Active directory + samba
Páginas: 8 (1851 palabras)
Publicado: 8 de marzo de 2011
01.-- Introducción
A continuación se presenta una guía de todos los pasos que seguir para
unir Debian GNU/Linux a un dominio de Active Directory de Windows Server
2003. Para referirnos al equipo Debian GNU/LINUX, de aquí en adelante lo
llamaremos "debian", al equipo con Windows Server 2003 con Active
Directory de aquí en lo adelante lo llamaremos "server".
02.--Informacióncon la que contamos
Contamos con los siguientes datos:
- Dominio: pruebas.local
- Nombre del Server AD: ad = server.pruebas.local
- IP del Server AD: 172.16.1.1
- Nombre del Cliente Linux: debian
- Ip del Cliente Linux: 172.16.158.20
NOTA: En los archivos de configuración utilizaremos estos datos por lo
que usted deberá sustituirlos por los apropiados.03.-- Configurar parámetros de red
Antes de continuar asegúrese de que el equipo con Linux cuente con la
siguiente configuración:
- IP del mismo rango que el Server Active Directory
- DNS utilizado por el Server Active Directory
- Debe responder el ping a server.pruebas.local
04.-- Instalar la paquetería necesaria:
# aptitude install samba smbclient winbindkrb5-user krb5-config
05.-- Resolver equipos de la red
Agregar la IP de nuestro equipo Linux y la del Server Active Directory a
"/etc/hosts":
172.16.158.20 debian.pruebas.local debian
172.16.1.1 server.pruebas.local server
06.-- Configurar el cliente kerberos
Para configurar el cliente kerberos agregamos/modificamos las siguientes
lineas a"/etc/krb5.conf":
logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = PRUEBAS.LOCAL
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm= true
dns_lookup_kdc = true
[realms]
PRUEBAS.LOCAL = {
kdc = server.pruebas.local
default_domain = server.pruebas.local
}
[domain_realm]
.pruebas.local = pruebas.local
pruebas.local = pruebas.local
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000forwardable = true
krb4_convert = false
07.-- Crear tickets Kerberos
Para crear los tickets kerberos ejecutamos el siguiente comando:
# kinit administrador en pruebas.local
Nos pedirá el password de la cuenta administrador del dominio. Puede
utilizarse cualquier cuenta con permisos administrativos en el dominio.
Si ocurre este error:
Kinit failed: Clock skew toogreat
El problema puede ser que la hora del equipo con Linux no este
configurada correctamente. Kerberos es muy estricto con la hora. Para
solucionarlo, corregimos la hora manualmente o ejecutamos el siguiente
comando:
# ntpdate un.servidor.ntp
Sipersiste otro error como:
kinit(v5): KDC reply did not match expectations while getting initial
credentials
Es que devesponer a la hora de crear lo tickets kerberos el dominio con
muyusculas, como se muestra a continuacion:
# kinit administrador en PRUEBAS.LOCAL
Después de hacer esto ya se debería de crear los tickets kerberos.
08.-- Configurar samba
Editamos "/etc/samba/smb.conf" quedando algo parecido a lo siguiente:
[global]
security = ADS
netbios name = debian
realm =PRUEBAS.LOCAL
password server = server.pruebas.local
workgroup = PRUEBAS
log level = 1
syslog = 0
idmap uid = 10000-29999
idmap gid = 10000-29999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/false
client...
A continuación se presenta una guía de todos los pasos que seguir para
unir Debian GNU/Linux a un dominio de Active Directory de Windows Server
2003. Para referirnos al equipo Debian GNU/LINUX, de aquí en adelante lo
llamaremos "debian", al equipo con Windows Server 2003 con Active
Directory de aquí en lo adelante lo llamaremos "server".
02.--Informacióncon la que contamos
Contamos con los siguientes datos:
- Dominio: pruebas.local
- Nombre del Server AD: ad = server.pruebas.local
- IP del Server AD: 172.16.1.1
- Nombre del Cliente Linux: debian
- Ip del Cliente Linux: 172.16.158.20
NOTA: En los archivos de configuración utilizaremos estos datos por lo
que usted deberá sustituirlos por los apropiados.03.-- Configurar parámetros de red
Antes de continuar asegúrese de que el equipo con Linux cuente con la
siguiente configuración:
- IP del mismo rango que el Server Active Directory
- DNS utilizado por el Server Active Directory
- Debe responder el ping a server.pruebas.local
04.-- Instalar la paquetería necesaria:
# aptitude install samba smbclient winbindkrb5-user krb5-config
05.-- Resolver equipos de la red
Agregar la IP de nuestro equipo Linux y la del Server Active Directory a
"/etc/hosts":
172.16.158.20 debian.pruebas.local debian
172.16.1.1 server.pruebas.local server
06.-- Configurar el cliente kerberos
Para configurar el cliente kerberos agregamos/modificamos las siguientes
lineas a"/etc/krb5.conf":
logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = PRUEBAS.LOCAL
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm= true
dns_lookup_kdc = true
[realms]
PRUEBAS.LOCAL = {
kdc = server.pruebas.local
default_domain = server.pruebas.local
}
[domain_realm]
.pruebas.local = pruebas.local
pruebas.local = pruebas.local
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000forwardable = true
krb4_convert = false
07.-- Crear tickets Kerberos
Para crear los tickets kerberos ejecutamos el siguiente comando:
# kinit administrador en pruebas.local
Nos pedirá el password de la cuenta administrador del dominio. Puede
utilizarse cualquier cuenta con permisos administrativos en el dominio.
Si ocurre este error:
Kinit failed: Clock skew toogreat
El problema puede ser que la hora del equipo con Linux no este
configurada correctamente. Kerberos es muy estricto con la hora. Para
solucionarlo, corregimos la hora manualmente o ejecutamos el siguiente
comando:
# ntpdate un.servidor.ntp
Sipersiste otro error como:
kinit(v5): KDC reply did not match expectations while getting initial
credentials
Es que devesponer a la hora de crear lo tickets kerberos el dominio con
muyusculas, como se muestra a continuacion:
# kinit administrador en PRUEBAS.LOCAL
Después de hacer esto ya se debería de crear los tickets kerberos.
08.-- Configurar samba
Editamos "/etc/samba/smb.conf" quedando algo parecido a lo siguiente:
[global]
security = ADS
netbios name = debian
realm =PRUEBAS.LOCAL
password server = server.pruebas.local
workgroup = PRUEBAS
log level = 1
syslog = 0
idmap uid = 10000-29999
idmap gid = 10000-29999
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/false
client...
Leer documento completo
Regístrate para leer el documento completo.