Linux como clientes de un directorio activo en windows 2003

Andando por ahi en la web me encontre con un pequeño tutorial en el cual explicaban brevemente como se podia integrar un cliente linux a un directorio activo, y pues como me parcio importante lo voy a postear aca en mi blog, este fue extraido de la pagina web http://osl.ull.es/node/68, aunque no he comprobado su funcionamiento, muy pronto lo hare!!

Introducción

En este artículo vamos a explicar como hemos configurado una máquina linux para que actúe como cliente de un directorio activo (DA) montado sobre windows 2003.

El problema es el siguiente: tenemos un DA montado sobre windows que no se puede quitar y queremos usar las cuentas creadas en el DA en nuestros clientes linux. Lo ideal sería mantener un solo árbol de usuarios, así podemos, por ejemplo, cambiar la contraseña en windows y que el cambio tenga efecto en linux.

Nuestra propuesta consiste en usar el demonio winbind en los clientes linux. Este consiste en librerías para PAM y NSS que permiten realizar consultas directamente al DA. Usando estas librerías podemos iniciar sesión en linux con cuentas alojadas el el ldap del DA.

Actualización: Este documento nos ha funcionado a nosotros pero no ha sido el caso en otras instalaciones. Recomendamos seguir leyendo este otro documento si se encuentra cualquier problema.

Instalación

  1. Instalar el paquete winbind
  2. Editamos /etc/nsswitch.conf:
    passwd:         compat winbind
    group:          compat winbind
    shadow:         compat
    
  3. Editamos /etc/pam.d/common-account,
    account sufficient      pam_winbind.so
    account required        pam_unix.so try_first_pass
    
  4. /etc/pam.d/common-auth,
    auth    sufficient      pam_winbind.so
    auth    required        pam_unix.so nullok_secure try_first_pass
    
  5. /etc/pam.d/common-password,
    password    sufficient      pam_winbind.so
    password   required   pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
    
  6. y /etc/pam.d/common-session
    session sufficient      pam_winbind.so
    session required        pam_unix.so try_first_pass
    
  7. Editamos la configuración de samba /etc/samba/smb.conf, cambiando estos parámetros:
      workgroup = NOMBRE_DEL_DOMINIO
      winbind use default domain = yes
    
      netbios name = NOMBRE_DEL_CLIENTE_LINUX
    
      # separate domain and username with '\', like DOMAIN\username
      winbind separator = '\'
      # allow enumeration of winbind users and groups
      winbind enum users = yes
      winbind enum groups = yes
      # give winbind users a real shell (only needed if they have telnet access)
      template homedir = /home/winnt/%D/%U
      template shell = /bin/bash
    
  8. Nos unimos al dominio:
     net rpc join -S <NOMBRE_NETBIOS_PDC> -U Administrador
    
  9. Y comprobamos que todo funciona:
     wbinfo -u
    

Este último comando nos debería devolver un listado con los usuarios creados en el DA. Si no te funciona, sigue leyendo el siguiente punto.

Errores comunes

  1. Comprueba que el servidor DNS que estás usando es la misma máquina que tiene el DA. Es necesario resolver el dominio completo NOMBRE_MAQUINA.NOMBRE_DOMINIO.DOMINIO.
  2. Intenta utilizar una versión reciente de samba. Hemos detectado problemas con la versión que trae Ubuntu Breezy (3.0.14a-6ubuntu1). La versión con la que realizamos esta prueba fue la 3.0.21.
  3. Reinicia los demonios de samba y winbind.
    /etc/init.d/samba restart
    /etc/init.d/winbind restart
    

Cosas pendientes

Un punto que nos falta por resolver es montar los home de los usuarios en los linux. Estamos mirando el programa pam-mount. En cuanto lo probemos escribiremos por aquí como configurarlo.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s