Hola a tod@s.
En este post vamos a ver como montar un controlador de dominio Active Directory sobre un Linux Ubuntu, a través del cuál vamos a poder validar los usuarios de nuestra infraestructura.
Antes de nada tenemos que tener en cuenta algunas consideraciones:
- Los servicios de Samba no generan una estructura de árbol y bosque como en Windows, simplemente actúan como controladores de dominio permitiendo centralizar la gestión de los usuarios que acceden desde cualquier equipo cliente a los recursos o servicios compartidos que ofrece el propio servidor controlador de dominio.
- Samba combina LDAP con funciones de autentificación permitiendo sustituir a los controladores de dominio de Windows.
- Los servicios de Samba se administran mediante el demonio smdb que gestiona el acceso remoto y el recurso de compartir archivos e impresoras, el demonio nmbd que soluciona la resolución de nombres NetBIOS de Windows, para que Linux se integre como un ordenador más en el sistema Windows y el demonio winbind que da servicio para resolver información de usuarios y grupos de servidores Windows NT.
- Dentro de un controlador de dominio Linux existirán dos tipos de usuario: los del servidor independiente, (pueden acceder localmente y remotamente por ssh), y los usuarios de Samba o controlador de dominio, (pueden acceder desde un equipo cliente o terminal integrado en el controlador de dominio).
Los datos necesarios para la instalación y configuración son los siguientes:
- Reino Kerberos: AVANZA.LOCAL
- Servidor: DC1.AVANZA.LOCAL
- Administrativo: DC1.AVANZA.LOCAL
- Configurar IP estática, Gateway, DNS, etc.,
- Lo primero que haremos será comprobar los repositorios para ver que tenemos que actualizar:
- Luego actualizamos los paquetes que ya tenemos instalados:
- Ahora vamos a instalar los paquetes necesarios para montar nuestro controlador de dominio Active Directory:
- Durante la instalación de los paquetes, kerberos 5 nos hará una serie de preguntas, donde introducimos los siguientes datos de configuración:
- Una vez que tenemos instalados todos los paquetes, vamos a comprobar que IP y puerta de enlace tenemos, para ello introducimos los siguientes comandos:
- Ahora vamos a establecer los valores TCP/IP de forma estática, para ello editamos el fichero /etc/network/interfaces, introduciendo los siguientes parámetros:
- Modificamos el fichero /etc/resolv.conf para el DNS, introduciendo los siguientes parámetros:
- Ahora vamos a cambiar el nombre al equipo y reiniciamos el sistema:
- Una vez que hemos reiniciado y el nombre de la máquina se ha hecho efectivo, añadimos el equipo al archivo de resolución de DNS local:
- Comprobamos que el DNS funciona correctamente:
- Establecemos el servidor NTP de hora:
- Instalamos el servidor y el cliente Samba:
- Realizamos una copia del fichero de configuración de Samba:
- Ahora vamos a introducir el siguiente comando que nos va a generar un fichero smb.conf adaptado a nuestras necesidades, es decir, con los parámetros que hemos configurado anteriormente en Kerberos:
- Como podemos ver las opciones del dominio se han instalado y configurado correctamente:
- Comprobamos que el archivo smb.conf se ha generado correctamente:
- Eliminamos el DNS 8.8.8.8 porque hemos configurado Samba para que resuelva las DNS externas y reiniciamos el equipo:
- Nos quedaría así:
- Nos quedaría así:
- Reiniciamos el equipo:
- Tras el reinicio, comprobamos el estado del servicio Samba:
- Comprobamos que el DNS generado por Samba está funcionando:
- El comando Samba genero un fichero adecuado para kerberos, hacemos una copia de seguridad del actual, luego haremos un enlace simbólico al nuevo fichero y comprobaremos los datos:
- Comprobamos con el comando smbclient que Samba está funcionando correctamente:
- Añadimos a Samba el usuario “ramos” dado de alta en el sistema y con el cuál hacemos logon en el equipo:
- Si queremos crear usuarios específicos en Samba para Active Directory, usaremos el siguiente comando:
- Para crear usuarios: samba-tool user add USUARIO
- Para eliminar usuarios: samba-tool user delete USUARIO
- Ahora vamos a incorporar un cliente Windows 7 al dominio y comprobaremos que el usuario del dominio «ramos» puede aunteticarse y abrir sesión en cualquier equipo que pertenezca al dominio.
- Lo primero que haremos será unir nuestro equipo con Windows 7 al dominio avanza.local instalado y configurado sobre Linux Ubuntu 14.04 LTS, para ello seguimos estos pasos:
- Ahora nos va a pedir las credenciales del Administrador del dominio:
- Como podemos ver el equipo se ha unido correctamente al dominio:
- Reiniciamos el equipo para aplicar los cambios:
- Una vez que hemos reiniciado, vamos a hacer logon en Windows 7 con el usuario de Samba “ramos” dado de alta en la base de datos del Active Directory de nuestro Linux Ubuntu, verificando así que todo está configurado correctamente:
- Como podemos ver el usuario ha iniciado sesión correctamente:
Saludos y espero que os resulte de ayuda 😉