Integrar un servidor GNU/Linux a un directorio activo de Microsoft

Estos son los pasos a seguir para integrar un servidor RedHat a un AD de Microsoft y poder iniciar sesión con usuarios de AD en RedHat.

Excepto los pasos de instalación de paquetes, el resto de pasos deben servir para el resto de distribuciones de GNU/Linux y para los Unix en general.

  • Instalar y configurar NTP para que sincronice con el ad
    • yum install ntp
    • editar /etc/ntp.conf y agegar la línea “server ip_del_DC
  • Instalar samba
    • yum install samba
    • Samba debe estar compilado con las opciones: “–with-shared-modules=idmap_ad,idmap_rid”, para comprobarlo ejecutar los comandos
      • grep idmap_ad $(which smbd)
      • grep idmap_rid $(which smbd)
  • Configurar PAM (Plugable Authentication Modules)
    • Edita el archivo /etc/pam.d/system-auth debe contener las líneas:
      • account     [default=bad success=ok user_unknown=ignore] pam_winbind.so
      • password    sufficient    pam_winbind.so use_authtok
      • session     optional      pam_mkhomedir.so skel=/etc/skel umask=0077
      • El orden de las directivas PAM es importante, por lo tanto el archivo debe quedar así:
#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth        required      pam_env.so

auth        sufficient    pam_unix.so nullok try_first_pass

auth        requisite     pam_succeed_if.so uid >= 500 quiet

auth        required      pam_deny.so

 

account     required      pam_unix.so

account     sufficient    pam_succeed_if.so uid < 500 quiet

account     [default=bad success=ok user_unknown=ignore] pam_winbind.so

account     required      pam_permit.so

 

password    requisite     pam_cracklib.so try_first_pass retry=3

password    sufficient    pam_unix.so obscure sha512 shadow nullok try_first_pass use_authtok remember=10

password    sufficient    pam_winbind.so use_authtok

password    required      pam_deny.so

 

session     optional      pam_keyinit.so revoke

session     required      pam_limits.so

session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session     optional      pam_mkhomedir.so skel=/etc/skel umask=0077

session     required      pam_unix.so

 

  • Configurar NSS (Name Service wSitch)
    • passwd:     files winbind
    • shadow:     files winbind
    • group:      files winbind
  • Configurar Samba winbind
    • El archivo /etc/samba/smb.conf debe contener las líneas
      • security = ads
      • realm = <NOMBRE_DEL_DOMINIO>
      • password server = *
      • idmap backend = rid
      • template homedir = /home/%U
      • Estas directivas no deben estar repetidas en el archivo
  • Agregar el servidor al dominio
    • Para este paso es necesario que la máquina resuelva el nombre de dominio, el nombre de host del servidor AD y el nombre de host más el dominio
    • Asegurar que se puede hacer ping al hostname del servidor que queremos añadir, sino agregarlo a /etc/hosts
    • net ads join -U <Usuario_con_privilegios_en_el_AD>
  • Iniciar sesión con un usuario de dominio poniendo en minúsculas tanto el nombre de dominio como el de usuario
    • dominio\usuario

Deja un comentario

Tu dirección de correo electrónico no será publicada.