Re: SAMBA como Cliente dominio NT
El mié, 08-03-2006 a las 08:38 -0500, daniel baldonado escribió:
> en mi caso los usuarios utilizan una maquina con Linux pero se conectan
> a un ambiente microsoft a través de samba yo quisiera saber como hago
> para que los usuarios al entrar entren directamente a ser validados por
> un servidor de windows sin tener que definirles una cuenta personal en
> la maquina Linux
>
Hola,
Pues estoy justamente preparando un articulillo sobre este tema. De
momento lo tengo en modo rapido sin muchas explicaciones pero seguro que
te vale. Aqui te lo pongo:
Unificacion de logins Unix, Windows y Samba
==================================
Instalacion de Samba y Winbind
apt-get install samba
apt-get install winbind
Ediccion del fichero de configuracion de samba /etc/samba/smb.conf
workgroup = <DOMINIO>
security = domain
password servers = DOMPDC DOMBDC (password servers = *)
encrypted passwords = yes
winbind separator = \
# use uids from 10000 to 20000 for domain users
idmap uid = 10000-20000
# use gids from 10000 to 20000 for domain groups
idmap gid = 10000-20000
# allow enumeration of winbindusers and groups
winbind enum users = yes
winbind enum groups = yes
# give winbind users a real shell ( only needed if they have telnet
access )
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
Ediccion del fichero de configuracion /etc/nsswitch.conf
passwd: files winbind
shadow: files
group: files winbind
Hacemos que la maquina forme parte del dominio
net rpc join -S <dominio> -U Administrador%password
Arrancamos Samba y Winbind
/etc/init.d/samba start
/etc/init.d/winbind start
Probamos que todo funciona con los siguientes comandos:
wbinfo -u
wbinfo -g
getent passwd
getent group
Winbind y PAM
============
Paramos Samba y Winbind
/etc/init.d/samba stop
/etc/init.d/winbind stop
Editamos el fichero de configuracion del modulo de login de PAM
(/etc/pam.d/login) para incluir lo siguiente:
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0022
@include common-auth
@include common-account
@include common-session
session optional /lib/security/pam_console.so
@include common-password
Si queremos que ssh tambien use winbind para usar la base de datos del
dominio de windows (el directorio activo) modificamos /etc/pam.d/ssh:
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so
auth required /lib/security/pam_pwdb.so use_first_pass
account sufficient /lib/security/pam_unix.so
account required /lib/security/pam_winbind.so
session required /lib/security/pam_unix.so
session required /lib/security/pam_winbind.so
password required /lib/security/pam_unix.so
password required /lib/security/pam_winbind.so
Si tambien queremos que gdm use la base de datos del dominio de windows
(el directorio activo) modificamos su fichero en /etc/pam.d/gdm y
ponemos lo siguiente:
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
session required /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0022
auth requisite pam_nologin.so
auth required pam_env.so
@include common-auth
@include common-account
session required pam_limits.so
@include common-session
session optional /lib/security/pam_console.so
@include common-password
-----------------------------------------------------------------------------------
Con todo esto consigues autenticarte en la maquina Unix con usuarios que
estan dados de alta en el directorio activo en un windows 2000/2003 sin
necesidad de darlos de alta tambien en Unix y/o samba.
Espero te valga y te funcione.
Saludos,
Fernando.
--
Yo uso software libre, ¿Y tu?
¿Qué es el software libre? consulta: http://www.gnu.org/philosophy/free-sw.es.html
Fernando Ruza
e-mail: feruza@terra.es
jabber: fruza@jabber.guadawireless.net
Linux user: #273644 (http://counter.li.org)
Debian Sid (Kernel 2.6.14.2 & ext3)
"In an internet without fences ... who needs 'gates'"
Reply to: