Pasos previos en servidor ad:
cambiarle el hostname eje:
servidor
en etc/hosts:
127.0.0.1 localhost.Localdomain localhost,
127.0.1.1 servidor.
Clase
Aso servidor.
instalar samba.
parar/desactivar/enmascarar samba:
systemctl stop smbd.Service,
systemctl stop nmbd.Service,
systemctl disable smbd.Service,
systemctl disable nmbd.Service,
systemctl mask smbd.Service,
systemctl mask nmbd.Service.
borrar el fichero smb.Conf pero antes hacer copia.
Sambatool
: comando apra la administración de ad.
comando para promocionar el equipo a controlador de dominio:
Samba-tool domain provisión –use-rfc2307 –interactive —
Option=»interfaces=lo enp0s3″ –option=»bind interfaces only=yes»
¿Que nos solicita el modo interactivo?
◦ Kerberos Realm: CLASE.ASO (en mayúsculas), «es un sistema de protocolo de autenticación»,
◦ NT domain: CLASE (en mayúsculas), «Es el nombre de dominio de AD,»,
◦ Server Role: dc,»que es «que es lo que va a hacer el servidor en este caso de controlador de dominio»,
◦ Dns backend: internal, «tipo de servidor dns que utilizara»,
◦ DNS forwarder: Se puede configurar 127.0.0.1 aunque podemos aceptar lo que,
se propone.,»el dns superior por si el dns de samba no sabe localizar el nombre»,
◦ Password: contraseña de administración de AD.
Acciones que realiza el comando samba-tool domain provisión:
● Crea una estructura de datos en /var/lib/samba correspondiente al Dominio,
● Escribe una configuración con la información obtenida en /etc/samba/smb.Conf,
● Deja arrancado el servicio samba-ad-dc.Service,
● Arranca dentro del servicio anterior el servidor dns elegido.
comando para ver información y el funcionamiento del dominio:
samba-tool domain info 192.168.1.X.
comando para ver si el dns esta funcionando bien y los registros que tiene:
samba-tool dns serverinfo 192.168.1.1 -U Administrator.
zonas existentes del servidor dns;
samba-tool dns zonelist 192.168.1.222 -U Administrator.
servicio de samba: samba-ad-dc.Service,
ejecución interactiva de samba estando parado: samba -i -d5.
Detener samba (systemctl stop samba-ad-dc.Service),
apt install winbind.
Creación, gestión de usuarios:
• Crear usuarios: samba-tool user create <usuario> <contraseña>,
• Consultar usuarios: samba-tool user list,
• Cambiar contraseña: samba-tool user setpassword <usuario>.
Pasos para unir un cliente windows al controlador del dominio:
el equipo windows debe de estar en la misma red que el equipo servidor,
y en la configuración de la ip el servidor dns tiene que ser la ip del servidor,
verificar fecha/hora de ambos que sea la misma,
Unir un equipo windows al dominio: Clic derecho en equipo propiedades → propiedades → Configuración → propiedades → Configuración Configuración
de nombre, dominio y grupo de trabajo del equipo → propiedades → Configuración Cambiar configuración → propiedades → Configuración
Cambiar… → propiedades → Configuración dominio: clase.Aso y ya estaría unido después de poner usuario y clave de administradot del dominio.
Para que el acceso sea en local hay que poner como usuario “nombre_maquina\usuario”
UNIR UN CLIENTE Linux AL DOMINIO:
cambirle el hostname a uno que no este repetido en algún equipo ya unido,
en el servidor en el fichero smb.Conf hay que añadir esta línea en el cambo [global];allow dns updates = nonsecure,
reiniciamos samba,
en el cliente linix en etc/resolv.Conf en nameservers tiene que estar la ip del servidor o en la configuración ip de la maquina.
instalar samba en el cliente.
instalar winbind también en cliente
luego hacer service nmbd stop y service smbd stop
borrar el fichero /etc/samba/smb.Conf en el cliente
después de guardar el fichero recargar la configuración con el comando smbcontrol all reload-config.
modificar el fichero hosts del cliente Linux para que quede así:
127.0.0.1 clientelin.Servidor.Clase.Aso localhost clientelin,
127.0.1.1 clientelin.
instalar apt-get install krb5-user krb5-config
En la instalación nos saldrá un asistente:
◦ REALM: CLASE.ASO,
◦ Nombre del “servidor administrativo” (podemos dejarlo en blanco).
después entrar en el fichero /etc/krb5.Conf. Y añadir esto
CLASE.ASO = {
kdc = servidor.Clase.Aso
}.
y ya el comando para unir el cliente Linux al dominio:
net ads join -U Administrator.
probamos a acceder al sistema kerberos mediate ticket:
kinit administrator@CLASE.ASO.
Mostrar información relativa a la configuración del AD:
net ads status -U administrator.
Comprobamos la correcta uníón al dominio: net ads testjoin
Si el resultado es Join is OK, todo va bien.
ahora la autenticación de usuarios en el cliente:
apt install libnss-winbind,
modificar el fichero: /etc/nsswitch.Conf,
passwd: compat winbind,
group: compat winbind,
shadow: compat winbind,
hosts: files dns.
Así pam ya tendrá el complemento necesario para
realizar autenticación con el servidor de AD:
apt install libpam-winbind.
lanzar comando; pam-auth-update,
tenemos que marcar la opción,
Create home directory on login.
Reiniciamos winbind: systemctl restart winbind
Y con esto, si todo a ido bien. Vamos a poder iniciar sesíón con un usuario de AD en el
cliente: su pepe
ACL
modificar el fichero /etc/fstab del memberserver talñ que así:errors=remount-ro,acl y reiniciar maquina
Creamos un directorio y con setfacl -m usuario:xrw /directorio
asignamos los permisos
Probamos si a funcionado: getfacl /directorio
Podemos verificar si está bien habilitado con:
tune2fs -l /dev/sdXX | grep acl
Modificamos el fichero /etc/samba/smb.Conf y dentro de [global]
vfs objects = acl_xattr
map acl inherit = yes
store dos attributes = yes
Ahora vamos a otorgar permisos a los miembros del grupo “Administradores del AD”.;
net rpc rights grant ‘CLASE\Domain Admins’ SeDiskOperatorPrivilege -U’CLASE\administrator’ -I 192.168.1.80 (ip del controlador de dominio)
Explicación de parámetros:
• rpc: Llamada al procedimiento para conectarse al controlador AD.
• Rights grant: Otorgar derechos
• ‘CLASE\Domain Admins’: Al grupo de usuarios del dominio CLASE llamados
Domain Admins
• SeDiskOperatorPrivilege: El tipo de permiso
• -U’CLASE\administrator’: Usuario que esta lanzando el comando.
Probamos el comando anterior: net rpc rights list privileges SeDiskOperatorPrivilege -U Administrator (en el servidor)
Administración remota
Microsoft tiene una herramienta para la administración remota de servidores.
(RSAT)
.Permite ajustar, desde un equipo cliente, todas las carácterísticas de windows
server. Es decir, con RSAT podemos administrar AD sin necesidad de acceder físicamente
al servidor.
Vamos primero a crear un directorio compartido en el memberserver:
[usuarios]
path=/opt/usuarios
comment=Directorios de los usuarios
read only = no
después all reloadconfig
Crear el directorio /opt/usuarios en el equipo: mkdir…
En el miembro tenemos que modificar las acl de este directorio para que los
administradores tengan acceso a realizar modificaciones sobre este.
setfacl -R -m group:domain\ admins:rwx /opt/usuarios
Ahora hay que quitar la herencia de permisos, ya que cada carpeta va a ser de un
usuario diferente, y por tanto, los permisos de esta carpeta no pueden heredarse.
a. Desde windows buscamos la carpeta compartida usuarios
b. Accedemos a propiedades pestaña → propiedades → Configuración seguridad → propiedades → Configuración editar
c. En la entrada de permisos TODOS, cambiamos los permisos y quitamos todos
los permisos de dentro y aceptamos.
d. Nos saltará un mensaje informando que Se quitaran todos los permisos
heredados, indicamos que si.
e. Si ahora desde el servidor de compartición de carpetas realizamos un getfacl
de ese directorio, los permisos cambian.
f. Accedemos de nuevo a editar → propiedades → Configuración agregar → propiedades → Configuración opciones avanzadas… → propiedades → Configuración buscar
ahora Hacemos doble clic sobre usuarios autenticados y aceptamos
Ahora ya podemos modificar los permisos de los usuarios autenticados… para
este caso vamos a acceder a opciones avanzadas de seguridad. → propiedades → Configuración Cambiar
permisos → propiedades → Configuración usuarios autenticados → propiedades → Configuración editar
j. Y dejamos los permisos así:
que solo este marcado perimitir los campos:
atravesar carpeta/ejecutar archivo,
mostrar caspetas/ leer datos,
crear archivos/escrivir datos,
crear carpetas/anexar datos,
escribir atributos
Todo esto es muy importante para que en el momento que se genere un directorio de un
usuario, que el resto de usuarios no puedan modificar los ficheros del propietario.
Estableciendo las directivas
En este punto es cuando vamos a usar el programa RSAT de windows, para poder
administrar el servidor AD en remoto. Para poder hacer todo esto hay que entrar con el
usuario administrator.
Accedemos a: administración de directivas de grupo (así es como se usa RSAT para
acceder de forma remota).
Ahora vamos a crear un GPO, que significa: Group Policy Object (Directiva de
política de grupo).
Le ponemos un nombre por ejemplo ponemos GPOUsuarios
• Ahora vamos a modificar esta directiva. (clic derecho editar…)
• Ir a «Configuración de usuario” “directivas” “configuración → propiedades → Configuración → propiedades → Configuración de windows” → propiedades → Configuración
“redirección de carpetas» → propiedades → Configuración “Carpeta se desea compartir”. Se muestran varias
carpetas que son las importantes en un entorno de trabajo del usuario ( y que
resultan familiares)
• Una vez ya sabemos que directorio vamos a redireccionar (documentos por
ejemplo), hacemos clic derecho propiedades.
◦ Elegir Básico: redirigir la carpeta de todos a la misma ubicación.
◦ Así cada usuario cuando inicie sesíón por primera vez, se creará el directorio
automáticamente.
◦ Ahora hay que especificar la ruta donde esta el directorio usuarios: \\
CLILENTE\usuarios
◦ Antes de aceptar vamos a la pestaña configuración y desmarcamos la opción:
Otorgar al usuario derechos exclusivos
◦ Ya podemos cerrar todo menos la primera ventana, y hay que fijarse si dentro
del GPO creado, en filtrado de seguridad tiene que estar solo Autenticated
Users
ejemplos formar acl:
sudo setfacl -m u:nom_usuari:r nom_fitxer_o_directori
setfacl -R -m group:domain\ admins:rwx /opt/usuarios