El jue, 19-10-2006 a las 22:11 -0400, Marcel Rodolfo Sanchez Gongora escribió: > El jue, 19-10-2006 a las 16:30 -0300, Angel Claudio Alvarez escribió: > > El jue, 19-10-2006 a las 15:20 -0300, Javier Debian - BBca - AR > > escribió: > > > Estimadísimos: > > > > > > Estoy tratando de unir una terminal con linux Debian "etch" a un Directorio > > > Activo de Windows NT2003 y tengo problemas. > > > > > > NT2003 maneja Kerberos 5 (Win98 y WinNT4 deben cargar un parche para poder > > > enetenderse), y como verán más abajo, no tengo problemas por ese lado, si no > > > que estos empiezan al tratar de enlazar la terminal, con la que puedo > > > navegar sin problemas la red a través de samba. > > > > > > El principal inconveniente es que no soy el administrador de red, y los que > > > lo son, están nulificados por Windows. > > > > > > > > > > > > He bajado información de www.nuxified.org, uclm.es y algunos otros lugares, > > > y todo lo que intento, ha fallado. > > > > > > > > > Por favor, las respuestas, a la lista, NO a mi privado > > Tenes que ser administrador para poder meter maquinas en el dominio > > o por lo menos te tiene que dar ese privilegio > > > Te rectifico Angel, tenias que ser administrador antes, ya no es así, > después de la version 3.0 el samba y otras dos herramientas ya se puede > unirte a un dominio NT. > Yo con samba 3 tuve que pedir que le dieran privilegios a mi usuario de dominio para poder meter maquinas en el mismo, o pedirle a un domain admin que metiera su passwd para poder tener el SID de la maquina Si no , no podia hacerlo. ( y me parece bien que asi sea, si no, cualquiera pidria meter una maquina en un dominio y eso es una locura) > javier no te voy a torturar diciendote que busques en internet pq es > tarea ardua esta de recopilar toda la información para lograrlo. Te > Envio un manual que hicieron aquí. > > apt-get install samba krb5-user winbind > > Kerberos (Krb5-user) > Para la autentificación, AD utiliza Kerberos. Nuestro dominio de AD se > llama “MI:DOMINIO.CU”. Para ello iremos al siguiente archivo > ‘/etc/krb5.conf y busquen los siguientes textos modifíquenlos como lo > dejo a continuación: > > [libdefaults] > default_realm = MI.DOMINIO.CU > > [realms] > MI.DOMINIO.CU = { > kdc = 10.0.0.4 > admin_server = 10.0.0.4 > default_domain = MI.DOMINIO.CU > } > > [domain_realms] > .MI.DOMINIO.CU = MI.DOMINIO.CU > MI.DOMINIO.CU = MI.DOMINIO.CU > > En kdc indicamos la IP del controlador de nuestro dominio. El resto de > datos, lo modificamos conforme a los datos de nuestro dominio, > respetando las mayúsculas y los puntos. Durante la instalación > seguramente les pide además quien es el administrador de servidor > kerberos le ponen igual que anteriormente el nombre nuestro dominio > “MI.DOMINIO.CU”. > Nota: Solo modificar las líneas que les e indicado, no tocar las demás!, > respetar las mayúsculas y fijarse en los puntos. > Winbind > Ahora vamos a permitir que usuarios de la red AD se conecten a nuestros > recursos de Samba. Para ello el sistema debe conocer cuáles son esos > usuarios. De eso se encarga winbind. Para que funcione correctamente > debemos configurar el DNS del sistema y el servicio de nombres de > nuestro sistema. Debemos usar como DNS y como dominio DNS los mismos que > tengamos en nuestra red Windows. Nuestro archivo > > /etc/resolv.conf debe quedar así: > #/etc/resolv.conf > search MI.DOMINIO.CU > nameserver 10.0.0.3 #este es nuestro DNS > domain MI.DOMINIO.CU > > ----------------------------------------------------------------------------------------------------------------------------- > Al archivo /etc/nsswitch.conf, que es el encargado de establecer cuales > son nuestras bases de datos de usuario, debemos añadirle que busque en > winbind. Modificamos el inicio del archivo para que quede algo así: > > #/etc/nsswitch.conf > passwd: compat winbind > group: compat winbind > shadow: compat > hosts: files dns > networks: files > protocols: db files > services: db files > ethers: db files > rpc: db files > netgroup: nis > > Este archivo indica a los paquetes que así lo solicitan, que se > autentiquen > mediante el demonio winbindd. > (Nota: el paquete se llama winbind, el demonio, winbindd) > Samba : > Cada vez nos queda menos, ahora vamos a configurar Samba para utilizar > nuestra red Windows. Editamos el archivo de configuración añadiendo o > modificando los siguientes campos: > /etc/samba/smb.conf > > [global] > log file = /var/log/samba/log.%m > obey pam restrictions = Yes > auth methods = winbind > encrypt passwords = yes > update encrypted = Yes > realm = MI.DOMINIO.CU > winbind uid = 10000-25000 > dns proxy = No > netbios name = redes-10 > netbios aliases = redes-10 > server string = redes-10 > password server = SERVER1.MI.DOMINIO.CU, SERVER2.MI.DOMINIO.CU, > SERVER3.MI.DOMINIO.CU, * > invalid users = root > winbind enum users = yes > winbind gid = 10000-25000 > workgroup = MI.DOMINIO > winbind enum groups = yes > os level = 0 > preferred master = No > domain master = No > security = ads > winbind separator = + > > Explicare que significa cada opción. Aunque más o menos se puede > entender: > > realm: Indica el árbol de AD al que nos conectamos. > domain: Indica el dominio de trabajo, para equipos anteriores a Windows > 2000. > password server: Indica quien es el servidor de claves. Poniendo * le > indicamos que se encargue él mismo de averiguarlo, yo especifico los > servidores de nuestra Universidad (SERVER1, SERVER2, SERVER3) . Lo > consigue a través de una consulta al DNS, así que es importante que > hayamos puesto como DNS los que utiliza AD, simplemente copiar la > configuración tal y como la pongo en este documento. > security: Indica que la máquina se va a configurar como un host de AD. > Niveles de seguridad: share, user, server, domain, ads. > winbind separator: Es importante hacer notar que Windows utiliza la > barra invertida ‘\’ como separador del dominio y el usuario. *nix no > puede utilizar ese carácter (esto es en caso de que queramos usar la PC > linux para dejar autenticase con mismo hacemos en windows, al > especificar el dominio “MI.DOMINIO”), por lo que es conveniente utilizar > otro, como por ejemplo ‘+’ en nuestro caso. Así un usuario identificado > en Windows como DOMINIO\usuario, en nuestro equipo aparecería como > DOMINIO+usuario. Es importante saberlo para cuando vayamos a establecer > los permisos en los recursos compartidos (OJO). > os level: indica que nivel tiene nuestra PC en la red, el valor 0 indica > que es una PC como otra cualquiera, en caso de que cambiáramos el nivel, > anuncia nuestra PC como un servidor WINS, o como servidor de claves, eh > incluso aumentando aun mas el nivel puede llegar a ser controlador de > dominio, valores de ejemplo -> 20, 70, nosotros ponemos 0. > domain master: especificar “no”, para decir que no somos controladores > de dominio AD. > netbios name = redes-10 (pongan el nombre de su PC en esta opción, > opcional, dar el mismo valor a las demás ). > netbios aliases = redes-10 (************) > server string = redes-10 (************) > auth methods : método de autentificación “winbind” > winbind uid y winbind gid : alto como para no colisionar con los > usuarios UNIX > Las demás configuraciones deben saber mas o menos su significado, pues > el que lea este manual debe tener cierto conocimiento sobre linux, si no > saben solo cópienla con mismo esta en su fichero smb.conf. > Ahora vamos a iniciar el proceso para integrar nuestra PC al AD > Configurar la hora del sistema > Para que nuestro equipo, o los demás equipos, puedan compartir recursos > entre sí, es importante que todos tengan la misma hora, con un desfase > máximo de 5 minutos (realmente este parámetro es configurable en la > política de seguridad del dominio). Es un requisito impuesto por > Kerberos. > Para sincronizar nuestro reloj ejecutamos la siguiente orden: > redes-10:/# net time set > mar jul 11 23:59:18 CDT 2006 > Sería recomendable poner esta orden en el Cron para que se ejecutara > regularmente, y asegurarnos así que el equipo siempre está en la hora > correcta. > Por fin, añadiendo el equipo al Directorio Activo > Ya estamos preparados para ingresar en el dominio. > > Primero autenticarnos al dominio. Ejemplo: kinit usuario@MI.DOMINIO.CU > redes-10:/# kinit pepe@MI.DOMINIO.CU > Password for pepe@MI.DOMINIO.CU: (*************) password del dominio > > Después…unir la PC al dominio. > > Ejemplo: net ads join --debuglevel=10 -U pepe > > net ads join --debuglevel=10 -U <account> > > Les mostrara muchos mensajes de la configuración del servidor samba, > (seria conveniente que la vieran). Al final muestra algo como esto: > Netbios name list:- > my_netbios_names[0]="REDES-10" > [2006/07/12 00:14:28, 2] lib/interface.c:add_interface(81) > added interface ip=10.3.5.245 bcast=10.3.5.255 nmask=255.255.255.0 > dpolanco's password: (*************) <--- su password de dominio. > > al final deberia mostrar con com ultimo mensaje > “joined "Maquina" to domain 'MI.DOMINIO' ” o algo asi, en caso de que no > sea este el mensaje revisar, puede que el nombre de su PC ya este en el > dominio o usted no tiene permiso para unir PCs al AD. > Solucion: cambie el nombre de su PC, y en segunda opción pida a otro > usuario con privilegios que “entre” la PC al dominio. > Si todo sale bien, muestra “joined to domain 'MI.DOMINIO' ” > nota: Desde la consola, y como root, ejecute los siguientes comandos > para que se > capturen los cambios introducidos. ¡Recuerde que usted usa GNU/Linux y > no > tiene que reiniciar la máquina! > > redes-10:/# /etc/init.d/winbind restart > redes-10:/# /etc/init.d/samba restart > Pruebe a ejecutar estos comados: > redes-10:/# wbinfo -u muestra los usuarios de nuestro AD > redes-10:/# wbinfo -g muestra los grupos > redes-10:/# wbinfo -m muestra una lista de dominios > redes-10:/# getent passwd devuelve las entradas creadas en el fichero > “passwd” > > /etc/passwd de linux, a continuación muestro ejemplo de una de las > entradas creadas. > ...... > MI.DOMINIO+pepe:x:20676:10001:dionner polanco > noy:/home/MI.DOMINIO/pepe:/bin/false > ...... > Crea una para cada usuario del dominio, esto demora un poco. (tengan > paciencia). > redes-10:/# net rpc testjoin -S SERVER1 <----- pruebe además este > comando (SERVER1, creo que es el primer controlador de dominio nuestro.) > > Join to 'MI.DOMINIO' is OK > Por ultimo realizar la configuración de los ficheros PAM. > En este directorio están todos los ficheros necesitamos, > > /etc/pam.d > Modifique los ficheros tal y como muestro a continuación. > > /etc/pam.d/common-account > > account sufficient pam_winbind.so > account required pam_unix.so > > /etc/pam.d/common-auth > > auth sufficient pam_winbind.so > auth required pam_unix.so nullok_secure use_first_pass > > /etc/pam.d/common-password > > (modificar esta linea y dejarla como la pongo aqui) > password required pam_unix.so nullok obscure min=4 max=30 md5 > > Si ha hecho todo lo dicho hasta aqui, ya esta en condiciones de > compartir cualquier carpeta a los usuarios de nuestro dominio, pues > ahora su PC esta configurada correctamente para autenticar todos los > usuario. Por ultimo solo me queda por preguntar si usa webmin? > (Se lo recomiendo), si es asi, va ser mas fácil para usted la > administración del samba. > Bueno solo me despido y pido que cualquier duda o sobre este manual, > enviar preguntas al > > --------------------------------------------------------- > por ultimo para poder logearse por la pantalla de inicio de seccion > modificar el fichero /etc/pam.d/gdm, aunque no lo eh probado lo publico > para que alguien me diga si funciona, saludos > > # /etc/pam.d/gdm > > auth required /lib/security/pam_securetty.so > auth required /lib/security/pam_nologin.so > auth sufficient /lib/security/pam_winbind.so > auth required /lib/security/pam_pwdb.so use_first_pass shadow nullok > account required /lib/security/pam_winbind.so > session required /lib/security/pam_mkhomedir.so skel=/etc/skel > umask=0022 > > > > El gdm: > # /etc/pam.d/gdm > > auth required pam_securetty.so > auth required pam_nologin.so > auth sufficient pam_winbind.so > auth required pam_pwdb.so use_first_pass shadow nullok > account required pam_winbind.so > session required pam_mkhomedir.so skel=/etc/skel umask=0022 > > Suerte > -- > Marcel Sánchez Góngora > Debian Etch GNU/Linux > Linux User #382151 > Est. III año > Universidad de las Ciencias Informáticas > "Lo esencial es invisible para los ojos..." -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4
Attachment:
signature.asc
Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente