Sitio para la difusión de conocimiento informático.

Integrando Ubuntu a Windows Active Directory

Integrando Ubuntu a Windows Active Directory

En este post mostraremos un ejemplo de integración de Ubuntu a un dominio Windows de forma que tanto nuestro escritorio como mapeos de red trabajen con el dominio Windows sin problemas.

  1. Resolvemos Dependencias
  2. Configuramos NTP, FQDN de nuestro equipo y DNS
  3. Configuramos SAMBA
  4. Configuramos Kerberos
  5. Configuramos PAM y Nsswitch.con
  6. Configuramos Grupos de Administradores del Dominio
  7. Configuramos Unity
  8. Reiniciamos servicios
  9. Integramos nuestro equipo al dominio Windows

 

  • Resolvemos Dependencias
    apt-get install krb5-kdc winbind ntp

 

  • Configuramos NTP, FQDN de nuestro equipo y DNS
    – NTP: configuramos nuestro NTP de la red editando el archivo /etc/ntp.conf y agregando la linea «server 1.1.1.111», donde 1.1.1.111 es la IP de nuestro servidor NTP. Luego reiniciamos el servicio NTP ejecutando «/etc/init.d/ntp restart».
    – FQDN de nuestor equipo: editamos el archivo /etc/hosts y agregamos el nombre de nuestro equipo en el dominio, ej «ubuntu.midomain.example.com».
    – Editamos el archivo «/etc/resolv.conf» y agregamos el DNS del dominio, comúnmente son los propios AD, ej. «nameserver 1.1.1.2», donde 1.1.1.2 es la IP de nuestro servidor Active Directory cuyo nombre podía ser «ad01.midomain.example.com».

 

  • Configuramos SAMBA
    Editamos el archivo «/etc/samba/smb.conf» y agregamos las siguientes líneas:

            workgroup = MIDOMAIN
        security = ads
        realm = MIDOMAIN.EXAMPLE.COM
        password server = AD01.MIDOMAIN.EXAMPLE.COM
        winbind refresh tickets = yes
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        domain logons = yes
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        use kerberos keytab = Yes
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        template homedir = /home/%D/%U
        template shell = /bin/bash
        usershare allow guests = Yes
        usershare max shares = 100
	allow trusted domains = yes
  • Configuramos Kerberos
    Editamos el archivo /etc/krb5.conf y agregamos/modificamos las siguientes líneas:

    [libdefaults]
	default_realm = MIDOMAIN.EXAMPLE.COM
...
    [realms]
	MIDOMAIN.EXAMPLE.COM = {
	        kdc = 1.1.1.2
	        default_domain = MIDOMAIN.EXAMPLE.COM
	        admin_server = AD01.MIDOMAIN.EXAMPLE.COM
	}
...
    [domain_realm]
        .ad01.midomain.example.com = MIDOMAIN.EXAMPLE.COM
        ad01.midomain.example.com = MIDOMAIN.EXAMPLE.COM
  • Configuramos PAM y Nsswitch.conf
    – Editamos el archio «/etc/nsswitch.conf» y agregamos «winbind» en las siguientes líneas:

    passwd:         compat winbind
group:          compat winbind
shadow:         compat

    – Editamos los siguientes archivos de PAM y agregamos las líneas detalladas a continuación:

    Archivo: /etc/pam.d/common-account
account sufficient       pam_winbind.so
account required         pam_unix.so

Archivo: /etc/pam.d/common-auth
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so

Archivo: /etc/pam.d/common-session
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

    – Ejecutamos el siguiente comando y seleccionamos la auto-creación del directorio HOME en caso de que ya no se encuentre seleccionado:

    sudo pam-auth-update
  • Configuramos Grupos de Administradores del Dominio
    – Editamos el archivo «/etc/sudoers» y agregamos el grupo administrador del dominio para que tenga privilegios de «root» agregando la siguiente línea, ej el grupo «domain admins» es el grupo de administradores del dominio:

    %DOMAIN\ ADMINS ALL=(ALL:ALL) ALL
  • Configuramos Unity
    – Editamos las opciones de inicio de Unuty para poder indicar los usuarios del dominio. Para esto agregamos las siguientes líneas en el archivo «/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf»:

    /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf 
[SeatDefaults]
greeter-session=unity-greeter
allow-guest=false
greeter-show-remote-login=false
greeter-show-manual-login=true

 

  • Reiniciamos servicios 
    kdb5_util create
/etc/init.d/samba restart
/etc/init.d/winbind restart
  • Integramos nuestro equipo al dominio Windows
    – Para agregar el equipo al dominio Windows primero generamos un ticket con «kerberos» y luego lo unimos al domino. Para esto necesitaremos un usuarios con privilegios en el dominio, ej. «DomainAdminUser»:

    kinit DomainAdminUser
net ads join -U DomainAdminUser
Ignoring unknown parameter "use kerberos keytab"
Enter DomainAdminUser's password:
Using short domain name -- MIDOMAIN
Joined 'UBUNTU' to dns domain 'MIDOMAIN.EXAMPLE.COM'