El jue, 19-10-2006 a las 22:11 -0400, Marcel Rodolfo Sanchez Gongora
escribió:
> El jue, 19-10-2006 a las 16:30 -0300, Angel Claudio Alvarez escribió:
> > El jue, 19-10-2006 a las 15:20 -0300, Javier Debian - BBca - AR
> > escribió:
> > > Estimadísimos:
> > >
> > > Estoy tratando de unir una terminal con linux Debian "etch" a un Directorio
> > > Activo de Windows NT2003 y tengo problemas.
> > >
> > > NT2003 maneja Kerberos 5 (Win98 y WinNT4 deben cargar un parche para poder
> > > enetenderse), y como verán más abajo, no tengo problemas por ese lado, si no
> > > que estos empiezan al tratar de enlazar la terminal, con la que puedo
> > > navegar sin problemas la red a través de samba.
> > >
> > > El principal inconveniente es que no soy el administrador de red, y los que
> > > lo son, están nulificados por Windows.
> > >
> > >
> > >
> > > He bajado información de www.nuxified.org, uclm.es y algunos otros lugares,
> > > y todo lo que intento, ha fallado.
> > >
> > >
> > >
Por favor, las respuestas, a la lista, NO a mi privado
> > Tenes que ser administrador para poder meter maquinas en el dominio
> > o por lo menos te tiene que dar ese privilegio
> >
> Te rectifico Angel, tenias que ser administrador antes, ya no es así,
> después de la version 3.0 el samba y otras dos herramientas ya se puede
> unirte a un dominio NT.
>
Yo con samba 3 tuve que pedir que le dieran privilegios a mi usuario de
dominio para poder meter maquinas en el mismo, o pedirle a un domain
admin que metiera su passwd para poder tener el SID de la maquina
Si no , no podia hacerlo. ( y me parece bien que asi sea, si no,
cualquiera pidria meter una maquina en un dominio y eso es una locura)
> javier no te voy a torturar diciendote que busques en internet pq es
> tarea ardua esta de recopilar toda la información para lograrlo. Te
> Envio un manual que hicieron aquí.
>
> apt-get install samba krb5-user winbind
>
> Kerberos (Krb5-user)
> Para la autentificación, AD utiliza Kerberos. Nuestro dominio de AD se
> llama “MI:DOMINIO.CU”. Para ello iremos al siguiente archivo
> ‘/etc/krb5.conf y busquen los siguientes textos modifíquenlos como lo
> dejo a continuación:
>
> [libdefaults]
> default_realm = MI.DOMINIO.CU
>
> [realms]
> MI.DOMINIO.CU = {
> kdc = 10.0.0.4
> admin_server = 10.0.0.4
> default_domain = MI.DOMINIO.CU
> }
>
> [domain_realms]
> .MI.DOMINIO.CU = MI.DOMINIO.CU
> MI.DOMINIO.CU = MI.DOMINIO.CU
>
> En kdc indicamos la IP del controlador de nuestro dominio. El resto de
> datos, lo modificamos conforme a los datos de nuestro dominio,
> respetando las mayúsculas y los puntos. Durante la instalación
> seguramente les pide además quien es el administrador de servidor
> kerberos le ponen igual que anteriormente el nombre nuestro dominio
> “MI.DOMINIO.CU”.
> Nota: Solo modificar las líneas que les e indicado, no tocar las demás!,
> respetar las mayúsculas y fijarse en los puntos.
> Winbind
> Ahora vamos a permitir que usuarios de la red AD se conecten a nuestros
> recursos de Samba. Para ello el sistema debe conocer cuáles son esos
> usuarios. De eso se encarga winbind. Para que funcione correctamente
> debemos configurar el DNS del sistema y el servicio de nombres de
> nuestro sistema. Debemos usar como DNS y como dominio DNS los mismos que
> tengamos en nuestra red Windows. Nuestro archivo
>
> /etc/resolv.conf debe quedar así:
> #/etc/resolv.conf
> search MI.DOMINIO.CU
> nameserver 10.0.0.3 #este es nuestro DNS
> domain MI.DOMINIO.CU
>
> -----------------------------------------------------------------------------------------------------------------------------
> Al archivo /etc/nsswitch.conf, que es el encargado de establecer cuales
> son nuestras bases de datos de usuario, debemos añadirle que busque en
> winbind. Modificamos el inicio del archivo para que quede algo así:
>
> #/etc/nsswitch.conf
> passwd: compat winbind
> group: compat winbind
> shadow: compat
> hosts: files dns
> networks: files
> protocols: db files
> services: db files
> ethers: db files
> rpc: db files
> netgroup: nis
>
> Este archivo indica a los paquetes que así lo solicitan, que se
> autentiquen
> mediante el demonio winbindd.
> (Nota: el paquete se llama winbind, el demonio, winbindd)
> Samba :
> Cada vez nos queda menos, ahora vamos a configurar Samba para utilizar
> nuestra red Windows. Editamos el archivo de configuración añadiendo o
> modificando los siguientes campos:
> /etc/samba/smb.conf
>
> [global]
> log file = /var/log/samba/log.%m
> obey pam restrictions = Yes
> auth methods = winbind
> encrypt passwords = yes
> update encrypted = Yes
> realm = MI.DOMINIO.CU
> winbind uid = 10000-25000
> dns proxy = No
> netbios name = redes-10
> netbios aliases = redes-10
> server string = redes-10
> password server = SERVER1.MI.DOMINIO.CU, SERVER2.MI.DOMINIO.CU,
> SERVER3.MI.DOMINIO.CU, *
> invalid users = root
> winbind enum users = yes
> winbind gid = 10000-25000
> workgroup = MI.DOMINIO
> winbind enum groups = yes
> os level = 0
> preferred master = No
> domain master = No
> security = ads
> winbind separator = +
>
> Explicare que significa cada opción. Aunque más o menos se puede
> entender:
>
> realm: Indica el árbol de AD al que nos conectamos.
> domain: Indica el dominio de trabajo, para equipos anteriores a Windows
> 2000.
> password server: Indica quien es el servidor de claves. Poniendo * le
> indicamos que se encargue él mismo de averiguarlo, yo especifico los
> servidores de nuestra Universidad (SERVER1, SERVER2, SERVER3) . Lo
> consigue a través de una consulta al DNS, así que es importante que
> hayamos puesto como DNS los que utiliza AD, simplemente copiar la
> configuración tal y como la pongo en este documento.
> security: Indica que la máquina se va a configurar como un host de AD.
> Niveles de seguridad: share, user, server, domain, ads.
> winbind separator: Es importante hacer notar que Windows utiliza la
> barra invertida ‘\’ como separador del dominio y el usuario. *nix no
> puede utilizar ese carácter (esto es en caso de que queramos usar la PC
> linux para dejar autenticase con mismo hacemos en windows, al
> especificar el dominio “MI.DOMINIO”), por lo que es conveniente utilizar
> otro, como por ejemplo ‘+’ en nuestro caso. Así un usuario identificado
> en Windows como DOMINIO\usuario, en nuestro equipo aparecería como
> DOMINIO+usuario. Es importante saberlo para cuando vayamos a establecer
> los permisos en los recursos compartidos (OJO).
> os level: indica que nivel tiene nuestra PC en la red, el valor 0 indica
> que es una PC como otra cualquiera, en caso de que cambiáramos el nivel,
> anuncia nuestra PC como un servidor WINS, o como servidor de claves, eh
> incluso aumentando aun mas el nivel puede llegar a ser controlador de
> dominio, valores de ejemplo -> 20, 70, nosotros ponemos 0.
> domain master: especificar “no”, para decir que no somos controladores
> de dominio AD.
> netbios name = redes-10 (pongan el nombre de su PC en esta opción,
> opcional, dar el mismo valor a las demás ).
> netbios aliases = redes-10 (************)
> server string = redes-10 (************)
> auth methods : método de autentificación “winbind”
> winbind uid y winbind gid : alto como para no colisionar con los
> usuarios UNIX
> Las demás configuraciones deben saber mas o menos su significado, pues
> el que lea este manual debe tener cierto conocimiento sobre linux, si no
> saben solo cópienla con mismo esta en su fichero smb.conf.
> Ahora vamos a iniciar el proceso para integrar nuestra PC al AD
> Configurar la hora del sistema
> Para que nuestro equipo, o los demás equipos, puedan compartir recursos
> entre sí, es importante que todos tengan la misma hora, con un desfase
> máximo de 5 minutos (realmente este parámetro es configurable en la
> política de seguridad del dominio). Es un requisito impuesto por
> Kerberos.
> Para sincronizar nuestro reloj ejecutamos la siguiente orden:
> redes-10:/# net time set
> mar jul 11 23:59:18 CDT 2006
> Sería recomendable poner esta orden en el Cron para que se ejecutara
> regularmente, y asegurarnos así que el equipo siempre está en la hora
> correcta.
> Por fin, añadiendo el equipo al Directorio Activo
> Ya estamos preparados para ingresar en el dominio.
>
> Primero autenticarnos al dominio. Ejemplo: kinit usuario@MI.DOMINIO.CU
> redes-10:/# kinit pepe@MI.DOMINIO.CU
> Password for pepe@MI.DOMINIO.CU: (*************) password del dominio
>
> Después…unir la PC al dominio.
>
> Ejemplo: net ads join --debuglevel=10 -U pepe
>
> net ads join --debuglevel=10 -U <account>
>
> Les mostrara muchos mensajes de la configuración del servidor samba,
> (seria conveniente que la vieran). Al final muestra algo como esto:
> Netbios name list:-
> my_netbios_names[0]="REDES-10"
> [2006/07/12 00:14:28, 2] lib/interface.c:add_interface(81)
> added interface ip=10.3.5.245 bcast=10.3.5.255 nmask=255.255.255.0
> dpolanco's password: (*************) <--- su password de dominio.
>
> al final deberia mostrar con com ultimo mensaje
> “joined "Maquina" to domain 'MI.DOMINIO' ” o algo asi, en caso de que no
> sea este el mensaje revisar, puede que el nombre de su PC ya este en el
> dominio o usted no tiene permiso para unir PCs al AD.
> Solucion: cambie el nombre de su PC, y en segunda opción pida a otro
> usuario con privilegios que “entre” la PC al dominio.
> Si todo sale bien, muestra “joined to domain 'MI.DOMINIO' ”
> nota: Desde la consola, y como root, ejecute los siguientes comandos
> para que se
> capturen los cambios introducidos. ¡Recuerde que usted usa GNU/Linux y
> no
> tiene que reiniciar la máquina!
>
> redes-10:/# /etc/init.d/winbind restart
> redes-10:/# /etc/init.d/samba restart
> Pruebe a ejecutar estos comados:
> redes-10:/# wbinfo -u muestra los usuarios de nuestro AD
> redes-10:/# wbinfo -g muestra los grupos
> redes-10:/# wbinfo -m muestra una lista de dominios
> redes-10:/# getent passwd devuelve las entradas creadas en el fichero
> “passwd”
>
> /etc/passwd de linux, a continuación muestro ejemplo de una de las
> entradas creadas.
> ......
> MI.DOMINIO+pepe:x:20676:10001:dionner polanco
> noy:/home/MI.DOMINIO/pepe:/bin/false
> ......
> Crea una para cada usuario del dominio, esto demora un poco. (tengan
> paciencia).
> redes-10:/# net rpc testjoin -S SERVER1 <----- pruebe además este
> comando (SERVER1, creo que es el primer controlador de dominio nuestro.)
>
> Join to 'MI.DOMINIO' is OK
> Por ultimo realizar la configuración de los ficheros PAM.
> En este directorio están todos los ficheros necesitamos,
>
> /etc/pam.d
> Modifique los ficheros tal y como muestro a continuación.
>
> /etc/pam.d/common-account
>
> account sufficient pam_winbind.so
> account required pam_unix.so
>
> /etc/pam.d/common-auth
>
> auth sufficient pam_winbind.so
> auth required pam_unix.so nullok_secure use_first_pass
>
> /etc/pam.d/common-password
>
> (modificar esta linea y dejarla como la pongo aqui)
> password required pam_unix.so nullok obscure min=4 max=30 md5
>
> Si ha hecho todo lo dicho hasta aqui, ya esta en condiciones de
> compartir cualquier carpeta a los usuarios de nuestro dominio, pues
> ahora su PC esta configurada correctamente para autenticar todos los
> usuario. Por ultimo solo me queda por preguntar si usa webmin?
> (Se lo recomiendo), si es asi, va ser mas fácil para usted la
> administración del samba.
> Bueno solo me despido y pido que cualquier duda o sobre este manual,
> enviar preguntas al
>
> ---------------------------------------------------------
> por ultimo para poder logearse por la pantalla de inicio de seccion
> modificar el fichero /etc/pam.d/gdm, aunque no lo eh probado lo publico
> para que alguien me diga si funciona, saludos
>
> # /etc/pam.d/gdm
>
> auth required /lib/security/pam_securetty.so
> auth required /lib/security/pam_nologin.so
> auth sufficient /lib/security/pam_winbind.so
> auth required /lib/security/pam_pwdb.so use_first_pass shadow nullok
> account required /lib/security/pam_winbind.so
> session required /lib/security/pam_mkhomedir.so skel=/etc/skel
> umask=0022
>
>
>
> El gdm:
> # /etc/pam.d/gdm
>
> auth required pam_securetty.so
> auth required pam_nologin.so
> auth sufficient pam_winbind.so
> auth required pam_pwdb.so use_first_pass shadow nullok
> account required pam_winbind.so
> session required pam_mkhomedir.so skel=/etc/skel umask=0022
>
> Suerte
> --
> Marcel Sánchez Góngora
> Debian Etch GNU/Linux
> Linux User #382151
> Est. III año
> Universidad de las Ciencias Informáticas
> "Lo esencial es invisible para los ojos..."
--
Angel Claudio Alvarez
Usuario Linux Registrado 143466
GPG Public Key en http://pgp.mit.edu
key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente