Páginas

sábado, 19 de diciembre de 2009

Unir Linux a un dominio Active Directory

Hace falta tener instalados todos los paquetes cliente de Samba, Winbind, y Kerberos. Tambien es
necesario que haya cuentas para los usuarios y equipos Linux en Active
Directory.
1. Instalar los paquetes:
# aptitude install samba smbclient winbind krb5-user krb5-config
Detener samba y winbind
# /etc/init.d/samba stop
# /etc/init.d/winbind stop

Luego, cree un grupo Linux que albergue Machine Trust Accounts:
# groupadd machines

Agregar los hosts importantes a /etc/hosts
# /etc/hosts
192.168.1.55 samba.dominio.com samba1
192.168.1.35 windows1.dominio.com windows1

Asegurese de que /etc/resolv.conf contenga su servidor DNS:
nameserver 192.168.1.45

Ahora pruebe a conectar con el KDC. No debería haber errores.
# kinit freedom@dominio.com
Password for freedom@dominio.com

Tendra que editar /etc/samba/smb.conf para autenticar frente a Active Directory, utilizando su propio nombre de dominio, nombre NETBIOS, cadena del servidor y seccion realm de Kerberos. Será algo asi:

/etc/samba/smb.conf

[global]
workgroup = dominio
netbios name = samba1
realm = DOMINIO.COM
server string = Samba server one
security = ADS
encrypt passwords = yes

idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
winbind enum users = Yes
winbind enum groups = Yes
winbind separator = +

log file = /var/log/samba/log
log level = 2
max log size = 50
hosts allow = 192.168.1.

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

Edite /etc/nsswitch.conf incluya estas lineas
passwd: files winbind
group: files winbind
shadow: files

Inicie Samba y winbind. Una el pc Linux al dominio Active Directory, también establezca una Machine Trust Acount con la cuenta de administrador del servidor AD ó la de cualquier usuario con derechos administrativos.
# net ads join -U Administrador%password

En este momento deberia ver una cuenta de equipo nueva con el nombre NetBIOS de su PC Linux (samba1) en AD, debajo de equipos en la carpeta Equipos.

finalmente tiene que configurar los PAM (Pluggable Authentication Modules) de manera que permita la autenticación vía Winbind.

#
# The PAM configuration file for the Shadow `login' service
#
auth requisite pam_securetty.so
auth requisite pam_nologin.so
auth required pam_env.so
auth sufficient pam_winbind.so
auth required pam_unix.so nullok use:first_pass

account requisite pam_time.so
account sufficient pam_winbind.so
account required pam_unix.so

session required pam_unix.so
session optional pam_time.so
session optional pam_motd.so
session optional pam_mail.so standard noenv
session required pam_mkhomedir.so skel=/etc/skel umask=0027

Reinicie su maquina Linux,luego intente entrar en el dominio.

Por diseño Windows dificulta la interoperabilidad. Pero los programadores de Linux, hacen posible esta y las redes mixtas. Importante es la directiva pam_mkhomedir.so crea directorios personales para los usuarios la primera vez que entran.

Notese que como las cuentas de usuario son gestionadas en el servidor AD y estan disponibles via Winbind y PAM para Linux, no sera necesario crear cuentas duplicadas en el Ordenador LINUX. Aunque puede seguir teniendo cuentas locales en la máquina Linux. Estas son invisibles para Active Dir, y permiten a los usuarios administrativos acceder con libertad al servidor local ó remotamente via SSH.

Fuente: Administracion de Sistemas GNU-Linux Lubanovic, Bill; Adelstein, Tom.
Redes en Linux Carla Schroder

No hay comentarios:

Publicar un comentario