Controlador de dominio Active Directory sobre Linux Ubuntu

En este post vamos a ver como montar un controlador de dominio Active Directory sobre un

Linux Ubuntu, a través del cual vamos a poder validar los usuarios de nuestra infraestructura.

Antes de nada, tenemos que tener en cuenta algunas consideraciones:

• Los servicios de Samba no generan una estructura de árbol y bosque como en Windows,

simplemente actúan como controladores de dominio permitiendo centralizar la gestión de

los usuarios que acceden desde cualquier equipo cliente a los recursos o servicios

compartidos que ofrece el propio servidor controlador de dominio.

• Samba combina LDAP con funciones de autentificación permitiendo sustituir a los

controladores de dominio de Windows.

• Los servicios de Samba se administran mediante el demonio smdb que gestiona el acceso

remoto y el recurso de compartir archivos e impresoras, el demonio nmbd que soluciona la

resolución de nombres NetBIOS de Windows, para que Linux se integre como un ordenador

más en el sistema Windows y el demonio winbind que da servicio para resolver información

de usuarios y grupos de servidores Windows NT.

• Dentro de un controlador de dominio Linux existirán dos tipos de usuario: los del servidor

independiente, (pueden acceder localmente y remotamente por ssh), y los usuarios de

Samba o controlador de dominio, (pueden acceder desde un equipo cliente o terminal

integrado en el controlador de dominio).

Los datos necesarios para la instalación y configuración son los siguientes:

• Reino Kerberos: AVANZA.LOCAL

• Servidor: DC1.AVANZA. LOCAL

• Administrativo: DC1.AVANZA. LOCAL

• Configurar IP estática, Gateway, DNS, etc.,

• Lo primero que haremos será comprobar los repositorios para ver que tenemos que

actualizar:

• Luego actualizamos los paquetes que ya tenemos instalados:

• Ahora vamos a instalar los paquetes necesarios para montar nuestro controlador de

dominio Active Directory:

• Durante la instalación de los paquetes, kerberos 5 nos hará una serie de preguntas, donde

introducimos los siguientes datos de configuración:

• Una vez que tenemos instalados todos los paquetes, vamos a comprobar que IP y puerta

de enlace tenemos, para ello introducimos los siguientes comandos:

• Ahora vamos a establecer los valores TCP/IP de forma estática, para ello editamos el

fichero /etc/network/interfaces, introduciendo los siguientes parámetros:

• Modificamos el fichero /etc/resolv.conf para el DNS, introduciendo los siguientes

parámetros:

• Ahora vamos a cambiar el nombre al equipo y reiniciamos el sistema:

• Una vez que hemos reiniciado y el nombre de la máquina se ha hecho efectivo, añadimos

el equipo al archivo de resolución de DNS local:

• Comprobamos que el DNS funciona correctamente:

• Establecemos el servidor NTP de hora:

• Instalamos el servidor y el cliente Samba:

• Realizamos una copia del fichero de configuración de Samba:

• Ahora vamos a introducir el siguiente comando que nos va a generar un fichero smb.conf

adaptado a nuestras necesidades, es decir, con los parámetros que hemos configurado

anteriormente en Kerberos:

• Como podemos ver las opciones del dominio se han instalado y configurado

correctamente:

• Comprobamos que el archivo smb.conf se ha generado correctamente:

• Eliminamos el DNS 8.8.8.8 porque hemos configurado Samba para que resuelva las DNS

externas y reiniciamos el equipo:

• Nos quedaría así:

• Nos quedaría así:

• Reiniciamos el equipo:

• Tras el reinicio, comprobamos el estado del servicio Samba:

• Comprobamos que el DNS generado por Samba está funcionando:

• El comando Samba genero un fichero adecuado para kerberos, hacemos una copia de

seguridad del actual, luego haremos un enlace simbólico al nuevo fichero y

comprobaremos los datos:

• Comprobamos con el comando smbclient que Samba está funcionando correctamente:

• Añadimos a Samba el usuario “ramos” dado de alta en el sistema y con el cuál hacemos

logon en el equipo:

• Si queremos crear usuarios específicos en Samba para Active Directory, usaremos el

siguiente comando:

1. Para crear usuarios: samba-tool user add USUARIO

2. Para eliminar usuarios: samba-tool user delete USUARIO

• Ahora vamos a incorporar un cliente Windows 7 al dominio y comprobaremos que el

usuario del dominio “ramos” puede aunteticarse y abrir sesión en cualquier equipo que

pertenezca al dominio.

• Lo primero que haremos será unir nuestro equipo con Windows 7 al dominio avanza.local

instalado y configurado sobre Linux Ubuntu 14.04 LTS, para ello seguimos estos pasos:

https://i2.wp.com/blog.ragasys.es/wp-content/uploads/2016/03/cdadl41.jpg

• Ahora nos va a pedir las credenciales del Administrador del dominio:

• Como podemos ver el equipo se ha unido correctamente al dominio:

• Reiniciamos el equipo para aplicar los cambios:

• Una vez que hemos reiniciado, vamos a hacer logon en Windows 7 con el usuario de

Samba “ramos” dado de alta en la base de datos del Active Directory de nuestro Linux

Ubuntu, verificando así que todo está configurado correctamente:

• Como podemos ver el usuario ha iniciado sesión correctamente:

https://i0.wp.com/blog.ragasys.es/wp-content/uploads/2016/03/cdadl47.jpg