Hola a tod@s,
En este post vamos a ver como agregar una máquina Ubuntu desktop 22.04 como cliente del dominio Windows Server 2022.
- Lo primero que vamos a configurar será el fichero /etc/hosts para que el equipo linux pueda resolver el nombre de nuestro controlador de dominio:
- Le hacemos un ping al nombre del controlador de dominio y como podemos ver, ya nos resuelve:
- A continuación vamos a configurar la conexión de red, para ello, editamos el fichero /etc/netplan/01-network-manager-all.yaml:
- Aplicamos la nueva configuración de red con netplan apply:
- Con nslookup nombre del dominio vemos si el equipo está resolviendo bien el dominio:
- Una vez que hemos verificado que la comunicación entre el equipo linux y el servidor funciona correctamente, actualizaremos el sistema operativo con las últimas versiones de los paquetes disponibles en los repositorios, para ello, ejecutaremos apt-get update && apt-get upgrade recibiremos un detalle con todos los paquetes que van a actualizarse le indicamos que SI los instale:
- Modificaremos el hostname del equipo para que incluya al dominio, hostnamectl set-hostname asoubntdesk.jrrg.local:
- Editamos de nuevo el fichero hosts, nano /etc/hosts e introducimos nuestro hostname:
- Reiniciamos el equipo, reboot:
- Instalamos los paquetes necesarios, para ello, ejecutamos el siguiente commando, apt install -y realmd sssd sssd-tools libnss-sss libpam-sss krb5-user adcli samba-common-bin packagekit:
- También ahora nos aparece un listado con todos los paquetes que van a actualizarse y un resumen final con el número de paquetes que se actualizarán, los paquetes nuevos que se instalarán y los que se eliminarán de la instalación.
- Ahora nos pregunta por el reino (realm en inglés). En realidad, se refiere al nombre del dominio al que vamos a unirnos, debemos de ponerlo en MAYÚSCULAS:
- Si por alguna razón esta pantalla no aparece o queremos hacer alguna modificación posteriormente, podemos editar el fichero /etc/krb5.conf. En este mismo fichero es bueno añadir tres entradas en la sección [libdefaults] que le dirán específicamente al cliente que use los servidores DNS para las búsquedas.
rdns = false
dns_lookup_realm = true
dns_lookup_kdc = true
- Ahora añadimos nuestro controlador de dominio como servidor de tiempo, nano /etc/systemd/timesyncd.conf:
- Realizamos lo siguiente:
- timedatectl set-ntp true, Habilita la sincronización por NTP
- systemctl restart systemd-timesyncd.service, reinicia el servicio
- timedatectl –adjust-system-clock, fuerza la sincronización
- Luego podemos comprobar el estado hacienda, timedatectl status
- En caso de que haya que cambiar la zona horaria, ejecutamos timedatectl set-timezone Europe/Madrid
- Nos creamos el fichero /etc/realmd.conf con la siguiente configuración, hay que asegurarse que la ruta a la OU es la misma que la que hemos creado para la nueva máquina:
[users]
default-home = /home/%D/%U
default-shell = /bin/bash
[active-directory]
default-client = sssd
os-name = Ubuntu Desktop
os-version = 22.04 LTS
[service]
automatic-install = no
[jrrg.local]
fully-qualified-names = yes
automatic-id-mapping = no
user-principal = yes
manage-system = yes
computer-ou= OU=Equipos,OU=JRRG,DC=jrrg,DC=local
dyndns_update = true
dyndns_refresh_interval = 43200
dyndns_update_ptr = true
dyndns_ttl = 3600
- Ahora configuramos la creación automática del home del usuario, para ello, ejecutamos pam-auth-update y seleccionamos la opción de crear el directorio home al hacer login:
- Una vez que se ha instalado y configurado todo, vamos a unir el equipo linux al dominio, para ello, ejecutamos realm join –verbose –user=Administrador jrrg.local:
- Si accedemos a nuestro controlador de dominio, podemos ver el equipo unido al dominio:
- Una vez unido al dominio debemos modificar a True la entrada ldap_id_mapping en el fichero /etc/sssd/sssd.conf para poder hacer login, también podemos añadir el sufijo del dominio por defecto con el parámetro
default_domain_suffix = JRRG.LOCAL
full_name_format = %1$s
[sssd]
domains = jrrg.local
config_file_version = 2
services = nss, pam
default_domain_suffix = JRRG.LOCAL
full_name_format = %1$s
[domain/jrrg.local]
default_shell = /bin/bash
krb5_store_password_if_offline = True
cache_credentials = True
krb5_realm = JRRG.LOCAL
realmd_tags = manages-system joined-with-adcli
id_provider = ad
fallback_homedir = /home/%d/%u
ad_domain = jrrg.local
use_fully_qualified_names = True
ldap_id_mapping = True
access_provider = ad
- Para que los cambios se apliquen reiniciamos el servicio sssd, con systemctl restart sssd y con systemctl status sssd vemos el estado del servicio:
- Si quisiéramos sacar el equipo del dominio debemos de ejecutar realm leave –verbose –user=Administrador JRRG.LOCAL
- Para que los usuarios del dominio puedan logarse, se debe reconfigurar la pantalla de login, para ello, añadimos al fichero /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf la línea, greeter-show-manual-login=true:
- Ahora cerramos la sesión del equipo con el usuario local, y vamos a acceder con uno de nuestros usuarios del dominio:
- Como podemos ver, ya estoy logueado con el usuario del dominio:
- Para dar permisos de sudo a los usuarios del dominio se pueden crear grupos de seguridad en AD para que al añadirlos se les apliquen esos permisos por pertenecia al grupo.
- Para habilitar un grupo de AD y que tenga permisos de sudo, en el fichero de /etc/sudoers añadir:
%<nombre_grupo_AD> ALL=(ALL:ALL) ALL
Ejemplo:
%DomainAdminsJRRG ALL=(ALL:ALL) ALL
- Ahora desde el equipo Ubuntu 22.04 LTS vamos a verificar, que podemos acceder al recurso compartido que creamos anteriormente en nuestro controlador de dominio, y que podemos crear un documento.
- Instalamos smbclient con apt-get install smbclient y ejecutamos smbclient –list 192.168.5.51 o podemos poner en lugar de la direccion IP del servidor el nombre, como podemos ver, accedemos a los recursos compartidos de nuestro controlador de dominio:
- Accedemos al recurso compartido (share) que creamos anteriormente y nos creamos un fichero .txt para verificar que todo esto funciona correctamente, nos conectamos al servidor, nos pedirá las credenciales de usuario, nos ubicamos sobre el recurso compartido y añadimos el fichero .txt:
Saludos y espero que os resulte de ayuda 😉
Un comentario