Re: Likewise + Debian Squeeze
El dom, 12-09-2010 a las 19:16 -0400, Francisco Javier Aravena Jimenez
escribió:
> Que tal, yo de nuevo con mis invento..
>
> la verdad es que en mi trabajo hay un w2008R2 y necesito unir mi equipo
> Debian Squezee a el, el problema es que me es imposible y me genera el
> siguiente problema con PAM, he buscado en Internet pero nadie habla de
> ello...
>
> A ver si alguien me puede generar un ayuda con ello
>
> a media de prueba he creado un servidor w2008 y he clonado mi pc para
> poder hacer las pruebas antes de mandarme a abajo mi pc, toqueteando las
> configuraciones...
>
> el error que me da es el siguiente.. desde GUI y CLI, es la versión
> 6.001 de LIkewise OPEN
>
> Error: Module not configured [code 0x000003eb]
>
> Even though the configuration of 'pam' was executed, the configuration
> is not
> complete. Please contact Likewise support.
>
> y no hay forma que se loguee , no se que archivo tocar... aver si me
> hechan una manito, con el problema...
>
>
> al "admin" se le ocurrió que si mi equipo no esta en el dominio no puedo
> usar linux :S
> --
> desde ya gracias
> Francisco Javier Aravena Jimenez <djmkchevette@gmail.com>
>
>
Puede que sea tarde pero te paso un documento de uso interno de mi
empresa que he creado yo
(como no se pueden pegar articulos corto y pego desde open office)
___________________________________________________________________
____________________Inclusión de Equipos Linux/Unix en AD
Para poder comunicarnos con el AD tenemos que usar herramientas que
están en el paquete samba y en el libkrb5 (kerberos).
Necesitaremos instalar los siguientes paquetes:
samba smbldap-tools openssl libkrb53.
apt-get install samba smbldap-tools openssl libkrb53 winbind krb5-user
cuando nos lo pregunte introduciremos el nombre del dominio para samba
(HUVN) (huvn.diraya.sspa.junta-andalucia.es) y de los servidores de
certificados kerberos ( grsh43xadm0001 y grsh43xadm0002)
Configuración del acceso al AD
Primero iremos al directorio /etc/samba y editamos el fichero smb.conf
verificando los siguientes datos:
En la sección “[global]”
workgroup = HUVN
security = ads
idmap backend = rid:HUVN=16777216-33554431
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/bash
winbind use default domain = yes
password server = grsh43xadm0001, grsh43xadm0002
realm = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
winbind refresh tickets = yes
En la sección [homes] verificamos las siguientes lineas
comment = Home Directories
browseable = no
writable = yes
Tenemos que verificar que hay conexión con “grsh43xadm0001”.
No suele ser necesario, pero si falla la configuración de kerberos esta en el fichero “/etc/krb5.conf” y su contenido debe ser el siguiente contenido:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES = {
kdc = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
kdc = grsh43xadm0002.huvn.diraya.sspa.junta-andalucia.es
admin_server = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
default_domain = huvn.diraya.sspa.junta-andalucia.es
}
NULL = {
kdc = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
kdc = grsh43xadm0002.huvn.diraya.sspa.junta-andalucia.es
admin_server = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
}
[domain_realm]
.huvn.diraya.sspa.junta-andalucia.es = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
huvn.diraya.sspa.junta-andalucia.es = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
Editamos el fichero “/etc/nsswitch.conf” y añadimos “winbind”al final de
cada linea tal y como se muestra:
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed,
try:
# `info libc "Name Service Switch"' for information about this file.
#passwd: compat winbind
#group: compat winbind
#shadow: compat winbind
hosts: files dns winbind
networks: files winbind
protocols: db files winbind
services: db files winbind
ethers: db files winbind
rpc: db files winbind
netgroup: files winbind
Tras esto hay que reiniciar todos los servicios, para lo que se aconseja
reiniciar el servidor (aunque no es necesario por que se puede reiniciar
los servicios).
Unir el servidor al dominio
Despues procedemos a unir el servidor al dominio con la orden:
net join –U Administrador
se te pide la clave del administrador del dominio y se queda unido al
dominio, lo que se puede comprobar en el administrador de dominio:
Ahora vamos a verificar si esta funcionando el “winbindd”:
ps aux | grep winbindd
Y probamos a autenticarnos en el dominio
wbinfo --verbose –a gdxtrujo%password
Podemos usar:
# wbinfo -g
# wbinfo -u
para verificar que accede a los usuarios y grupos del AD (ojo puede tardar mucho pues son muchos usuarios).
Intentemos autentificarnos con NTLM contra “Active Directory”.
Escribimos lo siguiente:
# ntlm_auth --request-nt-key --domain=HUVN --username=<usuario> --password=<clave>
El comando debe devolver
NT_STATUS_OK: Success (0x0)
si el usuario y la clave son los mismos que los guardados en “AD”.
Fijemos nos en que este mecanismo esta basado en el protocolo
“challenge/response” de la clave “nt-key”, una cadena de caracteres que
ha sido encriptada con la información del usuario y su clave.
Durante esta operación no se intercambia información del usuario. Todo
el proceso se basa en compara cadenas encriptadas.
Configuración del “PAM”
Por ultimo hay que configurar los módulos PAM para permitir la entrada
con usuarios de AD.
Cambiaremos los siguientes ficheros:
/etc/pam.d/common-account
account sufficient pam_winbind.so
account required pam_unix.so
/etc/pam.d/common-auth
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
#este bloquea el acceso en ubuntu# auth required pam_deny.so
session required /lib/security/pam_mkhomedir.so
OJO verificar que funciona inmediatamente, pues si hay errores os
podríais quedar sin entrada local o por ssh.
/etc/pam.d/common-session
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
/etc/pam.d/sudo
#no son necesarios# auth sufficient pam_winbind.so
#no son necesarios# auth sufficient pam_unix.so use_first_pass
#no son necesarios# auth required pam_deny.so
@include common-account
Uso de diractorios personales.
Cada dominio necesita un directorio en /home, por lo que haremos
# mkdir /home/HUVN
donde se crearan nuestros propios directorios de inicio para, por
ejemplo, hacer intercambios de claves ssh.
Añadir al grupo sistemas de AD al sudoers
Para poder administrar el servidor tenemos que añadir al grupo
“sistemas” del AD al sudoers del servidor, lo que aremos editando el
fichero con “visudo” y añadiendo lo siguiente:
# visudo
.../...
%HUVN\\sistemas ALL=NOPASSWD: ALL
BIBLIOGRAFIA
http://www.enterprisenetworkingplanet.com/linux_unix/article.php/52241_3487081_3
https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
http://wiki.samba.org/index.php/Samba_&_Active_Directory#Home_Directories
_______________________________________________
--
Por favor, NO utilice formatos de archivo propietarios para el
intercambio de documentos, como DOC y XLS, sino HTML, RTF, TXT,
CSV o cualquier otro que no obligue a utilizar un programa de un
fabricante concreto para tratar la información contenida en él.
SALUD.
Reply to: