Controlador de Dominio de Active Directory mediante Samba4: Diferenzas entre revisións
Liña 4: | Liña 4: | ||
=== Instalación do Active Directory Domain Controller === |
=== Instalación do Active Directory Domain Controller === |
||
O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. A información relevante é a seguinte: |
O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. O host no que instalaremos o controlador de dominio será ''radagast.iesrodeira.com'' con IP 172.20.0.5. A información relevante é a seguinte: |
||
Datos do Servidor: |
|||
Hostname: radagast.iesrodeira.com |
|||
CPU: |
|||
RAM: |
|||
HDD: |
|||
Rede: IP:172.20.0.8MAC: |
|||
Datos do Dominio: |
|||
<source lang='bash'> |
|||
Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM |
Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM |
||
Domain:ASIR |
Domain:ASIR |
||
Server Role:dc |
Server Role:dc |
||
DNS Backend:Internal |
DNS Backend:Internal |
||
DNS Forwarder:172.20.2.1 |
DNS Forwarder:172.20.2.1 |
||
</source> |
|||
==== Instalación do DC ==== |
==== Instalación do DC ==== |
||
* En primeiro lugar necesitamos que a rede esté sincronizada. Utilizaremos servidores de tempo da rede local mediante NTP: |
|||
* Instalación de NTP |
|||
<source lang='bash'> |
|||
apt-get install ntp |
apt-get install ntp |
||
vim /etc/ntp.conf |
vim /etc/ntp.conf |
||
</source> |
|||
Engadimos a ''ntp.conf'' as seguintes lineas: |
|||
<source lang='bash'> |
|||
server gandalf.iesrodeira.com iburst |
server gandalf.iesrodeira.com iburst |
||
server earendil.iesrodeirra.com iburst |
server earendil.iesrodeirra.com iburst |
||
server hora.roa.es iburst |
server hora.roa.es iburst |
||
</source> |
|||
Comprobaremos a sincronización con '''''ntpq -p''''' |
Comprobaremos a sincronización con '''''ntpq -p''''' |
||
* |
* Instalamos de Samba, smbclient e Kerberos |
||
<source lang='bash'> |
|||
apt-get install samba smbclient kerberos-user |
apt-get install samba smbclient kerberos-user |
||
</source> |
|||
* Creamos o controlador de dominio |
* Creamos o controlador de dominio |
||
<source lang='bash'> |
|||
samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes |
samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes |
||
</source> |
|||
Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com. |
Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com. |
||
Se creará automáticamente un usuario ''Administrator'' que será administrador do dominio. Reiniciamos ''samba'' e comprobamos o seu funcionamento: |
Se creará automáticamente un usuario ''Administrator'' que será administrador do dominio. Reiniciamos ''samba'' e comprobamos o seu funcionamento: |
||
<source lang='bash'> |
|||
/etc/init.d/samba restart |
/etc/init.d/samba restart |
||
smbclient -L localhost -U% |
smbclient -L localhost -U% |
||
smbclient //localhost/netlogon -UAdministrator -c 'ls' |
smbclient //localhost/netlogon -UAdministrator -c 'ls' |
||
host -t SRV _ldap._tcp.asir.iesrodeira.com. |
host -t SRV _ldap._tcp.asir.iesrodeira.com. |
||
host -t SRV _kerberos._udp.asir.iesrodeira.com. |
host -t SRV _kerberos._udp.asir.iesrodeira.com. |
||
host -t A dc1.asir.iesrodeira.com. |
host -t A dc1.asir.iesrodeira.com. |
||
host -t A radagast.asir.iesrodeira.com. |
host -t A radagast.asir.iesrodeira.com. |
||
</source> |
|||
* Comprobamos as credenciais Kerberos |
* Comprobamos o funcionamento e as credenciais Kerberos: |
||
<source lang='bash'> |
|||
mv /etc/krb5.conf /etc/krb5.conf.orixinal |
|||
cp /var/lib/samba/private/krb5.conf /etc |
|||
kinit Administrador |
kinit Administrador |
||
klist |
klist |
||
kdestroy |
kdestroy |
||
</source> |
|||
samba-tool user enable administrator?? |
samba-tool user enable administrator?? |
||
==== Netlogon e Shares ==== |
==== Netlogon e Shares ==== |
||
=== Instalación dun Cliente Windows 8.1 === |
=== Instalación dun Cliente Windows 8.1 === |
||
Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual. |
Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual. |
Revisión como estaba o 28 de xullo de 2014 ás 10:47
Instalaremos un sistema Debian Jessie que actuará como controlador de dominio para o dominio asir.iesrodeira.com, e uniremos ao dominio ordenadores Windows e Linux, de xeito que os usuarios do dominio podan iniciar sesión en calqueira ordenador da rede.
A administración do DC se poderá realizar mediante as ferramentas administrativas Windows, que serán instaladas nun Windows 7/8.1/2008/2012.
Instalación do Active Directory Domain Controller
O DC se utilizará principalmente para a autenticación de usuarios e para dar acceso a carpetas compartidas con información de interese para o conxunto do alumnado. Os ficheiros personais dos alumnos estarán situados nas máquinas cliente, e os perfís móbiles desactivados. O host no que instalaremos o controlador de dominio será radagast.iesrodeira.com con IP 172.20.0.5. A información relevante é a seguinte:
Realm (Dominio Kerberos): ASIR.IESRODEIRA.COM
Domain:ASIR
Server Role:dc
DNS Backend:Internal
DNS Forwarder:172.20.2.1
Instalación do DC
- En primeiro lugar necesitamos que a rede esté sincronizada. Utilizaremos servidores de tempo da rede local mediante NTP:
apt-get install ntp
vim /etc/ntp.conf
Engadimos a ntp.conf as seguintes lineas:
server gandalf.iesrodeira.com iburst
server earendil.iesrodeirra.com iburst
server hora.roa.es iburst
Comprobaremos a sincronización con ntpq -p
- Instalamos de Samba, smbclient e Kerberos
apt-get install samba smbclient kerberos-user
- Creamos o controlador de dominio
samba-tool domain provision --use-rfc2307 --interactive –use-xattrs=yes
Aqui especificamos o Realm, Dominio, Server Role, Tipo de DNS e o Forwarder. O noso dominio será ASIR, e será un subdominio de IESRODEIRA.COM, sendo o Realm ASIR.IESRODEIRA.COM. O nome do Host será radagast.iesrodeira.com, e o DNS Forwarder 172.20.2.1 ou proxy.iesrodeira.com.
Se creará automáticamente un usuario Administrator que será administrador do dominio. Reiniciamos samba e comprobamos o seu funcionamento:
/etc/init.d/samba restart
smbclient -L localhost -U%
smbclient //localhost/netlogon -UAdministrator -c 'ls'
host -t SRV _ldap._tcp.asir.iesrodeira.com.
host -t SRV _kerberos._udp.asir.iesrodeira.com.
host -t A dc1.asir.iesrodeira.com.
host -t A radagast.asir.iesrodeira.com.
- Comprobamos o funcionamento e as credenciais Kerberos:
mv /etc/krb5.conf /etc/krb5.conf.orixinal
cp /var/lib/samba/private/krb5.conf /etc
kinit Administrador
klist
kdestroy
samba-tool user enable administrator??
Instalación dun Cliente Windows 8.1
Nos clientes Windows, bastará engadir con normalidade o equipo ao dominio. Unha vez feito esto será un membro do dominio do xeito habitual.
Ferramentas de Administración do Dominio
Para administrar o servidor samba podemos facer uso das ferramentas de administración de Windows (RSAT). Estas ferramentas se poden descargar
Windows 8.1: http://www.microsoft.com/en-us/download/details.aspx?id=39296
si non se atopan xa no sistema. Logo podemos activalas en “Programas e Características”.
Instalación dun Cliente Debian Jessie
Si queremos que un cliente Linux (no noso caso Debian Jessie) poida facer uso da infraestructura de Active Directory, precisamos o seguinte: ntp, krb5-user, libpam-krb5, acl, winbind, libnss-winbind, libpam-winbind e samba
net ads join -U Administrator -k ou
128 net ads join -U Administrator createupn=host/$(hostname -f)@ASIR.IESRODEIRA.COM?
net ads testjoin
host -t A adclient.iesrodeira.com.
vim /etc/nsswitch.conf
/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start
wbinfo -u
wbinfo -g
getent passwd
getent groups
Configuraremos pam_mkhomedir e, si queremos, pam_mount e pam_exec.
Referencias
Wiki Oficial de Samba https://wiki.samba.org/index.php/Main_Page