”). Caso esteja usando um cliente SAMBA, verifique se o parâmetro encrypt passwords está ativado.

  • A senha informada não está correta ou o acesso ao seu servidor de logon foi negado - Verifique primeiro os logs de acessos do sistema. Caso o SAMBA esteja sendo executado via inetd, verifique se a configuração padrão é restritiva e se o acesso está sendo negado pelos arquivos do tcp wrappers hosts.allow e hosts.deny.

  • não existem servidores de logon no domínio - Verifique se o parâmetro domain logons = yes foi usado para permitir o logon em domínio.

Programas de navegação gráficos

O smbclient, nmblookup e smbmount são ferramentas extremamente poderosas auxiliando bastante o administrador na tarefa de configuração de sua rede e resolver problemas. Para o uso no dia a dia ou quando não é necessária a operação via console, você pode utilizar uma das alternativas abaixo que são front-ends a estas ferramentas e facilitam o trabalho de navegação na rede.

linneighborhood

Cliente SAMBA baseado em GTK, muito leve e possibilita a navegação entre os grupos máquinas em forma de árvore. Ele também permite a montagem de compartilhamentos remotos. Caso precise de recursos mais complexos e autenticação, recomendo o “TkSmb”.

TkSmb

Cliente SAMBA baseado em TCL/TK. Seu ponto forte é a navegação nos recursos da máquina ao invés da rede completa, possibilitando autenticação em domínio/grupo de trabalho, montagem de recursos, etc.

Cliente de configuração gráficos

São ferramentas que permitem a configuração do samba usando a interface gráfica. Isto facilita bastante o processo, principalmente se estiver em dúvidas em algumas configurações, mas como todo bom administrador UNIX sabe, isto não substitui o conhecimento sobre o funcionamento de cada opção e ajustes e organização feita diretamente no arquivo de configuração.

gnosamba

Ferramenta de configuração gráfica usando o GNOME. Com ele é possível definir configurações localmente. Ele ocupa pouco espaço em disco, e se você gosta de GTK, este é o recomendado.

As opções do SAMBA são divididas em categorias facilitando sua localização e uso.

swat

Ferramenta de administração via web do samba. Este é um daemon que opera na porta 901 da máquina onde o servidor samba foi instalado. A configuração é feita através de qualquer navegador acessando http://ip_do_servidor:901 e logando-se como usuário root (o único com poderes para escrever no arquivo de configuração).

Esta ferramenta vem evoluindo bastante ao decorrer dos meses e é a recomendada para a configuração do servidor SAMBA remotamente. Seu modo de operação divide-se em básico e avançado. No modo básico, você terá disponível as opções mais comuns e necessárias para compartilhar recursos na rede. O modo avançado apresenta praticamente todos os parâmetros aceitos pelo servidor samba (restrições, controle de acesso, otimizações, etc.).