Integrando Ubuntu a Windows Active Directory
En este post mostraremos un ejemplo de integración de Ubuntu a un dominio Windows de forma que tanto nuestro escritorio como mapeos de red trabajen con el dominio Windows sin problemas.
- Resolvemos Dependencias
- Configuramos NTP, FQDN de nuestro equipo y DNS
- Configuramos SAMBA
- Configuramos Kerberos
- Configuramos PAM y Nsswitch.con
- Configuramos Grupos de Administradores del Dominio
- Configuramos Unity
- Reiniciamos servicios
- Integramos nuestro equipo al dominio Windows
- Resolvemos Dependencias
apt-get install krb5-kdc winbind ntp
- Configuramos NTP, FQDN de nuestro equipo y DNS
– NTP: configuramos nuestro NTP de la red editando el archivo /etc/ntp.conf y agregando la linea «server 1.1.1.111», donde 1.1.1.111 es la IP de nuestro servidor NTP. Luego reiniciamos el servicio NTP ejecutando «/etc/init.d/ntp restart».
– FQDN de nuestor equipo: editamos el archivo /etc/hosts y agregamos el nombre de nuestro equipo en el dominio, ej «ubuntu.midomain.example.com».
– Editamos el archivo «/etc/resolv.conf» y agregamos el DNS del dominio, comúnmente son los propios AD, ej. «nameserver 1.1.1.2», donde 1.1.1.2 es la IP de nuestro servidor Active Directory cuyo nombre podía ser «ad01.midomain.example.com».
- Configuramos SAMBA
Editamos el archivo «/etc/samba/smb.conf» y agregamos las siguientes líneas:workgroup = MIDOMAIN security = ads realm = MIDOMAIN.EXAMPLE.COM password server = AD01.MIDOMAIN.EXAMPLE.COM winbind refresh tickets = yes winbind uid = 10000-20000 winbind gid = 10000-20000 domain logons = yes winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes use kerberos keytab = Yes idmap gid = 10000-20000 idmap uid = 10000-20000 template homedir = /home/%D/%U template shell = /bin/bash usershare allow guests = Yes usershare max shares = 100 allow trusted domains = yes
- Configuramos Kerberos
Editamos el archivo /etc/krb5.conf y agregamos/modificamos las siguientes líneas:[libdefaults] default_realm = MIDOMAIN.EXAMPLE.COM ...
[realms] MIDOMAIN.EXAMPLE.COM = { kdc = 1.1.1.2 default_domain = MIDOMAIN.EXAMPLE.COM admin_server = AD01.MIDOMAIN.EXAMPLE.COM } ...
[domain_realm] .ad01.midomain.example.com = MIDOMAIN.EXAMPLE.COM ad01.midomain.example.com = MIDOMAIN.EXAMPLE.COM
- Configuramos PAM y Nsswitch.conf
– Editamos el archio «/etc/nsswitch.conf» y agregamos «winbind» en las siguientes líneas:passwd: compat winbind group: compat winbind shadow: compat
– Editamos los siguientes archivos de PAM y agregamos las líneas detalladas a continuación:
Archivo: /etc/pam.d/common-account account sufficient pam_winbind.so account required pam_unix.so Archivo: /etc/pam.d/common-auth auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok_secure use_first_pass auth required pam_deny.so Archivo: /etc/pam.d/common-session session required pam_unix.so session required pam_mkhomedir.so umask=0022 skel=/etc/skel
– Ejecutamos el siguiente comando y seleccionamos la auto-creación del directorio HOME en caso de que ya no se encuentre seleccionado:
sudo pam-auth-update
- Configuramos Grupos de Administradores del Dominio
– Editamos el archivo «/etc/sudoers» y agregamos el grupo administrador del dominio para que tenga privilegios de «root» agregando la siguiente línea, ej el grupo «domain admins» es el grupo de administradores del dominio:%DOMAIN\ ADMINS ALL=(ALL:ALL) ALL
- Configuramos Unity
– Editamos las opciones de inicio de Unuty para poder indicar los usuarios del dominio. Para esto agregamos las siguientes líneas en el archivo «/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf»:/usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf [SeatDefaults] greeter-session=unity-greeter allow-guest=false greeter-show-remote-login=false greeter-show-manual-login=true
- Reiniciamos servicios
kdb5_util create /etc/init.d/samba restart /etc/init.d/winbind restart
- Integramos nuestro equipo al dominio Windows
– Para agregar el equipo al dominio Windows primero generamos un ticket con «kerberos» y luego lo unimos al domino. Para esto necesitaremos un usuarios con privilegios en el dominio, ej. «DomainAdminUser»:kinit DomainAdminUser net ads join -U DomainAdminUser Ignoring unknown parameter "use kerberos keytab" Enter DomainAdminUser's password: Using short domain name -- MIDOMAIN Joined 'UBUNTU' to dns domain 'MIDOMAIN.EXAMPLE.COM'