WikiSponsors
Integración de Directorio Activo
tagline: De openSUSE
|
¡Este artículo puede reciclarse! Este artículo no cumple los estándares esperados en la Wiki de OpenSUSE. |
Integración de OpenSUSE 10.1 con Active Directory (Win2K Server)
Instalación de los paquetes necesarios
Es necesario tener los siguientes paquetes instalados (SAMBA todos los que marca Yast menos samba-vscan) y el cliente de kerberos(que viene por defecto)
Resolución de nombres-IP
Según recomendación de Microsoft para una instalaciones de Active Directory (AD) es necesario tener definido un DNS donde resolver los nombre a direcciones IP (para este instructivo consideramos que no tenemos DNS) es por ello que debemos modificar el /etc/hosts e incluir las IP de la maquina que es servidor de dominio (pdst88) y la maquina cliente que en este caso es mi maquina (pddaniel)
10.1.14.51 pddaniel pddaniel.pdst.sfe 10.1.14.88 pdst88 pdst88.pdst.sfe
Configuración del cliente de kerberos
Debemos entrar al YAST->Servicios de Red ->Cliente Kerberos y configurarlo para que nos quede de esta forma.
chequemos contra /etc/krb5.conf deberia quedar mas o menos de esta forma.
[libdefaults]
default_realm = PDST.SFE
clockskew = 300
[realms]
PDST.SFE = {
kdc = 10.1.14.88
default_domain = pdst.sfe
admin_server = 10.1.14.88
}
pdst.sfe = {
kdc = 10.1.14.88
default_domain = pdst.sfe
admin_server = 10.1.14.88
}
pdst = {
kdc = 10.1.14.88
default_domain = pdst
admin_server = 10.1.14.88
}
EXAMPLE.COM = {
kdc = kerberos.example.com
admin_server = kerberos.example.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.pdst = pdst
.pdst.sfe = PDST.SFE
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
Crear tickets Kerberos
Ejecutando este comando se crearia ticket kerberos
kinit administrador@pdst.sfe
te va a pedir la passwd del administrador del dominio
Listar los tickets Kerberos cacheados
Ejecutando klist me muestra algo asi
pddaniel:/etc # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrador@PDST.SFE
Valid starting Expires Service principal
06/22/06 09:14:36 06/22/06 19:17:59 krbtgt/PDST.SFE@PDST.SFE
renew until 06/23/06 09:14:36
Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached
que son tickets kerberos (ojo los relojes del servidor y el cliente deben estar mas o menos sincronizados) .
Editando smb.conf
A esta altura de la cosa ya esta configurado el cliente de kerberos y debemos empezar con samba. Editemos el archivo /etc/samba/smb.conf y nos debería quedar algo así. En security ADS le dice que va a ser miembro de un Active Directory, passwd server quien es reservorio de usuarios y passwd , winbind es el servicio que va a mapear (idmap uid y idmap gid) los usuarios y grupos del dominio a ID de usuarios y grupos para que parescan locales y que sean validos para el nuestro linux ,etc. Para ver mas información buscar en manuales de samba o via el comando man smb.conf)
[global] security = ADS netbios name = pddaniel realm = PDST.SFE password server = pdst88.pdst.sfe workgroup = PDST log level = 1 syslog = 0 idmap uid = 10000-29999 idmap gid = 10000-29999 winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template homedir = /home/%D/%U template shell = /bin/bash client use spnego = yes domain master = no server string = linux de prueba encrypt passwords = yes [homes] comment = Home Directories valid users = %S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775
Tengo ejecutando los servicio rcsmb (este servicio es el que comparte los recursos al estilo windows) y rcnmb (este servicio es el que publica el nombre netbios de la PC en la red) ambos toman su configuración del smb.conf .
Agregar máquina linux al dominio
Ahora debemos juntar nuestro linux al dominio con el siguiente comando
net ads join -S pdst88.pdst.sfe -U administrador
para mas información de este comando ejecutar el comando net o net ads sin parámetros te da un help.
Ejecuto el servicio rcwinbind start y para ver si esta ok correr
rcwinbind status
nos debería devolver un running. Para probar si esta funcionando bien podriamos correr algunos comando asociados a este ambiente (winbind info)
wbinfo -u lista usuarios del dominio wbinfo -g lista grupos del dominio net ads info Lista informacion del dominio LDAP server: 10.1.14.88 LDAP server name: pdst88 Realm: PDST.SFE Bind Path: dc=PDST,dc=SFE LDAP port: 389 Server time: Thu, 22 Jun 2006 10:35:29 ART KDC server: 10.1.14.88 Server time offset: 200 net ads status -Uadministrador informacion de SID , etc. getent passwd getent group probar acceso desde el cliente smbclient -L pdst88.pdst.sfe -Uddiconza smbclient //pdst88.pdst.sfe/tmp -Uddiconza
Como activar los login a linux
Como activar login (de carateres o graficos(KDM)) en el linux con usuarios del dominio. Crear en /home un directorio con el nombre del dominio en muestro caso creamos /home/pdst aca va mapear el home de los usuarios del dominio que se loguen al LINUX. Ir al Yast -> Servicios de Red ->Pertenencia a Dominio de Windows en examinar elegir nuestro dominio (PDST) y activar el checkbox donde pregunta autentificación en Linux como en la siguiente pantalla
De ahora en mas en KDM va estar disponible 3 etiquetas Usuario,Passwd y Dominio de esta forma podriamos hacer logon grafico o desde caracteres. En estas pantallas vemos el controlador de dominio , los equipos que forman parte y los usuarios del dominio respectivamente.
Compartir un recurso local a usuarios del AD
Compartir recursos en red linux/samba con usuarios del dominio para ello editar smb.conf y adicionar el texto adjunto lo cual permite que la carpeta /home/prueba sea accedida por entorno de red de windows o linux pero unicamente para el usuario del dominio (pdst+ddiconza)
[prueba]
comment = prueba con usuario del dominio
inherit acls = Yes
path = /home/prueba
read only = No
available = Yes
browseable = Yes
valid users = pdst+ddiconza
Cambiar permisos al file system con usuarios/grupos AD
Cambiar los permisos en file system (archivos o directorios) con usuarios o grupos del dominio .
pddaniel:/home # ls -l total 2 drwxr-xr-x 28 daniel users 1728 2006-06-28 12:52 daniel drwxr-xr-x 9 ddiconza users 608 2006-06-23 16:48 lucas drwxr-xr-x 2 root root 48 2006-06-22 13:00 pdst drwxr-xr-x 3 root root 72 2006-06-23 16:24 PDST drwxrwxrwx 2 root root 304 2006-06-28 12:36 prueba chown ddiconza /home/prueba pddaniel:/home # chown ddiconza /home/prueba pddaniel:/home # ls -l total 2 drwxr-xr-x 28 daniel users 1728 2006-06-28 12:52 daniel drwxr-xr-x 9 ddiconza users 608 2006-06-23 16:48 lucas drwxr-xr-x 2 root root 48 2006-06-22 13:00 pdst drwxr-xr-x 3 root root 72 2006-06-23 16:24 PDST drwxrwxrwx 2 ddiconza root 304 2006-06-28 12:36 prueba
4/7/03 Daniel Di Conza