Tras dar unas cuantas vueltas y probar distintas posibilidades (editando ficheros a mano, empleando sadms,...) para integrar un equipo cliente con Ubuntu en un dominio basado en Active Directory ( Directorio Activo) de Windows finalmente he encontrado un manual genial -resolvía incluso los problemas derivados del uso de servidores dhcp- de la universidad Politécnica de Valencia que es el que a continuación copio, casi integramente:
Tabla de Contenidos
- Enlaces a la documentación oficial
- Configuración Previa
- Instalación y configuración el software
- Inicio de sesión
- Configurar ssh para que utilice kerberos
- Montar unidades y ejecutar scripts
- Resolución de problemas
Estas instrucciones han sido probadas en ubuntu 7.10/8.04. La instalación en otras distribuciones puede variar. En la página web de likewise pueden comprobarse todas las versiones de Linux/UNIX y otros sistemas operativos soportadas.
Los DNS de la máquina deben ser los del directorio activo (172.16.10.1, 172.16.10.2)
Editar el fichero /etc/resolv.conf y pegar este código:
Editar el fichero /etc/resolv.conf y pegar este código:
domain acarballeira
search acarballeira
nameserver 172.16.10.1
nameserver 172.16.10.2
nameserver 172.16.10.100
Si utilizamos dhclient para configurar la interfaz por DHCP, hemos de añadir estas líneas en el fichero /etc/dhcp3/dhclient.conf para que no nos machaque la configuración:
nameserver 172.16.10.1
nameserver 172.16.10.2
nameserver 172.16.10.100
Si utilizamos dhclient para configurar la interfaz por DHCP, hemos de añadir estas líneas en el fichero /etc/dhcp3/dhclient.conf para que no nos machaque la configuración:
prepend domain-name "acarballeira ";
supersede domain-name-servers 172.16.10.1,172.16.10.2,172.16.10.100;
En algunos equipos me daba problemas al hacer ping al servidor (con el servidor de dns), quizás debido a VMware Player, para solucionarlo, editar el fichero /etc/hosts e incluir las ips de vuestro servidor:
172.16.10.1 servidor.acarballeira servidor
172.16.10.1 servidor.acarballeira servidor
Es posible que algunas distribuciones incluyan el software en sus repositorios oficiales (p.e. Ubuntu 8.04 y posteriores desde el Administrador de paquetes synaptic) aunque es preferible descargarlo de la web para tener instalada la última versión disponible:
Descargar e instalar el software (instalador y utilidad gráfica para unirse a un dominio):
Ejecutar la aplicación para unirnos al dominio: /usr/centeris/bin/domainjoin-gui (puede estar en otra ruta o más sencillo desde Sistema--Administración--Likewise). (También puede usarse la herramienta de línea de comandos domainjoin-cli).
En la pantalla que aparece debemos introducir el nombre de la máquina y el dominio (ACARBALLEIRA). También podemos indicar la OU en la que queremos que la máquina se cree. Si no indicamos nada se creará en la OU por defecto (Computers).
En caso de qué no actualice el nombre de nuestro sistema podemos hacerlo desde la interfaz gráfica de modo sencillo: vamos a Sistema--Administración --Red; pulsamos desbloquear y tras introducir la contraseña, nos vamos a la pestaña General dónde le asignaremos a nuestro equipo el nombre que queramos tenga en el dominio.
En caso de qué no actualice el nombre de nuestro sistema podemos hacerlo desde la interfaz gráfica de modo sencillo: vamos a Sistema--Administración --Red; pulsamos desbloquear y tras introducir la contraseña, nos vamos a la pestaña General dónde le asignaremos a nuestro equipo el nombre que queramos tenga en el dominio.
A continuación introducimos un usuario y contraseña con permisos para añadir máquinas al dominio.
Una vez finalizado el asistente, ya tenemos la máquina en el dominio y lista para utilizar los servicios.
Para iniciar sesión en el dominio utilizamos nuestro usuario (acarballeira\login, login@acarballeira, ) y password de ACARBALLEIRA/ALUMNO
Es posible restringir el inicio de sesión en la máquina a ciertos usuarios indicándolo en el fichero (/etc/likewise/lsassd.conf). Ej:
restrict-login-to-group = ACARBALLEIRA\usuarios^del^dominio
También es posible en ese fichero configurar otros parámetros como los tiempos de cachés, el shell por defecto, la ubicación de los directorios HOME, etc.
Configurar ssh para que utilice kerberos
Configurar ssh para que utilice kerberos
Esto nos permitirá autenticar clientes que se conecten a esta máquina mediante kerberos, así como conectar a servidores ssh que soporten kerberos de forma transparente.
Configuración en el cliente (/etc/ssh/ssh_config):
Configuración en el cliente (/etc/ssh/ssh_config):
GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes
GSSAPIDelegateCredentials yes
Configuración en el servidor (/etc/ssh/sshd_config):
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
Es posible hacerlo en el inicio de sesión con los modulos pam_script y pam_mount. Más información, en las webs de los modulos o en la web de soporte de la distribución.(en cuanto lo tenga listo lo pondré aquí mismo.
Resolución de problemas
Resolución de problemas
Para activar el debug podemos editar el fichero /etc/likewise/lsassd.conf y modificar el parámetro log-level. De este modo obtendremos más información en el fichero donde se guarden los logs de autenticación (/var/log/auth.log en ubuntu).
Error al iniciar sesión: ”Failed to establish your Kerberos Ticket cache due time differences with the domain controller. Please verify the system time.“
La hora del sistema es diferente a la de los servidores de UPVNET. Modificar la hora del sistema local o configurar su actualización automática mediante el protocolo NTP contra el servidor de tiempo de acarballeira.
Al introducir el usuario y la contraseña aparece un mensaje que pone: ”Error”. Antes de reiniciar el equipo si que funcionaba: Arrancar el servicio likewise (generalmente /etc/init.d/likewise-open start) y configurar el sistema para que lo inicie automáticamente (en ubuntu: update-rc.d likewise-open defaults).
”Server not found in kerberos database:“
Si al conectar a un servidor nos da este error, es porque no existe un SPN para el nombre indicado. Suele ocurrir cuando utilizamos alias como *.cc.upv.es en lugar de *.upvnet.upv.es. Si el servidor es windows, hay que añadir el SPN con la utilidad setspn.exe. Si es linux, hay que añadir el spn con sudo lwinet ads keytab add /@UPVNET.UPV.ESError al iniciar sesión: ”Failed to establish your Kerberos Ticket cache due time differences with the domain controller. Please verify the system time.“
La hora del sistema es diferente a la de los servidores de UPVNET. Modificar la hora del sistema local o configurar su actualización automática mediante el protocolo NTP contra el servidor de tiempo de acarballeira.
Al introducir el usuario y la contraseña aparece un mensaje que pone: ”Error”. Antes de reiniciar el equipo si que funcionaba: Arrancar el servicio likewise (generalmente /etc/init.d/likewise-open start) y configurar el sistema para que lo inicie automáticamente (en ubuntu: update-rc.d likewise-open defaults).
”Server not found in kerberos database:“
CopyPasteandoLink
0 comentarios:
Publicar un comentario