Páginas

sábado, 19 de diciembre de 2009

Unir Linux a un dominio Active Directory

Hace falta tener instalados todos los paquetes cliente de Samba, Winbind, y Kerberos. Tambien es
necesario que haya cuentas para los usuarios y equipos Linux en Active
Directory.
1. Instalar los paquetes:
# aptitude install samba smbclient winbind krb5-user krb5-config
Detener samba y winbind
# /etc/init.d/samba stop
# /etc/init.d/winbind stop

Luego, cree un grupo Linux que albergue Machine Trust Accounts:
# groupadd machines

Agregar los hosts importantes a /etc/hosts
# /etc/hosts
192.168.1.55 samba.dominio.com samba1
192.168.1.35 windows1.dominio.com windows1

Asegurese de que /etc/resolv.conf contenga su servidor DNS:
nameserver 192.168.1.45

Ahora pruebe a conectar con el KDC. No debería haber errores.
# kinit freedom@dominio.com
Password for freedom@dominio.com

Tendra que editar /etc/samba/smb.conf para autenticar frente a Active Directory, utilizando su propio nombre de dominio, nombre NETBIOS, cadena del servidor y seccion realm de Kerberos. Será algo asi:

/etc/samba/smb.conf

[global]
workgroup = dominio
netbios name = samba1
realm = DOMINIO.COM
server string = Samba server one
security = ADS
encrypt passwords = yes

idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
winbind enum users = Yes
winbind enum groups = Yes
winbind separator = +

log file = /var/log/samba/log
log level = 2
max log size = 50
hosts allow = 192.168.1.

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

Edite /etc/nsswitch.conf incluya estas lineas
passwd: files winbind
group: files winbind
shadow: files

Inicie Samba y winbind. Una el pc Linux al dominio Active Directory, también establezca una Machine Trust Acount con la cuenta de administrador del servidor AD ó la de cualquier usuario con derechos administrativos.
# net ads join -U Administrador%password

En este momento deberia ver una cuenta de equipo nueva con el nombre NetBIOS de su PC Linux (samba1) en AD, debajo de equipos en la carpeta Equipos.

finalmente tiene que configurar los PAM (Pluggable Authentication Modules) de manera que permita la autenticación vía Winbind.

#
# The PAM configuration file for the Shadow `login' service
#
auth requisite pam_securetty.so
auth requisite pam_nologin.so
auth required pam_env.so
auth sufficient pam_winbind.so
auth required pam_unix.so nullok use:first_pass

account requisite pam_time.so
account sufficient pam_winbind.so
account required pam_unix.so

session required pam_unix.so
session optional pam_time.so
session optional pam_motd.so
session optional pam_mail.so standard noenv
session required pam_mkhomedir.so skel=/etc/skel umask=0027

Reinicie su maquina Linux,luego intente entrar en el dominio.

Por diseño Windows dificulta la interoperabilidad. Pero los programadores de Linux, hacen posible esta y las redes mixtas. Importante es la directiva pam_mkhomedir.so crea directorios personales para los usuarios la primera vez que entran.

Notese que como las cuentas de usuario son gestionadas en el servidor AD y estan disponibles via Winbind y PAM para Linux, no sera necesario crear cuentas duplicadas en el Ordenador LINUX. Aunque puede seguir teniendo cuentas locales en la máquina Linux. Estas son invisibles para Active Dir, y permiten a los usuarios administrativos acceder con libertad al servidor local ó remotamente via SSH.

Fuente: Administracion de Sistemas GNU-Linux Lubanovic, Bill; Adelstein, Tom.
Redes en Linux Carla Schroder

domingo, 13 de diciembre de 2009

Arrancar en modo texto en Debian

Debian arranca X Windows automáticamente, probablemente con el Administrador de pantallas de Gnome (GDM), el Administrador de pantallas K (KDM), o el Administrador de pantallas X (XDM). En Sistemas Debian los niveles de ejecución del 2 al 5 son, de forma predeterminada, iguales. Seguramente ha elegido durante la instalación inicio gráfico, los niveles de ejecución del 2 al 5 se iniciarán con inicio de sesión gráfico. ¿Quiere configurarlo todo para que se inicie sólo con una sesión de texto?

Primero debe averiguar cuál es el administrador de pantallas que utiliza su sistema, eliminarlos de los niveles de ejecución apropiados. Para comprobarlo utilice:

$ ps ax | grep dm

2917 ? S 0:00 /usr/sbin/gdm
2921 tty7 S<> .. /init.d/gdm
/etc/rc1.d/K01gdm -> .. /init.d/gdm
/etc/rc2.d/K01gdm -> .. /init.d/gdm
/etc/rc3.d/K01gdm -> .. /init.d/gdm
/etc/rc4.d/K01gdm -> .. /init.d/gdm
/etc/rc6.d/K01gdm -> .. /init.d/gdm
/etc/rc5.d/S30gdm -> .. /init.d/gdm

Puede hacer lo mismo de otra manera:
Para que GDM se ejecute en el nivel de ejecución 5 y prioridad 30, muévase hacia /etc/rc5.d/ y cree un enlace simbólico a gdm:

# cd /etc/rc5.d/
# ln -s /etc/init.d/gdm S30gdm

y detenga el resto
# cd /etc/rc0.d/
# ln -s /etc/init.d/gdm K01gdm
# cd /etc/rc1.d/
# ln -s /etc/init.d/gdm K01gdm
# cd /etc/rc2.d/
# ln -s /etc/init.d/gdm K01gdm
# cd /etc/rc3.d/
# ln -s /etc/init.d/gdm K01gdm
# cd /etc/rc4.d/
# ln -s /etc/init.d/gdm K01gdm
# cd /etc/rc6.d/
# ln -s /etc/init.d/gdm K01gdm

Otra forma de habilitar un servicio, update-rc.d nombre defaults n-start n-stop:
# update-rc.d gdm defaults 30 01

Por último edite /etc/inittab para establecer el nivel de ejecución predeterminado para que los arranques del sistema se realicen en modo de texto. El nivel de ejecución predeterminado de Debian es 2.

# The default runlevel.
id:2:initdefault:

También debe saber que el arranque en modo texto sigue ofreciendo la opción de ejecutar X Windows cuando desee. Ejecute startx para ejecutar X Windows.

Si en el archivo /etc/inittab el 2 lo sustituye por 5 arrancará automáticamente X Windows.

update-rc.d es el comando utilizado por Debian para editar niveles de ejecución. El indicador -f quiere decir "forzar la eliminación de los symlinks aunque siga existiendo /etc/init.d/nombre". Así se preserva el script de inicio en /etc/init.d, algo que definitivamente no quiere eliminar.

Los servicios habilitados para iniciar en el arranque que no utilice, por ejemplo, pcmcia (es un periférico diseñado para computadoras portátiles), demonio cron, postfix, etc podrá desactivarlos de manera que no desperdiciará inútilmente los recursos de hardware.