jueves, 23 de octubre de 2008

Incluir Ubuntu o debian en un dominio windows (Active directory)

Tras dar unas cuantas vueltas y probar distintas posibilidades (editando ficheros a mano, empleando sadms,...) para integrar un equipo cliente con Ubuntu en un dominio basado en Active Directory ( Directorio Activo) de Windows finalmente he encontrado un manual genial -resolvía incluso los problemas derivados del uso de servidores dhcp- de la universidad Politécnica de Valencia que es el que a continuación copio, casi integramente:



Tabla de Contenidos


Integración de Linux con ACARBALLEIRA - (Likewise Open)

Estas instrucciones han sido probadas en ubuntu 7.10/8.04. La instalación en otras distribuciones puede variar. En la página web de likewise pueden comprobarse todas las versiones de Linux/UNIX y otros sistemas operativos soportadas.


Enlaces a la documentación oficial

Guía de Likewise Enterprise 5

Los DNS de la máquina deben ser los del directorio activo (172.16.10.1, 172.16.10.2)
Editar el fichero /etc/resolv.conf y pegar este código:

domain acarballeira

search acarballeira
nameserver 172.16.10.1
nameserver 172.16.10.2
nameserver 172.16.10.100

Si utilizamos dhclient para configurar la interfaz por DHCP, hemos de añadir estas líneas en el fichero /etc/dhcp3/dhclient.conf para que no nos machaque la configuración:

prepend domain-name "acarballeira ";

supersede domain-name-servers 172.16.10.1,172.16.10.2,172.16.10.100;

En algunos equipos me daba problemas al hacer ping al servidor (con el servidor de dns), quizás debido a VMware Player, para solucionarlo, editar el fichero /etc/hosts e incluir las ips de vuestro servidor:

172.16.10.1 servidor.acarballeira servidor

172.16.10.1 SERVIDOR.ACARBALLEIRA SERVIDOR


Instalación y configuración el software




Es posible que algunas distribuciones incluyan el software en sus repositorios oficiales (p.e. Ubuntu 8.04 y posteriores desde el Administrador de paquetes synaptic) aunque es preferible descargarlo de la web para tener instalada la última versión disponible:

Descargar e instalar el software (instalador y utilidad gráfica para unirse a un dominio):

Ejecutar la aplicación para unirnos al dominio: /usr/centeris/bin/domainjoin-gui (puede estar en otra ruta o más sencillo desde Sistema--Administración--Likewise). (También puede usarse la herramienta de línea de comandos domainjoin-cli).

En la pantalla que aparece debemos introducir el nombre de la máquina y el dominio (ACARBALLEIRA). También podemos indicar la OU en la que queremos que la máquina se cree. Si no indicamos nada se creará en la OU por defecto (Computers).
En caso de qué no actualice el nombre de nuestro sistema podemos hacerlo desde la interfaz gráfica de modo sencillo: vamos a Sistema--Administración --Red; pulsamos desbloquear y tras introducir la contraseña, nos vamos a la pestaña General dónde le asignaremos a nuestro equipo el nombre que queramos tenga en el dominio.

.

A continuación introducimos un usuario y contraseña con permisos para añadir máquinas al dominio.


Una vez finalizado el asistente, ya tenemos la máquina en el dominio y lista para utilizar los servicios.

Inicio de sesión


Para iniciar sesión en el dominio utilizamos nuestro usuario (acarballeira\login, login@acarballeira, ) y password de ACARBALLEIRA/ALUMNO

Es posible restringir el inicio de sesión en la máquina a ciertos usuarios indicándolo en el fichero (/etc/likewise/lsassd.conf). Ej:

restrict-login-to-group = ACARBALLEIRA\usuarios^del^dominio

También es posible en ese fichero configurar otros parámetros como los tiempos de cachés, el shell por defecto, la ubicación de los directorios HOME, etc.

Configurar ssh para que utilice kerberos

Esto nos permitirá autenticar clientes que se conecten a esta máquina mediante kerberos, así como conectar a servidores ssh que soporten kerberos de forma transparente.

Configuración en el cliente (/etc/ssh/ssh_config):

GSSAPIAuthentication yes
GSSAPIDelegateCredentials yes


Configuración en el servidor (/etc/ssh/sshd_config):

GSSAPIAuthentication yes

GSSAPICleanupCredentials yes

Es posible hacerlo en el inicio de sesión con los modulos pam_script y pam_mount. Más información, en las webs de los modulos o en la web de soporte de la distribución.(en cuanto lo tenga listo lo pondré aquí mismo.

Resolución de problemas

Para activar el debug podemos editar el fichero /etc/likewise/lsassd.conf y modificar el parámetro log-level. De este modo obtendremos más información en el fichero donde se guarden los logs de autenticación (/var/log/auth.log en ubuntu).

Error al iniciar sesión: ”Failed to establish your Kerberos Ticket cache due time differences with the domain controller. Please verify the system time.“
La hora del sistema es diferente a la de los servidores de UPVNET. Modificar la hora del sistema local o configurar su actualización automática mediante el protocolo NTP contra el servidor de tiempo de acarballeira.

Al introducir el usuario y la contraseña aparece un mensaje que pone: ”Error”. Antes de reiniciar el equipo si que funcionaba: Arrancar el servicio likewise (generalmente /etc/init.d/likewise-open start) y configurar el sistema para que lo inicie automáticamente (en ubuntu: update-rc.d likewise-open defaults).

”Server not found in kerberos database:“

Si al conectar a un servidor nos da este error, es porque no existe un SPN para el nombre indicado. Suele ocurrir cuando utilizamos alias como *.cc.upv.es en lugar de *.upvnet.upv.es. Si el servidor es windows, hay que añadir el SPN con la utilidad setspn.exe. Si es linux, hay que añadir el spn con sudo lwinet ads keytab add /@UPVNET.UPV.ES.

Fuente:

Universidad Politécnica de Valencia: http://www.upv.es/sta/Manuales/linux/upvnet_linux_likewise.html

sadms: http://sadms.sourceforge.net/

Publicado por Juan en 11:51
Etiquetas: , , , , , , ,

9 comentarios:

Ratzo dijo...

Hola,

He publicado esta nota en Linuxfera. Puedes votar por ella en el siguiente enlace.

Saludos

23 de octubre de 2008, 17:21
Anónimo dijo...

gracias

24 de octubre de 2008, 9:26
SANLINUX dijo...

Hola:
He hecho todo como lo has dicho y se me ha unido al dominio, pero no se como tengo que iniciar la sesion del usuario del AD (¿donde poníamos antes el usuario y contraseña,....)
Gracias

11 de febrero de 2009, 16:44
Juan dijo...

cuando te pide el login como usuario, si tu dominio se llama "empresax" y tienes un usuario llamado "pepe" en dicho dominio, teclearías:

empresax\pepe

11 de febrero de 2009, 20:36
SANLINUX dijo...

Hola:
Ya he conseguido meter equipos y que me funcione.
El problema es que cada vez que reinicio ubuntu, tengo que meterme como administrador e iniciar likewise-open.
¿Hay alguna manera de que se inicie cuando arranca ubuntu?
Gracias. Un saludo

18 de marzo de 2009, 12:28
Juan dijo...

no entiendo porqué te hace falta hacerlo cada vez. Asegúrate de leer los pasos de configuración previa, sobretodo el tema de dhclient si empleas un servidor de dhcp para asignar ips. Para entrar en el sistema cuando pide login emplea:
nombre_dominio\nombre_usuario
y debería funcionarte sin tener que integrar al equipo cada vez que entras en el mismo.

18 de marzo de 2009, 21:47
sephirot_snk dijo...

Hola tengo una pregunta... ya inicie la sesión como un usuario de mi dominio... pero como hago para que ese usuario tenga privilegios de administrador en el equipo?

2 de julio de 2009, 21:54
Sagarmata dijo...

he segudo los pasos, pero me dice que no encuentra el nombre del dominio.
me da el error: unable to resolve dc name

lo tengo configurado por DHCP y tambien he puesto en el host
192.168.100.100 midominio.local

pero si hago uin ping al dominio no responde, pero al nombre del server si.

si hago un nslookup tambien funciona bien y si voy por entorno grafico a ver la red, tambien veo el dominio.

Alguna idea?

15 de septiembre de 2009, 13:30
stand dijo...

necesito ayuda por favor cada vez que reinicio ubuntu el demonio lwsmd de likewise se para como hago para que se inicie automaticamente por favor gracias

17 de agosto de 2010, 22:45

Publicar un comentario