Re: SAMBA como Cliente dominio NT

To: daniel baldonado <dbaldonado@css.org.pa>
Cc: debian-user-spanish@lists.debian.org
Subject: Re: SAMBA como Cliente dominio NT
From: Fernando Ruza <feruza@terra.es>
Date: Wed, 08 Mar 2006 19:59:11 +0100
Message-id: <[🔎] 1141844351.2750.11.camel@luna.horche.gu>
In-reply-to: <[🔎] 1141825128.3670.14.camel@pc348708.css.org.pa>
References: <[🔎] 1141825128.3670.14.camel@pc348708.css.org.pa>

El mié, 08-03-2006 a las 08:38 -0500, daniel baldonado escribió:
> en mi caso los usuarios utilizan una maquina con Linux pero se conectan
> a un ambiente microsoft a través de samba yo quisiera saber como hago
> para que los usuarios al entrar entren directamente a ser validados por
> un servidor de windows sin tener que definirles una cuenta personal en
> la maquina Linux
> 

Hola,

Pues estoy justamente preparando un articulillo sobre este tema. De
momento lo tengo en modo rapido sin muchas explicaciones pero seguro que
te vale. Aqui te lo pongo:

Unificacion de logins Unix, Windows y Samba
==================================

Instalacion de Samba y Winbind

  apt-get install samba
  apt-get install winbind

Ediccion del fichero de configuracion de samba /etc/samba/smb.conf

  workgroup = <DOMINIO>
  security = domain
  password servers = DOMPDC DOMBDC  (password servers = *)
  encrypted passwords = yes

  winbind separator = \
  # use uids from 10000 to 20000 for domain users
  idmap uid = 10000-20000
  # use gids from 10000 to 20000 for domain groups
  idmap gid = 10000-20000
  # allow enumeration of winbindusers and groups
  winbind enum users = yes
  winbind enum groups = yes
                                                                                     
  # give winbind users a real shell ( only needed if they have telnet
access )
  template homedir = /home/winnt/%D/%U
  template shell = /bin/bash


Ediccion del fichero de configuracion /etc/nsswitch.conf

  passwd: files winbind
  shadow: files
  group:  files winbind

Hacemos que la maquina forme parte del dominio

  net rpc join -S <dominio> -U Administrador%password

Arrancamos Samba y Winbind

  /etc/init.d/samba start
  /etc/init.d/winbind start

Probamos que todo funciona con los siguientes comandos:

  wbinfo -u
  wbinfo -g
  getent passwd
  getent group


Winbind y PAM
============

Paramos Samba y Winbind

  /etc/init.d/samba stop
  /etc/init.d/winbind stop

Editamos el fichero de configuracion del modulo de login de PAM
(/etc/pam.d/login) para incluir lo siguiente:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
session    required     /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0022
@include common-auth
@include common-account
@include common-session
session    optional     /lib/security/pam_console.so
@include common-password

Si queremos que ssh tambien use winbind para usar la base de datos del
dominio de windows (el directorio activo) modificamos /etc/pam.d/ssh:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so
auth       required     /lib/security/pam_pwdb.so use_first_pass
account    sufficient   /lib/security/pam_unix.so
account    required     /lib/security/pam_winbind.so
session    required     /lib/security/pam_unix.so
session    required     /lib/security/pam_winbind.so
password   required     /lib/security/pam_unix.so
password   required     /lib/security/pam_winbind.so

Si tambien queremos que gdm use la base de datos del dominio de windows
(el directorio activo) modificamos su fichero en /etc/pam.d/gdm y
ponemos lo siguiente:

auth       required     /lib/security/pam_securetty.so
auth       sufficient   /lib/security/pam_winbind.so
auth       sufficient   /lib/security/pam_unix.so use_first_pass
auth       required     /lib/security/pam_nologin.so
account    sufficient   /lib/security/pam_winbind.so
session    required     /lib/security/pam_mkhomedir.so skel=/etc/skel
umask=0022
auth    requisite       pam_nologin.so
auth    required        pam_env.so
@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
session    optional     /lib/security/pam_console.so
@include common-password

-----------------------------------------------------------------------------------

Con todo esto consigues autenticarte en la maquina Unix con usuarios que
estan dados de alta en el directorio activo en un windows 2000/2003 sin
necesidad de darlos de alta tambien en Unix y/o samba.

Espero te valga y te funcione.

Saludos,

Fernando.


-- 
Yo uso software libre, ¿Y tu?
¿Qué es el software libre? consulta: http://www.gnu.org/philosophy/free-sw.es.html

Fernando Ruza 
e-mail: feruza@terra.es
jabber: fruza@jabber.guadawireless.net
Linux user: #273644 (http://counter.li.org)
Debian Sid (Kernel 2.6.14.2 & ext3)

"In an internet without fences ... who needs 'gates'"

Reply to:

References:
- Re: SAMBA como Cliente dominio NT
  - From: daniel baldonado <dbaldonado@css.org.pa>

Prev by Date: Re: [OT] Viva Debian
Next by Date: Re: [OT] Viva Debian
Previous by thread: Re: SAMBA como Cliente dominio NT
Next by thread: Re: SAMBA como Cliente dominio NT
Index(es):
- Date
- Thread