openSUSE 13.1 con Active Directory Guía Ilustrada
http://easgs.wordpress.com
1
Eduardo Adolfo Sotomayor G.
openSUSE 13.1 con Active Directory Guía Ilustrada
Copyright (c) 2014 Eduardo Adolfo Sotomayor G. Se concede permiso para
copiar, distribuir y/o modificar este documento bajo los términos de la
Licencia de Documentación Libre de GNU, Versión 1.3 o cualquier otra
versión posterior publicada por la Free Software Foundation; siendo las
Secciones Invariantes openSUSE 11.2 con Samba Guía Ilustrada, siendo los
Textos de Cubierta Delantera Eduardo Adolfo Sotomayor G. Una copia de la
licencia puede ser encontrada en la página Web de la FSF.
SUSE®, openSUSE®, el logo openSUSE®, son marcas registradas de Novell,
Inc. En los Estados Unidos y otros países. Linux es marca registrada de
Linus Torvalds. Todas las otras marcas son propiedad de sus respectivos
dueños.
http://easgs.wordpress.com
2
openSUSE 13.1 con Active Directory Guía Ilustrada
Configuración inicial del SO
Configuración de la red.
Desinstalar los paquetes samba que vienen con la distribución.
Instalar los paquetes necesarios.
Instalación de samba 4.x
Descargar samba 4.x.
Instalar samba.
Editar los PATH.
Provisionamiento de samba 4.x
Provisionar samba.
Iniciar samba.
Reiniciar samba.
Volver a leer la configuración de smb.conf.
Probar conectividad.
Configuración de DNS
Configurar Bind.
Probando DNS.
Configuración de Kerberos
Configurar Kerberos.
Probando kerberos.
Configuración de ntp
Configurar ntp.
Habilitar y arrancar el servicio ntp.
Ajustes de seguridad
Cambiar políticas de complejidad de password.
Para ver las políticas actuales.
http://easgs.wordpress.com
7
8
9
10
10
10
10
11
12
12
12
13
17
18
18
19
19
20
20
3
openSUSE 13.1 con Active Directory Guía Ilustrada
Cambiar la clave de Administrator.
Agregar permisos administrativos varios al grupo Domain Admins.
Cuenta administradora de dominio alterna.
Configurando el servicio samba
Configurando el servicio samba
Compartiendo Archivos
Compartir archivos
Modificar los permisos del recurso compartido.
Configurando el Firewall
Abrir los puertos correspondientes en el firewall
Uniendo estaciones de trabajo al dominio
Unir las estaciones de trabajo al nuevo dominio.
Usando las RSAT (Remote Server Administration Tools)
Herramientas de administración remota del servidor para Windows
Creando cuenta administradora de dominio alterna.
Creando Grupos de Seguridad.
Agregando usuarios a un grupo de seguridad.
Creando unidades organizativas.
Mover un Grupo a una Unidad Organizativa.
Creando GPO para restringir el uso del panel de control
Crear una GPO para restringir el acceso al regedit.
Bloquear un programa por medio de una GPO.
Ocultar Unidades en Mi Pc.
Vincular un GPO existente a una unidad organizativa.
Eliminar una GPO.
Delegar Control sobre una Unidad organizativa.
Revisar los permisos delegados.
http://easgs.wordpress.com
21
21
21
22
23
25
26
28
34
41
43
45
47
48
50
55
60
65
71
73
75
78
4
openSUSE 13.1 con Active Directory Guía Ilustrada
Revocar los permisos delegados.
Delegar control para unir maquinas al dominio.
El entorno de red.
Entorno de red.
DNS
DNS
Agregando un registro (A)
Eliminar un registro (A)
Agregando un registro (MX)
DHCP
Instalacion y configuracion del DHCP
Configurar las estaciones de trabajo como clientes DHCP
Permisos locales
Permisos locales
81
84
85
87
91
92
92
94
98
101
http://easgs.wordpress.com
5
openSUSE 13.1 con Active Directory Guía Ilustrada
En este manual se explica paso a paso con ilustraciones como instalar un controlador de dominio
con samba 4.1 en openSUSE 13.1 con BIND como backend para DNS, en este caso se explica una
implementación para la empresa SIENIC (Sistemas Informáticos de Entretenimiento) que cuenta
con una red de 125 computadoras, a lo largo del manual se explica desde la instalación de samba
4.1 hasta la configuración y creación de políticas de grupo, delegación de privilegios, creación de
grupos de seguridad, creación de usuarios, el manejo del DNS y DHCP, tratando de cubrir todos
los aspectos básicos que se requieren para empezar a utilizar un controlador de dominio.
Esta guía no pretende ser una Biblia de samba 4.1 ni de Active Directory, pero si una herramienta
que ayudara al administrador de red a tener una visión amplia de las cosas que se pueden hacer
con Active Directory y tener una idea clara de que dirección tomar una vez terminada la
implementación.
Samba es un proyecto que está evolucionando rápida y constantemente por lo que se recomienda
estar al pendiente de nuevas versiones en el sitio oficial, para estar al día con estos cambios.
http://easgs.wordpress.com/
http://easgs.wordpress.com
6
openSUSE 13.1 con Active Directory Guía Ilustrada
Configuración inicial del SO
Configuración de la red
Lo primero que hay que hacer es configurar una dirección IP estática para ello nos vamos a
Yast/Dispositivos de red/Configuración de red y realizamos las configuraciones que se muestran a
continuación adecuando las opciones a su respectivo caso.
http://easgs.wordpress.com
7
openSUSE 13.1 con Active Directory Guía Ilustrada
Desinstalar los paquetes samba que vienen con la distribución
zypper rm samba samba-client
http://easgs.wordpress.com
8
openSUSE 13.1 con Active Directory Guía Ilustrada
Instalar los paquetes necesarios.
zypper install libacl-devel acl attr autoconf make \
python-devel python gdb sqlite3-devel libgnutls-devel binutils \
popt-devel keyutils-devel gcc \
libidn-devel libxml2-devel \
libattr-devel zlib-devel cyrus-sasl-devel gcc \
krb5-client krb5-devel openldap2-devel libopenssl-devel\
bind-utils bind-libs bind yast2-dns-server
http://easgs.wordpress.com
9
openSUSE 13.1 con Active Directory Guía Ilustrada
Instalación de samba 4.x
Descargar samba 4.x
http://www.samba.org/samba/ftp/stable/samba-4.1.3.tar.gz
Instalar samba
tar -xzvf samba-4.1.3.tar.gz
cd samba-4.1.3
./configure && make && make install
Editar los PATH
Editar el archivo ~/.bashrc y agregar lo siguiente al final
export PATH=$PATH:/usr/local/samba/sbin:/usr/local/samba/bin
Provisionamiento de samba 4.x
Provisionar samba
samba-tool domain provision --interactive
http://easgs.wordpress.com
10
openSUSE 13.1 con Active Directory Guía Ilustrada
Iniciar samba
Es necesario iniciar samba manualmente
samba
http://easgs.wordpress.com
11
openSUSE 13.1 con Active Directory Guía Ilustrada
Reiniciar samba
Estos son los comandos necesarios en caso que necesitemos reiniciar samba
killall samba
samba
Volver a leer la configuración de smb.conf
smbcontrol all reload-config
Probar conectividad
Los siguientes comando nos sirven para probar el servidor, el primero es para verificar la versión
de samba, el segundo es para listar los recursos compartidos en el servidor, el ultimo es para
probar la autenticación conectándonos a netlogon usando las credenciales de administrator.
smbclient --version
smbclient -L localhost -U%
smbclient //localhost/netlogon -UAdministrator -c 'ls'
La salida de estos comandos debe ser similar a la mostrada en la siguiente imagen
http://easgs.wordpress.com
12
openSUSE 13.1 con Active Directory Guía Ilustrada
Configuración de DNS
Configurar Bind
Yast/servicios de red/servidor DNS
En Lista de redireccionadores poner el ip de este servidor DNS y del servidor DNS del ISP o el que
convenga y clic en añadir.
Hacemos clic en Siguiente y procedemos a eliminar la zona ipv6 que aparece en la lista de zonas si
no hacemos uso de ipv6 y damos clic en siguiente.
http://easgs.wordpress.com
13
openSUSE 13.1 con Active Directory Guía Ilustrada
En esta pantalla seleccionamos las opciones a como se muetran en la siguiente imagen y damos
clic en terminar.
http://easgs.wordpress.com
14
openSUSE 13.1 con Active Directory Guía Ilustrada
Ahora nos vamos a Yast/Seguridad y Usuarios/Configuracion Apparmor
Seleccionamos Configuracion y hacemos clic en ejecutar
http://easgs.wordpress.com
15
openSUSE 13.1 con Active Directory Guía Ilustrada
Quitamos el check a Habilitar AppArmor
Le damos los permisos adecuados a la carpeta /usr/local/samba/private/dns
chown named:named -R /usr/local/samba/private/dns
Ahora procederemos a editar el archivo /etc/named.conf y agregamos lo siguiente en la sección de
opciones:
tkey-gssapi-keytab "/usr/local/samba/private/dns.keytab";
Luego agregamos esto al final del archivo
include "/usr/local/samba/private/named.conf";
http://easgs.wordpress.com
16
openSUSE 13.1 con Active Directory Guía Ilustrada
Editamos el archivo /usr/local/samba/private/named.conf y habilitamos la sección
database "dlopen /usr/local/samba/lib/bind9/dlz_bind9_9.so";
Y comentamos la opción que estaba habilitada por defecto que es
database "dlopen /usr/local/samba/lib/bind9/dlz_bind9.so";.
El archivo debe quedar a como se muestra en la siguiente ilustración
Editamos el archivo /etc/sysconfig/named y modificamos las siguientes opciones para que queden
asi:
NAMED_RUN_CHROOTED="no"
Opcionalmente podemos deshabilitar el uso de ipv6 si no lo utilizamos en nuestra red.
NAMED_ARGS="-4"
Probando DNS
# host localhost. 127.0.0.1
# host 127.0.0.1 127.0.0.1
# host -t SRV _ldap._tcp.sienic.site.
# host -t SRV _kerberos._udp.sienic.site.
# host -t A smb4server01.sienic.site.
http://easgs.wordpress.com
17
openSUSE 13.1 con Active Directory Guía Ilustrada
Configuracion de Kerberos
Configurar Kerberos
Editamos el archivo /etc/krb5.conf y le ponemos el siguiente contenido suponiendo que el nombre
del realm es SIENIC.SITE, este tiene que estar escrito en mayúsculas.
[libdefaults]
default_realm = SIENIC.SITE
dns_lookup_realm = false
dns_lookup_kdc = true
Probando kerberos
# kinit
[email protected]
# klist
http://easgs.wordpress.com
18
openSUSE 13.1 c
Comentarios de: openSUSE 13.1 con Active Directory (0)
No hay comentarios