PDF de programación - Guía para montar samba como PDC + autenticación LDAP

Guía para montar Samba como PDC + autenticación LDAP

Algunas notas introductorias:

 La distro utilizada para estas pruebas fue la Debian Etch 4.0 (mi preferida). Probablemente se pueda

adaptar sin mucho problema a otras distros de Linux.

 Las ubicaciones de los archivos tratados en este documento pueden variar dependiendo de la distro y

versión que tenga.

 El procedimiento del montaje descrito en esta guía se hizo con base en mi necesidad específica. De
acuerdo con su necesidad particular, puede que necesite llevar a cabo pasos adicionales/diferentes que los
citados en este documento. Tome en cuenta que yo no soy experto en LDAP, simplemente pude adecuarlo
a lo que yo necesitaba.

 Esta guía se ha elaborado tomando como base diversa documentación obtenida en Internet en conjunto con

partes personalizadas a mi gusto.

 Todos los comandos ejecutados desde la consola deben llevarse a cabo como usuario root.

 Si le gusta el café (como a mí) le aconsejo que se vaya preparando varias tazas antes de comenzar con este

procedimiento.

Al final de esta guía tendremos montado un controlador principal de dominio en Samba + perfiles móviles +
scripts de inicio y se utilizará la autenticación y organización de usuarios y grupos por medio de openLDAP.

Mucha suerte y paciencia con este montaje.

Ing. Rolando V. (Pish)

1

ÍNDICE GENERAL

SECCIÓN 1. Instalación del servidor LDAP.............................................................................................................. 3
SECCIÓN 2. Instalación de phpldapadmin...............................................................................................................5
2.1 Instalación de apache-ssl....................................................................................................................... 5
2.2 Instalación de smbldap-tools y phpldapadmin....................................................................................... 6
SECCIÓN 3. Instalación de Samba.......................................................................................................................... 8
SECCIÓN 4. Configuración de LDAP........................................................................................................................ 9
SECCIÓN 5. Introducción de los principales contenedores (“Organizational Units”) para el árbol LDAP.............. 11
SECCIÓN 6. Configuración de SAMBA................................................................................................................... 14
SECCIÓN 7. Mapeos de grupos con Samba...........................................................................................................19
SECCIÓN 8. Configuración de la autenticación UNIX............................................................................................ 22
8.1 Instalación de libnss-ldap..................................................................................................................... 22
8.2 Instalación de libpam-ldap................................................................................................................... 24
SECCIÓN 9. Agregando usuarios a nuestro directorio LDAP................................................................................. 28
SECCIÓN 10. Uniendo máquinas a nuestro dominio Samba................................................................................. 31
10.1 Método manual para agregar cuentas de máquina a LDAP............................................................... 31
10.2 Método automático para agregar cuentas de máquina a LDAP......................................................... 32
SECCIÓN 11. Agregando un grupo Posix...............................................................................................................40
APÉNDICE A. Unir clientes de Windows XP al dominio.........................................................................................41
APÉNDICE B. Respaldo y restauración de la base de datos LDAP.........................................................................41
B.1 Backup and Restore............................................................................................................................. 41
Offline Physical Backup......................................................................................................................41
Offline Logical Backup....................................................................................................................... 42
Online Backup....................................................................................................................................42
Restore.............................................................................................................................................. 43

2

SECCIÓN 1. Instalación del servidor LDAP

Instalar el paquete de openLDAP y algunas utilidades con el comando:

# apt-get install slapd ldap-utils

Mientras se instala el paquete slapd se le pedirá la siguiente información:

Dato solicitado

Dato a introducir

Notas adicionales

Contraseña del admin
Confirme la contraseña del admin

suclave
suclave

Contraseña que le asignará a la cuenta admin de LDAP

Cuando se terminen de instalar los paquetes tenemos que reconfigurar a slapd para que nos pida más
información:

# dpkg-reconfigure slapd

Dato solicitado

Dato a introducir

Notas adicionales

Omitir la configuración de OpenLDAP
Nombre de dominio
Nombre de organización
Contraseña del admin
Confirme la contraseña del admin
Motor de base de datos a utilizar
Borrar la base de datos al purgar slapd
Mover la base de datos antigua
Permitir LDAP v2

no
home
home
suclave
suclave
BDB
no
sí
sí

Es para confirmar que desea reconfigurar a OpenLDAP
Es el nombre que yo le puse a mi dominio de prueba
Aquí puede ir un nombre más amigable y descriptivo
Otra vez volver a digitar la clave del usuario admin de LDAP
Otra vez confirmar la clave del usuario admin de LDAP
Formato Berkeley de Base de Datos
Es para conservar la base de datos de LDAP cuando se purgue
Es para respaldar la base de datos actual de LDAP. (prevención)

Ahora, para probar que el servicio de slapd está arriba y funcionando utilizamos el comando:

# ldapsearch -x -b “dc=home”

NOTA: Si por ejemplo su dominio se llama sudominio.com entonces el comando debe ser:

# ldapsearch -x -b “dc=sudominio,dc=com”
Si por ejemplo su dominio se llama sudominio.co.cr entonces el comando debe ser:
# ldapsearch -x -b “dc=sudominio,dc=co,dc=cr”

Y debe mostrarse una información. Si saliera un mensaje como esto: “ldap_bind: Can't contact LDAP server (-1)”

3

entonces algo está pasando con el servicio de LDAP.

Si tenemos problemas con el slapd, entonces podemos ejecutarlo en modo debug para ver sus mensajes en
tiempo real:

# slapd -d 256

Si al ejecutar este comando no se despliega ningún error, entonces puede abrir otra consola y pruebe ejecutar allí
nuevamente el comando ldapsearch para observar qué mensajes se emiten y cuál puede ser el error.

4

SECCIÓN 2. Instalación de phpldapadmin

Instalar un administrador gráfico para LDAP nos va ayudar mucho a visualizar nuestro árbol organizativo en LDAP
además de que nos permite llevar a cabo funciones muy útiles de una manera muy rápida.
El phpldapadmin es un administrador hecho en PHP que corre encima de un servidor web (por ejemplo: Apache
SSL o Apache2) y accesible utilizando cualquier navegador de internet (en mi caso lo usé con Iceweasel que es la
versión de firefox que viene con Debian Etch).

NOTA: también existe otro administrador gráfico de LDAP llamado luma que viene entre los paquetes de Debian Etch, pero
personalmente prefiero a phpldapadmin y he visto que es el más aceptado.

2.1 Instalación de apache-ssl

Antes de instalar a phpldapadmin vamos a instalar el servidor web Apache-SSL para correr siempre a
phpldapadmin desde allí vía páginas seguras.

# apt-get install apache-ssl

Mientras se instala el paquete apache-ssl se le pedirá la siguiente información:

Dato solicitado

Dato a introducir

Notas adicionales

Nombre del país
Estado o provincia
Localidad
Nombre de la organización
Nombre de la unidad organizativa

CR
HE
Heredia
home
home

Digitar cualquier valor de 2 caracteres
Digitar cualquier valor (yo puse HE por Heredia)

Nombre del host

Correo electrónico

servidor.home

La computadora se llama servidor y el nombre de dominio es
home. Yo también probé digitando solamente el valor localhost y
funcionó bien.
También puede digitar root@localhost

Para probar si el Apache-SSL está arriba y funcionando, abrimos nuestro navegador de internet y nos vamos a la
siguiente dirección:

https://localhost

Si no nos devuelve ningún error entonces ya tenemos arriba a nuestro servidor web seguro.

5

2.2 Instalación de smbldap-tools y phpldapadmin

Seguidamente vamos a instalar un paquete llamado smbldap-tools que contiene varias herramientas para Samba
y LDAP muy útiles para nuestros intereses:

# apt-get install smbldap-tools

Ahora sí es momento para instalar el phpldapadmin:

# apt-get install phpldapadmin

Para probar que el phpldapadmin quedó bien instalado, abrimos el navegador de internet y nos vamos a la
siguiente dirección:

https://localhost/phpldapadmin

Y debe aparecer la página principal de phpldapadmin. Si ocurriera algún error yo recomiendo volver a instalar el
phpldapadmin o sino bajar la última versión de la página oficial y montarla en la carpeta /var/www

Al instalar a phpldapadmin también se instalará el servidor apache2 automáticamente (pruebe entrar a
http://localhost para que revise si tiene el servicio apache2 activo y corriendo). Con respecto a este punto,
mencionaré que como gusto personal, NO quiero que phpldapadmin esté hosteado vía apache2, solamente vía
apache-ssl para