El jue, 19-10-2006 a las 16:30 -0300, Angel Claudio Alvarez escribió: > El jue, 19-10-2006 a las 15:20 -0300, Javier Debian - BBca - AR > escribió: > > Estimadísimos: > > > > Estoy tratando de unir una terminal con linux Debian "etch" a un Directorio > > Activo de Windows NT2003 y tengo problemas. > > > > NT2003 maneja Kerberos 5 (Win98 y WinNT4 deben cargar un parche para poder > > enetenderse), y como verán más abajo, no tengo problemas por ese lado, si no > > que estos empiezan al tratar de enlazar la terminal, con la que puedo > > navegar sin problemas la red a través de samba. > > > > El principal inconveniente es que no soy el administrador de red, y los que > > lo son, están nulificados por Windows. > > > > > > > > He bajado información de www.nuxified.org, uclm.es y algunos otros lugares, > > y todo lo que intento, ha fallado. > > > > > > > Tenes que ser administrador para poder meter maquinas en el dominio > o por lo menos te tiene que dar ese privilegio > Te rectifico Angel, tenias que ser administrador antes, ya no es así, después de la version 3.0 el samba y otras dos herramientas ya se puede unirte a un dominio NT. javier no te voy a torturar diciendote que busques en internet pq es tarea ardua esta de recopilar toda la información para lograrlo. Te Envio un manual que hicieron aquí. apt-get install samba krb5-user winbind Kerberos (Krb5-user) Para la autentificación, AD utiliza Kerberos. Nuestro dominio de AD se llama “MI:DOMINIO.CU”. Para ello iremos al siguiente archivo ‘/etc/krb5.conf y busquen los siguientes textos modifíquenlos como lo dejo a continuación: [libdefaults] default_realm = MI.DOMINIO.CU [realms] MI.DOMINIO.CU = { kdc = 10.0.0.4 admin_server = 10.0.0.4 default_domain = MI.DOMINIO.CU } [domain_realms] .MI.DOMINIO.CU = MI.DOMINIO.CU MI.DOMINIO.CU = MI.DOMINIO.CU En kdc indicamos la IP del controlador de nuestro dominio. El resto de datos, lo modificamos conforme a los datos de nuestro dominio, respetando las mayúsculas y los puntos. Durante la instalación seguramente les pide además quien es el administrador de servidor kerberos le ponen igual que anteriormente el nombre nuestro dominio “MI.DOMINIO.CU”. Nota: Solo modificar las líneas que les e indicado, no tocar las demás!, respetar las mayúsculas y fijarse en los puntos. Winbind Ahora vamos a permitir que usuarios de la red AD se conecten a nuestros recursos de Samba. Para ello el sistema debe conocer cuáles son esos usuarios. De eso se encarga winbind. Para que funcione correctamente debemos configurar el DNS del sistema y el servicio de nombres de nuestro sistema. Debemos usar como DNS y como dominio DNS los mismos que tengamos en nuestra red Windows. Nuestro archivo /etc/resolv.conf debe quedar así: #/etc/resolv.conf search MI.DOMINIO.CU nameserver 10.0.0.3 #este es nuestro DNS domain MI.DOMINIO.CU ----------------------------------------------------------------------------------------------------------------------------- Al archivo /etc/nsswitch.conf, que es el encargado de establecer cuales son nuestras bases de datos de usuario, debemos añadirle que busque en winbind. Modificamos el inicio del archivo para que quede algo así: #/etc/nsswitch.conf passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis Este archivo indica a los paquetes que así lo solicitan, que se autentiquen mediante el demonio winbindd. (Nota: el paquete se llama winbind, el demonio, winbindd) Samba : Cada vez nos queda menos, ahora vamos a configurar Samba para utilizar nuestra red Windows. Editamos el archivo de configuración añadiendo o modificando los siguientes campos: /etc/samba/smb.conf [global] log file = /var/log/samba/log.%m obey pam restrictions = Yes auth methods = winbind encrypt passwords = yes update encrypted = Yes realm = MI.DOMINIO.CU winbind uid = 10000-25000 dns proxy = No netbios name = redes-10 netbios aliases = redes-10 server string = redes-10 password server = SERVER1.MI.DOMINIO.CU, SERVER2.MI.DOMINIO.CU, SERVER3.MI.DOMINIO.CU, * invalid users = root winbind enum users = yes winbind gid = 10000-25000 workgroup = MI.DOMINIO winbind enum groups = yes os level = 0 preferred master = No domain master = No security = ads winbind separator = + Explicare que significa cada opción. Aunque más o menos se puede entender: realm: Indica el árbol de AD al que nos conectamos. domain: Indica el dominio de trabajo, para equipos anteriores a Windows 2000. password server: Indica quien es el servidor de claves. Poniendo * le indicamos que se encargue él mismo de averiguarlo, yo especifico los servidores de nuestra Universidad (SERVER1, SERVER2, SERVER3) . Lo consigue a través de una consulta al DNS, así que es importante que hayamos puesto como DNS los que utiliza AD, simplemente copiar la configuración tal y como la pongo en este documento. security: Indica que la máquina se va a configurar como un host de AD. Niveles de seguridad: share, user, server, domain, ads. winbind separator: Es importante hacer notar que Windows utiliza la barra invertida ‘\’ como separador del dominio y el usuario. *nix no puede utilizar ese carácter (esto es en caso de que queramos usar la PC linux para dejar autenticase con mismo hacemos en windows, al especificar el dominio “MI.DOMINIO”), por lo que es conveniente utilizar otro, como por ejemplo ‘+’ en nuestro caso. Así un usuario identificado en Windows como DOMINIO\usuario, en nuestro equipo aparecería como DOMINIO+usuario. Es importante saberlo para cuando vayamos a establecer los permisos en los recursos compartidos (OJO). os level: indica que nivel tiene nuestra PC en la red, el valor 0 indica que es una PC como otra cualquiera, en caso de que cambiáramos el nivel, anuncia nuestra PC como un servidor WINS, o como servidor de claves, eh incluso aumentando aun mas el nivel puede llegar a ser controlador de dominio, valores de ejemplo -> 20, 70, nosotros ponemos 0. domain master: especificar “no”, para decir que no somos controladores de dominio AD. netbios name = redes-10 (pongan el nombre de su PC en esta opción, opcional, dar el mismo valor a las demás ). netbios aliases = redes-10 (************) server string = redes-10 (************) auth methods : método de autentificación “winbind” winbind uid y winbind gid : alto como para no colisionar con los usuarios UNIX Las demás configuraciones deben saber mas o menos su significado, pues el que lea este manual debe tener cierto conocimiento sobre linux, si no saben solo cópienla con mismo esta en su fichero smb.conf. Ahora vamos a iniciar el proceso para integrar nuestra PC al AD Configurar la hora del sistema Para que nuestro equipo, o los demás equipos, puedan compartir recursos entre sí, es importante que todos tengan la misma hora, con un desfase máximo de 5 minutos (realmente este parámetro es configurable en la política de seguridad del dominio). Es un requisito impuesto por Kerberos. Para sincronizar nuestro reloj ejecutamos la siguiente orden: redes-10:/# net time set mar jul 11 23:59:18 CDT 2006 Sería recomendable poner esta orden en el Cron para que se ejecutara regularmente, y asegurarnos así que el equipo siempre está en la hora correcta. Por fin, añadiendo el equipo al Directorio Activo Ya estamos preparados para ingresar en el dominio. Primero autenticarnos al dominio. Ejemplo: kinit usuario@MI.DOMINIO.CU redes-10:/# kinit pepe@MI.DOMINIO.CU Password for pepe@MI.DOMINIO.CU: (*************) password del dominio Después…unir la PC al dominio. Ejemplo: net ads join --debuglevel=10 -U pepe net ads join --debuglevel=10 -U <account> Les mostrara muchos mensajes de la configuración del servidor samba, (seria conveniente que la vieran). Al final muestra algo como esto: Netbios name list:- my_netbios_names[0]="REDES-10" [2006/07/12 00:14:28, 2] lib/interface.c:add_interface(81) added interface ip=10.3.5.245 bcast=10.3.5.255 nmask=255.255.255.0 dpolanco's password: (*************) <--- su password de dominio. al final deberia mostrar con com ultimo mensaje “joined "Maquina" to domain 'MI.DOMINIO' ” o algo asi, en caso de que no sea este el mensaje revisar, puede que el nombre de su PC ya este en el dominio o usted no tiene permiso para unir PCs al AD. Solucion: cambie el nombre de su PC, y en segunda opción pida a otro usuario con privilegios que “entre” la PC al dominio. Si todo sale bien, muestra “joined to domain 'MI.DOMINIO' ” nota: Desde la consola, y como root, ejecute los siguientes comandos para que se capturen los cambios introducidos. ¡Recuerde que usted usa GNU/Linux y no tiene que reiniciar la máquina! redes-10:/# /etc/init.d/winbind restart redes-10:/# /etc/init.d/samba restart Pruebe a ejecutar estos comados: redes-10:/# wbinfo -u muestra los usuarios de nuestro AD redes-10:/# wbinfo -g muestra los grupos redes-10:/# wbinfo -m muestra una lista de dominios redes-10:/# getent passwd devuelve las entradas creadas en el fichero “passwd” /etc/passwd de linux, a continuación muestro ejemplo de una de las entradas creadas. ...... MI.DOMINIO+pepe:x:20676:10001:dionner polanco noy:/home/MI.DOMINIO/pepe:/bin/false ...... Crea una para cada usuario del dominio, esto demora un poco. (tengan paciencia). redes-10:/# net rpc testjoin -S SERVER1 <----- pruebe además este comando (SERVER1, creo que es el primer controlador de dominio nuestro.) Join to 'MI.DOMINIO' is OK Por ultimo realizar la configuración de los ficheros PAM. En este directorio están todos los ficheros necesitamos, /etc/pam.d Modifique los ficheros tal y como muestro a continuación. /etc/pam.d/common-account account sufficient pam_winbind.so account required pam_unix.so /etc/pam.d/common-auth auth sufficient pam_winbind.so auth required pam_unix.so nullok_secure use_first_pass /etc/pam.d/common-password (modificar esta linea y dejarla como la pongo aqui) password required pam_unix.so nullok obscure min=4 max=30 md5 Si ha hecho todo lo dicho hasta aqui, ya esta en condiciones de compartir cualquier carpeta a los usuarios de nuestro dominio, pues ahora su PC esta configurada correctamente para autenticar todos los usuario. Por ultimo solo me queda por preguntar si usa webmin? (Se lo recomiendo), si es asi, va ser mas fácil para usted la administración del samba. Bueno solo me despido y pido que cualquier duda o sobre este manual, enviar preguntas al --------------------------------------------------------- por ultimo para poder logearse por la pantalla de inicio de seccion modificar el fichero /etc/pam.d/gdm, aunque no lo eh probado lo publico para que alguien me diga si funciona, saludos # /etc/pam.d/gdm auth required /lib/security/pam_securetty.so auth required /lib/security/pam_nologin.so auth sufficient /lib/security/pam_winbind.so auth required /lib/security/pam_pwdb.so use_first_pass shadow nullok account required /lib/security/pam_winbind.so session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0022 El gdm: # /etc/pam.d/gdm auth required pam_securetty.so auth required pam_nologin.so auth sufficient pam_winbind.so auth required pam_pwdb.so use_first_pass shadow nullok account required pam_winbind.so session required pam_mkhomedir.so skel=/etc/skel umask=0022 Suerte -- Marcel Sánchez Góngora Debian Etch GNU/Linux Linux User #382151 Est. III año Universidad de las Ciencias Informáticas "Lo esencial es invisible para los ojos..."
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente