Controlador de dominio Active Directory sobre Linux Ubuntu
En este post vamos a ver como montar un controlador de dominio Active Directory sobre un
Linux Ubuntu, a través del cual vamos a poder validar los usuarios de nuestra infraestructura.
Antes de nada, tenemos que tener en cuenta algunas consideraciones:
• Los servicios de Samba no generan una estructura de árbol y bosque como en Windows,
simplemente actúan como controladores de dominio permitiendo centralizar la gestión de
los usuarios que acceden desde cualquier equipo cliente a los recursos o servicios
compartidos que ofrece el propio servidor controlador de dominio.
• Samba combina LDAP con funciones de autentificación permitiendo sustituir a los
controladores de dominio de Windows.
• Los servicios de Samba se administran mediante el demonio smdb que gestiona el acceso
remoto y el recurso de compartir archivos e impresoras, el demonio nmbd que soluciona la
resolución de nombres NetBIOS de Windows, para que Linux se integre como un ordenador
más en el sistema Windows y el demonio winbind que da servicio para resolver información
de usuarios y grupos de servidores Windows NT.
• Dentro de un controlador de dominio Linux existirán dos tipos de usuario: los del servidor
independiente, (pueden acceder localmente y remotamente por ssh), y los usuarios de
Samba o controlador de dominio, (pueden acceder desde un equipo cliente o terminal
integrado en el controlador de dominio).
Los datos necesarios para la instalación y configuración son los siguientes:
• Reino Kerberos: AVANZA.LOCAL
• Servidor: DC1.AVANZA. LOCAL
• Administrativo: DC1.AVANZA. LOCAL
• Configurar IP estática, Gateway, DNS, etc.,
• Lo primero que haremos será comprobar los repositorios para ver que tenemos que
actualizar:
• Luego actualizamos los paquetes que ya tenemos instalados:
• Ahora vamos a instalar los paquetes necesarios para montar nuestro controlador de
dominio Active Directory:
• Durante la instalación de los paquetes, kerberos 5 nos hará una serie de preguntas, donde
introducimos los siguientes datos de configuración:
• Una vez que tenemos instalados todos los paquetes, vamos a comprobar que IP y puerta
de enlace tenemos, para ello introducimos los siguientes comandos:
• Ahora vamos a establecer los valores TCP/IP de forma estática, para ello editamos el
fichero /etc/network/interfaces, introduciendo los siguientes parámetros:
• Modificamos el fichero /etc/resolv.conf para el DNS, introduciendo los siguientes
parámetros:
• Ahora vamos a cambiar el nombre al equipo y reiniciamos el sistema:
• Una vez que hemos reiniciado y el nombre de la máquina se ha hecho efectivo, añadimos
el equipo al archivo de resolución de DNS local:
• Comprobamos que el DNS funciona correctamente:
• Establecemos el servidor NTP de hora:
• Instalamos el servidor y el cliente Samba:
• Realizamos una copia del fichero de configuración de Samba:
• Ahora vamos a introducir el siguiente comando que nos va a generar un fichero smb.conf
adaptado a nuestras necesidades, es decir, con los parámetros que hemos configurado
anteriormente en Kerberos:
• Como podemos ver las opciones del dominio se han instalado y configurado
correctamente:
• Comprobamos que el archivo smb.conf se ha generado correctamente:
• Eliminamos el DNS 8.8.8.8 porque hemos configurado Samba para que resuelva las DNS
externas y reiniciamos el equipo:
• Nos quedaría así:
• Nos quedaría así:
• Reiniciamos el equipo:
• Tras el reinicio, comprobamos el estado del servicio Samba:
• Comprobamos que el DNS generado por Samba está funcionando:
• El comando Samba genero un fichero adecuado para kerberos, hacemos una copia de
seguridad del actual, luego haremos un enlace simbólico al nuevo fichero y
comprobaremos los datos:
• Comprobamos con el comando smbclient que Samba está funcionando correctamente:
• Añadimos a Samba el usuario “ramos” dado de alta en el sistema y con el cuál hacemos
logon en el equipo:
• Si queremos crear usuarios específicos en Samba para Active Directory, usaremos el
siguiente comando:
1. Para crear usuarios: samba-tool user add USUARIO
2. Para eliminar usuarios: samba-tool user delete USUARIO
• Ahora vamos a incorporar un cliente Windows 7 al dominio y comprobaremos que el
usuario del dominio “ramos” puede aunteticarse y abrir sesión en cualquier equipo que
pertenezca al dominio.
• Lo primero que haremos será unir nuestro equipo con Windows 7 al dominio avanza.local
instalado y configurado sobre Linux Ubuntu 14.04 LTS, para ello seguimos estos pasos:
• Ahora nos va a pedir las credenciales del Administrador del dominio:
• Como podemos ver el equipo se ha unido correctamente al dominio:
• Reiniciamos el equipo para aplicar los cambios:
• Una vez que hemos reiniciado, vamos a hacer logon en Windows 7 con el usuario de
Samba “ramos” dado de alta en la base de datos del Active Directory de nuestro Linux
Ubuntu, verificando así que todo está configurado correctamente:
• Como podemos ver el usuario ha iniciado sesión correctamente:
Top Related