Controlador de Dominio de Active Directory mediante Samba4: Diferenzas entre revisións

De Wiki do Ciclo ASIR do IES de Rodeira
Saltar á navegación Saltar á procura
Liña 4: Liña 4:


=== Instalación do Active Directory Domain Controller ===
=== Instalación do Active Directory Domain Controller ===
O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. A información relevante é a seguinte:
O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. O host no que instalaremos o controlador de dominio será ''radagast.iesrodeira.com'' con IP 172.20.0.5. A información relevante é a seguinte:

Datos do Servidor:

Hostname: radagast.iesrodeira.com

CPU:

RAM:

HDD:

Rede: IP:172.20.0.8MAC:

Datos do Dominio:


<source lang='bash'>
Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM
Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM

Domain:ASIR
Domain:ASIR

Server Role:dc
Server Role:dc

DNS Backend:Internal
DNS Backend:Internal

DNS Forwarder:172.20.2.1
DNS Forwarder:172.20.2.1
</source>


==== Instalación do DC ====
==== Instalación do DC ====
* En primeiro lugar necesitamos que a rede esté sincronizada. Utilizaremos servidores de tempo da rede local mediante NTP:
* Instalación de NTP
<source lang='bash'>

apt-get install ntp
apt-get install ntp

vim /etc/ntp.conf
vim /etc/ntp.conf
</source>

Engadimos a ''ntp.conf'' as seguintes lineas:
<source lang='bash'>
server gandalf.iesrodeira.com iburst
server gandalf.iesrodeira.com iburst

server earendil.iesrodeirra.com iburst
server earendil.iesrodeirra.com iburst

server hora.roa.es iburst
server hora.roa.es iburst
</source>

Comprobaremos a sincronización con '''''ntpq -p'''''
Comprobaremos a sincronización con '''''ntpq -p'''''


* Instalación de Samba, smbclient e Kerberos
* Instalamos de Samba, smbclient e Kerberos
<source lang='bash'>

apt-get install samba smbclient kerberos-user
apt-get install samba smbclient kerberos-user
</source>


* Creamos o controlador de dominio
* Creamos o controlador de dominio
<source lang='bash'>

samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes
samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes
</source>

Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com.
Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com.


Se creará automáticamente un usuario ''Administrator'' que será administrador do dominio. Reiniciamos ''samba'' e comprobamos o seu funcionamento:
Se creará automáticamente un usuario ''Administrator'' que será administrador do dominio. Reiniciamos ''samba'' e comprobamos o seu funcionamento:


<source lang='bash'>
/etc/init.d/samba restart
/etc/init.d/samba restart

smbclient -L localhost -U%
smbclient -L localhost -U%

smbclient //localhost/netlogon -UAdministrator -c 'ls'
smbclient //localhost/netlogon -UAdministrator -c 'ls'

host -t SRV _ldap._tcp.asir.iesrodeira.com.
host -t SRV _ldap._tcp.asir.iesrodeira.com.

host -t SRV _kerberos._udp.asir.iesrodeira.com.
host -t SRV _kerberos._udp.asir.iesrodeira.com.

host -t A dc1.asir.iesrodeira.com.
host -t A dc1.asir.iesrodeira.com.

host -t A radagast.asir.iesrodeira.com.
host -t A radagast.asir.iesrodeira.com.
</source>


* Comprobamos as credenciais Kerberos<br/> mv /etc/krb5.conf /etc/krb5.conf.orixinal<br/> cp /var/lib/samba/private/krb5.conf /etc
* Comprobamos o funcionamento e as credenciais Kerberos:


<source lang='bash'>
mv /etc/krb5.conf /etc/krb5.conf.orixinal
cp /var/lib/samba/private/krb5.conf /etc
kinit Administrador
kinit Administrador

klist
klist

kdestroy
kdestroy
</source>



samba-tool user enable administrator??
samba-tool user enable administrator??


==== Netlogon e Shares ====
==== Netlogon e Shares ====

=== Instalación dun Cliente Windows 8.1 ===
=== Instalación dun Cliente Windows 8.1 ===
Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual.
Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual.

Revisión como estaba o 28 de xullo de 2014 ás 10:47

Instalaremos un sistema Debian Jessie que actuará como controlador de dominio para o dominio asir.iesrodeira.com, e uniremos ao dominio ordenadores Windows e Linux, de xeito que os usuarios do dominio podan iniciar sesión en calqueira ordenador da rede.

A administración do DC se poderá realizar mediante as ferramentas administrativas Windows, que serán instaladas nun Windows 7/8.1/2008/2012.

Instalación do Active Directory Domain Controller

O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. O host no que instalaremos o controlador de dominio será radagast.iesrodeira.com con IP 172.20.0.5. A información relevante é a seguinte:

Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM
Domain:ASIR
Server Role:dc
DNS Backend:Internal
DNS Forwarder:172.20.2.1

Instalación do DC

  • En primeiro lugar necesitamos que a rede esté sincronizada. Utilizaremos servidores de tempo da rede local mediante NTP:
apt-get install ntp
vim /etc/ntp.conf

Engadimos a ntp.conf as seguintes lineas:

server gandalf.iesrodeira.com iburst
server earendil.iesrodeirra.com iburst
server hora.roa.es iburst

Comprobaremos a sincronización con ntpq -p

  • Instalamos de Samba, smbclient e Kerberos
apt-get install samba smbclient kerberos-user
  • Creamos o controlador de dominio
samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes

Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com.

Se creará automáticamente un usuario Administrator que será administrador do dominio. Reiniciamos samba e comprobamos o seu funcionamento:

/etc/init.d/samba restart
smbclient -L localhost -U%
smbclient //localhost/netlogon -UAdministrator -c 'ls'
host -t SRV _ldap._tcp.asir.iesrodeira.com.
host -t SRV _kerberos._udp.asir.iesrodeira.com.
host -t A dc1.asir.iesrodeira.com.
host -t A radagast.asir.iesrodeira.com.
  • Comprobamos o funcionamento e as credenciais Kerberos:
mv /etc/krb5.conf /etc/krb5.conf.orixinal
cp /var/lib/samba/private/krb5.conf /etc
kinit Administrador
klist
kdestroy

samba-tool user enable administrator??

Netlogon e Shares

Instalación dun Cliente Windows 8.1

Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual.

Ferramentas de Administración do Dominio

Para administrar o servidor samba podemos facer uso das ferramentas de administración de Windows (RSAT). Estas ferramentas se poden descargar

Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296

si non se atopan xa no sistema. Logo podemos activalas en “Programas e Características”.

Instalación dun Cliente Debian Jessie

Si queremos que un cliente Linux (no noso caso Debian Jessie) poida facer uso da infraestructura de Active Directory, precisamos o seguinte: ntp, krb5-user, libpam-krb5, acl, winbind, libnss-winbind, libpam-winbind e samba


net ads join -U Administrator -k ou

128 net ads join -U Administrator createupn=host/$(hostname -f)@ASIR.IESRODEIRA.COM?


net ads testjoin

host -t A adclient.iesrodeira.com.

vim /etc/nsswitch.conf

/etc/init.d/winbind stop

/etc/init.d/samba restart

/etc/init.d/winbind start

wbinfo -u

wbinfo -g

getent passwd

getent groups

Configuraremos pam_mkhomedir e, si queremos, pam_mount e pam_exec.

Referencias

Wiki Oficial de Samba https://wiki.samba.org/index.php/Main_Page