Diferencia entre revisiones de «Autenticación Linux en Active Directory»
| Línea 35: | Línea 35: | ||
sds02.intlab.prisadigital.lab | sds02.intlab.prisadigital.lab | ||
</pre> | </pre> | ||
| + | |||
| + | == Configuración de autenticación == | ||
| + | Para hacer la configuración de los diferentes ficheros de configuración para la validación se puede usar el ejecutable '''authconf''' | ||
| + | |||
| + | <pre> | ||
| + | # authconfig --disablecache --enablewinbind --enablewinbindauth --smbsecurity=ads --smbworkgroup=WORKGROUP --smbrealm=intlab.prisadigital.lab --enablewinbindusedefaultdomain --winbindtemplatehomedir=/home/EXAMPLE/%u --winbindtemplateshell=/bin/bash --enablekrb5 --enablekrb5kdcdns --enablekrb5realmdns --enablelocauthorize --enablemkhomedir --enablepamaccess --updateall | ||
| + | </pre> | ||
| + | |||
| + | Este comando, tras su ejecución, debería reiniciar el servicio winbind. Si no es así lo lanzamos a mano: | ||
| + | |||
| + | <pre> | ||
| + | # service winbind restart | ||
| + | </pre> | ||
| + | |||
| + | Se habrán modificado varios ficheros con el authconf, entre los que se encuentran: | ||
| + | |||
| + | * /etc/nsswitch.conf | ||
| + | * /etc/krb5.conf | ||
| + | * /etc/samba/smb.conf | ||
| + | * /etc/pam.d/system-auth | ||
| + | * (...) seguro que alguno más | ||
| + | |||
| + | == Metiendo linux en dominio == | ||
| + | |||
| + | Ahora podemos poner el linux en dominio, para ello tendremos que usar el comando de samba '''net''' | ||
| + | |||
| + | <pre> | ||
| + | # net ads join -U <usuario> | ||
| + | </pre> | ||
| + | |||
| + | Ponemos la contraseña del usuario con privilegios de domain admin del dominino y automáticamente la máquina se añadirá. Nos siguiere que cambiemos el workgroup del fichero de configuración /etc/samba/smb.conf para que coincida con el de nuestro dominio. (en mi caso el doiminio es intlab.prisadigial.lab y el dominio es INTLABPDIGITAL | ||
Revisión de 13:01 19 jul 2012
Contenido
Introducción
Se busca un sistema en el que las máquinas linux se validen con usurios gestionados en Active Directory de Microsoft. Además es un ambiente en el que habrá varios dominios, y en ambos dominios habrá usuarios que necesiten validarse en estas máquinas. (Administración de servidores compartida por dos dominios)
Que se necesita
- Sistema único de validación de usuarios en ssh
- Validación de aplicaciones web
- Multidominio
Pruebas con winbind
Para hacer estas pruebas he cogido un CENTOS 5.7. Este servidor esta en una red en la que existen dos dominios de windows:
- prisacomlab.lab
- intlab.prisadigital.lab
Estos dos dominios son una simulación de migración de usuarios de un dominio a otro. Para nuestra prueba es perfecto puesto que ya existe una relación de confianza entre ambos dominios.
La idea es ligar la máquina SDS02.intlab.prisadigital.lab (la máquina linux) contra el dominio intlab.prisadigital.lab, y ver si podemos validarnos con winbind y además usar usuarios del otro dominio con el que tenemos relación de confianza.
Instalación de paquetes inicial
Para empezar hemos instalado los siguientes paquetes:
- yum install samba-common
- yum install pam_krb5
- yum install sudo
- yum install authconfig
Hemos configurado el winbind para que arranque automáticamente:
- chkconfig winbind on
Y hemos comprobado que con hostname -f nos devuelve el fqdn completo del dominio en el que queremos validar la máqiuna:
# hostname -f sds02.intlab.prisadigital.lab
Configuración de autenticación
Para hacer la configuración de los diferentes ficheros de configuración para la validación se puede usar el ejecutable authconf
# authconfig --disablecache --enablewinbind --enablewinbindauth --smbsecurity=ads --smbworkgroup=WORKGROUP --smbrealm=intlab.prisadigital.lab --enablewinbindusedefaultdomain --winbindtemplatehomedir=/home/EXAMPLE/%u --winbindtemplateshell=/bin/bash --enablekrb5 --enablekrb5kdcdns --enablekrb5realmdns --enablelocauthorize --enablemkhomedir --enablepamaccess --updateall
Este comando, tras su ejecución, debería reiniciar el servicio winbind. Si no es así lo lanzamos a mano:
# service winbind restart
Se habrán modificado varios ficheros con el authconf, entre los que se encuentran:
- /etc/nsswitch.conf
- /etc/krb5.conf
- /etc/samba/smb.conf
- /etc/pam.d/system-auth
- (...) seguro que alguno más
Metiendo linux en dominio
Ahora podemos poner el linux en dominio, para ello tendremos que usar el comando de samba net
# net ads join -U <usuario>
Ponemos la contraseña del usuario con privilegios de domain admin del dominino y automáticamente la máquina se añadirá. Nos siguiere que cambiemos el workgroup del fichero de configuración /etc/samba/smb.conf para que coincida con el de nuestro dominio. (en mi caso el doiminio es intlab.prisadigial.lab y el dominio es INTLABPDIGITAL
