Configuración de un Controlador de Dominio con Samba en Linux

Pasos previos en servidor ad:


cambiarle el hostname eje:

servidor

en etc/hosts:

127.0.0.1 localhost.Localdomain localhost,

127.0.1.1 servidor.

Clase

Aso servidor.

instalar samba.

parar/desactivar/enmascarar samba:

systemctl stop smbd.Service,

systemctl stop nmbd.Service,

systemctl disable smbd.Service,

systemctl disable nmbd.Service,

systemctl mask smbd.Service,

systemctl mask nmbd.Service.

borrar el fichero smb.Conf pero antes hacer copia.


Sambatool


: comando apra la administración de ad.


comando para promocionar el equipo a controlador de dominio:


Samba-tool domain provisión –use-rfc2307 –interactive —


Option=»interfaces=lo enp0s3″ –option=»bind interfaces only=yes»

 ¿Que nos solicita el modo interactivo?

◦ Kerberos Realm: CLASE.ASO (en mayúsculas), «es un sistema de protocolo de autenticación»,

◦ NT domain: CLASE (en mayúsculas), «Es el nombre de dominio de AD,»,

◦ Server Role: dc,»que es «que es lo que va a hacer el servidor en este caso de controlador de dominio»,

◦ Dns backend: internal, «tipo de servidor dns que utilizara»,

◦ DNS forwarder: Se puede configurar 127.0.0.1 aunque podemos aceptar lo que,

se propone.,»el dns superior  por si el dns de samba no sabe localizar el nombre»,

◦ Password: contraseña de administración de AD.


Acciones que realiza el comando samba-tool domain provisión:

● Crea una estructura de datos en /var/lib/samba correspondiente al Dominio,

● Escribe una configuración con la información obtenida en /etc/samba/smb.Conf,

● Deja arrancado el servicio samba-ad-dc.Service,

● Arranca dentro del servicio anterior el servidor dns elegido.


comando para ver información y el funcionamiento  del dominio:

samba-tool domain info 192.168.1.X.


comando para ver si el dns esta funcionando bien y los registros que tiene:

samba-tool dns serverinfo 192.168.1.1 -U Administrator.


zonas existentes del servidor dns;

samba-tool dns zonelist 192.168.1.222 -U Administrator.


servicio de samba: samba-ad-dc.Service,

ejecución interactiva de samba estando parado: samba -i -d5.


Detener samba (systemctl stop samba-ad-dc.Service),

apt install winbind.


Creación, gestión de usuarios:

• Crear usuarios: samba-tool user create <usuario> <contraseña>,

• Consultar usuarios: samba-tool user list,

• Cambiar contraseña: samba-tool user setpassword <usuario>.



Pasos para unir un cliente windows al controlador del dominio:


el equipo windows debe de estar en la misma red que el equipo servidor,

y en la configuración de la ip el servidor dns tiene que ser la ip del servidor,

verificar fecha/hora de ambos que sea la misma,


Unir un equipo windows al dominio: Clic derecho en equipo propiedades → propiedades → Configuración → propiedades → Configuración Configuración

de nombre, dominio y grupo de trabajo del equipo → propiedades → Configuración Cambiar configuración → propiedades → Configuración

Cambiar… → propiedades → Configuración dominio: clase.Aso y ya estaría unido después de poner usuario y clave de administradot del dominio.


Para que el acceso sea en local hay que poner como usuario “nombre_maquina\usuario”



UNIR UN CLIENTE Linux AL DOMINIO:



cambirle el hostname a uno que no este repetido en algún equipo ya unido,


en el servidor  en el fichero smb.Conf hay que añadir esta línea en el cambo [global];allow dns updates = nonsecure,

reiniciamos samba,

 en el cliente linix en etc/resolv.Conf en nameservers tiene que estar la ip del servidor o en la configuración ip de la maquina.

 instalar samba en el cliente.

 instalar winbind también en cliente

 luego hacer service nmbd stop y service smbd stop

 borrar el fichero /etc/samba/smb.Conf en el cliente

 crear un nuevo fichero smb.Conf con la configuración 


después de guardar el fichero recargar la configuración con el comando smbcontrol all reload-config.


modificar el fichero hosts del cliente Linux para que quede así:

127.0.0.1 clientelin.Servidor.Clase.Aso localhost clientelin,

127.0.1.1 clientelin.


instalar  apt-get install krb5-user krb5-config

En la instalación nos saldrá un asistente:

◦ REALM: CLASE.ASO,

◦ Nombre del “servidor administrativo” (podemos dejarlo en blanco).


después entrar en el fichero /etc/krb5.Conf. Y añadir esto 

CLASE.ASO = {

kdc = servidor.Clase.Aso

}.


y ya el comando para unir el cliente Linux al dominio:

net ads join -U Administrator.


probamos a acceder al sistema kerberos mediate ticket:

kinit administrator@CLASE.ASO.



Mostrar información relativa a la configuración del AD:

net ads status -U administrator.


Comprobamos la correcta uníón al dominio: net ads testjoin

Si el resultado es Join is OK, todo va bien.


ahora la autenticación de usuarios en el cliente:

apt install libnss-winbind,

modificar el fichero: /etc/nsswitch.Conf,

passwd: compat winbind,

group: compat winbind,

shadow: compat winbind,

hosts: files dns.


Así pam ya tendrá el complemento necesario para

realizar autenticación con el servidor de AD:

apt install libpam-winbind.

lanzar comando; pam-auth-update,

tenemos que marcar la opción,

Create home directory on login.


Reiniciamos winbind: systemctl restart winbind


Y con esto, si todo a ido bien. Vamos a poder iniciar sesíón con un usuario de AD en el

cliente: su pepe



ACL


modificar el fichero /etc/fstab del memberserver  talñ que así:errors=remount-ro,acl​ y reiniciar maquina

Creamos un directorio y con setfacl -m usuario:xrw /directorio

asignamos los permisos

Probamos si a funcionado: getfacl /directorio

Podemos verificar si está bien habilitado con:

tune2fs -l /dev/sdXX | grep acl


Modificamos el fichero /etc/samba/smb.Conf y dentro de [global]

vfs objects = acl_xattr

map acl inherit = yes

store dos attributes = yes


Ahora vamos a otorgar permisos a los miembros del grupo “Administradores del AD”.;

net rpc rights grant ‘CLASE\Domain Admins’ SeDiskOperatorPrivilege -U’CLASE\administrator’ -I 192.168.1.80 (ip del controlador de dominio)


Explicación de parámetros:

• rpc: Llamada al procedimiento para conectarse al controlador AD.

• Rights grant: Otorgar derechos

• ‘CLASE\Domain Admins’: Al grupo de usuarios del dominio CLASE llamados

Domain Admins

• SeDiskOperatorPrivilege: El tipo de permiso

• -U’CLASE\administrator’: Usuario que esta lanzando el comando.


Probamos el comando anterior: net rpc rights list privileges SeDiskOperatorPrivilege -U Administrator (en el servidor)


Administración remota


Microsoft tiene una herramienta para la administración remota de servidores.

(RSAT)
.Permite ajustar, desde un equipo cliente, todas las carácterísticas de windows

server. Es decir, con RSAT podemos administrar AD sin necesidad de acceder físicamente

al servidor.


Vamos primero a crear un directorio compartido en el memberserver:

[usuarios]

path=/opt/usuarios

comment=Directorios de los usuarios

read only = no


después all reloadconfig


Crear el directorio /opt/usuarios en el equipo: mkdir…


En el miembro tenemos que modificar las acl de este directorio para que los

administradores tengan acceso a realizar modificaciones sobre este.

setfacl -R -m group:domain\ admins:rwx /opt/usuarios




Ahora hay que quitar la herencia de permisos, ya que cada carpeta va a ser de un

usuario diferente, y por tanto, los permisos de esta carpeta no pueden heredarse.

a. Desde windows buscamos la carpeta compartida usuarios

b. Accedemos a propiedades pestaña → propiedades → Configuración seguridad → propiedades → Configuración editar

c. En la entrada de permisos TODOS, cambiamos los permisos y quitamos todos

los permisos de dentro y aceptamos.

d. Nos saltará un mensaje informando que Se quitaran todos los permisos

heredados, indicamos que si.

e. Si ahora desde el servidor de compartición de carpetas realizamos un getfacl

de ese directorio, los permisos cambian.

f. Accedemos de nuevo a editar → propiedades → Configuración agregar → propiedades → Configuración opciones avanzadas… → propiedades → Configuración buscar

ahora Hacemos doble clic sobre usuarios autenticados y aceptamos

Ahora ya podemos modificar los permisos de los usuarios autenticados… para

este caso vamos a acceder a opciones avanzadas de seguridad. → propiedades → Configuración Cambiar

permisos → propiedades → Configuración usuarios autenticados → propiedades → Configuración editar

j. Y dejamos los permisos así: 

que solo este marcado perimitir los campos:

atravesar carpeta/ejecutar archivo,

mostrar caspetas/ leer datos,

crear archivos/escrivir datos,

crear carpetas/anexar datos,

escribir atributos


Todo esto es muy importante para que en el momento que se genere un directorio de un

usuario, que el resto de usuarios no puedan modificar los ficheros del propietario.



Estableciendo las directivas

En este punto es cuando vamos a usar el programa RSAT de windows, para poder

administrar el servidor AD en remoto. Para poder hacer todo esto hay que entrar con el

usuario administrator.


Accedemos a: administración de directivas de grupo (así es como se usa RSAT para

acceder de forma remota).

Ahora vamos a crear un GPO, que significa: Group Policy Object (Directiva de

política de grupo).

Le ponemos un nombre por ejemplo ponemos GPOUsuarios

• Ahora vamos a modificar esta directiva. (clic derecho editar…)

• Ir a «Configuración de usuario” “directivas” “configuración → propiedades → Configuración → propiedades → Configuración de windows” → propiedades → Configuración

“redirección de carpetas» → propiedades → Configuración “Carpeta se desea compartir”. Se muestran varias

carpetas que son las importantes en un entorno de trabajo del usuario ( y que

resultan familiares)

• Una vez ya sabemos que directorio vamos a redireccionar (documentos por

ejemplo), hacemos clic derecho propiedades.

◦ Elegir Básico: redirigir la carpeta de todos a la misma ubicación.

◦ Así cada usuario cuando inicie sesíón por primera vez, se creará el directorio

automáticamente.

◦ Ahora hay que especificar la ruta donde esta el directorio usuarios: \\

CLILENTE\usuarios

◦ Antes de aceptar vamos a la pestaña configuración y desmarcamos la opción:

Otorgar al usuario derechos exclusivos

◦ Ya podemos cerrar todo menos la primera ventana, y hay que fijarse si dentro

del GPO creado, en filtrado de seguridad tiene que estar solo Autenticated

Users



ejemplos formar acl:

sudo setfacl -m u:nom_usuari:r nom_fitxer_o_directori

setfacl -R -m group:domain\ admins:rwx /opt/usuarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.