1

Agregar Ubuntu desktop 22.04 como cliente del dominio Windows Server 2022

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s,

En este post vamos a ver como agregar una máquina Ubuntu desktop 22.04 como cliente del dominio Windows Server 2022.

  • Lo primero que vamos a configurar será el fichero /etc/hosts para que el equipo linux pueda resolver el nombre de nuestro controlador de dominio:

  • Le hacemos un ping al nombre del controlador de dominio y como podemos ver, ya nos resuelve:

  • A continuación vamos a configurar la conexión de red, para ello, editamos el fichero /etc/netplan/01-network-manager-all.yaml:

  • Aplicamos la nueva configuración de red con netplan apply:

  • Con nslookup nombre del dominio vemos si el equipo está resolviendo bien el dominio:

  • Una vez que hemos verificado que la comunicación entre el equipo linux y el servidor funciona correctamente, actualizaremos el sistema operativo con las últimas versiones de los paquetes disponibles en los repositorios, para ello, ejecutaremos apt-get update && apt-get upgrade recibiremos un detalle con todos los paquetes que van a actualizarse le indicamos que SI los instale:

  • Modificaremos el hostname del equipo para que incluya al dominio, hostnamectl set-hostname asoubntdesk.jrrg.local:

  • Editamos de nuevo el fichero hosts, nano /etc/hosts e introducimos nuestro hostname:

  • Reiniciamos el equipo, reboot:

  • Instalamos los paquetes necesarios, para ello, ejecutamos el siguiente commando, apt install -y realmd sssd sssd-tools libnss-sss libpam-sss krb5-user adcli samba-common-bin packagekit:

  • También ahora nos aparece un listado con todos los paquetes que van a actualizarse y un resumen final con el número de paquetes que se actualizarán, los paquetes nuevos que se instalarán y los que se eliminarán de la instalación.
  • Ahora nos pregunta por el reino (realm en inglés). En realidad, se refiere al nombre del dominio al que vamos a unirnos, debemos de ponerlo en MAYÚSCULAS:

  • Si por alguna razón esta pantalla no aparece o queremos hacer alguna modificación posteriormente, podemos editar el fichero /etc/krb5.conf. En este mismo fichero es bueno añadir tres entradas en la sección [libdefaults] que le dirán específicamente al cliente que use los servidores DNS para las búsquedas.

rdns = false

dns_lookup_realm = true

dns_lookup_kdc = true

  • Ahora añadimos nuestro controlador de dominio como servidor de tiempo, nano /etc/systemd/timesyncd.conf:

  • Realizamos lo siguiente:
  • timedatectl set-ntp true, Habilita la sincronización por NTP
  • systemctl restart systemd-timesyncd.service, reinicia el servicio
  • timedatectl –adjust-system-clock, fuerza la sincronización
  • Luego podemos comprobar el estado hacienda, timedatectl status
  • En caso de que haya que cambiar la zona horaria, ejecutamos timedatectl set-timezone Europe/Madrid

  • Nos creamos el fichero /etc/realmd.conf con la siguiente configuración, hay que asegurarse que la ruta a la OU es la misma que la que hemos creado para la nueva máquina:

[users]

default-home = /home/%D/%U

default-shell = /bin/bash

 

[active-directory]

default-client = sssd

os-name = Ubuntu Desktop

os-version = 22.04 LTS

 

[service]

automatic-install = no

 

[jrrg.local]

fully-qualified-names = yes

automatic-id-mapping = no

user-principal = yes

manage-system = yes

 

computer-ou= OU=Equipos,OU=JRRG,DC=jrrg,DC=local

 

dyndns_update = true

dyndns_refresh_interval = 43200

dyndns_update_ptr = true

dyndns_ttl = 3600

  • Ahora configuramos la creación automática del home del usuario, para ello, ejecutamos pam-auth-update y seleccionamos la opción de crear el directorio home al hacer login:

  • Una vez que se ha instalado y configurado todo, vamos a unir el equipo linux al dominio, para ello, ejecutamos realm join –verbose –user=Administrador jrrg.local:

 

  • Si accedemos a nuestro controlador de dominio, podemos ver el equipo unido al dominio:

  • Una vez unido al dominio debemos modificar a True la entrada ldap_id_mapping en el fichero /etc/sssd/sssd.conf para poder hacer login, también podemos añadir el sufijo del dominio por defecto con el parámetro

 

default_domain_suffix = JRRG.LOCAL

full_name_format = %1$s

 

[sssd]

domains = jrrg.local

config_file_version = 2

services = nss, pam

default_domain_suffix = JRRG.LOCAL

full_name_format = %1$s

[domain/jrrg.local]

default_shell = /bin/bash

krb5_store_password_if_offline = True

cache_credentials = True

krb5_realm = JRRG.LOCAL

realmd_tags = manages-system joined-with-adcli

id_provider = ad

 

fallback_homedir = /home/%d/%u

ad_domain = jrrg.local

use_fully_qualified_names = True

ldap_id_mapping = True

access_provider = ad

  • Para que los cambios se apliquen reiniciamos el servicio sssd, con systemctl restart sssd y con systemctl status sssd vemos el estado del servicio:

  • Si quisiéramos sacar el equipo del dominio debemos de ejecutar realm leave –verbose –user=Administrador JRRG.LOCAL
  • Para que los usuarios del dominio puedan logarse, se debe reconfigurar la pantalla de login, para ello, añadimos al fichero /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf la línea, greeter-show-manual-login=true:

  • Ahora cerramos la sesión del equipo con el usuario local, y vamos a acceder con uno de nuestros usuarios del dominio:

  • Como podemos ver, ya estoy logueado con el usuario del dominio:

  • Para dar permisos de sudo a los usuarios del dominio se pueden crear grupos de seguridad en AD para que al añadirlos se les apliquen esos permisos por pertenecia al grupo.
  • Para habilitar un grupo de AD y que tenga permisos de sudo, en el fichero de /etc/sudoers añadir:

%<nombre_grupo_AD> ALL=(ALL:ALL) ALL

Ejemplo:

%DomainAdminsJRRG ALL=(ALL:ALL) ALL

  • Ahora desde el equipo Ubuntu 22.04 LTS vamos a verificar, que podemos acceder al recurso compartido que creamos anteriormente en nuestro controlador de dominio, y que podemos crear un documento.
  • Instalamos smbclient con apt-get install smbclient y ejecutamos smbclient –list 192.168.5.51 o podemos poner en lugar de la direccion IP del servidor el nombre, como podemos ver, accedemos a los recursos compartidos de nuestro controlador de dominio:

  • Accedemos al recurso compartido (share) que creamos anteriormente y nos creamos un fichero .txt para verificar que todo esto funciona correctamente, nos conectamos al servidor, nos pedirá las credenciales de usuario, nos ubicamos sobre el recurso compartido y añadimos el fichero .txt:

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

Un comentario

  1. Pingback: Administración de servicios de directorios – RAGASYS SISTEMAS

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.