vamos a explicar como hemos configurado una máquina linux para que actúe como cliente de un directorio activo (DA) montado sobre windows 2003.
El problema es el siguiente: tenemos un DA montado sobre windows que no se puede quitar y queremos usar las cuentas creadas en el DA en nuestros clientes linux. Lo ideal sería mantener un solo árbol de usuarios, así podemos, por ejemplo, cambiar la contraseña en windows y que el cambio tenga efecto en linux.
Nuestra propuesta consiste en usar el demonio winbind en los clientes linux. Este consiste en librerías para PAM y NSS que permiten realizar consultas directamente al DA. Usando estas librerías podemos iniciar sesión en linux con cuentas alojadas el el ldap del DA.
Actualización: Este documento nos ha funcionado a nosotros pero no ha sido el caso en otras instalaciones. Recomendamos seguir leyendo este otro documento si se encuentra cualquier problema.
Instalación:
*Instalar el paquete winbind
*Instalar el paquete winbind
*Editamos /etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
shadow: compat
* Editamos /etc/pam.d/common-account,
account sufficient pam_winbind.so
account required pam_unix.so try_first_pass
* /etc/pam.d/common-auth,
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure try_first_pass
* /etc/pam.d/common-password,
password sufficient pam_winbind.so
password required pam_unix.so nullok obscure min=4 max=8 md5 try_first_pass
* y /etc/pam.d/common-session
session sufficient pam_winbind.so
session required pam_unix.so try_first_pass
*Editamos la configuración de samba /etc/samba/smb.conf, cambiando estos parámetros:
workgroup = NOMBRE_DEL_DOMINIO
winbind use default domain = yes
netbios name = NOMBRE_DEL_CLIENTE_LINUX
# separate domain and username with '\', like DOMAIN\username
winbind separator = '\'
# allow enumeration of winbind users and groups
winbind enum users = yes
winbind enum groups = yes
# give winbind users a real shell (only needed if they have telnet access)
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
* Nos unimos al dominio:
net rpc join -S -U Administrador
net rpc join -S
*Y comprobamos que todo funciona:
wbinfo -u
wbinfo -u
Este último comando nos debería devolver un listado con los usuarios creados en el DA. Si no te funciona, sigue leyendo el siguiente punto.
Errores comunes:
1.Comprueba que el servidor DNS que estás usando es la misma máquina que tiene el DA. Es necesario resolver el dominio completo NOMBRE_MAQUINA.NOMBRE_DOMINIO.DOMINIO.
2.Intenta utilizar una versión reciente de samba. Hemos detectado problemas con la versión que trae Ubuntu Breezy (3.0.14a-6ubuntu1). La versión con la que realizamos esta prueba fue la 3.0.21.
3.Reinicia los demonios de samba y winbind.
/etc/init.d/samba restart
/etc/init.d/winbind restart
0 comentarios:
Publicar un comentario