Super Mini howto
Debido a un comentario de Anónimo, el cual agradezco, en el post "VSFTP + Directorio Activo", y a pesar de que hay mucha documentación al respecto voy a intentar escribir un pequeño resumen de como configurar linux (samba) para que autentique contra un Directorio Activo de Microsoft Windows.
ATENCIÓN: esto funciona hasta windows Server 2003, no lo he probado con windows server 2008.
ATENCIÓN: dependiendo de la distribución GNU/Linux la ubicación de algún fichero de configuración puede cambiar.
Debido a un comentario de Anónimo, el cual agradezco, en el post "VSFTP + Directorio Activo", y a pesar de que hay mucha documentación al respecto voy a intentar escribir un pequeño resumen de como configurar linux (samba) para que autentique contra un Directorio Activo de Microsoft Windows.
ATENCIÓN: esto funciona hasta windows Server 2003, no lo he probado con windows server 2008.
ATENCIÓN: dependiendo de la distribución GNU/Linux la ubicación de algún fichero de configuración puede cambiar.
Prerequisitos
- Sistema GNU/Linux instalado
- Configuración TCP/IP Correctamente configurada
- Resolución de nombres correcta (DNS y hosts)
- Sincronización de la hora con el controlador de dominio (recomendado NTP)
- Samba instalado (versión 3.x)
- winbind instalado
- Cliente kerberos instalado
Manos a la obra
- Configuramos Kerberos. Fichero /etc/krb5.conf
[logging]default = FILE:/var/log/krb5.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmin.log[libdefaults]default_realm = DOMAIN.LOCALdns_lookup_realm = falsedns_lookup_kdc = falseclock_skew = 300ticket_lifetime = 24hforwardable = yes[realms]DOMAIN.LOCAL = {kdc = hostname-of-your-domaincontroller.DOMAIN.LOCALadmin_server = hostname-of-your-domaincontroller.DOMAIN.LOCALdefault_domain = DOMAIN.LOCAL}[domain_realm].kerberos.server = DOMAIN.LOCAL.DOMAIN.LOCAL = DOMAIN.LOCAL
- Configuramos winbind. Fichero: /etc/nsswitch.conf
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns
- Configuramos samba. Ficheros configuración de samba: /etc/samba/smb.conf
[global]workgroup = DOMAINrealm = DOMAIN.LOCALload printers = nopreferred master = nolocal master = noserver string = fileserverpassword server = ip-of-your-domaincontrollerencrypt passwords = yessecurity = ADSnetbios name = hostname-of-your-linux-fileserverclient signing = Yesdns proxy = Nowins server = ip-of-your-domaincontrolleridmap uid = 10000-20000idmap gid = 10000-20000winbind separator = +winbind enum users = Yeswinbind enum groups = Yeswinbind use default domain = Yes
- Creamos tickets Kerberos: kinit (listamos los tickets con klist) Necesitaremos credenciales de administrador de dominio.
- Integramos la máquina en el dominio: net ads join -S pc.dominio -U administrador. necesitaremos credenciales de administrador de dominio.
- Reiniciamos los servicios (winbind y samba)
Comentarios