Integración de Directorio Activo
|
¡Este artículo puede reciclarse! Este artículo no cumple los estándares esperados en la wiki de openSUSE. |
Contenido
- 1 Integración de OpenSUSE 10.1 con Active Directory (Win2K Server)
- 1.1 Instalación de los paquetes necesarios
- 1.2 Resolución de nombres-IP
- 1.3 Configuración del cliente de kerberos
- 1.4 Crear tickets Kerberos
- 1.5 Listar los tickets Kerberos cacheados
- 1.6 Editando smb.conf
- 1.7 Agregar máquina linux al dominio
- 1.8 Como activar los login a linux
- 1.9 Compartir un recurso local a usuarios del AD
- 1.10 Cambiar permisos al file system con usuarios/grupos AD
Integración de OpenSUSE 10.1 con Active Directory (Win2K Server)
Instalación de los paquetes necesarios
Es necesario tener los siguientes paquetes instalados (SAMBA todos los que marca Yast menos samba-vscan) y el cliente de kerberos(que viene por defecto)
Resolución de nombres-IP
Según recomendación de Microsoft para una instalaciones de Active Directory (AD) es necesario tener definido un DNS donde resolver los nombre a direcciones IP (para este instructivo consideramos que no tenemos DNS) es por ello que debemos modificar el /etc/hosts e incluir las IP de la maquina que es servidor de dominio (pdst88) y la maquina cliente que en este caso es mi maquina (pddaniel)
10.1.14.51 pddaniel pddaniel.pdst.sfe 10.1.14.88 pdst88 pdst88.pdst.sfe
Configuración del cliente de kerberos
Debemos entrar al YAST->Servicios de Red ->Cliente Kerberos y configurarlo para que nos quede de esta forma.
chequemos contra /etc/krb5.conf deberia quedar mas o menos de esta forma.
[libdefaults]
default_realm = PDST.SFE
clockskew = 300
[realms]
PDST.SFE = {
kdc = 10.1.14.88
default_domain = pdst.sfe
admin_server = 10.1.14.88
}
pdst.sfe = {
kdc = 10.1.14.88
default_domain = pdst.sfe
admin_server = 10.1.14.88
}
pdst = {
kdc = 10.1.14.88
default_domain = pdst
admin_server = 10.1.14.88
}
EXAMPLE.COM = {
kdc = kerberos.example.com
admin_server = kerberos.example.com
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.pdst = pdst
.pdst.sfe = PDST.SFE
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
try_first_pass = true
}
Crear tickets Kerberos
Ejecutando este comando se crearia ticket kerberos
kinit administrador@pdst.sfe
te va a pedir la passwd del administrador del dominio
Listar los tickets Kerberos cacheados
Ejecutando klist me muestra algo asi
pddaniel:/etc # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrador@PDST.SFE
Valid starting Expires Service principal
06/22/06 09:14:36 06/22/06 19:17:59 krbtgt/PDST.SFE@PDST.SFE
renew until 06/23/06 09:14:36
Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached
que son tickets kerberos (ojo los relojes del servidor y el cliente deben estar mas o menos sincronizados) .
Editando smb.conf
A esta altura de la cosa ya esta configurado el cliente de kerberos y debemos empezar con samba. Editemos el archivo /etc/samba/smb.conf y nos debería quedar algo así. En security ADS le dice que va a ser miembro de un Active Directory, passwd server quien es reservorio de usuarios y passwd , winbind es el servicio que va a mapear (idmap uid y idmap gid) los usuarios y grupos del dominio a ID de usuarios y grupos para que parescan locales y que sean validos para el nuestro linux ,etc. Para ver mas información buscar en manuales de samba o via el comando man smb.conf)
[global] security = ADS netbios name = pddaniel realm = PDST.SFE password server = pdst88.pdst.sfe workgroup = PDST log level = 1 syslog = 0 idmap uid = 10000-29999 idmap gid = 10000-29999 winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template homedir = /home/%D/%U template shell = /bin/bash client use spnego = yes domain master = no server string = linux de prueba encrypt passwords = yes [homes] comment = Home Directories valid users = %S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775
Tengo ejecutando los servicio rcsmb (este servicio es el que comparte los recursos al estilo windows) y rcnmb (este servicio es el que publica el nombre netbios de la PC en la red) ambos toman su configuración del smb.conf .
Agregar máquina linux al dominio
Ahora debemos juntar nuestro linux al dominio con el siguiente comando
net ads join -S pdst88.pdst.sfe -U administrador
para mas información de este comando ejecutar el comando net o net ads sin parámetros te da un help.
Ejecuto el servicio rcwinbind start y para ver si esta ok correr
rcwinbind status
nos debería devolver un running. Para probar si esta funcionando bien podriamos correr algunos comando asociados a este ambiente (winbind info)
wbinfo -u lista usuarios del dominio wbinfo -g lista grupos del dominio net ads info Lista informacion del dominio LDAP server: 10.1.14.88 LDAP server name: pdst88 Realm: PDST.SFE Bind Path: dc=PDST,dc=SFE LDAP port: 389 Server time: Thu, 22 Jun 2006 10:35:29 ART KDC server: 10.1.14.88 Server time offset: 200 net ads status -Uadministrador informacion de SID , etc. getent passwd getent group probar acceso desde el cliente smbclient -L pdst88.pdst.sfe -Uddiconza smbclient //pdst88.pdst.sfe/tmp -Uddiconza
Como activar los login a linux
Como activar login (de carateres o graficos(KDM)) en el linux con usuarios del dominio. Crear en /home un directorio con el nombre del dominio en muestro caso creamos /home/pdst aca va mapear el home de los usuarios del dominio que se loguen al LINUX. Ir al Yast -> Servicios de Red ->Pertenencia a Dominio de Windows en examinar elegir nuestro dominio (PDST) y activar el checkbox donde pregunta autentificación en Linux como en la siguiente pantalla
De ahora en mas en KDM va estar disponible 3 etiquetas Usuario,Passwd y Dominio de esta forma podriamos hacer logon grafico o desde caracteres. En estas pantallas vemos el controlador de dominio , los equipos que forman parte y los usuarios del dominio respectivamente.
Compartir un recurso local a usuarios del AD
Compartir recursos en red linux/samba con usuarios del dominio para ello editar smb.conf y adicionar el texto adjunto lo cual permite que la carpeta /home/prueba sea accedida por entorno de red de windows o linux pero unicamente para el usuario del dominio (pdst+ddiconza)
[prueba]
comment = prueba con usuario del dominio
inherit acls = Yes
path = /home/prueba
read only = No
available = Yes
browseable = Yes
valid users = pdst+ddiconza
Cambiar permisos al file system con usuarios/grupos AD
Cambiar los permisos en file system (archivos o directorios) con usuarios o grupos del dominio .
pddaniel:/home # ls -l total 2 drwxr-xr-x 28 daniel users 1728 2006-06-28 12:52 daniel drwxr-xr-x 9 ddiconza users 608 2006-06-23 16:48 lucas drwxr-xr-x 2 root root 48 2006-06-22 13:00 pdst drwxr-xr-x 3 root root 72 2006-06-23 16:24 PDST drwxrwxrwx 2 root root 304 2006-06-28 12:36 prueba chown ddiconza /home/prueba pddaniel:/home # chown ddiconza /home/prueba pddaniel:/home # ls -l total 2 drwxr-xr-x 28 daniel users 1728 2006-06-28 12:52 daniel drwxr-xr-x 9 ddiconza users 608 2006-06-23 16:48 lucas drwxr-xr-x 2 root root 48 2006-06-22 13:00 pdst drwxr-xr-x 3 root root 72 2006-06-23 16:24 PDST drwxrwxrwx 2 ddiconza root 304 2006-06-28 12:36 prueba
4/7/03 Daniel Di Conza