Tutorial sobre este assunto para colaborar compartilhando ao público falante do português. Por favor usem um tradutor.
TUTORIAL PARA CONFIGURAR O NETHSERVER 7 (NS7) COMO SERVIDOR DE DOMINIO ACTIVE DIRECTORY
1. Muitas das informações neste tutorial são oriundas das documentações da Microsoft para a gerência de um ambiente com ACTIVE DIRECTORY(AD). Use o navegador Google Chrome para acessar os links com opção de tradução;.
2. Baixe o manual ( bem atualizado por sinal ) disponível em http://docs.nethserver.org/en/v7/ na seção [Read the Docs] ou [Leia o documento] selecionando a linguagem [es] e a versão do NS [7] clicando em PDF ou HTML (neste, abra o arquivo index.html dentro do arquivo zip, que pode ser traduzido no Google Chrome). Leia-o, será sua bíblia neste assunto;
3. Faça o planejamento dos dados necessários. Defina os endereços IP do NS7 e do servidor do Active Directory. Defina um nome de host exclusivo para o NS7, um nome do domínio, o nome FQDN exclusivo (nome do host+nome do domínio ) para o NS7 e um nome exclusivo para o servidor de domínio com AD. Defina também, as senha do root e do administrator. O nome de host do NS7, servidor real, deve ser único e diferente do nome de host do servidor AD, servidor virtual, cujo IP também é diferente, conforme instruções no manual acima;
4. Baixe a ISO do NS7 e use a documentação do link http://docs.nethserver.org/en/v7/ para instalar. Configure o endereço IP de rede do NS7 para acessar o seu firewall/roteador. No firewall/OpnSense bloqueie o acesso para todos os IP's e autorize o tráfego somente para o IP do NS7;
5. Use a documentação disponível em http://docs.nethserver.org/en/v7/packages.html para atualizar e baixar o pacote de linguagem [PORTUGUÊS]; faça o logoff e refaça o login trocando a opção de linguagem de inglês para português;
6. Selecione a opção de [Provedor de contas] na página WEB de administração do NS7. Selecione [Active Directory] e logo a seguir [Criar um novo domínio] fornecendo os dados solicitados terminando o provisionamento do serviço;
7. Ative o servidor de horas com o ntp server sugerido e configure o servidor de DHCP. A sincronização dos horários entre o servidor e o cliente é fundamental e o NS7 deve ser configurado como servidor de hora pelo DHCP. Assim, configure o servidor DHCP, nas opções avançadas: Gateway IP [com o mesmo IP de administração do Nethserver]; Servidores de DNS [IP informado durante o provisionamento do servidor Active Directory]; Endereço WINS [idem anterior]; Servidores NTP [idem Gateway IP];
8. Crie uma conta de usuário dedicada no AD e defina uma senha complexa que não expira para ela, especificamente para realizar a tarefa de JOIN ao AD;
9. Para logar-se no AD com o UBUNTU 16.04, os usuários também devem ser criados com senhas sem expiração e na sequência, deve-se realizar o login no domínio; logo em seguida, realizar o logoff e a seguir reativar a opção de expiração. A manutenção das futuras senhas será por conta do usuário via utilitário específico;
10. O gerenciamento poderá ser realizado por meio de uma estação MS Windows (no mínimo versão PRO) anexada ao domínio através do utilitário RSAT da Microsoft. No entanto, o gerenciamento via interface WEB do NS7 também é muito eficiente, principalmente nas seções Usuarios e Grupos, Proxy Web e Filtros;
11. Neste tutorial, a configuração prevê somente uma placa de rede, que se transforma em uma BRIDGE ao se provisionar o AD. O proxy, neste ambiente, deve ser ativado em função deste servidor ser o gateway informado por DHCP aos clientes. Os filtros personalizados e de conteúdo podem ser criados para grupos ou usuários específicos, com todos os recursos de ativação por programação de semana/horário, agindo transparentemente no navegador, em função do usuário logado na estação;
12. A instalação do NextCloud também facilita o backup centralizado, substituindo com vantagens o servidor SMB/CIFS para redes Windows. Porém, mantenha o usuário admin do NS7, no AD bloqueado, utilizando a senha padrão do site, possibilitando administrar todos os recursos do Nextcloud como a definição de uma cota default, que vigora para todos os usuários do AD.
TUTORIAL PARA O UBUNTU 16.04 AUTENTICAR-SE NO SERVIDOR DE DOMÍNIO PROVISIONADO COM NETHSERVER 7
I. Todas as estações clientes do AD deverão estar configuradas para receber o IP via DHCP, pois isto atualiza o DNS do servidor com o nome da estação, facilitando a adesão ao domínio;
II. Lembre-se de ativar [Todos os usuários podem podem conectar a esta rede] na guia Geral, da janela [Editando (nome da rede)], principalmente se for WIFI, permitindo que seja realizado uma conexão ao servidor DHCP antes mesmo de se realizar o login no AD;
III. Na ação de JOIN no cliente UBUNTU (cujo nome da estação/host deve ter ate 15 caracteres - vide documentação da Microsoft sobre o AD), informar o [Nome de dominio DNS] disponível na aba [Fornecedor de contas ] locais do ACTIVE DIRECTORY para o seu domínio, na página de administração do Nethserver;
IV. Há dois pacotes que provêem acesso ao AD instaláveis no UBUNTU 16.04. O PBIS-open e o C-I-D. Este último, mais intuitivo em relação ao recursos oferecidos ao usuário final, é também o escolhido para realizar a conexão ao AD;
V. O manual do C-I-D disponivel em https://sourceforge.net/projects/c-i-d/files/docs/usermanual.pdf provê todas as informações para a instalação na estação UBUNTU, contendo todas as orientações para que uma instalação padrão a partir de uma ISO baixado do site ubuntu.com, seja anexada ao domínio e seja totalmente funcional, porém, algumas vezes apresenta-se uma advertência que pode ser ignorada;
VI. No caso específico deste laboratório, foi usado um script que customiza o ISO padrão baixado do site do ubuntu realizando atualizações, instalação de drivers, a remoção/instalação de diversas ferramentas inúteis/úteis ao ambiente corporativo. O script também configura a página inicial, endereço do proxy e tipo, no mozilla firefox;
VII. A configuração do nextcloud-client, com o fornecimento do usuário e senha, permite que o conteúdo da pasta Nextcloud do usuário logado esteja sempre sincronizado com o NS7, aliado aos recursos avançados de versionamento, compartilhamento com controles altamente granulares e auditabilidade com log de atividades, disponível na interface web do usuário.
Planejamento e passo-a-passo da instalação do NethServer 7(NS7) para provisionamento de um servidor de internet via proxy e autenticação em domínio com Active Directory(AD)
1. Definir e anotar um nome de host do servidor NS7;
2. Definir e anotar um nome do domínio;
3. Definir e anotar um nome FQDN;
4. Definir e anotar um nome para o servidor de domínio com AD;
5. Definir e anotar um senha do root;
6. Definir e anotar um senha do administrator;
7. Definir e anotar um endereço IP exclusivo para o servidor NS7, de acordo com a faixa de rede recebida de sua matriz, se for implementar uma intranet, ou VPN;
8. Definir e anotar um endereço IP exclusivo para o servidor virtual do Active Directory, que será instalado num container;
9. Buscar com o administrador do firewall/gateway o endereço IP do gateway da sua rede;
10. Caso sua organização possua um link dedicado para uma intranet corporativa, procure saber a faixa de rede dos endereços IPs desta intranet (geralmente 10.0.0.0), a máscara de rede da intranet (geralmente 255.0.0.0) e o endereço IP do roteador para esta rede corporativa. Anote-os para a criação de uma rota estática para alcançar todos os endereços da intranet via endereço IP do gateway o qual fornece conectividade com toda intranet corporativa;
11. Baixar a ISO estável do NS7, testar a integridade com o MD5SUM;
12. Baixar o manual conforme tutorial e realizar a leitura do mesmo;
13. Crie uma máquina virtual ou monte um host físico com uma placa de rede e inicie a instalação do NS7;
14. Durante a instalação, faça as configurações de rede com IP estático, informe o gateway, informe a senha do root e o tipo de teclado;
15. Continue com a instalação e aguarde o fim do processo;
16. De uma estação de administração remota, abra o navegador WEB, digite o mesmo endereço IP (p7) do servidor NS7 informado na instalação para acessar a página de teste do servidor HTTP Apache;
17. Clique no link [Server Manager] no portal de teste;
18. O aviso de página não segura será exibido, clique em [AVANÇADO] e logo abaixo em [ir para {IP do servidor} não seguro] ou [adicionar exceção] no mozilla;
19. Na nova página, digite [root] para usuário e a senha que foi definida para a instalação(p5);
20. Complete o Wizard da instalação, no primeiro acesso informando o nome FQDN (p3) do host (nome do servidor NS7 + ponto + nome do dominio). Também informe o [Time zone] da sua região geográfica. Altere a porta ssh, se for o caso. Prossiga e aplique as configurações;
21. A página de administração do servidor será mostrada;
22. Selecione a opção [Domains accounts], selecione o botão do provedor de contas de usuário [Active Directory], clique em [Create a new domain] aceite ou altere os dados pré-configurados e forneça o endereço IP (p8) do controlador de dominio;
23. Uma advertência para configurar o Admin user em uma faixa amarela será apresentada. Não configure a senha [Enable admin user] se for usar o NEXTCLOUD;
24. Acesse no menu lateral a opção [Software center];
25. Clique na aba [Updates] e clique em [DOWNLOAD AND INSTALL];
26. Clique na aba [Available] e como sugestão, para uma rede corporativa, selecione os pacotes [Backup] [Instant messaging] [Portuguese language] [Web filter] [Web proxy]. Pesquise os recursos disponibilizados por cada pacote para criar seu perfil de pacotes;
27. Caso queira utilizar o NEXTCLOUD também selecione [Nextcloud] no item acima, e após aplicado e instalado os pacotes e já na página de gerenciamento do NS7, clique na opção [Aplicativos] e surgirá um quadro nomeado [Nextcloud]. Clique no icone [Aberto] para iniciar outra aba de administração do nextcloud, informando o usuário admin e a senha de administração default da instalação encontrada em http://docs.nethserver.org/en/v7/nextcloud.html;
28. Na página do nextcloud, clique no ícone circular (contendo a letra A, de admin) e na lista suspensa, selecione a opção [Usuários];
29. Na nova página de administração de usuários, surgirá no canto inferior esquerdo uma engrenagem, dando acesso às [Configurações] de limite para [Cota Padrão] dos novos usuários(estas opções são ocultadas se o usuário admin estiver habilidado, conforme a advertência). Mais configurações específicas, mostram o poder de controle deste servidor de arquivos. Explore;
30. Definido a cota padrão, no menu lateral de administração do NS7, acesse a opção [Usuarios e grupos] e crie os grupos (internetALL, SEMvideos, SOsitesGOV, SOsitesBR, SOedu, SOintranet, SOredeLOCAL, TEMvpn, etc ) e os usuários para logar no AD. O proxy configurado no modo autenticado fica transparente bloqueando o acesso aos sites de acordo com o perfil do usuario logado.
31. Configure o proxy como autenticado, ative o bloqueio de http e https. Configure o Web filter para gerenciar os acessos;
32. Caso tenha um gateway para intranet corporativa, crie uma rota estática para a rede desta intranet e informe o IP do gateway para esta intranet, defina como DNS primário, o da intranet e como o secundário, o do roteador (da internet).