[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Likewise + Debian Squeeze



El dom, 12-09-2010 a las 19:16 -0400, Francisco Javier Aravena Jimenez
escribió:
> Que tal, yo de nuevo con mis invento..
> 
> la verdad es que en mi trabajo hay un w2008R2 y necesito unir mi equipo
> Debian Squezee a el, el problema es que me es imposible y me genera el
> siguiente problema con PAM, he buscado en Internet pero nadie habla de
> ello... 
> 
> A ver si alguien me puede generar un ayuda con ello 
> 
> a media de prueba he creado un servidor w2008 y he clonado mi pc para
> poder hacer las pruebas antes de mandarme a abajo mi pc, toqueteando las
> configuraciones...
> 
> el error que me da es el siguiente.. desde GUI y CLI, es la versión
> 6.001 de LIkewise OPEN
> 
> Error: Module not configured [code 0x000003eb]
> 
> Even though the configuration of 'pam' was executed, the configuration
> is not
> complete. Please contact Likewise support.
> 
> y no hay forma que se loguee , no se que archivo tocar... aver si me
> hechan una manito, con el problema...
> 
> 
> al "admin" se le ocurrió que si mi equipo no esta en el dominio no puedo
> usar linux :S
> -- 
> desde ya gracias
> Francisco Javier Aravena Jimenez <djmkchevette@gmail.com>
> 
> 
Puede que sea tarde pero te paso un documento de uso interno de mi
empresa que he creado yo
(como no se pueden pegar articulos corto y pego desde open office)
___________________________________________________________________

____________________Inclusión de Equipos Linux/Unix en AD


Para poder comunicarnos con el AD tenemos que usar herramientas que
están en el paquete samba y en el libkrb5 (kerberos).

Necesitaremos instalar los siguientes paquetes:

samba smbldap-tools openssl libkrb53. 

apt-get install samba smbldap-tools openssl libkrb53 winbind krb5-user

cuando nos lo pregunte introduciremos el nombre del dominio para samba
(HUVN) (huvn.diraya.sspa.junta-andalucia.es) y de los servidores de
certificados kerberos ( grsh43xadm0001 y grsh43xadm0002)


Configuración del acceso al AD
Primero iremos al directorio /etc/samba y editamos el fichero smb.conf
verificando los siguientes datos:

En la sección “[global]”

workgroup = HUVN

security = ads

	idmap backend = rid:HUVN=16777216-33554431

idmap uid = 16777216-33554431

	idmap gid = 16777216-33554431
	template shell = /bin/bash

winbind use default domain = yes

	password server = grsh43xadm0001, grsh43xadm0002
	realm = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
	winbind refresh tickets = yes

En la sección [homes] verificamos las siguientes lineas
	comment = Home Directories
	browseable = no
	writable = yes
Tenemos que verificar que hay conexión con “grsh43xadm0001”.

No suele ser necesario, pero si falla la configuración de kerberos esta en el fichero “/etc/krb5.conf” y  su contenido debe ser el siguiente contenido:
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log

[libdefaults]
    default_realm = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
    dns_lookup_realm = false
    dns_lookup_kdc = false

[realms]
        HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES = {
		kdc = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
		kdc = grsh43xadm0002.huvn.diraya.sspa.junta-andalucia.es
		admin_server = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
		default_domain = huvn.diraya.sspa.junta-andalucia.es
        }
        NULL = {
                kdc = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
                kdc = grsh43xadm0002.huvn.diraya.sspa.junta-andalucia.es
                admin_server = grsh43xadm0001.huvn.diraya.sspa.junta-andalucia.es
        }

[domain_realm]
    .huvn.diraya.sspa.junta-andalucia.es = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES
    huvn.diraya.sspa.junta-andalucia.es = HUVN.DIRAYA.SSPA.JUNTA-ANDALUCIA.ES




Editamos el fichero “/etc/nsswitch.conf” y añadimos “winbind”al final de
cada linea tal y como se muestra: 

# /etc/nsswitch.conf

#

# Example configuration of GNU Name Service Switch functionality.

# If you have the `glibc-doc-reference' and `info' packages installed,
try:

# `info libc "Name Service Switch"' for information about this file.


#passwd: compat winbind

#group: compat winbind

#shadow: compat winbind


hosts: files dns winbind

networks: files winbind


protocols: db files winbind

services: db files winbind

ethers: db files winbind

rpc: db files winbind


netgroup: files winbind


Tras esto hay que reiniciar todos los servicios, para lo que se aconseja
reiniciar el servidor (aunque no es necesario por que se puede reiniciar
los servicios).


                      Unir el servidor al dominio

Despues procedemos a unir el servidor al dominio con la orden:

net join –U Administrador

se te pide la clave del administrador del dominio y se queda unido al
dominio, lo que se puede comprobar en el administrador de dominio:


Ahora vamos a verificar si esta funcionando el “winbindd”: 

ps aux | grep winbindd

Y probamos a autenticarnos en el dominio

wbinfo --verbose –a gdxtrujo%password

Podemos usar: 

# wbinfo -g
# wbinfo -u
para verificar que accede a los usuarios y grupos del AD (ojo puede tardar mucho pues son muchos usuarios).

Intentemos autentificarnos con NTLM contra “Active Directory”. 

Escribimos lo siguiente: 

# ntlm_auth --request-nt-key --domain=HUVN --username=<usuario> --password=<clave>

El comando debe devolver 

NT_STATUS_OK: Success (0x0)

si el usuario y la clave son los mismos que los guardados en “AD”.
Fijemos nos en que este mecanismo esta basado en el protocolo
“challenge/response” de la clave “nt-key”, una cadena de caracteres que
ha sido encriptada con la información del usuario y su clave.

Durante esta operación no se intercambia información del usuario. Todo
el proceso se basa en compara cadenas encriptadas.



Configuración del “PAM”

 Por ultimo hay que configurar los módulos PAM para permitir la entrada
con usuarios de AD.

Cambiaremos los siguientes ficheros:

/etc/pam.d/common-account

account sufficient       pam_winbind.so
account required         pam_unix.so

 /etc/pam.d/common-auth

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
#este bloquea el acceso en ubuntu# auth required   pam_deny.so
session required /lib/security/pam_mkhomedir.so

OJO verificar que funciona inmediatamente, pues si hay errores os
podríais quedar sin entrada local o por ssh.

 /etc/pam.d/common-session

session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

 /etc/pam.d/sudo

#no son necesarios# auth sufficient pam_winbind.so
#no son necesarios# auth sufficient pam_unix.so use_first_pass
#no son necesarios# auth required   pam_deny.so

@include common-account

Uso de diractorios personales.

Cada dominio necesita un directorio en /home, por lo que haremos

# mkdir /home/HUVN

donde se crearan nuestros propios directorios de inicio para, por
ejemplo, hacer intercambios de claves ssh.


Añadir al grupo sistemas de AD al sudoers
Para poder administrar el servidor tenemos que añadir al grupo
“sistemas” del AD al sudoers del servidor, lo que aremos editando el
fichero con “visudo” y añadiendo lo siguiente:

# visudo

.../...

%HUVN\\sistemas ALL=NOPASSWD: ALL


BIBLIOGRAFIA
http://www.enterprisenetworkingplanet.com/linux_unix/article.php/52241_3487081_3

https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto

http://wiki.samba.org/index.php/Samba_&_Active_Directory#Home_Directories

_______________________________________________
-- 
Por favor, NO utilice formatos  de archivo  propietarios para el
intercambio de  documentos, como DOC y XLS, sino HTML, RTF, TXT,
CSV o cualquier otro que no obligue a utilizar un programa de un
fabricante  concreto para tratar la información contenida en él.
SALUD.


Reply to: