Elastix La Guia Total
Enviado por FredySnake2012 • 17 de Marzo de 2012 • 1.769 Palabras (8 Páginas) • 704 Visitas
Autenticar máquinas Linux contra un dominio Samba4 Active Directory
Jueves, 15 de Abril de 2010 17:42 - Actualizado Jueves, 15 de Abril de 2010 18:50
Continúo realizando experimentos con SAMBA4 Active Directory. En esta oportunidad voy a
documentar dos maneras para autenticar máquinas Linux contra un dominio SAMBA4AD. La
idea es tomar los usuarios, claves y grupos almacenados para implementar servicos de proxy
cache con Squid 3, compartir archivos con Samba 3.x y configurar servicios de correo
electrónico. Son dos los métodos de autenticación: el primero utilizando Winbind (probados en
Ubuntu 9.10 y Debian 5.0.x con éxito) y el segundo utilizando una aplicación llamada LikeWise
Open (que funciona perfecto con Ubuntu 9.10 pero no con Debian 5.0.x).
i) Para Debian Lenny:
i.i) Verificamos que el archivo /etc/resolv.conf tenga el nombre
del servidor Samba 4 AD incluido.
{codecitation width="500px"}
# nano /etc/resolv.conf
{/codecitation}
i.ii) Instalamos la suite de samba 3.x y Kerberos 5.x
{codecitation width="500px"}
# aptitude install krb5-config krb5-user libkrb53 libpam-krb5 krb5-auth-dialog krb5-clients
samba-common samba winbind smbclient samba-tools
1 / 10
Autenticar máquinas Linux contra un dominio Samba4 Active Directory
Jueves, 15 de Abril de 2010 17:42 - Actualizado Jueves, 15 de Abril de 2010 18:50
{/codecitation}
i.iii) Utilizaremos como base para el /etc/smb.conf el siguiente
archivo. Para revisar con detalle lo que hace cada linea
recomiendo revisar la página oficial de Samba.
{codecitation width="500px"}
[global]
workgroup = EJEMPLO
password server = servidor.ejemplo.com
realm = EJEMPLO.COM.VE
netbios name = NOMBREDETUMAQUINALINUX
security = ads
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /home/EJEMPLO/%U
template shell = /bin/bash
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
auth methods = winbind
username = %u
add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
winbind use default domain = true
winbind offline logon = false
{/codecitation}
Puedes seguir agregando opciones a gusto pero esta es la base.
2 / 10
Autenticar máquinas Linux contra un dominio Samba4 Active Directory
Jueves, 15 de Abril de 2010 17:42 - Actualizado Jueves, 15 de Abril de 2010 18:50
i.iv) Debemos crear el directorio /home/EJEMPLO con permisos
de lectura, escritura y ejecución.
i.v) Modificamos el archivo /etc/krb5.conf
Como base para el krb5.conf utilizaremos el siguiente archivo:
{codecitation width="500px"}
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
default_realm = EJEMPLO.COM.VE
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
EJEMPLO.COM.VE = {
kdc = servidor.ejemplo.com.ve:88
admin_server = servidor.ejemplo.com.ve:749
default_domain = ejemplo.com.ve
}
[domain_realm]
3 / 10
Autenticar máquinas Linux contra un dominio Samba4 Active Directory
Jueves, 15 de Abril de 2010 17:42 - Actualizado Jueves, 15 de Abril de 2010 18:50
.ejemplo.com.ve = EJEMPLO.COM.VE
ejemplo.com.ve = EJEMPLO.COM.VE
{/codecitation}
Sin embargo, recomiendo utilizar el mismo que genera Samba4 AD en la carpeta
/usr/local/samba/private/krb5.conf
i.vi) Probemos kerberos
{codecitation width="500px"}
# kinit Administrator
# klist
{/codecitation}
En este punto, en teoría podemos hacer un /etc/init.d/samba restart y /etc/init.d/winbind restart
y proceder a pegar la máquina al dominio. Sino, reinicia.
i.vii) Agregamos la maquina al dominio.
{codecitation width="500px"}
# net join ads -U Administrator -S ip_o_nombre_de_la_maquina
...