The wikis are now using the new authentication system.
If you did not migrate your account yet, visit https://idp-portal-info.suse.com/

Integración de Directorio Activo

Saltar a: navegación, buscar
Icono-reciclar.png ¡Este artículo puede reciclarse!

Este artículo no cumple los estándares esperados en la wiki de openSUSE.
Con toda probabilidad, este artículo esté desfasado; sin embargo, puede que contenga suficiente material aprovechable. Estás invitado a ayudar a reciclar el artículo. Para más información ver el equipo del wiki.

Integración de OpenSUSE 10.1 con Active Directory (Win2K Server)

Instalación de los paquetes necesarios

Es necesario tener los siguientes paquetes instalados (SAMBA todos los que marca Yast menos samba-vscan) y el cliente de kerberos(que viene por defecto)


Resolución de nombres-IP

Según recomendación de Microsoft para una instalaciones de Active Directory (AD) es necesario tener definido un DNS donde resolver los nombre a direcciones IP (para este instructivo consideramos que no tenemos DNS) es por ello que debemos modificar el /etc/hosts e incluir las IP de la maquina que es servidor de dominio (pdst88) y la maquina cliente que en este caso es mi maquina (pddaniel)

 10.1.14.51      pddaniel pddaniel.pdst.sfe 
 10.1.14.88      pdst88    pdst88.pdst.sfe 

Configuración del cliente de kerberos

Debemos entrar al YAST->Servicios de Red ->Cliente Kerberos y configurarlo para que nos quede de esta forma.


chequemos contra /etc/krb5.conf deberia quedar mas o menos de esta forma.

  [libdefaults]
  	default_realm = PDST.SFE
  	clockskew = 300
  
  [realms]
  	PDST.SFE = {
  		kdc = 10.1.14.88
  		default_domain = pdst.sfe
  		admin_server = 10.1.14.88
  	}
  pdst.sfe = {
  	kdc = 10.1.14.88
  	default_domain = pdst.sfe
  	admin_server = 10.1.14.88
  }
  pdst = {
  	kdc = 10.1.14.88
  	default_domain = pdst
  	admin_server = 10.1.14.88
  }
  EXAMPLE.COM = {
  	kdc = kerberos.example.com
  	admin_server = kerberos.example.com
  }
  
  [logging]
  	kdc = FILE:/var/log/krb5/krb5kdc.log
  	admin_server = FILE:/var/log/krb5/kadmind.log
  	default = SYSLOG:NOTICE:DAEMON
  [domain_realm]
  	.pdst = pdst
  	.pdst.sfe = PDST.SFE
  [appdefaults]
  pam = {
  	ticket_lifetime = 1d
  	renew_lifetime = 1d
  	forwardable = true
  	proxiable = false
  	retain_after_close = false
  	minimum_uid = 0
  	try_first_pass = true
  }

Crear tickets Kerberos

Ejecutando este comando se crearia ticket kerberos


  kinit administrador@pdst.sfe  

te va a pedir la passwd del administrador del dominio


Listar los tickets Kerberos cacheados

Ejecutando klist me muestra algo asi

 pddaniel:/etc # klist
 
 Ticket cache: FILE:/tmp/krb5cc_0
 Default principal: administrador@PDST.SFE
 
 Valid starting     Expires            Service principal
 06/22/06 09:14:36  06/22/06 19:17:59  krbtgt/PDST.SFE@PDST.SFE
        renew until 06/23/06 09:14:36
 
 Kerberos 4 ticket cache: /tmp/tkt0
 klist: You have no tickets cached
 

que son tickets kerberos (ojo los relojes del servidor y el cliente deben estar mas o menos sincronizados) .

Editando smb.conf

A esta altura de la cosa ya esta configurado el cliente de kerberos y debemos empezar con samba. Editemos el archivo /etc/samba/smb.conf y nos debería quedar algo así. En security ADS le dice que va a ser miembro de un Active Directory, passwd server quien es reservorio de usuarios y passwd , winbind es el servicio que va a mapear (idmap uid y idmap gid) los usuarios y grupos del dominio a ID de usuarios y grupos para que parescan locales y que sean validos para el nuestro linux ,etc. Para ver mas información buscar en manuales de samba o via el comando man smb.conf)

  [global]
  security = ADS
  netbios name = pddaniel
  realm = PDST.SFE
  password server = pdst88.pdst.sfe
  workgroup = PDST
  log level = 1
  syslog = 0
  idmap uid = 10000-29999
  idmap gid = 10000-29999
  winbind separator = +
  winbind enum users = yes
  winbind enum groups = yes
  winbind use default domain = yes
  template homedir = /home/%D/%U
  template shell = /bin/bash
  client use spnego = yes
  domain master = no
  server string = linux de prueba 
  encrypt passwords = yes
  
  [homes]
  	comment = Home Directories
  	valid users = %S
  	browseable = No
  	read only = No
  	inherit acls = Yes
  [profiles]
  	comment = Network Profiles Service
  	path = %H
  	read only = No
  	store dos attributes = Yes
  	create mask = 0600
  	directory mask = 0700
  [users]
  	comment = All users
  	path = /home
  	read only = No
  	inherit acls = Yes
  	veto files = /aquota.user/groups/shares/
  [groups]
  	comment = All groups
  	path = /home/groups
  	read only = No
  	inherit acls = Yes
  [printers]
  	comment = All Printers
  	path = /var/tmp
  	printable = Yes
  	create mask = 0600
  	browseable = No
  [print$]
  	comment = Printer Drivers
  	path = /var/lib/samba/drivers
  	write list = @ntadmin root
  	force group = ntadmin
  	create mask = 0664
  	directory mask = 0775

Tengo ejecutando los servicio rcsmb (este servicio es el que comparte los recursos al estilo windows) y rcnmb (este servicio es el que publica el nombre netbios de la PC en la red) ambos toman su configuración del smb.conf .

Agregar máquina linux al dominio

Ahora debemos juntar nuestro linux al dominio con el siguiente comando

 net ads join -S pdst88.pdst.sfe  -U administrador 

para mas información de este comando ejecutar el comando net o net ads sin parámetros te da un help.

Ejecuto el servicio rcwinbind start y para ver si esta ok correr

 rcwinbind status 

nos debería devolver un running. Para probar si esta funcionando bien podriamos correr algunos comando asociados a este ambiente (winbind info)

  wbinfo -u lista usuarios del dominio
  wbinfo -g lista grupos del dominio
  
  net ads info
  Lista informacion del dominio
  LDAP server: 10.1.14.88
  LDAP server name: pdst88
  Realm: PDST.SFE
  Bind Path: dc=PDST,dc=SFE
  LDAP port: 389
  Server time: Thu, 22 Jun 2006 10:35:29 ART
  KDC server: 10.1.14.88
  Server time offset: 200
  
  net ads status -Uadministrador informacion de SID , etc.
  
  getent passwd
  getent group
  
  probar acceso desde el cliente 
  
  smbclient -L pdst88.pdst.sfe -Uddiconza 
  
  smbclient //pdst88.pdst.sfe/tmp -Uddiconza 

Como activar los login a linux

Como activar login (de carateres o graficos(KDM)) en el linux con usuarios del dominio. Crear en /home un directorio con el nombre del dominio en muestro caso creamos /home/pdst aca va mapear el home de los usuarios del dominio que se loguen al LINUX. Ir al Yast -> Servicios de Red ->Pertenencia a Dominio de Windows en examinar elegir nuestro dominio (PDST) y activar el checkbox donde pregunta autentificación en Linux como en la siguiente pantalla










De ahora en mas en KDM va estar disponible 3 etiquetas Usuario,Passwd y Dominio de esta forma podriamos hacer logon grafico o desde caracteres. En estas pantallas vemos el controlador de dominio , los equipos que forman parte y los usuarios del dominio respectivamente.
















Compartir un recurso local a usuarios del AD

Compartir recursos en red linux/samba con usuarios del dominio para ello editar smb.conf y adicionar el texto adjunto lo cual permite que la carpeta /home/prueba sea accedida por entorno de red de windows o linux pero unicamente para el usuario del dominio (pdst+ddiconza)


  [prueba]
  	comment = prueba con usuario del dominio
  	inherit acls = Yes
  	path = /home/prueba
  	read only = No
      available = Yes
  	browseable = Yes
  	valid users = pdst+ddiconza

Cambiar permisos al file system con usuarios/grupos AD

Cambiar los permisos en file system (archivos o directorios) con usuarios o grupos del dominio .

  pddaniel:/home # ls -l
  total 2
  drwxr-xr-x 28 daniel   users 1728 2006-06-28 12:52 daniel
  drwxr-xr-x  9 ddiconza users  608 2006-06-23 16:48 lucas
  drwxr-xr-x  2 root     root    48 2006-06-22 13:00 pdst
  drwxr-xr-x  3 root     root    72 2006-06-23 16:24 PDST
  drwxrwxrwx  2 root     root   304 2006-06-28 12:36 prueba
  
   chown  ddiconza /home/prueba   
  
  pddaniel:/home # chown ddiconza  /home/prueba
  pddaniel:/home # ls -l
  total 2
  drwxr-xr-x 28 daniel   users 1728 2006-06-28 12:52 daniel
  drwxr-xr-x  9 ddiconza users  608 2006-06-23 16:48 lucas
  drwxr-xr-x  2 root     root    48 2006-06-22 13:00 pdst
  drwxr-xr-x  3 root     root    72 2006-06-23 16:24 PDST
  drwxrwxrwx  2 ddiconza root   304 2006-06-28 12:36 prueba


4/7/03 Daniel Di Conza