Paso
1: Preparación de la información - Dominio a poner: servi.cupet.cu - Nombre del Server AD: escorpion.servi.cupet.cu - IP del Server AD: 172.18.34.253 - Nombre del Cliente Linux: leo - IP del Cliente Linux: 172.18.34.251 NOTA:
En los archivos de configuración utilizaremos estos datos por lo que usted
deberá sustituirlos por los apropiados de su red. Paso
2: Rectificar la siguiente información - IP del mismo rango que el Server
Active Directory - DNS utilizado por el Server Active
Directory - Debe responder el ping a
escorpion.servi.cupet.cu Paso
3: Instalar los paquetes necesarios aptitude install samba smbclient winbind
krb5-user krb5-config Paso 4: Agregar en el fichero /etc/host las ip del controlador
de dominio, esto por supuesto cambia según el ip de la pc, aquí por ejemplo se
tomo el host de la maquina 172.18.34.253 127.0.0.1
localhost 10.0.100.31
ubuntu.servi.cupet.cu ubuntu 10.0.100.3 escorpion.servi.cupet.cu escorpion Paso
5: Configurar el cliente kerberos, el mismo se encuentra en /etc/krb5.conf en
la carpeta salva se puede ver el fichero de configuración. Paso
6: Crear los Ticket Kerberos, desde la consola ejecutamos el siguiente comando
kinit administrator@SERVI.CUPET.CU
recordar que después de @ el dominio se pone en mayuscula, nos pedira el
usuario y contrase;a y le ponemos la del dominio Paso
6: Configurar el samba para que se pueda adicionar al dominio, aquí ponemos un
ejemplo, en la carpeta salva estan copiados el fichero de configuración de
samba de los 3 servidores. Aquí se tomo como ejemplo el fichero de
configuración de samba , ese nombre se especifica siempre en el netbios name
como se puede aprciar mas abajo #
Configuracion basica [global] #
message command = /bin/sh -c '/usr/bin/linpopup "%f"
"%m" %s; rm %s' &
security = ADS
netbios name = leo
realm = SERVI.CUPET.CU
password server = escorpion.servi.cupet.cu
workgroup = SERVI
log level = 1
syslog = 0
idmap uid = 10000-29999
idmap gid = 10000-29999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no server string = Servidor Linux encrypt passwords = true Paso
7: Adicionar al dominio con el comando net ads, desde la consola teclear net
ads join -S escorpion.servi.cupet.cu -U
administrator Nos deberá mostrar un mensaje como el siguiente: Using
short domain name -- SERVI
Joined 'DEBIAN' to realm 'SERVI.CUPET.CU' Si
nos llega a mostrar un error como el siguiente: Administrador's password: [2007/08/25 16:58:33, 0]
libsmb/cliconnect.c:cli_session_setup_spnego(785) Kinit failed: Clock skew too great Failed
to join domain! El
problema puede ser que la hora del equipo con Linux no este configurada
correctamente. Kerberos es muy estricto con la hora. Para solucionarlo,
corregimos la hora manualmente o ejecutamos el siguiente comando: # ntpdate escorpion.servi.cupet.cu Después
de hacer esto ya se debería de poder unir al dominio. Paso
7: Resolver nombres de usuarios y grupos de dominio, editar
"/etc/nsswitch.conf" y configurarlo como se muestra, esto es valido
para cualquier servidor, en la carpeta salva aparece una copia, que es valida
para los tres servidores # /etc/nsswitch.conf # # Example configuration of GNU
Name Service Switch functionality. # If you have the `glibc-doc-reference'
and `info' packages installed, try: # `info libc "Name Service
Switch"' for information about this file. #passwd: compat lwidentity passwd:
files winbind #group: compat lwidentity group:
files winbind #shadow: compat shadows: files winbind #hosts: files dns hosts: files dns winbind #networks: files networks: files dns #protocols: db files protocols: files #services: db files services: files #ethers: db files ethers: files #rpc: db files rpc: files netmasks: files #netgroup: nis netgroup: files publickey: files bootparams: files automount: files aliases: files Reiniciamos
winbind: # /etc/init.d/winbind restart Hacer
pruebas para ver si todo salio bien
Verificar la integración del dominio: - "net rpc testjoin" muestra si
esta correctamente integrada al dominio:
Join to 'PRUEBAS' is OK -
"net ads info" muestra información del dominio: LDAP
server: 192.168.1.254
LDAP server name: ad.pruebas.local
Realm:
PRUEBAS.LOCAL Bind Path: dc=PRUEBAS,dc=LOCAL LDAP
port: 389
Server time: dom, 26 ago 2007 14:57:04 MDT
KDC server: 192.168.1.254
Server time offset: 11 -
"net rpc info -U Usuario_de_dominio" muestra el dominio al que
pertenece, numero de usuarios, grupos, etc: Domain Name: PRUEBAS Domain SID:
x-x-x-xx-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx Sequence
number: xx
Num users: xx
Num domain groups: xx
Num local groups: xx Verificar
que winbind este funcionando: aclarar que cuando las listas de usuarios en el
directorio activo son muy largas estan pruebas fallan, pero todo esta bien - "wbinfo -u" lista usuarios
del dominio. - "wbinfo -g" lista grupos del
dominio. - "getent passwd" muestra
usuarios locales y del dominio. - "getent group" muestra grupos
locales y del dominio. * "su usuario-de-dominio" nos
convertimos en usuario-de-dominio. Si todo lo anterior funciona vamos por buen
camino. Otra forma de verificar es la
siguiente Utilizando el paquete pamtest
aptitude install pamtest Luego desde la
consola ponemos pamtest
login administrador y otra forma
es pamtest samba login administrador. Paso
8: Configurar la autenticación, esto se hace modificando los ficheros que están
dentro de /etc/pam.d/ , los mismos son
common-account, common-password, common-session, common-auth Con estos pasos
descritos anteriormente, podemos iniciar sesión con usuarios de dominio… __________
Informacin de ESET Smart Security, versin de la base de firmas de virus 4760
(20100111) __________ ESET
Smart Security ha comprobado este mensaje. http://www.eset.com ______________________________________ Lic. Gilberto Luis Díaz Valdés Director UEB Informática y Comunicaciones Empresa de Servicentros CUPET 70 y 29B Tel: 2040185 ______________________________________ De: Edwin Quijada [mailto:listas_quijada@hotmail.com]
__________ Information from ESET NOD32 Antivirus, version of virus signature database 5114 (20100514) __________ The message was checked by ESET NOD32 Antivirus. http://www.eset.com |
Attachment:
ficheros.rar
Description: Binary data