[eside-ghost] Receta: Integrar GNU\Linux en Active directory

[Fernando de Urien y Muñiz]

Ieeep!
Me está dando un poco de guerra el Wiki pero ya tengo la receta. Os la envío
también por mail.

############################################################################
Paso 1:

Instalar los paquetes necesarios: En debian... jeje, lo de siempre!

apt-get install krb5-user
apt-get install winbind samba


Paso 2: Editar la configuración del cliente Kerberos

El fichero en cuestión es: /etc/krb5.conf   y debe quedar con esta
configuración (sustituid los parámetros de vuestro dominio)(INTERNAL hace
referencia al .com , .net o lo que sea. Vigilad las mayúsculas y minúsculas)

[logging]
default = FILE10000:/var/log/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.INTERNAL
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
DOMAIN.INTERNAL = {
kdc = domainserver.domain.internal
admin_server = domainserver.domain.internal
default_domain = DOMAIN.INTERNAL
}
[domain_realm]
.domain.internal = DOMAIN.INTERNAL
domain.internal = DOMAIN.INTERNAL


Paso 3: Configurar Samba

ok, el fichero de configuración es el smb.conf (yo hago una copia de backup
del original y me lo fundo para empezarlo desde 0 )

[global]
security = ads
netbios name = DOMAIN
realm = DOMAIN.INTERNAL
password server = domainserver.domain.internal
workgroup = DOMAIN
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no


Paso 4: Configuración de nsswitch

El fichero es: /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis


Paso 5: Configurar el modulo PAM

# En el fichero /etc/pam.d/common-account yo pongo lo siguiente:

account sufficient pam_winbind.so
account required pam_unix.so

# En /etc/pam.d/common-auth:

auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass

# En /etc/pam.d/common-password hay que modificar un poco los parámetros

password required pam_unix.so nullok obscure min=4 max=50 md5

# En /etc/pam.d/common-session asegurarse de que existe esta linea

session required pam_mkhomedir.so umask=0022 skel=/etc/skel

Paso 6: Crear una carpeta Home para los usuarios que inicien sesión con
cuenta de dominio (se puede modificar esto metiendo mano en el smb.conf)

mkdir /home/DOMAIN

Paso 7: Inicializar kerberos

kinit domain_admin_account en DOMAIN.INTERNAL

Comprobar que no ha dado ningún error y que se ha generado una etiqueta:

klist

Paso 8: Meter la máquina en dominio:

net ads join -U domain_admin_account en DOMAIN.INTERNAL

Paso 9: Reiniciar los servicios Samba. Yo prefiero reiniciar el equipo (A)
Así me aseguro de que el ssh tb autentica y que alguna otra cosilla por ahí
también pilla los cambios. El orden de reinicio de samba es importante; debe
hacerse así:

/etc/init.d/samba stop
/etc/init.d/winbind stop
/etc/init.d/samba start
/etc/init.d/winbind start


Para inciar sesión por ssh solo hay que usar como nombre de usuario el
SAMACCOUNTNAME que es lo que va antes de la arroba; por ejemplo

Login: 1feurien
Password: