Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hardy 8.04
Jorge Armando Medina
Computación Gráfica de México. Documentación Técnica
<jmedina@e-compugraf.com>

Alejandro Gabriel Sánchez Martínez
Computación Gráfica de México. Documentación Técnica
<asanchezm@e-compugraf.com>

Copyright © 2007-2008 Jorge Armando Medina, Alejandro Sánchez Martínez Se otorga permiso para copiar, distribuir y/o modificar éste documento bajo los términos de la Licencia de Documentación Libre GNU GFDL, Versión 1.2 o cualquier otra posterior publicada por la Fundación de Software Libre; sin secciones invariantes, sin textos en portada y contraportada. Una copia de la licencia en ingles la puede encontrar en los apendices al final del ibro, tambien una traducción libre no oficial al español de la licencia GFDL y referencias de como utilizarla en sus proyectos, si por alguna razón se tuviera que utilizar por cuestiones legales la licencia GFDL la unica valida es la versión en inlges de ella. 2010/06/12 Historial de revisiones Revisión 0.70 Documento Inicial Revisión 0.80 Revisión para Ubuntu Hardy Server 8.04 Revisión 0.81 Terminado el capitulo: Administración de cuentas Unix y Samba vía smbldap-tools Revisión 0.82 Sección de clientes de dominio windows terminada. Revisión 0.83 2009-01-12 jam jam Sección describiendo modulos de PAMi, diagrama del DIT hecho en kivio y actualización caracteristicas implementación. Revisión 0.84 2009-01-22 2008-08-16 jam 2008-07-17 2008-08-02 jam jam

2007-09-12

jam

Se agregaron los comandos para que un cliente linux se utilice LDAP y PAM para la autenticación, y también se agregó la información para unirlo al dominio samba. Se agregaron ejemplos para utilizar las listas de control de acceso (ACLs) y dar permisos avanzados utiilizando usuarios y grupos de dominio. Se agrego un ejemplo para montaje automatico de volumens samba por medio de PAM MOUNT Revisión 0.85 2009-01-31 jam

1 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

Se agregaron las opciones para poner nombre canonico (GivenName) y Apellido (sn) el cual automáticamente forma el atributo 'gecos' con ambos atributos. Se agregaron ligas a proximos capitulos sobre privilegios Se agregó información básica del logon script Revisión 0.86 2009-04-09 jam - Se cambio para usar como por default el tipo de de HDB segun recomendaciones de OpenLDAP y Debian/Ubuntu - Se agrego información para configurar los logs de LDAP usando sysklogd Se agrego información para configurar los logs de LDAP usando syslog-n Revisión 0.87 2009-06-22 jam - Se organizaron las secciones - Se amplio la informacion para unir un cliente linux - Se agrego informacion para montaje automatico mediante pam_mount - Se agrego ejemplo de carpeta compartida con ACLs Revisión 0.88 2010-02-07 jam - Correji varios errores de en las sintaxis de comandos y configuraciones, revise el proceso de instalacion ya que habia un problema para seguir el asistente, varias mejoras en secciones de indices y acls. - Correji el orden de configuracion de los logon scripts Revisión 0.89 2010-02-22 jam Actualización del capitulo de instalación openldap - Cambios en el DIT para reflejar ou=Computers Actualización del capitulo de mantenimiento con secciones: - Asignar contraseña a rootdn Respaldar y restaurar archivos de configuración y bases de datos OpenLDAP - Agregar nuevos indices de atributos en OpenLDAP - Ligar sección de atributos en capitulo de instalación Resumen Este libro decribre la implementación de un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server 8.04 Tabla de contenidos 1. Introducción 2. Caracteristicas de la Implementación Caracteristicas para Entornos Unix/Linux Caracteristicas para Entornos Windows Estructura del Arbol de Directorio (DIT) Información General de Implementación para Entornos Unix/Windows 3. Requerimientos de Software 4. Instalación y Configuración del servidor OpenLDAP Configuración Inicial del servicio slapd Agregando los esquemas (schemas) necesarios Configurando las Listas de Control de Acceso (ACLs) Configurando los Indices de atributos más usados Configuración de los Registros de Eventos (logs) del servidor Slapd Configuracion de los logs en OpenLDAP Configuraciones para sysklogd Configuraciones para syslog-ng Configuración de los limites de consulta y conexión Revisión de permisos en archivos y directorios de Configuración Ejecutando una revisión sintactica del archivo de configuración slapd.conf Iniciando el servidor slapd y haciendo Pruebas Preliminares Controlando el servicio Slapd 5. Configuración del Cliente LDAP 6. Configuración de Samba y las herramientas smbldap-tools Intalación y configuración del servidor Samba Instalando el servidor y cliente Samba Configuraciónes de Samba para Controlador de Dominio

2 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

Parametros Globales del servidor Samba Configuraciónes del registro de eventos (logs) del servidor Samba Configuraciones de Red para el servidor Samba Configurando los Parametros para Controlador de Dominio Parametros para interacción con el servidor LDAP Configuraciones de Codificación y Charset El recurso compartido especial [homes] El recurso compartido especial [netlogon] El recurso compartido especial [profiles] Realizando una Revisión Sintactica del archivo de configuración smb.conf Especificando la contraseña del ldap admin dn Instalación y Configuración de las smbldap-tools Llenando el Directorio LDAP con smbldap-populate Verificando la instalación y configuración de Samba y LDAP Probando Samba con Cuentas en el Directorio LDAP Verificando el mapeo del grupos unix a grupos Samba Probando conexiones al servidor Samba usando cuentas en LDAP 7. Configuración de la resolución de Identidades con NSS_LDAP 8. Configuración de la Autenticación con PAM_LDAP Introducción a los Modulos de Autenticación PAM Respaldando la configuración de PAM Configurando los modulos de autenticación de PAM Configuración del modulo auth Configuración del modulo account Configuración del modulo session Configuración del modulo password Instalando el modulo Cracklib de PAM Probando la autenticación de usuarios de sistema vía PAM_LDAP 9. Migración de usuarios y grupos Unix/Posix al directorio LDAP Migración de Usuarios (/etc/passwd y /etc/shadow) Migración de Grupos (/etc/group) 10. Administración de cuentas Unix y Samba vía smbldap-tools Introducción Atributos predenidos para la creación de usuarios Creación de cuentas de usuario Eliminación de cuentas de usuarios Cambiando la contraseña de un usuario Modificación de cuentas de usuario Administración de Grupos de Sistema y Grupos Samba Agregando Grupos Eliminando Grupos Agregando usuarios a Grupos Eliminando Usuarios de Grupos 11. Tareas de Mantenimiento de OpenLDAP y Samba Cambiar o asignar contraseña al Root DN de OpenLDAP Agregar nuevos indices de atributos en OpenLDAP Respaldar los archivos de configuración de OpenLDAP Respaldar y Restaurar una base de datos de OpenLDAP Respaldando archivos importante de Samba Respaldando el SID del Dominio Samba

3 de 115

05/10/2010 06:42 p.m.

net/docs/samba+ldap-como/html-onechunk/ 12.conf El archivo de configuración /etc/ldap. Licencia de Documentación Libre de GNU PREÁMBULO APLICABILIDAD Y DEFINICIONES COPIA LITERAL COPIADO EN CANTIDAD MODIFICACIONES COMBINACIÓN DE DOCUMENTOS COLECCIONES DE DOCUMENTOS AGREGACIÓN CON TRABAJOS INDEPENDIENTES TRADUCCIÓN TERMINACIÓN 4 de 115 05/10/2010 06:42 p.conf (Servidor slapd) El archivo de configuración /etc/default/slapd El archivo de configuración /etc/ldap/ldap. http://tuxjm. Resolución de Problemas 15. Integrando Clientes Linux/Unix al Dominio Samba Información preliminar del equipo cliente Linux Instalando el software necesario para unir cliente Linux a Dominio LDAP Configurando la resolución de cuentas de usuario y grupos mediante LDAP en clientes Linux Configurando la Autorización de cuentas de usuario y grupos mediante LDAP en clientes Linux con PAM Configuración del modulo auth Configuración del modulo account Configuración del modulo session Configuración del modulo password Probando la autorización mediante PAM LDAP en cliente Linux Configurando resolución de cuentas de dominio mediante Samba Autenticación de usuarios y grupos de dominio Samba en clientes Linux Montaje automático de carpetas compartidas mediante pam_mount Carpetas compartidas con ACL a usuarios y grupos de dominio Autenticando cuentas de usuario de dominio de forma desconectada 14. Referencias adicionales 16.conf El archivo de configuración smb.conf El archivo de configuración /etc/smbldap-tools/smbldap. Apendices El archivo de configuración /etc/ldap/slapd.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard..m.conf (NSS_LDAP y PAM_LDAP) A. . Integrando Clientes Windows al Dominio Samba Requerimientos del Sistema Configuración de los parámetros de red en el equipo Windows Información necesaria para configurar los parámetros de red Configurando correctamente los parámetros de red Verificación de los Parámetros de Red Configuración del nombre de equipo Windows Uniendo el equipo Windows al Dominio Samba Como Iniciar Sesión el Dominio Samba Información extra para equipos Windows participantes de dominios Samba Cuenta de equipo creada en el Servidor de Dominio Viendo los equipos en la red de dominio Mapeo de Recurso Compartido HOMES en el equipo local Como compartir una carpeta a usuarios y grupos de red 13..conf (Cliente LDAP) El archivo de configuración /etc/smbldap-tools/smbldap_bind.

5.1.7. Ultimo Paso 12.28. Usando el Asistente de Identificación de red 12. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS 12..14. Tabla de opciones disponibles para el comando smbldap-groupadd 11.10.m. Parametros de carpeta compartida 12.1. Asistente de identificación de red. paso 6 12.3.. Asistente de identificación de red. paso 7 12.20. Tabla de opciones disponibles para el comando smbldap-userdel 10.24.Pantalla predeterminada de login 12. GNU Free Documentation License Lista de figuras 2. Propiedades de Protocolo Internet (TCP/IP) General 12.26. Permisos para MIDOMINIO\directora Lista de tablas 4.17.12. paso 9 12. Nombre de Equipo 12. Permisos de carpeta compartida 12.Pantalla con opciones activa 12. Seleccionar Usuarios o Grupos 12. paso 4 12. Permisos para grupo MIDOMINIO\contabilidad 12.2.29.Menú inicio 12.Pantalla inicial 12. paso 2 12. paso 3 12. paso 8 12.1. Introducción 5 de 115 05/10/2010 06:42 p. paso 5 12.net/docs/samba+ldap-como/html-onechunk/ REVISIONES FUTURAS DE ESTA LICENCIA ADENDA: Cómo usar esta Licencia en sus documentos B.25.30. Asistente de identificación de red. Directorios de configuración a respaldar Capítulo 1. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS . Asistente de identificación de red.27. Alerta de re iniciar el equipo 12.15. Propiedades del sistema. Listado Carpeta a compartir 12. Propiedades del sistema. Inicio de sesión de Windows . Niveles severidad logs slapd 10.1.Agregar 12.8. Asistente de identificación de red. Tabla de opciones disponibles para el comando smbldap-userinfo 10.5.21.9. . Asistente de identificación de red.1. Asistente de identificación de red. Tabla de opciones disponibles para el comando smbldap-useradd 10.23. Inicio de sesión de Windows . Inicio de sesión .31.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Asistente de identificación de red. Diagrama DIT 12.22. Tabla de opciones disponibles para el comando smbldap-usermod 10. Re iniciar el equipo 12.11. Mapeo de $HOME en Servidor al unidad H: Local 12.18.19.6. paso 1 12. http://tuxjm. Asistente de identificación de red.2.13. Cambios en el nombre de equipo 12. Inicio de sesión de Windows .4.4. Asistente de identificación de red.16. Asistente de identificación de red. Viendo los detalles de la conexión de red 12.3. Permisos por usuario y gruipo 12. Asistente de identificación de red.

mediante netgroups usted podrá crear diferentes restricciones de acceso sobre los equipos. Soporte para replicación de la base de datos de usuarios mediante replicación LDAP.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. ya que estan en el servidor LDAP. Este tipo de implementación permite reemplazar servidores NIS para antenticación centralizada tanto para sistemas Unix y Linux. . Caracteristicas para Entornos Windows 6 de 115 05/10/2010 06:42 p. Se describen las funcionalidades que se implementarán para entornos Unix/Linux y las funcionalidades propias para entornos con sistemas Windows. samba. La autorización a los diferentes servicios locales (login. si no. usuario. Mediante PAM se podrá otorgar privilegios a algunos servicios de acuerdo al grupo que pertenece el usuario. basados en dirección IP. la resolución de nombres de usuarios (UID->Usernames). ssh. Se usará un mismo usuario y grupo para autenticarse a los diferente servicios de red y no se tendrán que tener cuentas repetidas en varios servidores. cron. Capítulo 2. etc. Facíl integración con servicios de compartición de archivos como NFS para centralizar el amacenamiento de los directorios $HOME de los usuarios. NSS_LDAP buscará los usuarios y grupos en el servidor LDAP central. contraseñas y grupos estará almacenada en un directorio LDAP remoto. Correo Electronico.. http://tuxjm. si son validas se le autoriza el servicio. sudo. cups) será manejada por los modulos de autenticación PAM_LDAP. La misma base de usuarios centralizada podrá servico para autenticar otro tipo de aplicaciones: Squid. se pueden poner más de un servidor esclavo en la red para balancear las cargas y tener alta disponibilidad. estos permisos se reflejaran de forma transparente para los usuarios locales. esto conlleva a una administración centralizada. Soporte para netgroups de NIS. KDM. En los equpos clientes no se crearan cuentas locales. grupo. Mensajería Instantanea. mediante estos modulos PAM decidirá si se autoriza el acceso al usuario de acuerdo a sus credenciales. Apache. Caracteristicas de la Implementación Tabla de contenidos Caracteristicas para Entornos Unix/Linux Caracteristicas para Entornos Windows Estructura del Arbol de Directorio (DIT) Información General de Implementación para Entornos Unix/Windows En este capitulo se describen las caracterisitcas principales de nuestra implementación. la base de datos de usuarios. entonces se deniega el servicio.m. su. además almacenará la información para un Dominio NT usando samba.. nuestra implementación servirá para almacenar de forma centralizada cuentas de usuario y grupo para sistemas Unix. La pertenencía a grupos para manejar los permisos y accesos se hará centralizado en el servidor LDAP. Caracteristicas para Entornos Unix/Linux En esta sección se describen las funcionalidades que podremos obtener al implementar un servidor Centralizado de Autenticación para redes Unix/Linux.net/docs/samba+ldap-como/html-onechunk/ Como se vio antes. grupos (GID->Grupos) será manejada por las herramientas NSS_LDAP. Parrafo. Para entornos basados en sistemas Unix como GNU/Linux tendremos las siguientes funcionalidades: Servidor de Autenticación Centralizada.

PDC) Servidor de archivos Servidor de Impresoras (Integrado con CUPS) Soporte para Politicas de Sistema al estilo NT usando poledit (el editor de politicas de sistema) Esta característica permite controlar los permisos que el usuario tiene sobre un equipo Windows. (para todos los usuarios del dominio) por usuario ó por grupo de Domino. . por medio de ACLs. La mayoría de las funcionalidades descritas a continuación solo podrán ser implementadas en Sistemas Operativos MS WIndows XP Pro. esta restricción se puede aplicar por usuario o por grupo.m. Además se pueden tener permisos más granulares en cuanto a los accesos de los archivos y directorios dentro de las carpetas compartidas.vbs) donde se pueden hacer varias tareas.. 7 de 115 05/10/2010 06:42 p. Para entornos basados en Sistemas Clientes Windows tendremos las siguientes funcionalidades: Servidor Centralizado para cuentas de red (Controlador Primario de Dominio . modificar. entre las caracterísitcas principales se encuentran: Permite/restringe que los usuarios de Dominio puedan cambiar las configuraciones del Escritorio de Windows. solo los usuarios del grupo Contabilidad y la directora podrán entrar a la carpeta compartida "contabilidad" y podrán: crear. . entre ellas: Sincronizar el reloj del sistema con el reloj del servidor de dominio (net time) Instalar aplicaciones de forma desatendida (usando WKPG) Mapear unidades de red automaticamente Instalar Impresoras en red de forma desatendida en el equpo local Nota Estas opciones se pueden aplicar a nivel global. así. Nota Este tipo de políticas pueden ser aplicadas de forma global..bat. Con esta funcionalidad se pueden crear listas de control de acceso (ACL por sus siglas en Ingés) para permitir ó no el acceso a ciertas carpetas compartidas en red. Soporte para ejecución de scripts de inicio de sesión (Logon Scripts) Esta característica permite que cada que vez que un usuario inicie sesión en el Dominio pueda ejecutar un scripts de inicio (. http://tuxjm.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. por ejemplo. Permite/restrige que los usuarios puedan cambiar las configuraciones de red de Windows Permite/restringe que los usuarios puedan entrar al Panel de Control de Windows Se pueden definir que aplicaciones puede usar el usuario en su estación de trabajo.net/docs/samba+ldap-como/html-onechunk/ En esta sección describiremos que funcionalidades obtendremos al configurar un servidor Samba como Controlador de Dominio para Redes MS Windows. por usuario o por grupo. Restricción por usuario o grupo a carpetas compartidas en red. borrar archivos o directorios dentro de dicha carpeta compartida.

El DIT en un servidor LDAP normalmente se esquematiza utilizando la estrucura de Arbol.1. En nuestro caso el Base DN será definido utilizando los llamados DC ó Domain Components. donde las ramas del arbol pueden ser contenedores de información. similar a la estrucura del Sistema de Nombres de Dominio (DNS). y así. se recomienda seguir estas recomendaciones para la configuración inicial. cada vez que un usuario de dominio inicia sesión en un equpo podrá tener sincronizado su perfil disponible en cualquier equpo en el que inicie sesión. por ejemplo una rama para almacenar cuentas de usuario. . Soporte para tener más de un servidor Controlador de Dominio de Respaldo (BDC) por lo obtendrá replicación de la SAM y alta disponibilidad. más sin embargo..net/docs/samba+ldap-como/html-onechunk/ Soporte para Perfiles Móviles (Roaming Profiles) para clientes Windows..m. Estructura del Arbol de Directorio (DIT) En la jerga LDAP. No es obligatorio utilzar este DIT para tu propia implementación. No usamos ou=Hosts para almacenar cuentas de computadoras ya que hay una diferencia entre hosts TCP/IP y cuentas de computadoras Microsoft Windows. es decir. el Base DN es el nivel más alto en el arbol de directorio. otra rama para almacenar grupos. Usamos el contenedor ou=DSA para almacenar cuentas de seguridad especificas para clientes LDAP).Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. la base o raíz del directorio. Con esta caracterisitca se puede almacenar el perfil del usuario en un servidor de red. la estructura del arbol de directorio se define utilizando el termino DIT (Directory Information Tree) ó Arbol de Información del Directorio. Diagrama DIT En la figura de arriba de define: dc=midominio. En caso de que el servidor PDC no este disponible el servidor BDC se encargará de las tareas de autenticación y compartición de archivos.dc=com: Sufijo del directorio ou=Users: Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y Windows ou=Computers: Contenedor para las cuentas de Computadoras (Trusted Machine Accounts) para sistemas Windows ou=Groups: Contenedor para alamacenar Grupos de sistema para sistemas Unix y Windows Este DIT sigue las recomendaciones de el RFC 2307bis. A grandes razgos nuestro DIT quedará como se muestra en la siguiente figura: Figura 2. etc. El primer paso para diseñar el DIT es definir el Base DN. en instalaciones posteriores podrás 8 de 115 05/10/2010 06:42 p. http://tuxjm.

10 Capítulo 3. Información General de Implementación para Entornos Unix/Windows Es escencial tener a la mano la información de nuestra implementación ya que será utilizada en capitulos/secciones posteriores. servirán para resolver nombres de usuarios a UID y viceversa. así como nombres de grupos a GID y viceversa usando como fuente de información el directorio LDAP.168. 9 de 115 05/10/2010 06:42 p.) usando como fuente de información el servidor LDAP. Requerimientos de Software La implementación de este documento será hecha en la distribución Ubuntu Server Hardy 8. Instalaremos el siguiente software: OpenLDAP 2.7 Samba es la implementación libre de los protocolos SMB/CIFS el cual funcionará como servidor Controlador de Dominio usando como base de información un directorio LDAP. la siguiente información se utilizara: Se configurará un servidor PDC para la empresa: MIEMPRESA MIEMPRESA posee el Nombre de Dominio DNS: midominio.1 OpenLDAP es una implementación libre de los protocolos LDAP.1.9. a excepción de las configuraciónes de NSS_LDAP y PAM_LDAP ya que en Hardy se consolido el archivo de configuración de ambos.net/docs/samba+ldap-como/html-onechunk/ adaptar el DIT y las configuraciones a tu gusto. KDM. ssh. cron. la mayoría de los pasos podrán implementarse en Ubuntu Gutsy. además servirá como servidor de impresoras y archivos. http://tuxjm.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. samba. su.. libpam-ldap 184-2ubuntu2 PAM son los modulos de autenticación/autorización para otorgar permisos de acceso a diferentes servicios locales (login.04.168. Para más información acerca del diseño del DIT ver el documento Diseñando un árbol de Directorio LDAP.4-1 Herramientas para administrar cuentas Unix/Posix y Samba almacenadas en un servidor OpenLDAP libnss-ldap 258-1ubuntu3 NSS son las bibliotecas de resolución de entidades.0/24 La Dirección IP del servidor PDC-SRV es: 192.4.9-0ubuntu0.midominio.com El nombre DNS del servidor será: ushldap.com Se configurará el Nombre de Dominio Samba/NT: MIDOMINIO Nombre NetBIOS del servidor Samba: PDC-SRV La Dirección de RED de MIEMPRESA es: 192.8. etc.1. cups.04. . smbldap-tools 0. sudo.28a-1ubuntu4. Samba 3.0.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. ser verá como en la siguiente pantalla: 10 de 115 05/10/2010 06:42 p..net/docs/samba+ldap-como/html-onechunk/ Capítulo 4.8.... ldconfig deferred processing now taking place Cuando se instala el paquete slapd al final nos lanzará un asistente de configuración del servicio slapd.1) . Starting OpenLDAP: slapd.conf Iniciando el servidor slapd y haciendo Pruebas Preliminares Controlando el servicio Slapd En esta sección instalaremos y configuraremos un servidor OpenLDAP junto con las herramientas de administración y cliente... done. Creating initial slapd configuration. http://tuxjm. done.... Setting up ldap-utils (2.9-0ubuntu0.) (..04.. .1) . Processing triggers for libc6 ..9-0ubuntu0.) Setting up slapd (2..m.8.4. root@ushldap:~# apt-get install slapd ldap-utils (..04..) (. Creating initial LDAP directory. Instalación y Configuración del servidor OpenLDAP Tabla de contenidos Configuración Inicial del servicio slapd Agregando los esquemas (schemas) necesarios Configurando las Listas de Control de Acceso (ACLs) Configurando los Indices de atributos más usados Configuración de los Registros de Eventos (logs) del servidor Slapd Configuracion de los logs en OpenLDAP Configuraciones para sysklogd Configuraciones para syslog-ng Configuración de los limites de consulta y conexión Revisión de permisos en archivos y directorios de Configuración Ejecutando una revisión sintactica del archivo de configuración slapd..4...

para reconfigurar el paquete slapd usamos el comando: root@ushldap:~# dpkg-reconfigure -plow slapd Al reconfigurar el paquete slapd se lanzará el mismo asistente que vimos atras. contestaremos: NO 11 de 115 05/10/2010 06:42 p. Se recomienda reconfigurar el paquete slapd para una configuración más personalizada. La primer pantalla nos pregunta si queremos omitir la configuración inicial del servidor slapd. http://tuxjm. ..m. ingresaremos una contraseña para el usuario administrador del servidor LDAP: Administrator passwd: ldapadmin Confirm passwd: ldapadmin El asistente post instalación automáticamente nos configurará un directorio usando el Base DN en base al nombre de dominio que tenga configurado nuestro servidor. pero en este caso será reconfigurado desde cero.net/docs/samba+ldap-como/html-onechunk/ Aunque despues vamos a reconifgurar el servidor OpenLDAP (slapd)..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

Si ingresamos el nombre de dominio midominio..dc=com. .com entonces en formato Domain Component (DC por sus siglas en Inglés) nos pondrá nuestra base así: dc=midominio. este nombre de dominio será configurado con la base de nuestro directorio (Base DN) o la base de busqueda de nuestro directorio (Search Base).. 12 de 115 05/10/2010 06:42 p. http://tuxjm. nos pregunta el nombre de dominio con el que queremos configurar nuestro arbol de directorio.m.net/docs/samba+ldap-como/html-onechunk/ Despues.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. .net/docs/samba+ldap-como/html-onechunk/ A continuación nos pregunta el nombre de la organización para la que configuraremos el directorio LDAP. Ingresaremos: midominio 13 de 115 05/10/2010 06:42 p. http://tuxjm..

en este caso el Distinguished Name (DN por sus siglas en Inglés) de la cuenta será: cn=admin. .dc=midominio. usaremos la contraseña: ldapadmin 14 de 115 05/10/2010 06:42 p. http://tuxjm.dc=com.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.net/docs/samba+ldap-como/html-onechunk/ Despues de configurar el nombre de dominio y la organización nos pide ingresar una contraseña para el usuario Administrador del directorio LDAP.m...

.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m.net/docs/samba+ldap-como/html-onechunk/ Ahora confirmaremos la contraseña para el Administrador del servidor LDAP. http://tuxjm. . usaremos la misma que se ingreso arriba: ldapadmin 15 de 115 05/10/2010 06:42 p..

m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. . 16 de 115 05/10/2010 06:42 p. podemos encontrar la referencía sobre los problemas presentados en BDB en la siguiente articulo The King is Dead. http://tuxjm. utilizaremos el tipo HDB la cual es la opción recomendada por Ubuntu y por el equipo de desarrollo de OpenLDAP. Long Live the King..net/docs/samba+ldap-como/html-onechunk/ En este paso seleccionaremos el tipo de base de datos (data store) en el que almacenaremos la información de nuestro directorio. anteriormente se recomendaba el tipo BDB pero se han encontrado razones por las cuales no se recomienda BDB y esas mismas razones son las que han convencido de considerar como pastura el BDB Data Store para OpenLDAP.

.m.net/docs/samba+ldap-como/html-onechunk/ En el siguiente paso nos pregunta si deseamos eliminar la base de datos del directorio cuando purguemos el paquete slapd..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. contestaremos: No 17 de 115 05/10/2010 06:42 p.. http://tuxjm.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m. 18 de 115 05/10/2010 06:42 p.. http://tuxjm.. . Si por alguna razón ya existia una base de datos de una instalación anterior (como en nuestro caso de re instalación) el asistente nos pregunta si deseamos mover la base de datos vieja a un directorio de respaldo (/var/backups/).net/docs/samba+ldap-como/html-onechunk/ Importante No seleccione la opción Yes ya que si por error desinstalamos el paquete slapd no perderemos la base de datos del directorio /var/lib/ldap y podremos recuperar nuestra instalación usando dichos archivos. elejimos la opción Yes.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.net/docs/samba+ldap-como/html-onechunk/ Y por ultimo nos pregunta si deseamos permitir conexiones al servidor LDAP usando la version obsoleta del protocolo LDAP 2. así que contestaremos: No 19 de 115 05/10/2010 06:42 p.m... se recomienda no activarlo ya que las todas aplicaciones que usaremos usan la versión 3 del protocolo LDAP. http://tuxjm. . por defecto esta desactivado.

. inicializa un directorio basico e inicia el servidor slapd con la nueva configuración y el nuevo directorio. La salida anterior nos dice que detuvo el servicio slapd. regeneró un archivo de conifguración en base a nuestras respuestas... Creating initial slapd configuration.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. http://tuxjm. 20 de 115 05/10/2010 06:42 p. Moving old database directory to /var/backups: .directory unknown. los archivos y directorios que utilicemos en nuestra instalación deberán de pertenecer a este usuario y grupo.m.net/docs/samba+ldap-como/html-onechunk/ Cuando el asistente termina de configurar los parametros especificados veremos en la salida de la consola un mensaje como el siguiente: Stopping OpenLDAP: slapd. . done... Reloading AppArmor profiles : done.. Creating initial LDAP directory. En la siguiente sección veremos como configurar el servidor slapd para nuestros propositos. done. así mismo. hizo un respaldo de la base de datos anterior en el directorio /var/backups.. Configuración Inicial del servicio slapd Cuando instalamos el paquete slapd se creó un grupo y un usuario de nombre openldap. Starting OpenLDAP: slapd.. con los privilegios de este usuario y grupo será con los que se ejecutará el demonio slapd. done.

If empty the server will # run in the primary group of its user. ..net/docs/samba+ldap-como/html-onechunk/ Verificaremos que se creo un grupo de nombre openldap: root@ushldap:~# grep ldap /etc/group openldap:x:108: Como vemos.0 2. If not set the init. lo verificamos así: root@ushldap:~# ps aux | grep slapd openldap 9495 0.d/slapd stop Stopping OpenLDAP: slapd.conf) SLAPD_PIDFILE= Antes de modificar el archivo principal de configuración del demonio slapd. además definen el tipo de atributos que podemos usar así como las reglas de sintaxis para cada uno de estos atributos.. y por defecto está así: root@ushldap:~# vim /etc/default/slapd Este es el contenido del archivo: # System account to run the slapd server under. If empty the server # will run as root.2 openldap openldap 4096 2009-01-11 23:20 /var/lib/ldap Verificaremos que el demonio slapd sea ejecutado con el usaurio y grupo openldap.. entonces lo detendremos así: root@ushldap:~# /etc/init. 21 de 115 05/10/2010 06:42 p. Más adelante veremos como controlar el servicio slapd. su directorio $HOME es /var/lib/ldap. También verificaremos que los permisos del directorio /var/lib/ldap sean los correctos y nos aseguraremos que el usuario openldap tenga permiso de lectura.:/var/lib/ldap:/bin/false Como vemos nos creo el usaurio openldap. escritura y acceso al directorio: root@ushldap:~# ls -ld /var/lib/ldap drwx-----.. http://tuxjm.7 22124 3560 ? Ssl 23:20 0:00 /usr/sbin/slapd -g openldap -u openldap -f /etc/ldap/slapd.d script # will try to figure it out from $SLAPD_CONF (/etc/ldap/slapd.conf Si el servicio esta en ejecución. y esta cuenta no tiene un shell válido: /bin/false. SLAPD_USER="openldap" # System group to run the slapd server under. SLAPD_GROUP="openldap" # Path to the pid file of the slapd server.m. su grupo primario es el grupo de ID 108 (openldap).Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Agregando los esquemas (schemas) necesarios Los esquemas (schemas) definen el tipo de objectos (objectClass) que podemos manejar en nuestro arbol de directorio. esto esta definido en el archivo /etc/default/slapd. nos aseguraremos de que el demonio no este corriendo. con el ID de Usuario (UID): 105. nos creo el grupo openldap y tiene el GID: 108 Ahora confirmaremos que el usuario openldap fue creado: root@ushldap:~# grep ldap /etc/passwd openldap:x:105:108:OpenLDAP Server Account.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

Los esquemas que vienen por defecto en la configuración de slapd son los necesarios para poder almacenar información de cuentas Unix/POSIX, almacenar información para crear un tipo de Directorio Amarillo, o una agenda de contactos. Estos esquemas predeterminados no nos permiten almacenar atributos para cuentas de usuario y dominios Samba/Windows, sin embargo, OpenLDAP permite la carga de esquemas externos para almacenar diferente tipo de información, el esquema LDAP Samba permite almacenar la siguiente información: El Nombre de Dominio Samba: sambaDomainName El SID del Dominio Samba: SambaSID Ruta al directorio del perfil del usaurio Samba: sambaProfilePath Letra de unidad de red asignada al HOME del usuario Samba: sambaHomeDrive La contraseña NT (MD4 hash) del usuario Samba: sambaNTPassword La contraseña LanManager del usuario Samba: sambaLMPassword La ruta del script de inicio de sesión (Logon Script) del usuario Samba: sambaLogonScript La Ruta al directorio HOME del usuario Samba: sambaHomePath El ID del grupo primario al que pertenece el usuario Samba: sambaPrimaryGroupID El esquema samba define más atributos, pero los principales son estos que se mencionaron arriba, para conocer los demas atributos ver el archivo /etc/ldap/schemas/samba.schema. Los esquemas estan definidos en archivos dentro del directorio /etc/ldap/schema/, el esquema para samba no viene incluido dentro de la instalación de slapd, así que tendremos que instalar el paquete samba-doc, el cual contiene el archivo samba.schema:
# apt-get install samba-doc

El archivo del esquema de samba se encuentra en el archivo /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz en formato comprimido, lo descomprimiremos al vuelo y lo copiaremos al directorio /etc/ldap/schema/:
root@ushldap:~# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema

Revisamos que tenga los permisos adecuados.
root@ushldap:~# ls -l /etc/ldap/schema/samba.schema -rw-r--r-- 1 root root 19424 2009-01-11 23:41 /etc/ldap/schema/samba.schema

Ahora que ya tenemos el archivo del esquema de samba instalado necesitamos decirle al servidor slapd que lo utilize, para hacer esto modificaremos el archivo /etc/ldap/slapd.conf. Antes de modificar el archivo de configuración de slapd haremos una copia de seguridad:
root@ushldap:~# cp /etc/ldap/slapd.conf{,.orig}

Ahora modificaremos el archivo /etc/ldap/slapd.conf.
root@ushldap:~# vim /etc/ldap/slapd.conf

En la sección donde se incluyen los esquemas:
# Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema

22 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

include include

/etc/ldap/schema/nis.schema /etc/ldap/schema/inetorgperson.schema

Despues del esquema inetorgperson agregar:
include /etc/ldap/schema/samba.schema

De manera que quede así:
# Schema and objectClass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/cosine.schema include /etc/ldap/schema/nis.schema include /etc/ldap/schema/inetorgperson.schema include /etc/ldap/schema/samba.schema

No cerraremos este archivo ya que lo seguiremos utilzando en las siguientes secciones.

Configurando las Listas de Control de Acceso (ACLs)
El archivo slapd.conf(5) ya viene preconfigurado con algunas reglas de acceso, entre ellas una donde permite cambiar la contraseña a los usuarios Unix debidamente autenticados. Ya que nuestro directorio también almacenará información de cuentas Samba, debemos permitir que los usuarios Samba plenamente autenticados puedan cambiar su contraseña desde el mismo cliente Windows. Las contraseñas de cuentas Samba estan almacenadas en los atributos sambaLMPassword y SambaNTPassword, por lo tanto permitiremos a los usuarios autenticados poder cambiar su contraseña. En la sección de los ACLs, Cambiar:
access to attrs=userPassword,shadowLastChange by dn="cn=admin,dc=midominio,dc=com" write by anonymous auth by self write by * none

Por:
access to attrs=userPassword,shadowLastChange,sambaLMPassword,sambaNTPassword by dn="cn=admin,dc=midominio,dc=com" write by anonymous auth by self write by * none

No cerraremos este archivo ya que lo seguiremos utilzando en las siguientes secciones.

Configurando los Indices de atributos más usados
Es importante que los atributos más consultados por los clientes y aplicaciones LDAP esten debidamente indexados en la base de datos del directorio LDAP, de no ser así podríamos sufrir de penalizaciones en el rendimiento del directorio, en especial en el tiempo de respuesta en las consultas, para optimizar el rendimiento del directorio agregaremos una lista de atributos a la lista de atributos a indexar. En la sección de Indice de atributos, Cambiar:

23 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

# Indexing options for database #1 index objectClass eq

Por:
# Indexing options for database #1 index objectClass,uidNumber,gidNumber index cn,sn,uid,displayName index memberUid,mail,givenname index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq pres,sub,eq eq,subinitial eq

Si en un futuro desea agregar más atributos a la lista de indices vea la sección Agregar nuevos indices de atributos en OpenLDAP. No cerraremos este archivo ya que lo seguiremos utilzando en las siguientes secciones.

Configuración de los Registros de Eventos (logs) del servidor Slapd
En esta sección se verán los parametros requeridos para configurar el servicio slapd para el resgistro de eventos, los cuales nos ayudarán a analizar la información provista por el directorio LDAP, disgnosticar problemas o simplemente para verificar que todo este funcionando correctamente. Veremos las configuraciones requeridas para el legendario syslogd o sysklogd y syslog-ng.

Configuracion de los logs en OpenLDAP
Ya que esta es nuestra primer instalación de un servidor OpenLDAP, es aconsejable que se incremente el nivel de severidad del registro de eventos del servidor slapd. el parametro loglevel definie la prioridad de los mensajes registrados, la siguiente tabla muestra los niveles de log soportados de acuerdo a la página del manual de slapd.conf(5): Tabla 4.1. Niveles severidad logs slapd Nivel 1 (0x1 trace) trace function calls 2 4 16 32 64 Descripción

(0x2 packets) debug packet handling (0x4 args) heavy trace debugging (function args) (0x10 BER) print out packets sent and received (0x20 filter) search filter processing 64 (0x40 config) configuration file processin (0x40 config) configuration file processing

128 (0x80 acl) access control list processing 256 (0x100 stats) connections, LDAP operations, results (recommended) 512 (0x200 stats2) stats log entries sent 1024 (0x400 shell) print communication with shell backends 2048 (0x800 parse) entry parsing 16384 (0x4000 sync) LDAPSync replication 32768 (0x8000 none) only messages that get logged whatever log level is set

En el valor del parametro loglevel podemos usar tanto el valor númerico o su equivalente en inglés, para desactivar el registro de eventos de slapd use el valor none. Para nuestro caso usaremos el nivel stats (256) el cual nos mostrará información sobre el servicio slapd, conexiones, y accesos al servidor. En la sección de logs cambiaremos:

24 de 115

05/10/2010 06:42 p.m.

. por ejemplo.none. haremos una copia de respaldo antes de hacer cambios.m. . Cambiando configuracion para los /var/log/syslog Cambie: *.net/docs/samba+ldap-como/html-onechunk/ # Read slapd.conf(5) for possible values loglevel stats No cerraremos este archivo ya que lo seguiremos utilzando en las siguientes secciones.none.*..\ news.mail.*.\ auth.none -/var/log/syslog Por *.log Y también agregaremos unas exclusiones a los logs debug y syslog para que no se registren logs de ldap en ellos.log. Configuraremos el demonio sysklogd para que los logs referentes a OpenLDAP sean enviados a un archivo de logs independiente.* -/var/log/ldap.authpriv.\ news.none -/var/log/syslog Ahora cambiamos la configuración para el log /var/log/debug: Cambie: *.authpriv.none.none -/var/log/debug Creamos el archivo vacio para los de ldap: 25 de 115 05/10/2010 06:42 p.conf y agregamos lo siguiente: local4. al archivo /var/log/ldap.none. en Ubuntu el paquete sysklogd provee el demonio de logs predeterminado. El archivo de configuración del demonio syslog es /etc/syslog.=debug.auth.authpriv. esta configuración hace que los mesajes de ldap se mezclen con mensajes de sistema generales.*. los logs del servidor slapd son enviados con un facility local4.conf{.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.local4.none.conf. Configuraciones para sysklogd En la mayoría de distribuciones Linux el sistema de logs esta controlado por el demonio syslog.orig} Al final del archivo /etc/syslog.none. http://tuxjm.authpriv.mail.local4. y por default todos los mensajes del servidor slapd son enviados a los archivos /var/log /debug y /var/log/syslog.auth.none.. root@ushldap:~# cp /etc/syslog.=debug.conf(5) for possible values loglevel none Por: # Read slapd.none -/var/log/debug Por: *.\ auth. En la configuración predeterminada de syslog en Ubuntu.

news. flags(final).conf.log"). mail) and not filter(f_ldap). [ OK ] Ahora pruebe hacer un tail -f /var/log/debug y a /var/log/syslog. }. Configuraciones para syslog-ng En esta sección veremos como configurar el servidor log logs syslog-ng para almacenar los logs de OpenLDAP en un archivo independiente. log { source(s_all). }.. Al final de la sección donde se definen la definición de el log.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. news. authpriv). }. El archivo de configuración del demonio syslog es /etc/syslog-ng/syslog-ng.m. }. Y también remplazamos: filter f_syslog { not facility(auth. Ahora reiniciamos el servicio syslog-ng para que los cambios tomen efecto: 26 de 115 05/10/2010 06:42 p. modificando los filtros haremos los siguientes cambios. authpriv. si no aparece nada en dichos logs confirme que todos los logs se estan enviando a /var/log/ldap. reinicie el servidor slapd y vea que no se registre ningun evento relacionado al demonio slapd. Con: filter f_syslog { not facility(auth. http://tuxjm. al final de la sección de los destinos agregue algo así: # Destino para logs de proceso slapd(8).. }... authpriv) and not filter(f_ldap).log Ahora reiniciamos el servidor syslog para que los cambios tomen efecto: root@ushldap:~# /etc/init.. Al final de la sección donde se definen los filtros. Ahora agregaremos unas exclusiones para que no se registren eventos de slapd en los logs /var/log/debug y /var/log/syslog.. destination(d_ldap). destination d_ldap { file("/var/log/ldap. . }. el destino destination(d_ldap). principalmente conformada por el origen source(src).net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# touch /var/log/ldap. filter f_ldap { program("slapd"). root@ushldap:~# cp /etc/syslog-ng/syslog-ng.d/sysklogd restart * Restarting system log daemon. el filtro filter(f_ldap). agregamos esto: # Filtro para logs del proceso slapd(8).orig} Ahora agregaremos la definición del destino de los logs originados por el proceso slapd. mail).conf. # Deinición de logs para el proceso slapd(8)..conf{. Con : filter f_debug { level(debug) and not facility(auth. Remplazamos: filter f_debug { level(debug) and not facility(auth. authpriv. haremos una copia de respaldo antes de hacer cambios.. filter(f_ldap). }.

net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# invoke-rc. Revisión de permisos en archivos y directorios de Configuración Antes de reiniciar nuestro servidor para que nuestros cambios tomen efecto. en especifico cuando se haga una replicación/sincronización del DIT. Nota Si usted utiliza logrotate para rotar sus logs es aconsejable agregar el archivo /var/log/ldap. este limite por defecto esta configurado a 500 lo que significa que solo serán devueltas 500 entradas a los clientes LDAP aun cuando la consulta no tenga limite.d syslog-ng restart * Stopping system logging syslog-ng * Starting system logging syslog-ng [ OK ] [ OK ] Ahora verá que todos los logs referentes a slapd solo serán enviados al archivo /var/log/ldap. . Configuración de los limites de consulta y conexión Existe un limite de cuantas entradas serán devueltas en las operaciones de busqueda de los clientes LDAP.conf Y root@ushldap:~# chmod 640 /etc/ldap/slapd. ahora sus logs se rotarán semanalmente y serán mantenidos durante 4 semanas.m. verificaremos que los permisos sean los adecuados: Verificando que los permisos del archivo /etc/ldap/slapd.conf En la siguiente sección veremos como realizar una revisión sintactica del arcihvo de configuración del demonio slapd.conf -rw-r----. por ejemplo: /var/log/ldap. 27 de 115 05/10/2010 06:42 p. # The maximum number of entries that is returned for a search operation sizelimit 500 Nota Este valor será incrementado en configuraciones posteriores. entonces cambiarlos con los comandos: root@ushldap:~# chown root:openldap /etc/ldap/slapd.1 root openldap 5079 2009-01-11 23:45 /etc/ldap/slapd..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard..log. http://tuxjm.log { rotate 4 weekly missingok notifempty compress } Y listo.log al archivo /etc/logrotate.conf esten como se muestra aquí: root@ushldap:~# ls -l /etc/ldap/slapd.conf Si no estan así.d/syslog-ng. al cumplir la 5a semana los logs serán rotados automáticamente.

4. Si el servidor slapd se inicia correctamente. Si el comando slaptest nos muestra algun error.9/debian/build/servers/slapd Jan 11 23:51:06 ushldap slapd[9755]: slapd starting En el mensaje anterior nos muestra que el proceso slapd con el identificador de proceso (PID) 15795 se inicio correctamente.3-2. el comando slaptest nos hará una revisión sintactica de nuestro archivo de configuración /etc/ldap/slapd.0. posiblemente nos dirá en que parte del archivo se encuentra el error. Con el comando netstat veremos si el proceso slapd con PID 15795 abre el puerto TCP/389.m.net/docs/samba+ldap-como/html-onechunk/ Ejecutando una revisión sintactica del archivo de configuración slapd. root@ushldap:~# slaptest -v -u config file testing succeeded Con la opción -v habilitamos el modo verbose.0. .d/slapd start Starting OpenLDAP: slapd. Usaremos el comando ldapsearch para buscar el namingContexts del DIT. este registrará en el log /var/log/syslog el siguiente mensaje: Jan 11 23:51:06 ushldap slapd[9753]: @(#) $OpenLDAP: slapd 2. esto es para que muestre detalles sobre posibles errores encontrados en la configuración.conf Antes de reiniciar nuestro servidor slapd realizaremos una comprobación de que nuestras configuraciones esten correctas. Si no nos es posible diagnosticar el error se recomienda ver el archivo de log /var/log/ldap.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. root@ushldap:~# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts # extended LDIF # # LDAPv3 # base <> with scope baseObject # filter: (objectclass=*) # requesting: namingContexts # 28 de 115 05/10/2010 06:42 p. root@ushldap:~# netstat -pltn | grep slapd tcp 0 0 0. por ejemplo: root@ushldap:~# slapd -d 16383 Esto nos mostrará todos los mensajes en la terminal y no en los logs. para iniciar el servidor slapd usamos el comando: root@ushldap:~# /etc/init..0:* :::* LISTEN LISTEN 9755/slapd 9755/slapd Ahora haremos una consulta al servidor LDAP para ver si responde con lo más básico.log ó correr el deminio slapd con el nivel de severidad mayor.0. Iniciando el servidor slapd y haciendo Pruebas Preliminares Ahora que ya tenemos nuestro servidor correctamente configurado y todas los permisos estan correctos podremos iniciar nuestro servidor de forma ordinaria usando el script de inicio. en especifico veremos que nos abra el puerto TCP/389.conf. Ahora revisaremos que el servidor slapd haya abierto el socket TCP/IP. La opción -u permite que solo se ejeucta la revisión sintactica aun cuando no se puedan abrir los archivos de bases de datos del directorio (/var/lib/ldap/).9 (Aug 1 2008 01:08:50) $ ^Ibuildd@terranova:/build/buildd/openldap2. http://tuxjm.0.0:389 tcp6 0 0 :::389 0.4.

dc=com objectClass: top objectClass: dcObject objectClass: organization o: midominio dc: midominio # admin. root@ushldap:~# ldapsearch -x -D "cn=admin. usaremos el siguiente comando: root@ushldap:~# invoke-rc.d slapd start Starting OpenLDAP: slapd. al controlar el servicio nos referimos a iniciar. 29 de 115 05/10/2010 06:42 p.. http://tuxjm.dc=com> with scope subtree # filter: (objectclass=*) # requesting: ALL # # midominio. Para iniciar el servidor slapd usando los scripts de inicio. esto es para comprobar que la autenticación y nuestras ACLs funcionen correctamente.dc=midominio.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.dc=com objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator userPassword:: e2NyeXB0fWUwTng4TmRUZk54Wm8= # search result search: 2 result: 0 Success # numResponses: 3 # numEntries: 2 Controlando el servicio Slapd En esta sección veremos como controla el servicio slapd.dc=com # search result search: 2 result: 0 Success # numResponses: 2 # numEntries: 1 SI el comando ldapsearch nos muestra algo similar a lo que se muestra arriba significa que nuestro servidor LDAP esta funcionando correctamente.net/docs/samba+ldap-como/html-onechunk/ # dn: namingContexts: dc=midominio.m. de comprobar que el directorio se haya incializado con la estrucutra básica. . midominio.dc=com" -W Enter LDAP Password:ldapadmin # extended LDIF # # LDAPv3 # base <dc=midominio.. además.dc=com.. detener. reiniciiar el proceso slapd. Ahora haremos una busqueda en el directorio LDAP autenticado como el usuario admin del LDAP y haremos la buqueda usando como base dc=midominio.dc=com" -b "dc=midominio.com dn: dc=midominio.com dn: cn=admin.dc=midominio.

d/slapd .Dirección del servidor o servidores LDAP predeterminados BASE . http://tuxjm.d/S20slapd -> .d/S20slapd /etc/rc5.Tamaño máximo de las busquedas TIMELIMIT ./init./init. usaremos el comando: root@ushldap:~# update-rc.DN de la cuenta con la que se efectuarán las operaciones Por ahora solo configuraremos los primeros dos parametros./init.d/slapd /etc/rc1.conf 30 de 115 05/10/2010 06:42 p. Capítulo 5.. Si deseamos que el servidor slapd sea iniciado automáticamente al arranque del sistema./init.d/slapd /etc/rc5. /etc/rc0.conf. por lo que es posible que reciba un mensaje como el siguiente: root@ushldap:~# update-rc.Sufijo de la base de busqueda ó Base DN SIZELIMIT ../init..d/S20slapd /etc/rc6.d/slapd Cuando se instala el paquete slapd. para controlarlo se tendrá que hacer con los comandos antes mencionados. Configuración del Cliente LDAP Las herramientas cliente LDAP como: ldapsearch.d/S20slapd -> .Limite de tiempo para las consultas BINDDN .net/docs/samba+ldap-como/html-onechunk/ Para detener el servidor slapd usando los scripts de inicio. usaremos: root@ushldap:~# invoke-rc.conf: root@ushldap:~# vim /etc/ldap/ldap.d -f slapd remove Removing any system startup links for /etc/init. este agregará el servicio slapd para que sea iniciado automaticamente al arranque del sistema.d slapd stop Stopping OpenLDAP: slapd. Si deseamos que el servidor slapd NO sea iniciado al arranque del sistema usaremos el comando: root@ushldap:~# update-rc.d/K20slapd /etc/rc2.d/slapd /etc/rc4.m.d/S20slapd -> .d/K20slapd -> .d/S20slapd -> .d/slapd /etc/rc6.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...d/S20slapd /etc/rc4.d/K20slapd -> .d/slapd /etc/rc2.d slapd defaults Adding system startup for /etc/init..d/S20slapd /etc/rc3.d slapd defaults System startup links for /etc/init. ldapmodify...d/K20slapd /etc/rc1./init. básicamente en este archivo se pueden definir los siguientes parametros: URI ../init.. . /etc/rc0.d/slapd /etc/rc3.d/slapd .d/slapd already exist.. editemos el archivo de configuración del cliente LDAP /etc/ldap/ldap.d/K20slapd -> .d/K20slapd Con el comando anterior slapd ya no será iniciado al arranque del sistema... ldapadd y otras usan los parametros de configuración definidos en el archivo /etc/ldap/ldap.

conf y ~/.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.dc=com ldap://127. Configuración de Samba y las herramientas smbldap-tools Tabla de contenidos Intalación y configuración del servidor Samba Instalando el servidor y cliente Samba Configuraciónes de Samba para Controlador de Dominio Parametros Globales del servidor Samba Configuraciónes del registro de eventos (logs) del servidor Samba Configuraciones de Red para el servidor Samba Configurando los Parametros para Controlador de Dominio Parametros para interacción con el servidor LDAP Configuraciones de Codificación y Charset El recurso compartido especial [homes] El recurso compartido especial [netlogon] El recurso compartido especial [profiles] Realizando una Revisión Sintactica del archivo de configuración smb. http://tuxjm. si desea usar parametros diferentes para un usuario de sistema en particular cree un archivo .1 cn=admin.conf Especificando la contraseña del ldap admin dn Instalación y Configuración de las smbldap-tools Llenando el Directorio LDAP con smbldap-populate Verificando la instalación y configuración de Samba y LDAP Probando Samba con Cuentas en el Directorio LDAP Verificando el mapeo del grupos unix a grupos Samba Probando conexiones al servidor Samba usando cuentas en LDAP En este capitulo se explicará como configurar el servidor Samba y las herramientas smbldap-tools para configurar Samba como Controlador de Dominio usando como un directorio OpenLDAP como fuente de información centralizada para cuentas Unix y Samba.conf(5). .0.dc=com ldap://127.1 Los parametros antes definidos son de uso general.ldaprc Con el contenido: BASE URI BINDDN dc=midominio.0.ldaprc ver la página del manual ldap. por ejemplo: $ vim ~/.net/docs/samba+ldap-como/html-onechunk/ Definimos el la dirección del servidor LDAP y la base de busqueda: BASE URI dc=midominio. Intalación y configuración del servidor Samba En esta sección configuraremos el servidor Samba como un Controlador de Dominio Primario (PDC) Windows NT con la base de datos SAM almacenada en nuestro directorio LDAP.dc=com Para más información sobre el archivo /etc/ldap/ldap..0.ldaprc dentro del directorio home del usuario.. Capítulo 6.m.0. Los parametros Generales que configuraremos son: 31 de 115 05/10/2010 06:42 p.dc=midominio.

.net/docs/samba+ldap-como/html-onechunk/ Parametros de identificación de red como: Dominio. Directorios compartidos especiales como homes.conf{..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. el primero contiene los programas para servidor y el segundo las herramientas de cliente y diagnostico. netlogon y profiles. Instalando el servidor y cliente Samba En esta sección instalaremos el servidor samba que en Debian/Ubuntu esta conformado principalmente por los paquetes: samba y smbclient. Creamos el respaldo del archivo /etc/samba/smb. en nuestro caso esta configuración no nos sirve por lo que eliminaremos la configuración creada y los archivos de configuración que se inicializaron. # apt-get install samba smbclient El paquete de instalación del servidor samba es pre configurado con algunos parametros y también importan los usuarios en /etc/passwd.d/samba stop * Stopping Samba daemons [ OK ] Ahora eliminamos los archivos . haremos un respaldo de este archivo antes de iniciar con las modificaciones.conf..dat en /var/lib/samba: root@ushldap:~# rm -rfv /var/lib/samba/*. Configuraciónes de Samba para Controlador de Dominio El archivo de configuración principal de Samba es /etc/samba/smb. .m. http://tuxjm. La configuración la realizaremos paso por paso tratando de explicara cada cambio.{tdb.tdb y . Configuración para registro de eventos (logs) Interfaces y direcciones de red a las que esta conectado el servidor Configuración de parametros para Controlador de Dominio Informacion del servidor LDAP y como utilizarlo Definición de script para automatizar la administración de las cuentas samba/ldap.dat} Nota Todavía no iniciaremos el servidor samba hasta que este nuevamente configurado. Nombre Servidor. Primero instalaremos los paquetes tanto de servidor y clientes. detenemos los servicios samba para iniciar con la configuración en limpio.orig} En la siguiente sección podemos continuar con los parametros que nos intersan. root@ushldap:~# /etc/init. Continuaremos con la configuracón de samba. ya que iniciaremos con una configuración nueva.conf: root@ushldap:~# mv /etc/samba/smb. 32 de 115 05/10/2010 06:42 p.

# In the example above the name 'jimbo' will be mapped to Windows # user names 'Jim' and 'Bones' because the space was not quoted.m. el servidor smbd mapeará esa conexión al usuario anonimo. en esta sección especificaremos parametros globales que afectarán el comportamiento del servidor Samba. creamos el archivo /etc/samba/smbusers con el siguiente contenido: #### # User mapping file ##### # File Format # ----------# Unix_ID = Windows_ID # # Examples: # root = Administrator # janes = "Jane Smith" # jimbo = Jim Bones # # Note: If the name contains a space it must be double quoted. pero las conexiónes de usuarios que se autentiquen con una contraseña invalida serán rechazadas. los parametros principales son:: El nombre del Grupo de Trabajo/Dominio al que pertenecemos: MIDOMINIO Nombre NetBIOS del Servidor Samba: PDC-SRV Descripción del servidor Samba: Servidor PDC Además configuraremos los siguientes parametros extras: Soporte para habilitar privilegios de Grupos de Dominio Samba: enable privileges = yes. ####################################################################### root = Administrator #### # End of File #### 33 de 115 05/10/2010 06:42 p. este archivo sirve para mapear nombres de usuarios (alias). por ejemplo en este archivo podemos crear un mapeo de usuario para que la cuenta root sea mapeada a Administrator que es comunmente usada en entornos de red Windows para la cuenta de administrador. . este parametro es útil por ejemplo para dar privilegios a los usuarios miembros del grupo Domain Admins para unir equpos Windows a un Dominio NT. La ultima opción que especificamos es username map apuntando al archivo /etc/samba/smbusers. http://tuxjm.net/docs/samba+ldap-como/html-onechunk/ Parametros Globales del servidor Samba El archivo de conifguración de samba define la sección [global]..conf nuevo con los siguientes parametros: El inicio de la sección global quedará así: [global] workgroup = MIDOMINIO netbios name = PDC-SRV server string = Servidor PDC enable privileges = yes map to guest = Bad User username map = /etc/samba/smbusers El parametro map to guest = Bad User define que cuando un usuario no existente (en el dominio) se conecte al servidor.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Para hacer esto. Crearemos un archivo /etc/samba/smb..

1.networking socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 interfaces = eth0 lo hosts allow = 127.0. logging syslog = 0 log level = 0 max log size = 50 log file = /var/log/samba/%m. .0 smb ports = 139 445 bind interfaces only = Yes name resolve order = wins hosts lmhosts bcast remote announce = 192. .255 No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones Configurando los Parametros para Controlador de Dominio Ahora configuraremos los parametros relacionados con la configuración de un servidor Controlador de Dominio.1..1.168. .m. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.0/24 hosts deny = 0. http://tuxjm.168.0.0.0. No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones Configuraciones de Red para el servidor Samba En esta sección configuraremos los parametros de red y algunas configuraciones de seguridad recomendadas. 192..log TODO: Explicar aquí que significa cada parametro o meter liga a man 5 smb. PDC Options time server = Yes wins support = Yes os level = 33 domain logons = Yes preferred master = Yes logon logon logon logon path = home = drive = script = case sensitive = No utmp = Yes unix password sync = Yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n" 34 de 115 05/10/2010 06:42 p.conf.net/docs/samba+ldap-como/html-onechunk/ No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones Configuraciónes del registro de eventos (logs) del servidor Samba Ahora configuraremos algunos parametros para la generación de logs.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.dc=midominio. . este usuario tiene un directorio $HOME en la ruta /home/jmedina.1/ ldap admin dn = cn=admin.0. tendrá disponible un recurso compartido en el servidor con el nombre "jmedina" y por medio de él podrá entrar a sus archivos privados en el servidor. con este recurso compartido. ...dc=com ldap suffix = dc=midominio. por ejemplo. cada vez que el usuario jmedina inicia sesión por Samba. El recurso compartido especial [homes] El recurso compartido [homes] es un recurso compartido especial que es usado para compartir el directorio $HOME de cada usuario. Configuración de juego de caracteres dos charset = 850 Unix charset = ISO8859-1 Hasta aquí termina la sección Global de smb. . en las siguientes secciones configuraremos secciones especiales para nuestro Controlador de Dominio.0.m.0.net/docs/samba+ldap-como/html-onechunk/ ldap passwd sync = Yes No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones Parametros para interacción con el servidor LDAP Ahora definiremos los parametros necesarios para que samba utilice el directorio LDAP.0.conf.dc=com ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap idmap backend = ldap:ldap://127.1 idmap uid = 10000-20000 idmap gid = 10000-20000 winbind trusted domains only = Yes #ldap ssl = start_tls add machine script = /usr/sbin/smbldap-useradd -w "%u" add user script = /usr/sbin/smbldap-useradd -m "%u" ldap delete dn = No #delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" #delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones Configuraciones de Codificación y Charset Ahora configuraremos los parametros para especificar el juego de caracteres predeterminado para archivos dos y unix. SAMBA-LDAP declarations passdb backend = ldapsam:ldap://127. http://tuxjm. Configuraciones de recursos compartidos [homes] comment = Home Directories valid users = %U read only = No create mask = 0664 35 de 115 05/10/2010 06:42 p. . tenemos un usuario unix/windows de nombre jmedina.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

directory mask = 0775 browseable = No

La linea valid users = %U indica que este recurso compartido solo esta disponible para los usuarios Samba autenticados. En este recurso compartido no se especifica un path ya que podrá variar dependiendo del usuario que haga login. El recurso compartido especial [netlogon] Este es otro recurso compartido especial, el recurso [netlogon] solo es utilizado cuando Samba actua como un Controlador de Dominio, el proposito de este recurso compartido es almacenar los scripts de inico (logon scripts), estos scripts son ejecutados cada vez que un usuario inicia sesión en el dominio.
[netlogon] path = /home/samba/netlogon/ browseable = No read only = yes

La opción browseable = No especifica que este recurso compartido no será visible en la lista de shares disponibles en el servidor, más sin embargo, si podrá ser accesado para los usuarios que hacen login en el dominio, el acceso será de solo lectura. TODO: Meter opción para que los usuarios miembros del grupo "Domain Admins" tengan permiso de escritura a este recurso compartido, así, estos usuarios podrán crear los logon scripts. Ahora creamos el directorio base en el cual almacenaremos los logon scripts:
root@ushldap:~# mkdir -vp --mode 755 /home/samba/netlogon mkdir: se ha creado el directorio `/home/samba/netlogon'

TODO: Cambiar los permisos a root:"Domain Admins" con permisos 775??????????? Ahora crearemos un logon script bastante simple que hará las siguientes operaciones Sincronizar el reloj del servidor con el del equipo local Mapear el recurso de red \\PDC-SRV\homes a la unidad H: Mapear el recurso de red \\PDC-SRV\publico a la unidad P: Creamos el archivo /home/samba/netlogon/logon.bat:
# vim /home/samba/netlogon/logon.bat

Y agregue el siguiente contenido:
net time \\PDC-SRV /set /yes net use h: \\PDC-SRV\homes net use p: \\PDC-SRV\publico

Ahora convertimos el archivo a formato DOS con CR/LF
root@ushldap:~# sed -i 's/$/\r/' /home/samba/netlogon/logon.bat

TODO: Verificar si el script requiere permisos de ejecución

36 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

TODO: Meter sección sobre ntlogon.pl o ntlogon.py El recurso compartido especial [profiles] El recurso compartido [profiles] también es de uso especial y solo es necesario cuando Samba se configura como Controlador de Dominio, el proposito de este recurso compartido es almacenar los Perfiles de Usuarios, en especifico es usado cuando se configura que los usuarios de dominio utilizen los Perfiles Móviles (Roaming Profiles).
[profiles] path = /home/samba/profiles read only = No create mask = 0600 directory mask = 0700 browseable = No guest ok = Yes profile acls = Yes csc policy = disable # next line is a great way to secure the profiles force user = %U # next line allows administrator to access all profiles valid users = %U @"Domain Admins"

La ruta de este recurso compartido será usado con el atributo ProfilePath para indicar la ruta en donde esta almacenado el Perfil del Usuario, por ejemplo, la entrada en la SAM del dominio para el usuario jmedina especifica: ProfilePath=\\PDC-SRV\profiles\jmedina, lo cual indica que el perfil del usuario jmedina estará en el directorio local /home/samba/profiles/jmedina. Creamos el directorio para el recurso compartido profiles:
root@ushldap:~# mkdir -vp --mode 1777 /home/samba/profiles mkdir: se ha creado el directorio `/home/samba/profiles'

En este momento ya podemos guardar el archivo smb.conf. Realizando una Revisión Sintactica del archivo de configuración smb.conf Despues de haber editado el archivo de conifguración smb.conf ejecutaremos el comando testparm para realizar un revisión sintactica del archivo smb.conf, este comando nos dirá si hay algún error de configuración, o si algun parametro esta mal escrito. Para correr la revisón ejecutamos:
root@ushldap:~# testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[netlogon]" Processing section "[profiles]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Press enter to see a dump of your service definitions

Si le aparece el mensaje "ERROR: the 'unix password sync' parameter is set and the 'passwd program' (/usr/sbin/smbldap-passwd) cannot be executed (error was No such file or directory)." ignorelo, en la siguiente sección instalaremos el paquete smbldap-tools. Si hubiera algun error en la sintaxis el comando testparm no lo reportará y nos dirá en que linea se encuentra el error y alguna descripción corta sobre el error. Nota Todavía no es momento de iniciar el servidor samba.

37 de 115

05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard...

http://tuxjm.net/docs/samba+ldap-como/html-onechunk/

Para más información acerca de los parametros en el archivo de configuración /etc/samba/smb.conf ver la página del manual smb.conf(5). Especificando la contraseña del ldap admin dn Para que Samba pueda agregar/modificar cuentas almacenadas en el directorio LDAP es necesario que sepa la contraseña del usuario ldap admin dn especificada en el archivo smb.conf. La cuenta del ldap admin dn debe de tener los suficientes permisos para leer, agregar y modificar entradas en el directorio LDAP. Para especificar la contraseña del admin dn, usamos el comando:
root@ushldap:~# smbpasswd -W Setting stored password for "cn=admin,dc=midominio,dc=com" in secrets.tdb New SMB password:ldapadmin Retype new SMB password:ldapadmin

La contraseña será almacenada en el archivo /var/lib/samba/secrets.tdb. Se almacena aquí para no tener que espcificarla cada vez que se vaya a ejecutar alguna operación relacionada a cuentas Samba en el directorio LDAP. El archivo secrets.tdb debe de tener los permisos así:
root@ushldap:~# ls -l /var/lib/samba/secrets.tdb -rw------- 1 root root 8192 2008-06-18 23:29 /var/lib/samba/secrets.tdb

Nota Para poder manipular los archivos tdb podemos utilizar las herramientas del paquete tdb-tools. Ahora si podemos iniciar el servidor samba
root@ushldap:/etc/samba# /etc/init.d/samba start * Starting Samba daemons [ OK ]

Instalación y Configuración de las smbldap-tools
Ahora configuraremos las herramientas smbldap-tools para predefinir los parametros de configuración para la administración de cuentas Unix y Samba. Primero instalaremos el paquete smbldap-tools así:
root@ushldap:~# apt-get install smbldap-tools

Los archivos de configuración de las herramientas smbldap-tools se encuentran en el directorio /etc/smbldap-tools, en este directorio deben de existir dos archivos de configuración, el archivo smbldap.conf contiene directivas de configuración tanto para la creación y modificación de cuentas Unix y Samba y el archivo smbldap_bind.conf contiene el usuario y la contraseña del usuario con el que nos conectaremos al servidor LDAP para efectura las operaciones de administración de usuarios y grupos Unix/Samba. Ya que el archivo /etc/smbldap-tools/smbldap.conf no existe, usaremos un archivo de ejemplo que se instala junto con el paquete smbldap-tools, lo copiamos así:
root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf

El archivo smbldap_bind.conf tampoco existe por lo que utilizaremos el archivo de ejemplo:
root@ushldap:~# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/

38 de 115

05/10/2010 06:42 p.m.

dc=com" slavePw="ldapadmin" masterDN="cn=admin.dc=com" slavePw="secret" masterDN="cn=Manager.m. el usaurio dueño debe de ser root y el grupo dueño debe de ser openldap. 39 de 115 05/10/2010 06:42 p. el grupo openldap solo tendrá permisos de lectura.dc=midominio. root@ushldap:~# chmod 640 smbldap* Editaremos el archivo de configuración smbldap_bind.dc=com" masterPw="ldapadmin" Nota Aunque aun no tengamos configurado un servidor LDAP esclavo usaremos el mismo cn=admin que en nuestro servidor Maestro. Entramos al directorio /etc/smbldap-tools: root@ushldap:~# cd /etc/smbldap-tools Cambiamos el usuario y grupo propietarios para los archivos.conf Cambiar: slaveDN="cn=Manager.conf: # vim /etc/smbldap-tools/smbldap. root@ushldap:~# chown root:openldap smbldap* Nadie más a exepcion del usuario root tendrá permiso de lecutra y escritura sobre los archivos. en este caso el SID es: S-1-5-21-2911508632-2405292923-4115677068 Como minimo debemos de configurar los parametros que estan marcados en negritas.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.conf se debe de especificar el SID del dominio Samba con el que estaremos trabajando.net/docs/samba+ldap-como/html-onechunk/ Antes de empezar a configurar estas herramientas cambiaremos los permisos de acceso para estos archivos. Obteniendo el SID local: root@ushldap:~# net getlocalsid SID for domain PDC-SRV is: S-1-5-21-2911508632-2405292923-4115677068 El SID resultante lo copiaremos.dc=com" masterPw="secret" Por: slaveDN="cn=admin.conf TODO: Dividir los parametros globales para el dominio Samba y los parametros para especificar en que servidor LDAP almacenaremos la información de cuentas Unix/Samba.conf para especificar el usuario con con el que haremos las operaciones de administracion de usurios y grupos en el servidor LDAP..dc=company. . para obtener el SID de nuestro servidor utilizaremos el comando net. root@ushldap:~# vim smbldap_bind. http://tuxjm.dc=midominio.. Ahora editamos el archivo principal de configuración de smbldap-tools /etc/smbldap-tools/smbldap.dc=company. En el archvo smbldap.

0. To obtain this number do: "net getlocalsid".0.m.0. # default is "%s".0.0.0.1 # If not defined.${suffix}" # Ex: sambaUnixIdPooldn="cn=NextFreeUnixId. # Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain}.net/docs/samba+ldap-como/html-onechunk/ Primero editaremos los parametros referentes al dominio Samba: # Put your own SID.0.0.1" # Master LDAP port # If not defined. SMD5.0. # If not defined. parameter is set to "127.1" slaveLDAP="127.1 # If not defined. parameter is set to "127.${suffix}" # Unix password encryption (CRYPT. parameter is set to "389" slavePort="389" # Master LDAP server: needed for write operations # Ex: masterLDAP=127. you may set a salt format. This parameter is optional! crypt_salt_format="%s" # Domain appended to the users "mail"-attribute 40 de 115 05/10/2010 06:42 p. esta configuración servirá como variable para otras configuraciones. parameter is set to "389" masterPort="389" Conifguraciones de TLS/SSL: Ya que en esta instalación inicial no usaremos comunicacione seguras por SSL/TLS desactivaremos el uso de TLS en nuestra configuración.. SHA. http://tuxjm.dc=ORG suffix="dc=midominio.dc=com" # Where to store next uidNumber and gidNumber available for new users and groups # If not defined. but many systems will generate MD5 hashed # passwords if you use "$1$%. parameter is set to "1" ldapTLS="0" Ahora especificaremos el Base DN de nuestro directorio LDAP.${suffix}" sambaUnixIdPooldn="sambaDomainName=${sambaDomain}.0. SSHA. parameter is taking from smb. entries are stored in sambaDomainName object.0. this option will use start_tls for connection # (you should also used the port 389) # If not defined. . MD5. # Use TLS for LDAP # If set to 1.conf configuration file # Ex: sambaDomain="IDEALX-NT" sambaDomain="MIDOMINIO" # Slave LDAP server # Ex: slaveLDAP=127. # LDAP Suffix # Ex: suffix=dc=IDEALX. parameter is taking from "net getlocalsid" return SID="S-1-5-21-2911508632-2405292923-4115677068" # Domain name the Samba server is in charged. # If not defined.. CLEARTEXT) hash_encrypt="SSHA" # if hash_encrypt is set to CRYPT.1" masterLDAP="127. todos los contenedores para almacenar cuentas y grupos estarán bajo este Base DN.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.0.8s".1" # Slave LDAP port # If not defined.

Please provide a password for the domain root: Changing UNIX and samba passwords for root New password:dominioadmin Retype new password:dominioadmin 41 de 115 05/10/2010 06:42 p.dc=midominio..dc=com adding new entry: cn=Administrators.ou=Groups.ou=Groups.dc=midominio.dc=midominio.m. El comando smbldap-populate inicializará nuestro directorio LDAP con la siguiente información: Base DN: dc=midominio.dc=com already exist.dc=com adding new entry: cn=Domain Guests.ou=Groups.dc=midominio.com" mailDomain="midominio.ou=Groups.dc=midominio.dc=midominio.dc=midominio.dc=midominio.. Contenedor (OU= Unidad Organizativa ) para las cuentas de Computadoras Windows: ou=Computers Contenedor (OU= Unidad Organizativa ) para los mapeos de Cuentas Unix a Cuentas Samba/Windows (SID): ou=Idmap Para inicializar nuestro directorio LDAP con la información de arriba usaremos el comando smbldap-populate de la siguiente manera: root@ushldap:~# smbldap-populate Populating LDAP directory for domain MIDOMINIO (S-1-5-21-2911508632-2405292923-4115677068) (using builtin directory structure) entry dc=midominio.ou=Groups.dc=midominio.dc=midominio.dc=com adding new entry: uid=nobody.dc=com adding new entry: ou=Computers.dc=com adding new entry: cn=Account Operators. http://tuxjm. se crearán por defecto los Grupos Predeterminados de un dominio Samba: Domain Admins. inicializaremos nuestro directorio LDAP con la información para el dominio NT: MIDOMINIO.ou=Users.ou=Groups.dc=midominio.dc=midominio.dc=com adding new entry: cn=Domain Admins.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Updating it.dc=com adding new entry: ou=Idmap.ou=Groups.dc=com adding new entry: cn=Print Operators.ou=Groups.dc=com adding new entry: cn=Backup Operators. Domain Users.net/docs/samba+ldap-como/html-onechunk/ # when smbldap-useradd -M is used # Ex: mailDomain="idealx. Domain Computers.dc=com adding new entry: cn=Replicators.ou=Groups.dc=midominio.ou=Users.dc=com already exist.. se crearán por defecto los usuarios: root y nobody los cuales serán mapeados al usuarios Administrador y Guest Samba respectivamente. . Domain Guests.dc=com Contenedor (OU= Unidad Organizativa ) para las cuentas Unix/Samba: ou=Users En el contenedor para los Usuarios..dc=midominio.dc=com adding new entry: cn=Domain Computers.dc=midominio. adding new entry: ou=Users.dc=midominio.com" # Default password validation time (time in days) Comment the next line if # you don't want password to be enable for defaultMaxPasswordAge days (be # careful to the sambaPwdMustChange attribute's value) defaultMaxPasswordAge="99999" Llenando el Directorio LDAP con smbldap-populate Ahora que ya hemos editado los archivos de configuración de las herramientas smbldap-tools.dc=com adding new entry: cn=Domain Users. Contenedor (OU= Unidad Organizativa ) para los Grupos Unix/Samba: ou=Groups En el contenedor de los Grupos.dc=com adding new entry: ou=Groups.dc=com adding new entry: uid=root.dc=com entry sambaDomainName=MIDOMINIO.

Las herramientas smbldap-populate crean 5 grupos locales (built-in): Account Operators..dc=com changetype: modify replace: sambaGroupType sambaGroupType: 4 dn: cn=Print Operators._______uid=nobody | .dc=com changetype: modify replace: sambaGroupType sambaGroupType: 4 dn: cn=Backup Operators.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.ou=Groups._______cn=Domain Computers Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y Windows Usuario Unix/Samba root (Administrador Unix y Administrador de Dominio Samba) Usuario Unix/Samba nobody (Cuenta anonima para entornos Unix y Dominio Samba) Contenedor para las cuentas de Computadoras (Trusted Machine Accounts) para sistemas Windows Contenedor para alamacenar Grupos de sistema para sistemas Unix y Windows ( o para cualquier otro sistema LDAP-aware). Print Operators.ou=Groups.dc=midominio.dc=midominio. A estos grupos les agrega el atributo sambaGroupType con el valor 5. dc=MIDOMINIO._______cn=Domain Admins | . # ldapmodify -h localhost -x -D "cn=admin.dc=com changetype: modify replace: sambaGroupType sambaGroupType: 4 Ahora realizamos la modificación con el comando ldapmodify usando el DN cn=admin. para los grupos samba locales debe usar el tipo 4.ou=Groups.dc=COM | .dc=midominio.___ ou=Users | | | .___ ou=Computers | .net/docs/samba+ldap-como/html-onechunk/ Al final se nos solicita que asignemos una contraseña para el usuario root del dominio.m.dc=midominio.ou=Groups.dc=midominio. ..dc=com" modifying entry "cn=Administrators.dc=com changetype: modify replace: sambaGroupType sambaGroupType: 4 dn: cn=Administrators. más información sobre el bug ver el bug 5551 de samba y el bug td18119198 de smbldap-tools._______cn=Domain Users | .ou=Groups. http://tuxjm. ya que esta misma estrucutra podrá ser utilizada al configurar otras aplicaciones para que interactuen con el directorio LDAP. Replicators.___ ou=Groups | | .dc=midominio.ldif Enter LDAP Password:ldapadmin modifying entry "cn=Account Operators.dc=midominio.ldif con el siguiente contenido: dn: cn=Account Operators.ou=Groups.dc=com" -W -f /tmp/samba-builtin-changetype. Administrators. entonces al final tendremos nuestro arbol de directorio con la siguiente estructura._______uid=root | | | . Grupo Global para los Administradores del Dominio NT: MIDOMINIO Grupo Global para los Usuarios de Dominio NT: MIDOMINIO Grupo Global para las Cuentas de Computadoras del Dominio NT: MIDOMINIO Es importante que se tenga en consideración la estrucutra de nuestro arbol de Directorio. Use el comando ldapmodify para cambiar los atributos en los dn de los grupos. utilizaremos la contraseña: dominioadmin Si al llenar el directorio LDAP no se presenta error alguno. Backup Operators. el tipo de grupo samba 5 es usado para grupos de dominio y no para grupos locales. cree el archivo /tmp/samba-builtin-changetype.dc=com" 42 de 115 05/10/2010 06:42 p.

. 14 Jan 2009 10:50:24 CST Password can change: Wed. si todo fue configurado correctamente nos deberá de mostrar los siguiente: root@ushldap:~# pdbedit -L root:0:root nobody:65534:nobody Como se vio antes. los usuarios samba deben de estar mapeados al UID de un usuario Unix. Si deseamos mostrar los detalles de información de un usuario samba usamos el comando pdbedit de la siguiente manera: root@ushldap:~# pdbedit -Lv root Unix username: root NT username: root Account Flags: [U ] User SID: S-1-5-21-2911508632-2405292923-4115677068-500 Primary Group SID: S-1-5-21-2911508632-2405292923-4115677068-513 Full Name: root Home Directory: \\PDC-SRV\root HomeDir Drive: H: Logon Script: Profile Path: \\PDC-SRV\profiles\root Domain: MIDOMINIO Account desc: Workstations: Munged dial: Logon time: 0 Logoff time: never Kickoff time: never Password last set: Wed. en este caso el usuario root Samba esta mapeado al usuario root Unix con UID 0 y el usuario nobody Samba esta mapeado al usuario nobody Unix con UID 65534.m.dc=midominio. 14 Jan 2009 10:50:24 CST Password must change: never Last bad password : 0 Bad password count : 0 Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF Este comando nos muestra a detalle la información/atributos de una cuenta Samba 43 de 115 05/10/2010 06:42 p.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. y también se hace una prueba de conexión al servidor samba. Probando Samba con Cuentas en el Directorio LDAP El comando pdbedit nos servirá para hacer un listado de usuarios Samba.ou=Groups. el comando pdbedit se conectará al servidor LDAP para obtener la información. .ou=Groups.dc=midominio.net/docs/samba+ldap-como/html-onechunk/ modifying entry "cn=Backup Operators. es necesario reiniciar samba para que tenga conocimiento de la nueva información. root@ushldap:~# /etc/init..dc=com" modifying entry "cn=Print Operators. http://tuxjm.d/samba restart * Stopping Samba daemons * Starting Samba daemons [ OK ] [ OK ] Verificando la instalación y configuración de Samba y LDAP En esta sección veremos algunos comandos que nos podrán servir para verificar que las cuentas de samba sean las almacenadas en el directorio ldap.dc=com" Despues de haber llenado el directorio con los usuarios y grupos de dominio predeterminados.

Configuración de la resolución de Identidades con NSS_LDAP En los sistemas Unix las cuentas de usuario y grupo son mapeadas a un identificador númerico llamado UID (User ID) y GID (Group ID) respectivamente. root@ushldap:~# smbclient //localhost/netlogon -U Administrator Password:dominioadmin Domain=[MIDOMINIO] OS=[Unix] Server=[Samba 3. root@ushldap:~# smbclient //localhost/netlogon -U root Password:dominioadmin Domain=[MIDOMINIO] OS=[Unix] Server=[Samba 3. la configuración anterior ya preparo el mapeo para los grupos de dominio y locales samba. root@ushldap:~# smbldap-usermod -d /root -s /bin/bash root Listo. . http://tuxjm. 44 de 115 05/10/2010 06:42 p. es la que se usará como usuario root local y como administrador de dominio.28a] smb: \> quit root@ushldap:~# Si las ultimas dos pruebas no funcionan entonces debe de revisar su configuración y probablemente volver a empezar verificando que todo se haya seguido al pie de la letra. podremos hacer una prueba utilizando la cuenta Administrator.. las cuentas locales no tienen asignado el SID.0.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. podemos continuar. la cual es invocada cada vez que algún comando o aplicación tratan con alguna cuestion de permisos o autenticación. por ejemplo: # net groupmap list Domain Admins (S-1-5-21-2911508632-2405292923-4115677068-512) -> Domain Admins Domain Users (S-1-5-21-2911508632-2405292923-4115677068-513) -> Domain Users Domain Guests (S-1-5-21-2911508632-2405292923-4115677068-514) -> Domain Guests Domain Computers (S-1-5-21-2911508632-2405292923-4115677068-515) -> Domain Computers Administrators (S-1-5-32-544) -> Administrators Account Operators (S-1-5-32-548) -> Account Operators Print Operators (S-1-5-32-550) -> Print Operators Backup Operators (S-1-5-32-551) -> Backup Operators Replicators (S-1-5-32-552) -> Replicators Note que las cuentas de dominio usan el SID del dominio que se configuro en smbldap-tools.net/docs/samba+ldap-como/html-onechunk/ La cuenta root que se creo en el directorio LDAP. NOTA: Meter referencia a sección de empezando desde ceros. Verificando el mapeo del grupos unix a grupos Samba En un sistema controlador de dominio con samba las cuentas de usuario samba deben ser mapeadas a una cuenta unix por cuesetiones de permisos.28a] smb: \> quit root@ushldap:~# Ya que configuramos el uso del archivo /etc/samba/smbusers para el mapeo de usuarios. Probando conexiones al servidor Samba usando cuentas en LDAP Cuando realizamos el llenado el directorio con smbldap-populate se creo la cuenta root mapeada al administrador del dominio. deberemos de utilizar la contraseña que se asigno al llenar el directorio con el comando smbldap-populate y no la contraseña del usuario root local.m. se debe de cambiar la ruta al $HOME de root y asignarle el shell /bin/bash. Capítulo 7. esta resolución es llevada a cabo por la biblioteca del sistema NSS (Name Service Switch).0. realicemos una prueba de conexión utilizando la cuenta root del dominio.. podemos validarlos con el comando net. deberemos de utilizar la misma contraseña del usuario root.

usamos el comando: root@ushldap:~# apt-get install libnss-ldap Al instalar el paquete libnss-ldap se instalarán otros paquetes como libpam-ldap que lo utilizaremos en la siguiente sección para configurar la autorización a los servicios del sistema. En Debian/Ubuntu el plugin LDAP para la biblioteca NSS es provisto por el paquete libnss-ldap.. /etc/group y /etc/shadow. /etc/passwd. por lo que solo contestaremos las preguntas con cualquier cosa para despues reconfigurar libnss-ldap manualmente. lo instalaremos en el sistema vía apt: Para instalar el paquete libnss-ldap.orig} Importante No confundir con el archivo de los clientes LDAP /etc/ldap/ldap. es aquí donde entra el paquete nss_ldap.conf. ya que nosotros crearemos una configuración nueva este archivo lo podemos renombrar.0. Despues de respaldar el archivo ldap.0.dc=com LDAP version to use: 3 Make local root Database admin: No Does the LDAP database require login?: No Este asistente genero un archivo de configuración /etc/ldap.0..conf lo editaremos root@ushldap:~# vim /etc/ldap.0. grupos y shadow usando archivos locales..conf{. es decir. El sistema de administración de paquetes apt nos lanzará un asistente para configuración.1/ ldap_version 3 base dc=midominio.conf.conf Debera de quedar así: # Config file for libnss-ldap and libpam-ldap uri ldap://127. la configuración del asistente no es exactamente como nosotros la necesitamos.dc=com pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid pam_password exop 45 de 115 05/10/2010 06:42 p. ya que nuestro sistema usará un directorio LDAP para almacenar la información de los usurios y grupos será necesario indicarle a la biblioteca NSS que debe usar un directorio LDAP para obtener información sobre dichas identidades. http://tuxjm. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.1 Distinguished name of the search base: dc=midominio.net/docs/samba+ldap-como/html-onechunk/ Por default la bibliteca de sistema NSS realiza la consulta de usuarios. Deberemos de contestar lo siguiente: LDAP server Uniform Resource Identifier: ldapi://127.m. el paquete nss_ldap es un plugin para la biblioteca del sistema NSS para podere realizar la resolución de identidades usando como fuente de origen un directorio LDAP. root@ushldap:~# mv /etc/ldap.

FILES} Ahora editamos el archivo para decirle que para obtener la información de usuarios.lp.dc=com?one bind_policy soft nss_initgroups_ignoreusers backup..conf Cambiar: passwd: group: shadow: compat compat compat Por: passwd: group: shadow: hosts: compat ldap compat ldap compat ldap files wins dns Nota También aprovechamos para que la resolución de nombres de hosts incluya al servidor WINS incorporado con Samba para resolver nombres netbios.dc=midominio.conf Para que el servicio de resolución de entidades en realidad pueda obtener la información del directorio LDAP..libuuid.conf y modificar las entradas para las entidades: passwd.gnats.net/docs/samba+ldap-como/html-onechunk/ nss_base_passwd nss_base_passwd nss_base_shadow nss_base_group ou=Users. deberemos de modificar el archivo /etc/nsswitch.conf{.list.1 root root 467 2008-06-18 23:37 /etc/ldap.sys.proxy.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.openldap.conf.uucp.daemon.m. Despues de guardar los cambios haremos unas pruebas con el comando getent para verificar que si este haciendo las consultas al directorio LDAP. .www-data Los permisos del archivo /etc/ldap.irc.mail.conf deben de ser 644.. group y shadow. Ahora haremos una prueba para que podamos obtener la lista de grupos tanto del archivo /etc/group como del directorio LDAP. grupos también consulte el directorio LDAP especificado en el archivo /etc/ldap. http://tuxjm.conf -rw-r--r-.klog.man.syslog. como se muestra a continuación: root@ushldap:~# ls -l /etc/ldap.bin.dc=midominio. root@ushldap:~# vim /etc/nsswitch.dc=com?one ou=Groups.dc=com?one ou=Computers.dhcp.games.sync.news.dc=midominio. una fue obtenida del archivo /etc/passwd y otra del directorio LDAP. Antes de modificar el archivo de configuración de resolución de entidades haremos una copia de seguridad: root@ushldap:~# cp /etc/nsswitch. Verificando la resolución de usuarios: root@ushldap:~# getent passwd | grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:Netbios Domain Administrator:/root:/bin/bash En la salida del comando anterior deberemos de ver dos resultados para root.dc=midominio. 46 de 115 05/10/2010 06:42 p.dc=com?one ou=Users.sshd.

Capítulo 8. Cada linea de los archivos de configuración de PAM contiene tres columnas más argumentos opcionales.m. Podemos utilizar el comando id para verificar que la resolución de entidades muestre a que grupos pertenece el usuario root. .so nullok obscure md5 A continuación se explica que es cada elemento: password La primer columna sirve para indicar el tipo de modulo de autenticación requisite La segunda columna (Control Flag) sirve para indicarle a PAM como es que debe de actuar d 47 de 115 05/10/2010 06:42 p.. el usuario root pertenece al grupo 512 (Domain Admins) que esta en el directorio LDAP. Inicie una nueva sesión como root en el equipo ya sea por ssh o localmente en una TTY. http://tuxjm. Configuración de la Autenticación con PAM_LDAP Tabla de contenidos Introducción a los Modulos de Autenticación PAM Respaldando la configuración de PAM Configurando los modulos de autenticación de PAM Configuración del modulo auth Configuración del modulo account Configuración del modulo session Configuración del modulo password Instalando el modulo Cracklib de PAM Probando la autenticación de usuarios de sistema vía PAM_LDAP Introducción a los Modulos de Autenticación PAM Que es PAM? PAM son las siglas de Plugable Authentication Modules que basicamente es un mecanismo flexible para autenticar usuarios.512(Domain Admins) En este caso.net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# getent group | grep -E 'root|Domain' root:x:0: Domain Admins:*:512:root Domain Users:*:513: Domain Guests:*:514: Domain Computers:*:515: En la salida del comando anterior la entrada para el grupo root fue obtenida del archivo /etc/group y las entradas de los grupos Domain XXXX fueron obtenidas del directorio LDAP. a continuación se muestra un ejemplo: password requisite pam_unix. y despues ejecute lo siguiente: root@ushldap:~# id root uid=0(root) gid=0(root) groups=0(root).Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard..

Estos modulos son tipicamente usados para restringuir o permitir el acceso a un servicio basado en la hora del día. se encarga de determinar si el usuario o tiene o no acceso al servicio. Es especialmente util para e ´ mantener registros de acceso o hacer accesible el directorio home del usuario.m. Estas tareas ofrecen incluso un a sistema de credenciales que permiten al usuario ganar ciertos privilegios —jados por el administrador—. Este último tipo de modulo es requerido para actualizar el token de autenticación asociado a un usuario. . o el usuario es realmente quien dice ser. Ofrece o o vericaci´n de cuentas de usuario. ignorando las dem´s. etc. password (contraseña) Se encarga de mantener actualizado el elemento de autenti. authentication (autenticaci´n) Tareas encaminadas a comprobar que. http://tuxjm. para limitar el login al usuario root en la consola).Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Estos modulos proveen dos formas de autenticar el usuario.. A menudo. Algunos ejemplos son permitir/denegar el acceso o en funci´n de la hora. session (sesión) En este grupo se engloban tareas que se deben llevar a cabo antes o de iniciarse el servicio y despu´s de que este nalice. los recursos disponibles o.so La tercer columna se usa para especificar el nombre del modulo a usar nullok obscure md5 La cuarta columna (opcional) sirve para especificar argumentos a los modulos. s´lo o se tiene en cuenta esta tarea. si su contrase˜a ha caducado. los modulos establecen que el usuario es quien dice ser instruyendo la aplicacion (servicio) que le pregunte al usuario una contraseña u otro mecanismo de identificación. account (cuenta) En este grupo se engloban tareas que no est´n relacionadas a directamente con la autenticaci´n. el modulo puede otorgar membrecia a un grupo u otros privilegios a traves de las propiedades de las credenciales del usaurio. cuando se habla de PAM.net/docs/samba+ldap-como/html-onechunk/ pam_unix. 48 de 115 05/10/2010 06:42 p. Primero. Por ejemplo. incluso. Acciones como o n comprobar la fortaleza de una clave son t´ ıpicas de este grupo. Estos modulos estan asociados a las realización de tareas que necesitas que sean hechas para el usuario antes de que se le pueda dar acceso a un servicio o despues de que el servicio ha sido provisto. A continuación se describe cada una de las columnas involucradas en las configuraciones de PAM: Tipos de Modulos Hay cuatro tipos de modulos PAM que a continuación se describen. n Estos modulos realizan nonauthentication based account management.n caci´n asociado a cada usuario —por ejemplo. efectivamente. La siguiente tabla muestra los la estrucutra de de una configuración de PAM METER OTRA TABLA con la misma info. la localizaci´n. los recursos del sistemas actualmente disponibles (máximo número de usuarios) o quizaso quizas la localización de el usuario ( por ejemplo. igual en diagrama. Segundo. su contrase˜a—..

montar directorios. .so session optional pam_ldap.so use_first_pass required pam_deny.so Configuración del modulo account config de root@ushldap:~# cat /etc/pam. and the opening and closing o f some data exchange with another user.d/common-session session required pam_unix. /etc/group y /etc/shadow.d{.net/docs/samba+ldap-como/html-onechunk/ Tales tareas incluyen registrar (logging) información correspondiente al usuario.FILES para indicar que son las configuraciones que usan los archivos /etc/passwd.d/common-account account required pam_unix. haremos un respaldo antes de realizar nuestras modificaciones: Todas las configuraciones de PAM estan en el directorio /etc/pam. respaldaremos todo el directorio root@ushldap:~# cp -va /etc/pam..d/common-auth sufficient pam_unix.FILES} Nuestro respaldo tendrá el sufijo .m. http://tuxjm. y cualquier configuración mal hecha podría causar que ya no podamos iniciar sesión localmente ( ni como root).d/common-password password required pam_cracklib.d/.so likeauth nullok sufficient pam_ldap.so nullok use_authtok md5 shadow 49 de 115 05/10/2010 06:42 p.so Configuración del modulo password root@ushldap:~# cat /etc/pam.. Banderas de Control (Control Flags) Modulo Argumentos (opcional) Respaldando la configuración de PAM Ya que la configuración de PAM y sus modulos es muy importante.so Configuración del modulo session Connfigurando la Autorización (Authz) con PAM LDAP: root@ushldap:~# cat /etc/pam.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. Configurando los modulos de autenticación de PAM Configuración del modulo auth Configurar los archivos de acuerdo a: root@ushldap:~# auth auth auth cat /etc/pam.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 password sufficient pam_unix.so account sufficient pam_ldap.

cracklib es un conjunto de bibliotecas que nos servirán para verificar que las contraseñas suministradas por usuarios unix sean lo suficientemente fuertes.so use_authtok pam_deny. .dc=com objectClass: top. así.. Para instalar el modulo pam_cracklib. http://tuxjm.ou=Users..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Mostrando la información del nuevo usuario: root@ushldap:~# smbldap-usershow jmedina dn: uid=jmedina.person. Por medio del modulo pam_cracklib tambien podemos especificar el tamaño minimo de una contraseña. instalaremos el paquete libpam-cracklib.shadowAccount cn: jmedina sn: jmedina givenName: jmedina uid: jmedina uidNumber: 1008 gidNumber: 513 homeDirectory: /home/jmedina loginShell: /bin/bash gecos: System User shadowLastChange: 14049 userPassword: {SSHA}dFAiW/BAWzSnLVuQXfrtN3Ne/RxHSlgz Verificando resolución de identidades: root@ushldap:~# id jmedina uid=1002(jmedina) gid=513(Domain Users) groups=513(Domain Users) Verificando que no existe localmente (archivos) root@ushldap:~# grep jmedina /etc/passwd Probando la autenticación pam con pamtest 50 de 115 05/10/2010 06:42 p. el chequeo lo hace contra un diccionario de palabras.posixAccount. si un usuario ingresa una contraseña basada en alguna palabra del diccionario cracklib nos alertará.inetOrgPerson.so Instalando el modulo Cracklib de PAM En el modulo de autenticación password especificamos que es requerido el uso de pam_cracklib.organizationalPerson.net/docs/samba+ldap-como/html-onechunk/ password password sufficient required pam_ldap.m. así: root@ushldap:~# apt-get install libpam-cracklib Probando la autenticación de usuarios de sistema vía PAM_LDAP Crear usuario con smbldap-useradd root@ushldap:~# smbldap-useradd -m -P jmedina Changing UNIX password for jmedina New password:123456 Retype new password:123456 Nota Para más información de como crear cuentas unix con las herramientas smbldapt-tools ver la Sección Administración de cuentas Unix y Samba vía smbldap-tools.dc=midominio.

the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. 51 de 115 05/10/2010 06:42 p. please visit: http://help.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686 The programs included with the Ubuntu system are free software.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. To access official Ubuntu documentation..net/docs/samba+ldap-como/html-onechunk/ Instalando root@ushldap:~# apt-get install libpam-dotfile Progando root@ushldap:~# pamtest passwd jmedina Trying to authenticate <jmedina> for service <passwd>. .ubuntu.1 jmedina Domain Users 0 2008-07-17 21:24 ArchivoPrueba drwxr-xr-x 2 jmedina Domain Users 4096 2008-07-17 21:24 DirPrueba El usuario puede cambiar su propia contraseña desde un shell usando el comando passwd. http://tuxjm. jmedina@ushldap:~$ passwd Enter login(LDAP) password:123456 New UNIX password:NuevaContraseñA Retype new UNIX password:NuevaContraseñA LDAP password information changed for jmedina passwd: password updated successfully jmedina@ushldap:~$ Nota Recuerde que el comando passwd esta ligado a la bilioteca NSS y NSS a su vez con LDAP y realizará una operación de cambio de contraseña en el directorio LDAP.com/ Last login: Thu Jun 19 18:16:12 2008 from localhost jmedina@ushldap:~$ pwd /home/jmedina Verificando que los UID y GID sean consistentes con los del LDAP: jmedina@ushldap:~$ id uid=1008(jmedina) gid=513(Domain Users) groups=513(Domain Users) Probando crear archivos y directorios y ver que reporte los UID y GID en los archivos y dirs creados: jmedina@ushldap:~$ mkdir DirPrueba jmedina@ushldap:~$ touch ArchivoPrueba jmedina@ushldap:~$ ls -l total 4 -rw-r--r-. Password:123456 Authentication successful. Ubuntu comes with ABSOLUTELY NO WARRANTY. hacer prueba de ssh root@ushldap:~# ssh jmedina@localhost jmedina@localhost's password: Linux ushldap 2.6. to the extent permitted by applicable law.

net/docs/samba+ldap-como/html-onechunk/ Si utiliza una nueva contraseña debil el sistema (con ayuda de pam_cracklib) le notificará.gz > \ /usr/sbin/smbldap-migrate-unix-accounts Instalando el script para migrar grupos Unix: root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/migration_scripts/smbldap-migrate-unix-groups. sin embargo. . http://tuxjm. En Ubuntu no se incluyen las herramientas necesarias para migrar cuentas Unix a LDAP.gz > \ /usr/sbin/smbldap-migrate-unix-groups Ahora le configuraemos los permisos a estos dos scripts para que puedan ser ejecutados sin probleas: root@ushldap:~# chmod 755 /usr/sbin/smbldap-migrate-unix-* Y por último verificamos que los permisos se hayan puesto correctamente: root@ushldap:~# ls -l /usr/sbin/smbldap-migrate-unix-* -rwxr-xr-x 1 root root 11640 2008-07-18 00:49 /usr/sbin/smbldap-migrate-unix-accounts -rwxr-xr-x 1 root root 5533 2008-07-18 00:50 /usr/sbin/smbldap-migrate-unix-groups Ahora que ya tenemos los scripts para migrar cuentas locales al directorio LDAP seguiremos con las secciones para migrar cuentas y grupos. lo haremos así: Instalando el script para migrar cuentas unix: root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/migration_scripts/smbldap-migrate-unix-accounts. Migración de Usuarios (/etc/passwd y /etc/shadow) La información de cuentas de usuario estan almacenadas en el archivo /etc/passwd. por ejemplo: $ passwd Enter login(LDAP) password: New UNIX password: BAD PASSWORD: it is based on your username New UNIX password: BAD PASSWORD: it is too simplistic/systematic New UNIX password: BAD PASSWORD: it is based on a dictionary word passwd: Authentication token manipulation error passwd: password unchanged Capítulo 9. Hacer una copia de los archivos /etc/passwd y /etc/shadow en un directorio temporal: 52 de 115 05/10/2010 06:42 p.m. Migración de usuarios y grupos Unix/Posix al directorio LDAP Tabla de contenidos Migración de Usuarios (/etc/passwd y /etc/shadow) Migración de Grupos (/etc/group) En este cápitulo explicaremos como migrar las cuentas locales de sistema (/etc/passwd) y los grupos locales (/etc/group) a nuestro directorio LDAP.. Migraremos la información de ambos archivos siguiendo el siguiente procedimiento: 1.. estas herramientas estan como ejemplos en el directorio /usr/share/doc/smbldaptools/examples/migration_scripts/.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. y en el archivo /etc/shadow principalmente esta almacenado el hash de la contraseña del usuario. necesitaremos copiar estas herramientas a /usr/sbin/.

Ahora si migramos los grupos al directorio LDAP root@ushldap:~# smbldap-migrate-groups -a -G /tmp/group 4.m. Elimina todos los grupos que no quieres que se importen al directorio LDAP root@ushldap:~# for group in root bin daemon do export group perl -i -pe’s@^$ENV{group}:(. El proceso de Migración deberá de hacerse como sigue: 1.. Ahora migramos las cuentas de /tmp/passwd y /tmp/shadow a nuestro directorio: root@ushldap:~# smbldap-migrate-accounts -a -P /tmp/passwd -S /tmp/shadow Nota Con la opción -a de smbldap-migrate-accounts. 4. Todos los usuarios que previamente tenían definido un shell valido en /etc/passwd entonces serán capaces de conectarse a el servidor y actualizar su contraseña Windows usando el script /usr/sbin/smbldappasswd ó el comando passwd. . Eliminar de ambos archivos todas las cuentas que no quieras importar en el directorio LDAP root@ushldap:~# for user in root nobody bin daemon do export user perl -i -pe’s@^$ENV{user}:(. Eliminando los archivos temporales root@ushldap:~# rm -i /tmp/passwd /tmp/shadow rm: remove regular file `/tmp/passwd'? y rm: remove regular file `/tmp/shadow'? y En la siguiente sección veremos como migrar los grupos.net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# cp /etc/passwd /etc/shadow /tmp/ 2.*)\n@@’ /tmp/group done 3. Migración de Grupos (/etc/group) Ahora migraremos los grupos de el archivo /etc/group.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.*)\n@@’ /tmp/passwd perl -i -pe’s@^$ENV{user}:(.. Hacer una copia del archivo /etc/grooup a un directorio temporal: root@ushldap:~# cp /etc/group /tmp/ 2. Eliminando el archivo temporal root@ushldap:~# rm -i /tmp/group rm: remove regular file `/tmp/group'? y 53 de 115 05/10/2010 06:42 p. http://tuxjm.*)\n@@’ /tmp/shadow done 3. el atributo sambaSAMAccount será agregado a los usuarios importados.

Administración de cuentas Unix y Samba vía smbldap-tools Tabla de contenidos Introducción Atributos predenidos para la creación de usuarios Creación de cuentas de usuario Eliminación de cuentas de usuarios Cambiando la contraseña de un usuario Modificación de cuentas de usuario Administración de Grupos de Sistema y Grupos Samba Agregando Grupos Eliminando Grupos Agregando usuarios a Grupos Eliminando Usuarios de Grupos En este capitulo veremos los comandos y archivos involucrados en la administración de usuarios y grupos tanto unix como samba. Atributos predenidos para la creación de usuarios Las herramientas smbldap-tools tienen algunos archivos de conguración que son usados para congurar las cuentas en el directorio LDAP.conf.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. como /etc/passwd. estas herramientas están especialmente diseñadas para administrar usuarios y grupos de sistema y samba almacenados en un directorio LDAP. /etc/group. tanto Posix como Samba. Como ya vimos arriba. es decir. para cada comando veremos las opciones disponibles con su descripción y ejemplos de como utilizarlos para casos reales. muchas opciones las podemos predeterminar en el archivo /etc/smbldap-tools/smbldap. Deberías de eliminar esta opción si no deseas hacer el mape de grupos unix a windows. Podemos usar el comando getent para verificar que los usuarios y grupos migrados esten en el directorio LDAP. . Introducción Normalmente la información de las cuentas de usuario y grupos de sistema (Posix) y Samba están almacenadas en una serie de archivos comunes. etc. pero en esta instalación toda esta información esta almacenada en una base de datos de usuarios y grupos centralizada.net/docs/samba+ldap-como/html-onechunk/ Nota Con la opción -a de smbldap-migrate-groups. 54 de 115 05/10/2010 06:42 p.m. /etc/shadow y /etc/samba/smbpasswd. en un directorio LDAP. groupadd. El archivo principal de conguración de las smbldap-tools es: /etc/smbldap-tools/smbldap. en su lugar usaremos las herramientas smbldap-tools. Capítulo 10.. algunas cadenas que inician con $ se reeren a parámetros ó variables denidas en archivo de conguración /etc/smbldap-tools/smbldap. usaremos el comando smbldap-useradd. Creación de cuentas de usuario Para la administración de usuarios. en especico agregar usuarios. http://tuxjm. el atributo sambaGroupMapping será agregado a los grupos de manera que ellos podrán ser usados como grupos Windows (entonces Samba mapeara los grupos Unix a los grupos Windows). Este archivo fue generado en el cápitulo Configuración de Samba y las herramientas smbldap-tools en la sección Instalación y Configuración de las smbldap-tools. Para administrar los usuarios y grupos ya no podremos utilizar las herramientas ordinarias como: useradd. además se pueden establecer valores predenidos para algunos atributos de cuentas y grupos. passwd. A continuación se describirán estas herramientas para realizar las tareas comunes de administración de usuarios y grupos. Una lista de las opciones que podemos usar a la hora de crear usuarios se muestran en la siguiente tabla..conf.conf.

Tabla de opciones disponibles para el comando smbldap-useradd Opción Descripción -a Crea una cuenta Windows.net/docs/samba+ldap-como/html-onechunk/ Tabla 10. Este será el grupo primario del usuario Agrega la cuenta a uno o más grupos suplementarios (Secundarios). http://tuxjm. usado por la opción -D NOTA: Si se desea desactivar el mapeo del directorio home en el servidor al usuario. 1 = Sí Establece la ruta para el recurso compartido homes en el servidor Samba. debemos de asignar un valor vacío. Al terminar el comando smbldap-useradd. NOTA: Si no se desea mapear el home del usaurio. 1 = Sí El usuario debe cambiar su contraseña la primer vez que inicia sesión: 0 = No.m. -F Establece la ruta al directorio (el el servidor) del perfil de Windows para uso con perfiles móviles (Roaming Profiles) NOTA: Si no se desea activar el uso de roaming profiles para el usuario se debe de asignar un valor vacio. Establece la ruta del directorio $HOME del usuario Estable el shell de login para el usuario Establece el campo gecos del la cuenta de usuario.550 -d /var/usuario -s /bin/ksh -c "Usuario Administrador" Primer ó siguiente UID disponible Primero ó siguiente GID disponible $userHomePrefix/usuario $userLoginShell $userGecos Por ejemplo. smbldap-passwd es invocado para establecer la contraseña del usuario El usuario puede cambiar su contraseña: 0 = No. se asigna un valor vacío: -D Estable la letra de la unidad de red con la que se mapeará el $HOME del usuario en el servidor (-C) al usuario cuando inicie sesión en el dominio. cada nombre de grupo va seprado por coma. si se van a establecer varios grupos suplementarios.. . -N -S Establece el nombre canónico del usuario Establece el surname (apellido) del usuario -A 1 -B 1 -C \\PDC\homes -C "" -D H: -D "" -F \\PDC\profiles \usuario -F "" -N Juan -S Perez $userProfile $userHomeDrive $userSmbHome Ejemplo Valor Predeterminado -u 1003 -g 1003 -G 512. si no se especifica esta opción el comando smbldap-useradd solo creará una cuenta Unix/POSIX -w -u -g -G -d -s -c -m -P -A -B -C Crea una cuenta de Computadora Windows (Windows Workstation) Establece el valor del User ID (UID) del usuario Estable el valor para el Group ID (GID).1. preferiblemente usar -N y -S para asignar Nombre y Apellido Crea el directorio $HOME para el nuevo usuario y copia el contenido de /etc/skel dentro del directorio. NOTA: Hay que agregar los ":" (dos puntos) al final de la letra. Agregaremos uno usuario a Usuario Red 1 con el login usuariored1 el cual: Es un usuario de Windows (-a) El grupo primario del usuario será el grupo con el GID 512 (Domain Users) (-g) Tiene un directorio home en /home/usuariored1 (-d) No tiene un login shell (-s) La cuenta NO tendrá soporte para perles móviles (roaming proles) (-F "") Y al nal del comando se preguntará la contraseña del usuario (-P) El nombre canónico es Juan (-N) 55 de 115 05/10/2010 06:42 p..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. entonces deberá de pertenecer al grupo Domain Admins: Ejecutamos: root@ushldap:~# smbldap-useradd -a -m -G 512 -s /bin/bash -P usuarioadmin Changing UNIX and samba passwords for usuarioadmin New password:CONTRASEÑADEUSUARIOADMIN Retype new password:CONTRASEÑADEUSUARIOADMIN Nota Para conocer acerca de las demás opciones del comando smbldap-useradd ver la página del manual del comand smbldap-useradd(8).conf. -E y -F que sería mejor desactivarlas de forma global en el archivo /etc/smbldap-tools/smbldap.2.m.net/docs/samba+ldap-como/html-onechunk/ El apellido es Red 1 (-S) Lo hacemos con el siguiente comando: root@ushldap:~# smbldap-useradd -a -g 512 -m -N "Usuario" -S "Red 1" -s /bin/false -d /home/usuariored1 -F "" -P usuariored1 Changing UNIX and samba passwords for usuariored1 New password:CONTRASEÑADEUSUARIORED1 Retype new password:CONTRASEÑADEUSUARIORED1 Ya que algunos atributos ya los predenimos. Tabla de opciones disponibles para el comando smbldap-userdel Opción Descripción -r Elimina el directorio $HOME del usuario -R Elimina el directorio $HOME del usuario de forma interactiva Si deseas eliminar la cuenta usuariored1 del directorio LDAP. entonces podemos obviarlos y ejecutar: root@ushldap:~# smbldap-useradd -a -m -P usuariored1 Changing UNIX and samba passwords for usuariored1 New password:CONTRASEÑADEUSUARIORED1 Retype new password:CONTRASEÑADEUSUARIORED1 Digamos que para agregar un usuario que solo sera usado para ejecutar comandos administrativos y agregar maquinas al dominio.. 56 de 115 05/10/2010 06:42 p. usalo con cuidado. Una lista de opciones disponibles son: Tabla 10. Eliminación de cuentas de usuarios Para eliminar una cuenta de usuario. Para ver como configurar los privilegios para que usuarioadmin pueda unir maquinas al dominio ver la sección Delegando tareas y privilegios a los miembros del dominio. Hay opciones como -C. -D. usa el siguiente comando: root@ushldap:~# smbldap-userdel usuariored1 Aviso El usar la opción -r es peligroso ya que puede eliminar datos importantes del usaurio. se usa el comando smbldap-userdel. http://tuxjm. .. y si también deseas eliminar el directorio $HOME.

http://tuxjm. se asigna un valor vacío: Estable la letra de la unidad de red con la que se mapeará el $HOME del usuario en el servidor (-C) al usuario cuando inicie sesión en el dominio. cada nombre de grupo va seprado por -G 512. NOTA: La ruta al logon script debe de ser relativa a la ruta del recurso [netlogon] NOTA: Si no se desea ejecutar un logon script para el usuario se debe de especificar un valor vacío. es decir. le agrega los atributos necesarios para que el usuario pueda conectarse a recursos compartidos en red (SMB/CIFS) y pueda hacer login en el dominio NT/Samba. 550 coma. Establece la fecha de expiración para la contraseña del usuario. debemos de asignar un valor vacío. (Formato: YYYY-MM-DD HH:MM:SS) El usuario puede cambiar su contraseña: 0 = No.bat -E "" -F \\PDC\profiles \usuario -s /bin/ksh -D -E -F 57 de 115 05/10/2010 06:42 p. smbldap-passwd es invocado para establecer la contraseña del usuario Agrega el objectClass sambaSAMAccount a la cuenta. 1 = Sí El usuario debe cambiar su contraseña la primer vez que inicia sesión: 0 = No. Establece la ruta al directorio (el el servidor) del perfil de Windows para uso con perfiles móviles (Roaming Profiles) -A 1 -B 1 -C \\PDC\homes -C "" -D H: -D "" -E common. NOTA: Hay que agregar los ":" (dos puntos) al final de la letra. NOTA: Si no se desea mapear el home del usaurio. si se van a establecer varios grupos suplementarios. Nombre del script batch (DOS) para ejecutarse al inicio de sesión del usuario. usado por la opción -D NOTA: Se se desea desactivar el mapeo del directorio home en el servidor al usuario..3. Tabla de opciones disponibles para el comando smbldap-usermod Opción -c -d -u -g -G -s -N -S -P -a -e -A -B -C Establece el campo gecos del la cuenta de usuario Establece la ruta del directorio $HOME del usuario Estable el valor del User ID (UD) del usuario Estable el valor para el Group ID (GID). Este será el grupo primario del usuario Descricpción Ejemplo -c "Usuario Administrador" -d /var/user -u 1003 -g 1003 Agrega la cuenta a uno o más grupos suplementarios (Secundarios). Estable el shell de login para el usuario Estable el nombre canónico del usaurio Estable el surname (apellido) del usaurio Al terminar el comando smbldap-useradd. Modificación de cuentas de usuario Para modicar una cuenta de usuario.net/docs/samba+ldap-como/html-onechunk/ Cambiando la contraseña de un usuario Para cambiar la contraseña de un usuario usamos el comando smbldap-passwd como se muestra en el siguiente ejemplo: root@ushldap:~# smbldap-passwd usuariored1 Changing UNIX and samba passwords for usuariored1 New password:NUEVACONTRASEÑADEUSUARIORED1 Retype new password:NUEVACONTRASEÑADEUSUARIORED1 Si desea permitir que los usuarios Windows puedan cambiar su contraseña desde el mismo Windows vea la sección Permitiendo que usuarios Windows cambien su contraseña de dominio. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Las opciones disponibles están listadas en la siguiente tabla: Tabla 10. 1 = Sí Establece la ruta para el recurso compartido homes en el servidor Samba..m. usamos el comando smbldap-usermod.

Establece el Group ID (GID) del grupo -g 1002 Ejemplo -o El GID del grupo no es único. entonces se deberán de configurar los ACL (Listas de Control de Acceso) apropiadamente en el servidor LDAP.m. -E y -F que sería mejor desactivarlas de forma global en el archivo /etc/smbldap-tools/smbldap.4.conf. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.5. El mapeo de GID a SID es automatico. Tabla de opciones disponibles para el comando smbldap-groupadd Opción -a -g gid Descipción El grupo será automaticamente mapeado a un grupo de Dominio (Windows). Desabilita (desactiva) la cuenta de usuario Habilita (despues de haber sido desactivada) la cuenta de usaurio Ejemplo -F "" -I 1 -J 1 También puedes usar el comando smbldap-userinfo para actualizar la información del usuario. http://tuxjm. -r Establece el ID Relativo (RID) para el grupo Samba RID-GRUPO -s Establece el SID del grupo a SID-GRUPO SID-GRUPO -r 1002 -s S-1-5-21-37034719493718591838-2324585696-1002 58 de 115 05/10/2010 06:42 p. Tabla de opciones disponibles para el comando smbldap-userinfo Opción Descipción -f Estable el nombre completo del usuario -w -h -s Establece el número telefónico del Trabajo Establece el número telefónico de Casa Ejemplo -f Mi Nombre con Apellidos -w 55 44 33 22 11 -h 22 11 22 33 44 Establee el login shell predeterminado del usuario -s /bin/bash Hay opciones como -C... -D. Agregando Grupos Para agregar un nuevo grupo usaremos el comando smbldap-groupadd. TODO: POner una nota de que atributos se deben de permitr y alguna otra recomendación. Administración de Grupos de Sistema y Grupos Samba Para la administración de grupos se usarán diferentes comandos que se explican a continuación. Tabla 10. la información que pueden cambiar los usaurios esta listada en la siguiente tabla: Nota Si se permite que los usuarios modifiquen su propia información. Una lista de opciones disponibles se encuentran en la siguiente tabla: Tabla 10.net/docs/samba+ldap-como/html-onechunk/ Opción -I -J Descricpción NOTA: Si no se desea activar el uso de roaming profiles para el usuario se debe de asignar un valor vacio. Este comando también puede ser usado por los usuarios para actualizar su propia información.

el cual: Automaticamente se mapeara a un grupo de Samba (Windows) (-a) Se le asignará el ID de Grupo (GID) 3000 (-g 3000) Y le agregaremos el RID 300.m. carlos y sara al grupo contabilidad 59 de 115 05/10/2010 06:42 p. por lo que solamente podemos ejecutar: root@ushldap:~# smbldap-groupadd -a contabilidad Para visualizar la información del nuevo grupo podemos usar el comando smbldap-groupshow. Imprime el GID a la salida estandar (stdout) Ejemplo -t 4 Por ejemplo. por ejemplo. por ejemplo: Queremos agregar el usuario miguel. al igual que el GID (-r 3000) Ejecutamos el siguiente comando: root@ushldap:~# smbldap-groupadd -a -g 3000 -r 3000 contabilidad Normalmente no es necesario especificar el gid ni el rid manualmente. Los valores disponibles son: 2 (domain group)..posixGroup. .sambaGroupMapping cn: contabilidad gidNumber: 1001 sambaSID: S-1-5-21-1482872308-118742792-2317756604-3003 sambaGroupType: 2 displayName: contabilidad TODO: ???? Eliminando Grupos Para eliminar grupos. usaremos el comando smbldap-groupdel. ya que dejaremos que elija el siguiente disponible. usaremos el comando: root@ushldap:~# smbldap-groupmod -m jmedina contabilidad adding user jmedina to group contabilidad Si queremos agregar más de un usuario a un grupo deberemos de separar cada nombre de usuario por coma. Agregando usuarios a Grupos Para agregar un usuario a un grupo usamos el comando smbldap-groupmod.net/docs/samba+ldap-como/html-onechunk/ Opción -t -p Descipción Establece el tipo de grupo (solo grupos samba). 4 (local group) y 5 (builtin group). queremos agregar el usuario jmedina al grupo recién creado contabilidad..ou=Groups. para eliminar el grupo contabilidad usaremos el siguiente comando: root@ushldap:~# smbldap-groupdel contabilidad Este comando no requiere de opción alguna. por ejemplo. http://tuxjm.dc=com objectClass: top. si queremos agregar un grupo llamado contabilidad.dc=midominio. por ejemplo: root@ushldap:~# smbldap-groupshow contabilidad dn: cn=contabilidad.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. El tipo de grupo predeterminado es el tipo 2 (grupo de dominio).

carlos. para cambiarla y protegerla usando un hash criptográfico siga los siguientes pasos: 1.conf(5) tenemos nuestra definición de base de datos tenemos las siguientes directivas: rootdn cn=Manager. . como en el siguiente ejemplo: root@ushldap:~# smbldap-groupmod -x carlos.dc=com rootpw secret En este ejemplo la contraseña del rootdn esta en texto plano. http://tuxjm..sara contabilidad adding user miguel to group contabilidad adding user carlos to group contabilidad adding user sara to group contabilidad Eliminando Usuarios de Grupos Para eliminar algún usuario mienbro de un grupo usamos el comando: root@ushldap:~# smbldap-groupmod -x miguel contabilidad deleting user miguel from group contabilidad Si queremos eliminar más de un usuario a la vez separamos cada nombre de usuario por coma. ya que esta es una cuenta privilegiada se recomienda que se asigne una contraseña fuerte y que dicha cuenta solo se use para tareas que requieran privilegios elevados. Cambiar o asignar contraseña al Root DN de OpenLDAP En OpenLDAP el DN definido en la directiva rootdn del archivo slapd.sara contabilidad deleting user carlos from group contabilidad deleting user sara from group contabilidad Capítulo 11. En nuestro ejemplo en el archivo slapd.dc=example.net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# smbldap-groupmod -m miguel..conf(5) no es sujeto a las restricciones impuestas por las ACLs.m. Genere el hash de la contraseña usando slappasswd: # slappasswd New password: Re-enter new password: {SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6 60 de 115 05/10/2010 06:42 p. Tareas de Mantenimiento de OpenLDAP y Samba Tabla de contenidos Cambiar o asignar contraseña al Root DN de OpenLDAP Agregar nuevos indices de atributos en OpenLDAP Respaldar los archivos de configuración de OpenLDAP Respaldar y Restaurar una base de datos de OpenLDAP Respaldando archivos importante de Samba Respaldando el SID del Dominio Samba En esta sección se describen algunas de las tareas de mantenimiento básicas para el servidor OpenLDAP y Samba.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

conf(5) tenga los permisos adecuados. Referencias adicionales: man slapd. Para mantener la entrada del RootDN en el directorio LDAP siga este procedimiento: 1. rootdn cn=Manager.conf(5) y agregar una entrada para el DN en el directorio LDAP.conf(5). . es decir..dc=example. por ejemplo en Debian/Ubuntu se usa el DN de la cuenta cn=admin. Si olvida la contraseña siempre puede realizar la configuración manual usando slappasswd(8) y slapd.. por ejemplo en Debian/Ubuntu se recomiendan los permisos: root:openldap / 640.m. Cree una entrada en el directorio usando el archivo LDIF: dn: cn=Manager..dc=com la cual ya tiene los ACLs predefinidos para que tenga permisos completos sobre la base de datos predefinida.net/docs/samba+ldap-como/html-onechunk/ Nota El hash predefinido es SSHA. por ejemplo: . para más información vea la pagina del manual de slappasswd(8).dc=example.conf(5).. en su lugar se recomienda que cree una cuenta privilegiada para tales propositos.dc=example.dc=example.ldif Se recomienda que no use la cuenta cn=Manager.dc=com en sus tareas de administración de rutina. http://tuxjm. puede eliminar la directiva rootpw del archivo slapd.dc=com" -W -h localhost -f rootdn. Para que el cambio tome efecto reinicie el servicio LDAP: # /etc/init. Copie el HASH {SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6 y cambielo en el valor rootpw del archivo slapd. Los beneficios que obtenemos al mantener la entrada el rootdn en el directorio son: Puede actualizar la contraseña de forma dinamica sin reiniciar el servicio usando una operación de modificación desde cualquier cliente LDAP.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. 2.conf(5). por ejemplo: -h {CRYPT}.d/slapd restart Tambien puede mantener la contraseña del rootdn fuera del archivo slapd. si desea cambiar el tipo de hash use la opción -h para definir un hash diferente.dc=com cn: Manager sn: Manager objectClass: person objectClass: top userPassword: {SSHA}someSSHAdata 2.dc=example. Agrega el LDIF usando ldapadd: # ldapadd -v -x -D "cn=Manager.dc=com rootpw {SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6 Importante Asegurese de que el archivo slapd.conf(5) man slapd(8) 61 de 115 05/10/2010 06:42 p.

uniqueMember eq En este caso agregamos los atributos memberUid y uniqueMember de tipo Equality.4 Administrator’s Guide . Indexar los atributos memberUid y uniqueMember: # slapindex -v memberUid uniqueMember 4.. . para que los atributos existentes también sean indexados debe detener el servicio slapd y ejecutar el programa slapindex 2. Bajo la definición de la base de datos en cuestion agregue los indices: index memberUid. Re establecer permisos para archivos de bases de datos de slapd: # chown -R openldap:openldap /var/lib/ldap 5. Si solo reinicia el servicio slapd solo se indexarán los atributos para las nuevas entradas. http://tuxjm.conf Nota Estas tareas se realizan sobre distribuciones basadas en Debian como Unbuntu..d slapd stop Referencias adicionales: 62 de 115 05/10/2010 06:42 p. Agregar definición de indice para los atributos deseados al archivo de configuración del servicio OpenLDAP: # vim /etc/ldap/slapd.m. Detener servicio slapd: # invoke-rc.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. # invoke-rc. Ahora ya puede iniciar el servicio slapd con todos los atributos indexados.d slapd stop 3.Directory Backups Agregar nuevos indices de atributos en OpenLDAP Cuando usa OpenLDAP con backends basados en Berkeley DB por ejemplo el backend tipo hdb debe de tener indexados los atributos más utilizados en las consultas LDAP y así incrementar el rendimiento en las consultas desde las aplicaciones y clientes LDAP. un ejemplo de un atributo no indexado lo podemos ver en los logs de OpenLDAP: slapd[4164]: <= bdb_equality_candidates: (uniqueMember) not indexed El mensaje anterior nos muestra que se estan haciendo consultas para el atributo uniqueMember y no esta indexado lo cual se puede reflejar en bajo rendimiento del servicio LDAP.net/docs/samba+ldap-como/html-onechunk/ man slappasswd(8) man slapadd(8) OpenLDAP Software 2. Para agregar uno o más atributos a la lista de indices para una base de datos en OpenLDAP debe de seguir el siguiente procedimiento: 1.

. si en el momento de que slapcat esta ejecutandose se realiza una operación de escritura sobre alguna entrada dicho cambio no será incluido en el respaldo. el programa slapcat solo respaldara las entradas que se leyeron en el momento de la ejecución. Respaldar y Restaurar una base de datos de OpenLDAP En esta sección explicaré como crear una copia de seguridad de una base de datos en un servidor OpenLDAP. /etc/nsswitch. /etc/ldap. http://tuxjm. Para crear un respaldo en frio de una base de datos de OpenLDAP siga el siguiente procedimiento: 1. generaremos respaldos en frio y en caliente. NSS LDAP y PAM. OpenLDAP.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.d Incluya los archivos y directorios mencionados en la tabla de arriba en su sistema de respaldos. En la siguiente tabla se muestra una lista: Tabla 11.conf. Si no esta seguro de que no habrá modificacioens en los datos de las bases de datos de OpenLDAP y no sabe si dichos cambios puedan afectar las aplicaciones o clientes LDAP se recomienda que detenga el servicio slapd antes de generar el respaldo con slapcat.conf(5) tenemos una definición de base de datos así: # Specific Backend Directives for hdb: backend hdb # Specific Directives for database #1. a este tipo de respaldo se le llama en caliente. Detener el servicio slapd: 63 de 115 05/10/2010 06:42 p. .m. of type hdb: database hdb # The base of your directory in database #1 suffix "dc=example.. los respaldos serán generados en formato LDIF. smbldap-tools.conf PAM /etc/pam. /etc/default/slapd Samba /etc/samba smbldap-tools /etc/smbldap-tools/ libnss-ldap /etc/ldap. En OpenLDAP las bases de datos de tipo hdb y bdb pueden ser respaldadas mientras el servicio slapd(8) esta en ejecución usando el programa slapcat.1. Suponiendo que en el archivo slapd.dc=com" # Where the database file are physically stored for database #1 directory "/var/lib/ldap" El programa slapcat(8) lee la información de la base de datos en orden secuencial y genera la salida correspondiente en formato LDIF incluyendo atributos de usuario y operacionales. Directorios de configuración a respaldar Servicio Archivos y Directorios OpenLDAP /etc/ldap/.secret.net/docs/samba+ldap-como/html-onechunk/ slapindex(8) FAQ de OpenLDAP sobre Performance Tunning Respaldar los archivos de configuración de OpenLDAP Se recomienda respaldar los directorios de configuraciones tanto de Samba. a este tipo de respaldo se le llama en frio.

Para crear un respaldo en caliente de una base de datos de OpenLDAP solo ejecute el comando slapcat como en el paso dos del ejemplo anterior. Limpiar el directorio de base de datos de slapd: # (cd /var/lib/ldap/.ldif definido por el parametro -l. Restaurar directorio a partir del archivo LDIF: # slapadd -v -b dc=example. Referencias adicionales: El formato LDIF man slapd.bdb log.d/slapd stop 2. y no olvide verificar sus aplicaciones cliente. rm -fv alock __db..Directory Backups 64 de 115 05/10/2010 06:42 p.dc=com -l respaldo-dc=example. .dc=com-`date +%d-%b-%Y`.dc=com definida por el parametro -b en el archivo respaldo-dc=example.* *. Apagar el servicio slapd: # /etc/init.ldif 4. Para restaurar la base de datos a partir del archivo LDIF generado por slapcat siga el siguiente procedimiento: 1.d/slapd stop 2. Opcionalmente Re indexe todos los atributos: # slapindex -v 5.conf(5) man slapd(8) man slapcat(8) man slapadd(8) OpenLDAP Software 2.dc=com -l respaldo-dc=example. http://tuxjm..net/docs/samba+ldap-como/html-onechunk/ # /etc/init.dc=com-`date +%d-%b-%Y`. Iniciar el servicio slapd: # /etc/init.*) 3.dc=com-`date +%d-%b-%Y`.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Se recomienda que el archivo del respaldo sea movido a un lugar fuera del servidor. puede usar el comando slapcat para verificar los datos.d/slapd start Y listo.4 Administrator’s Guide .ldif El comando slapcat generará un respaldo de la base de datos dc=example.m. Respaldar la base de datos usando el programa slapcat: # slapcat -b dc=example. Re establecer permisos al directorio de datos: # chown -R openldap:openldap /var/lib/ldap 6.

. Primero. sea Samba o NT.net/docs/samba+ldap-como/html-onechunk/ Respaldando archivos importante de Samba Respaldar los archivos en el directorio /etc/samba/ y /var/lib/samba/ TODO: Meter ejemplo real: detener samba. un ejemplo simple seria: root@ushldap:~# net getlocalsid > /etc/samba/MIDOMINIO-SID Para restaurar el SID usamos el comando: root@ushldap:~# net setlocalsid S-1-5-21-1482872308-118742792-2317756604 Capítulo 12. La alternativa sería sufrir el dolor de tener que recuperar los perfiles de los usuarios de escritorio y quizas re-unir todos las maquinas miembras del dominio. Porque? Porque un cambio en el nombre de la maquina (hostname) o en el nombre de dominio (workgroup) puede resultar en un cambio en el SID. Así. es simple restaurarlo. Integrando Clientes Windows al Dominio Samba Tabla de contenidos Requerimientos del Sistema Configuración de los parámetros de red en el equipo Windows Información necesaria para configurar los parámetros de red Configurando correctamente los parámetros de red Verificación de los Parámetros de Red Configuración del nombre de equipo Windows Uniendo el equipo Windows al Dominio Samba Como Iniciar Sesión el Dominio Samba Información extra para equipos Windows participantes de dominios Samba Cuenta de equipo creada en el Servidor de Dominio Viendo los equipos en la red de dominio Mapeo de Recurso Compartido HOMES en el equipo local Como compartir una carpeta a usuarios y grupos de red Para que un equipo con el sistema operativo Windows pueda participar en un dominio de red. 65 de 115 05/10/2010 06:42 p. el eupo debe de unirse al dominio.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m. el proceso para unir un equipo Windows a un Dominio Samba/NT se detalla en los siguientes pasos: Configurar los parámetros de red Configuración del nombre de equipo Unir el equipo al Dominio En la siguientes secciones se detallarán los pasos antes mencionados. cp -va /etc/samba/* /var/backups/samba/etc/samba/ Respaldando el SID del Dominio Samba Es prudente almacenar el SID de la maquina y/o dominio en un archivo por seguridad. cp -va /var/lib/samba/* /var/backups/samba/var/lib/samba/. no olvides almacenar el SID local a un archivo. http://tuxjm. Es una buena idaa ponerlo en el directorio en el que el archivo smb. cuando tienes el SID a la mano. crear directorio de respaldos mkdir -p /var/backups/samba/...conf esta almacenado.

Debe de tener una interfaz de red funcional y tener conectividad con el servidor de PDC.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.1. Propiedades de Protocolo Internet (TCP/IP) General 66 de 115 05/10/2010 06:42 p.168.m. http://tuxjm. Información necesaria para configurar los parámetros de red Antes de unir un equipo Windows al dominio. Se debe de tener una cuenta de usuario con privilegios administrativos en el equipo local. Configuración de los parámetros de red en el equipo Windows En esta sección se describe como verificar que los parámetros de red en nuestro equipo Windows estén correctamente configurados.net/docs/samba+ldap-como/html-onechunk/ Requerimientos del Sistema Para que un equipo Windows pueda ser unido al dominio es necesario que cumpla con los siguientes requerimientos Debe de ser un sistema operativo Windows XP Profesional.10 Soporte NetBIOS sobre TCP/IP: El equipo deberá de tener el soporte de NetBIOS sobre TCP/IP Activado. los equipos con Windows Home Edition no pueden participar por completo en un Dominio de Red por lo tanto no se podrá utilizar el siguiente procedimiento. .1.1. por ejemplo..1. seleccionar el elemento Protocolo Internet (TCP/IP) y dar click en el botón Propiedades Dentro del cuadro de dialogo Propiedades de Protocolo Internet (TCP/IP) dar click en el botón de Opciones Avanzadas Figura 12.1 Servidor WINS: 192. Dar click derecho al icono de Conexión de área local. Es importante que el equipo tenga los siguientes parámetros de red configurados: Dirección IP: Una dirección IP disponible en el segmento 192. Configurando correctamente los parámetros de red Para verificar o cambiar estos parámetros ir a Panel de Control=>Conexiones de Red e Internet=>Conexiones de Red.0/24 Servidor DNS: 192..168. la cuenta Administrador.168. verificaremos que los parámetros de red estén correctamente configurados.

.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS 67 de 115 05/10/2010 06:42 p. http://tuxjm.m. para agregar el servidor WINS damos click en el botón Agregar como se muestra en la imagen de abajo.. Figura 12. .2.net/docs/samba+ldap-como/html-onechunk/ En el cuadro de dialogo Configuración avanzada de TCP/IP después damos click en la pestaña de nombre WINS En esta pestaña vamos a agregar la dirección IP de nuestro servidor WINS (NetBIOS Name Server ó NBNS).

m..Agregar 68 de 115 05/10/2010 06:42 p. http://tuxjm. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS .net/docs/samba+ldap-como/html-onechunk/ Agregamos la dirección IP de nuestro servidor Samba WINS como se muestra en la imagen de abajo Figura 12.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. ..3.

el sistema los evaluará en el orden en que aparecen.net/docs/samba+ldap-como/html-onechunk/ Después de agregar la dirección IP del servidor WINS damos click en el botón Agregar y el servidor WINS aparecerá en la lista. 69 de 115 05/10/2010 06:42 p. http://tuxjm. Verificación de los Parámetros de Red Solo para confirmar que la configuración si hay tomado efecto damos doble click sobre el icono de Conexión de área local. Para terminar nuestras configuraciones damos click en el botón Aceptar para regresarnos al cuadro de dialogo de configuraciones avanzadas. Después damos click en la pestaña Soporte. estando en el cuadro de dialogo de Propiedades de Protocolo Internet (TCP/IP) General damos click en el botón Aceptar y por ultimo damos click en el botón Cerrar para que nuestros cambios tomen efecto.. ..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Nota Podemos agregar más de un servidor WINS.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. entonces podemos continuar con el paso de configuración del nombre de equipo. Configuración del nombre de equipo Windows Verificación de nombre de equipo y grupo de trabajo. Figura 12..net/docs/samba+ldap-como/html-onechunk/ Ahí nos muestra una parte de la configuración de red. Viendo los detalles de la conexión de red Si después de verificar los detalles de los parámetros de red todo esta bien. .m.. http://tuxjm..4. para ver la información completa de la configuración de red. Esta es una computadora recién instalada y en el proceso de instalación se le asigno el nombre de equipo: jamdvwxpp Para verificar el nombre de nuestro equipo vamos al Panel de Control=>Rendimiento y mantenimiento=>Sistema Estando en el cuadro de dialogo Propiedades del sistema vamos a la pestaña de Nombre de equipo donde veremos algo aśi: Figura 12. Nombre de Equipo 70 de 115 05/10/2010 06:42 p.5.. damos click en el botón Detalles. Propiedades del sistema.

m. Figura 12. podemos dar click en el botón Cambiar. Propiedades del sistema. y nos aparecerá una ventana como la siguiente. http://tuxjm. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard..6...net/docs/samba+ldap-como/html-onechunk/ Si se desea cambiar el nombre del equipo (recordar que este nombre será como nos verán en la red).. Cambios en el nombre de equipo 71 de 115 05/10/2010 06:42 p.

Uniendo el equipo Windows al Dominio Samba Para unir el equipo al dominio podemos usar el Asistente para identificación de red el cual nos llevará paso a paso en el proceso para que el equipo sea un miembro del dominio de red Samba/NT.net/docs/samba+ldap-como/html-onechunk/ Se cambia el nombre donde dice Nombre de equipo: y se da click en Aceptar... El nombre de Grupo de trabajo ó Dominio no es necesario cambiarlo en este paso ya que puede ser cambiado en el proceso de unir la maquina al dominio.m. Usando el Asistente de Identificación de red 72 de 115 05/10/2010 06:42 p. Figura 12. . http://tuxjm. Lanzamos el asistente de identificación de red dando click en el botón Id. de red.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.7.

Figura 12.m..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. . Asistente de identificación de red. paso 1 73 de 115 05/10/2010 06:42 p.8.net/docs/samba+ldap-como/html-onechunk/ La primer pantalla nos da la bienvenida al asistente para conectar el equipo a una red. http://tuxjm.

. en nuestro caso seleccionamos la opción que dice: El equipo forma parte de una red organizativa y lo utilizo para conectarme a otros equipos en el trabajo y damos en el botón Siguiente > para continuar. Figura 12..9.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m. paso 2 74 de 115 05/10/2010 06:42 p. http://tuxjm.net/docs/samba+ldap-como/html-onechunk/ Para continuar con el asistente damos click en el botón Siguiente > El siguiente paso nos pregunta que tipo de equipo tenemos. . Asistente de identificación de red.

http://tuxjm.. paso 3 75 de 115 05/10/2010 06:42 p.10.. Asistente de identificación de red.net/docs/samba+ldap-como/html-onechunk/ En el siguiente paso nos pregunta el tipo de red de nuestra organización. Figura 12. elegimos la opción: Mi compañia utiliza una red con dominio y damos click en el botón Siguiente >.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m. .

11... http://tuxjm. Asistente de identificación de red.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.net/docs/samba+ldap-como/html-onechunk/ En el siguiente paso del asistente nos da un da un resumen de la información de red que necesitamos para unir este equipo al dominio Figura 12.m. paso 4 76 de 115 05/10/2010 06:42 p. .

Configuramos esta información como se muestra en la siguiente imagen: 77 de 115 05/10/2010 06:42 p. http://tuxjm.m... .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. esta cuenta será necesaria para poder unir la maquina al dominio y crear la cuenta de computadora correspondiente a jamdvwxpp.net/docs/samba+ldap-como/html-onechunk/ A continuación se muestra la información requerida junto con la información correspondiente a nuestro dominio: Nombre de usuario: usuariored1 Contraseña de usuario: CONTRASEÑADEUSUARIORED1 Cuenta de usuario del dominio: usuariored1 Es posible que también necesite: Nombre del equipo: jamdvwxpp Dominio del equipo: MIDOMINIO Además necesitaremos la contraseña del usuario root del dominio.

net/docs/samba+ldap-como/html-onechunk/ Figura 12.. Al dar click en Siguiente el asistente tratará de encontrar una cuenta de equipo de nombre jamdvwxpp en el dominio MIDOMINIO. Asistente de identificación de red.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. . paso 5 Después de ingresar la información damos click en el botón Siguiente >.. nos pide escribir nuevamente el nombre de equipo y el dominio. paso 6 78 de 115 05/10/2010 06:42 p.12. donde nos avisa que no encontró la cuenta de equipo en el dominio. Asistente de identificación de red. Figura 12.13. http://tuxjm. si no la encuentra nos mostrará un cuadro como el siguiente.

net/docs/samba+ldap-como/html-onechunk/ Damos click en el botón Siguiente >. Figura 12. necesitaremos usar una cuenta con privilegios administrativos de dominio y su contraseña para que por medio del asistente de identificación de red se cree la cuenta de equipo jamdvwxpp en el dominio MIDOMINIO. Asistente de identificación de red. paso 7 79 de 115 05/10/2010 06:42 p. ya que la cuenta de equipo no se encontró en el dominio MIDOMINIO.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. http://tuxjm. .14..m.

cuando se agrega un usuario a este equipo se le concede acceso a todos los recursos del equipo y a todos los recursos compartidos en la red. en la siguiente ventana. paso 8 80 de 115 05/10/2010 06:42 p. Figura 12..net/docs/samba+ldap-como/html-onechunk/ Ya que no tenemos cuentas con privilegios administrativos de dominio.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. usaremos la cuenta de root que se creo con smbldap-populate. http://tuxjm. después damos click en el botón Aceptar para continuar.15.. ingresamos su contraseña y el nombre de dominio MIDOMINIO como se muestra en la imagen de arriba. nos dirá que podemos agregar un usuario al equipo. Asistente de identificación de red.m. . Si las credenciales que presentamos fueron correctas.

..net/docs/samba+ldap-como/html-onechunk/ Usaremos el nombre de usuario: usuariored1 y el nombre de dominio: MIDOMINIO. En la siguiente ventana nos solicita asignar un nivel de acceso que el usuario usuariored1 tendrá sobre el equipo JAMDVWXPP. por defecto esta seleccionado el nivel de acceso: Usuario estándar. Figura 12. http://tuxjm.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.16. paso 9 81 de 115 05/10/2010 06:42 p. como se muestra en la imagen de arriba y damos click en el botón Siguiente > para continuar. Asistente de identificación de red.m..

por ejemplo. Ultimo Paso 82 de 115 05/10/2010 06:42 p.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Por ahora seleccionamos el nivel de acceso Usuario estándar y damos click en el botón Siguiente > para finalizar. Figura 12..17. En Otros: podemos elegir otros niveles de acceso.net/docs/samba+ldap-como/html-onechunk/ El nivel de acceso Usuario estándar permite que los usuarios pueden cambiar muchas configuraciones del sistema e instalar programas que no afecten a los archivos del sistema de Windows. es decir. http://tuxjm. puede hacer lo que le de la gana sobre el equipo. esto quiere decir que el usuario usuariored1 tendrá todos los privilegios sobre el equipo JAMDVWXPP. . Digamos que este es el nivel intermedio. puede instalar y desinstalar programas que afecten el sistema.. lo cual significa que puede cambiar configuraciones.m. Asistente de identificación de red. podemos dar acceso de Administrador al usuario. incluso formatear :D. pero no pueden instalar programas o cambiar la configuración del sistema. El nivel de acceso Usuario restringido permite que los usuarios pueden utilizar el equipo y guardar documentos.

Asistente de identificación de red.m.net/docs/samba+ldap-como/html-onechunk/ El último paso nos dice que ya hemos completado con éxito el asistente para identificación de red.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Damos click en el botón Finalizar. Re iniciar el equipo 83 de 115 05/10/2010 06:42 p.. . Figura 12..18. y nos solicita re iniciar el equipo para que los cambios tengan efecto. http://tuxjm.

http://tuxjm.. Alerta de re iniciar el equipo 84 de 115 05/10/2010 06:42 p.net/docs/samba+ldap-como/html-onechunk/ Damos click en el botón Aceptar y nos lleva a la siguiente imagen: Figura 12.. .19.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Asistente de identificación de red.

Como Iniciar Sesión el Dominio Samba Despues de reiniciar el equipo nos cambiará la ventana de inicio de sesión a como se muestra a continuación. Inicio de sesión de Windows .Pantalla inicial 85 de 115 05/10/2010 06:42 p. http://tuxjm.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.net/docs/samba+ldap-como/html-onechunk/ Para que los cambios que hicimos en el asistente de identificación de red tenga efecto es necesario re iniciar el equipo... damos click en el botón Aceptar para terminar y re iniciar. .20. Figura 12.m.

m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. . http://tuxjm.Pantalla predeterminada de login 86 de 115 05/10/2010 06:42 p. Inicio de sesión de Windows ..21.net/docs/samba+ldap-como/html-onechunk/ Para poder iniciar sesión presionamos la combinación de teclas Ctrl+Alt+Supr y nos mostrará una ventana como la siguiente: Figura 12..

. http://tuxjm. Inicio de sesión de Windows .Pantalla con opciones activa 87 de 115 05/10/2010 06:42 p.22..m. .net/docs/samba+ldap-como/html-onechunk/ Si queremos ver en que equipo o dominio queremos iniciar sesión podemos dar click en el botón "Opciones" y nos mostrará algo así: Figura 12.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

net/docs/samba+ldap-como/html-onechunk/ Nota Si queremos conectarnos al equipo local.Menú inicio 88 de 115 05/10/2010 06:42 p.m. Después de iniciar sesión en el dominio el menú de inicio se verá así: Figura 12. damos click en el menú desplegable de Conectarse a: y elegimos: JAMDVWXPP (este equipo). Inicio de sesión . ..23. http://tuxjm..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.

http://tuxjm. la podemos ver con el comando pdbedit.net/docs/samba+ldap-como/html-onechunk/ Información extra para equipos Windows participantes de dominios Samba asdfasfd Cuenta de equipo creada en el Servidor de Dominio En el lado del servidor se creo una cuenta de equipo llamada jamdvwxpp$.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. usamos el siguiente comando: root@ushldap:~# pdbedit -Lv JAMDVWXPP$ Unix username: jamdvwxpp$ 89 de 115 05/10/2010 06:42 p. por ejemplo: root@ushldap:~# pdbedit -L root:0:root nobody:65534:nobody miguel:1009:miguel carlos:1010:carlos sara:1011:sara usuariored1:1014:usuariored1 usuarioadmin:1015:usuarioadmin jamdvwxpp$:1016:JAMDVWXPP$ Si queremos ver queremos ver la información completa de la cuenta de equipo jamdvwxpp$..m. ..

Mapeo de $HOME en Servidor al unidad H: Local 90 de 115 05/10/2010 06:42 p. Nota Este comportamiento se especifico globalmente en el archivo /etc/smbldap-tools/smbldap..conf y puede ser cambiado por usuario con el comando smbldap-usermod usando la opción -D ó --sambaHomeDrive .net/docs/samba+ldap-como/html-onechunk/ NT username: Account Flags: User SID: Primary Group SID: Full Name: Home Directory: HomeDir Drive: Logon Script: Profile Path: Domain: Account desc: Workstations: Munged dial: Logon time: Logoff time: Kickoff time: Password last set: Password can change: Password must change: Last bad password : Bad password count : Logon hours : jamdvwxpp$ [W ] S-1-5-21-1482872308-118742792-2317756604-1001 S-1-5-21-1482872308-118742792-2317756604-515 JAMDVWXPP$ MIDOMINIO Computer 0 never never 0 0 0 0 0 FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF Viendo los equipos en la red de dominio TODO: METER NOTAS DE COMO VER LOS EQUIPOS DE RED DEL DOMINIO Mapeo de Recurso Compartido HOMES en el equipo local Cuando un usuario de dominio inicia sesión en el Dominio. automáticamente se le mapeara el recurso compartido de su home a la unidad H. Figura 12.. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m. http://tuxjm.24.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Listado Carpeta a compartir 91 de 115 05/10/2010 06:42 p.m.25.net/docs/samba+ldap-como/html-onechunk/ El usuario puede usar la unidad H para almacenar documentos personales y estos serán almacenados en su directorio $HOME (/home/usuariored1) en el servidor. . la carpeta compartida tendrá las siguientes caracteristicas: La carpeta C:\ParaGrupoContabilidad será compartida El grupo de dominio contabilidad tendrá acceso total El usuario de dominio directora tendrá acceso total El usuario de dominio asistentefinanzas tendrá acceso de solo lectura Creamos la carpeta ParaGrupoContabilidad en el disco C:\. http://tuxjm.. Como compartir una carpeta a usuarios y grupos de red En esta sección se explicará como un usuario de dominio puede compartir una carpeta en su equipo local a ciertos miembros y grupos del dominio. abajo se ve un ejemplo: Figura 12..

esto nos llevará al menú para configurar los parametros para compartir la carpeta. Figura 12... http://tuxjm.. así como los permisos que tendrán los usuarios y grupos de red.26.m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. Parametros de carpeta compartida 92 de 115 05/10/2010 06:42 p. como se muestra en la imagen de abajo. Configuraremos el nombre de la carpeta y opcionalmente un comentario.net/docs/samba+ldap-como/html-onechunk/ Despues damos clic con el botón derecho sobre la carpeta y damos clic en Compartir y seguridad.. .

m.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.27.net/docs/samba+ldap-como/html-onechunk/ Ahora veremos como configurar los controles de acceso que definimos arriba. Damos clic en el botón Permisos.. http://tuxjm.. Permisos de carpeta compartida 93 de 115 05/10/2010 06:42 p. . nos aparecerá el siguiene cuadro de dialogo: Figura 12.

..net/docs/samba+ldap-como/html-onechunk/ Primero agregaremos el grupo contabilidad. adelante veremos como asignar lsos permisos a cada uno..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. como se muestra en la imagen de abajo: Figura 12. Seleccionar Usuarios o Grupos 94 de 115 05/10/2010 06:42 p. Nota Los nombres de usuarios y grupos de dominio se deben de escribir usando la siguiente notación: Nombre de grupo: MIDOMINIO\contabilidad Nombre de usuario: MIDOMINIO\directora Damos clic en el botón Agregar. .28. http://tuxjm. Y en el recuadro que dice: Escriba los nombres de objecto que desea seleccionar cada uno de los objectos va separado por un punto y coma ..m... el usuario directora y el usuario asistentefinanzas.

.net/docs/samba+ldap-como/html-onechunk/ Despues damos clic en Aceptar y nos regresa a la venana anterior con los usuarios y gruipos en la lista. como se muestra en la siguiente imagen: Figura 12.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. http://tuxjm. Permisos por usuario y gruipo 95 de 115 05/10/2010 06:42 p.m.. .29.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. seleccionaremos cada uno para asignarle sus permisos. Seleccionar contabilidad (MIDOMINIO\contabilidad) y en el recuadro de abajo seleccionar Control Total Figura 12.net/docs/samba+ldap-como/html-onechunk/ Ahora que ya estan los usuarios y grupos en la lista. Permisos para grupo MIDOMINIO\contabilidad 96 de 115 05/10/2010 06:42 p.30. .m.. Eliminar el grupo Todos ya que solo se da acceso a algunos miembros del dominio 2.. Asignaremos los permisos de la siguiente forma: 1. http://tuxjm.

Seleccionar directora (MIDOMINIO\directora) y verifique que solo tiene permisos de Leer. Permisos para MIDOMINIO\directora 97 de 115 05/10/2010 06:42 p.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.m..net/docs/samba+ldap-como/html-onechunk/ 3.. Figura 12.31. http://tuxjm. .

.. Integrando Clientes Linux/Unix al Dominio Samba Tabla de contenidos 98 de 115 05/10/2010 06:42 p.. Puede probar directamente desde otra maquina windows en la que hay iniciado sesión algún usuario miembro del grupo contabilidad o también puede hacerlo desde un equpo windows usando el comando smbclient. D 0 Sun Jan 18 DirElconta D 0 Sun Jan 18 smb: \> Manager] 21:42:11 2009 21:42:11 2009 21:42:11 2009 49073 blocks of size 131072. 5..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.1] Server=[Windows 2000 LAN smb: \> mkdir DirElconta smb: \> ls . 34249 blocks available Como podemos ver nos permitio el acceso y además nos permitio crear un directorio lo cual significa que el permiso de Control Total si funciona. Para terminar de clic en Aceptar y otra vez en Aceptar para que los cambios tomen efecto. Seleccionar asistentefinanzas (MIDOMINIO\asistentefinanzas) y verifique que solo tiene permisos de Leer tal y como se hizo con MIDOMINIO\directora. elconta@ushldap:~$ smbclient //jamdvwxpp/contabilidad Password: Domain=[MIDOMINIO] OS=[Windows 5. D 0 Sun Jan 18 .net/docs/samba+ldap-como/html-onechunk/ 4. Capítulo 13.m. http://tuxjm.

81 Configuración de la autenticación de usuarios y grupos UNIX vía PAM_LDAP VER CAPITULO Configuración de la resolución de Identidades con NSS_LDAP Instalando el software necesario para unir cliente Linux a Dominio LDAP nstalar el paquete root@lnxdskt01:~# apt-get install libnss-ldap Configurando la resolución de cuentas de usuario y grupos mediante LDAP en clientes Linux Para la resolución de cuentas de usuario y grupos Unix mediante LDAP usaremos el paquete libnss-ldap.m.1. /etc/shadow y /etc/group principalmente queremos unir este equipo al dominio. http://tuxjm. la configuración es similar al servidor.1. Tenemos un cliente Linux que tiene su autenticación independiente usando los archivo /etc/passwd. sean servidores linux o windows.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.168.. . Configurando la resolución de Identidades con NSS_LDAP Esta máquina se llama LNXDSKT01 Tiene la dirección IP: 192. Configuramos el archivo /etc/ldap. es decir.net/docs/samba+ldap-como/html-onechunk/ Información preliminar del equipo cliente Linux Instalando el software necesario para unir cliente Linux a Dominio LDAP Configurando la resolución de cuentas de usuario y grupos mediante LDAP en clientes Linux Configurando la Autorización de cuentas de usuario y grupos mediante LDAP en clientes Linux con PAM Configuración del modulo auth Configuración del modulo account Configuración del modulo session Configuración del modulo password Probando la autorización mediante PAM LDAP en cliente Linux Configurando resolución de cuentas de dominio mediante Samba Autenticación de usuarios y grupos de dominio Samba en clientes Linux Montaje automático de carpetas compartidas mediante pam_mount Carpetas compartidas con ACL a usuarios y grupos de dominio Autenticando cuentas de usuario de dominio de forma desconectada Información preliminar del equipo cliente Linux Explicar como unir un cliente unix/linux a nuestro dominio.conf para libnss-ldap: # Config file for libnss-ldap and libpam-ldap uri ldap://192.168.. solo cambiará la dirección IP del servidor LDAP.10/ ldap_version 3 99 de 115 05/10/2010 06:42 p. y podrá participar en la autenticación centralizada y comunicarse con los otros hosts. el equipo será un miembro del dominio.

irc.bin.libuuid.gnats.bin. 100 de 115 05/10/2010 06:42 p..irc.dc=com ou=Groups.root.daemon.man.www-data Cambiamos el archivo de configuración /etc/nsswitch.mail.dc=com ou=Computers.list.sys.m.list.FILES para indicar que son las configuraciones que usan los archivos /etc/passwd.openldap. respaldaremos todo el directorio root@ushldap:~# cd /etc/ Nuestro respaldo tendrá el sufijo .sshd.lp.syslog.libuuid.games.d/.klog.sys.syslog.uucp. Configurando la Autorización de cuentas de usuario y grupos mediante LDAP en clientes Linux con PAM apt-get install libpam-ldap libpam-cracklib Antes de iniciar con los cambios en la configuración de los modulos de autenticación PAM.dc=com ou=Users.dc=com #bind_policy soft #nss_initgroups_ignoreusers backup.proxy.dhcp.man.proxy. http://tuxjm. /etc/group y /etc/shadow.net/docs/samba+ldap-como/html-onechunk/ scope sub base dc=midominio.uucp.sshd.d/ Todas las configuraciones de PAM estan en el directorio /etc/pam.dhcp.dc=midominio.www-data #nss_initgroups_ignoreusers backup.dc=midominio.openldap. El siguiente paso es la configuración de la autorización mediante PAM y las bibliotecas PAM-LDAP.lp.news. haremos un respaldo del directorio /etc/pam.klog.sync.dc=com pam_filter objectclass=posixAccount pam_login_attribute uid pam_member_attribute memberuid pam_password exop nss_base_passwd nss_base_passwd nss_base_shadow nss_base_group ou=Users.daemon..games.dc=midominio.mail.gnats. .Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.dc=midominio.conf para que utilize la fuente LDAP que recien configuramos: passwd: group: shadow: hosts: compat ldap compat ldap compat ldap wins files mdns4_minimal [NOTFOUND=return] dns mdns4 Probando la resolución de usuarios vía archivos y LDAP: root@jmlap:~# getent passwd | grep root root:x:0:0:root:/root:/bin/bash root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false Tambíen podemos probar la resolución para grupos: root@jmlap:~# getent group | grep -E 'root|Domain' root:x:0:jmedina Domain Admins:*:512:root Domain Users:*:513: Domain Guests:*:514: Domain Computers:*:515: Si despues de hacer las pruebas anteriores obtienes los mismos resultados significa que la resolución de cuentas de usuario y grupo mediante LDAP esta funcionando correctamente en el sistema.news.sync.root.

d/common-session session required pam_unix.so nullok use_authtok md5 shadow sufficient pam_ldap.so likeauth nullok sufficient pam_ldap. Para más detalles acerca de la configuración de PAM y LDAP en el cliente Linux seguir los pasos descritos en la sección "Configurando los modulos de autenticación de PAM" Ahora mostraremos solo los archivos que se modifican.net/docs/samba+ldap-como/html-onechunk/ root@ushldap:~# cp -va pam.so session optional pam_ldap.so use_authtok required pam_deny. http://tuxjm.so use_first_pass required pam_deny.so Configuración del modulo session azdfasf Connfigurando la Autorización (Authz) con PAM LDAP: root@ushldap:~# cat /etc/pam.FILES Configuración del modulo auth Configurar los archivos de acuerdo a: root@ushldap:~# auth auth auth cat /etc/pam.d/common-account account required pam_unix.d/common-password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3 sufficient pam_unix..d pam.so Probando la autorización mediante PAM LDAP en cliente Linux Configurando resolución de cuentas de dominio mediante Samba Ahora configuraremos la Autorización de cuentas de usuarios y grupos LDAP mediante los modulos de autenticación PAM.m.d..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Autenticación de usuarios y grupos de dominio Samba en clientes Linux Instalar samba smbclient 101 de 115 05/10/2010 06:42 p.so account sufficient pam_ldap.so Configuración del modulo account config de root@ushldap:~# cat /etc/pam. .d/common-auth sufficient pam_unix.so Configuración del modulo password root@ushldap:~# password password password password cat /etc/pam.

.255 wins server = 192..1.168.dc=midominio.10/ idmap uid = 10000-20000 idmap gid = 10000-20000 winbind trusted domains only = Yes Guardamos el archivo y el siguiente paso es agregar la contraseña del admin ldap: root@jmlap:~# smbpasswd -W Setting stored password for "cn=admin.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.dc=midominio.1.0.m.dc=com ldap suffix = dc=midominio.10/ ldap admin dn = cn=admin.0 remote announce = 192.168.log max log size = 50 utmp = Yes #========= Opciones para la codificación =================== Dos charset = 850 Unix charset = ISO8859-1 display charset = ISO8859-1 #========= Configuraciones para LDAP ======================= passdb backend = ldapsam:ldap://192.168.168. .10 name resolve order = wins hosts lmhosts bcast #========= Opciones para registro de eventos (Logging)====== log level = 1 syslog = 0 log file = /var/log/samba/%m.1.dc=com ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap idmap backend = ldap:ldap://192.1. http://tuxjm. 127.1.168. hosts deny = 0.dc=com" in secrets.tdb 102 de 115 05/10/2010 06:42 p.0.net/docs/samba+ldap-como/html-onechunk/ root@jmlap:~# apt-get install samba smbclient Ahora creamos el archivo de configuración con el siguiente contenido: # # Archivo de configuración para desktop miembro de dominio # [global] workgroup = MIDOMINIO netbios name = jmlap server string = jmlap en MIDOMINIO security = DOMAIN username map = /etc/samba/smbusers #========== Configuraciones de Red =========================== socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 interfaces = ath0 lo bind interfaces only = Yes smb ports = 139 445 hosts allow = 192.

Con pam_mount podremos bla bla bla bla..d/samba restart * Stopping Samba daemons * Starting Samba daemons [ OK ] [ OK ] Ahora verificamos que samba pueda leer las cuentas de dominio: root@jmlap:~# pdbedit -L root:0:root nobody:65534:nobody elconta:1000:Nombre Contador asistenteconta:1001:asistenteconta directora:1002:directora jamdvwxpp$:1003:JAMDVWXPP$ asistentefinanzas:1004:asistentefinanzas Solo como ultima medida verificamos que los UID de samba corresponden a los devueltos por nss-ldap: root@jmlap:~# id asistentefinanzas uid=1004(asistentefinanzas) gid=1004(finanzas) groups=1004(finanzas) root@jmlap:~# id elconta uid=1000(elconta) gid=1000(contabilidad) groups=1000(contabilidad) Ahora unimos el equipo samba al dominio con el siguiente comando: root@jmlap:~# net rpc join -U root Password:dominioadmin Joined domain MIDOMINIO. Podemos utilizar el mismo comando net para obtener infomación del dominio al que nos unimos: root@jmlap:~# net rpc info -U Administrator Password: Domain Name: MIDOMINIO Domain SID: S-1-5-21-2911508632-2405292923-4115677068 Sequence number: 1232322213 Num users: 6 Num domain groups: 7 Num local groups: 0 = Montaje automático de carpetas compartidas mediante pam_mount En esta sección veremos como configurar el montaje automático de recurso compartidos en red. Instalando el paquete pam_mount: 103 de 115 05/10/2010 06:42 p.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.. Para poder automontar volumens samba primero instalaremos el paquete pam_mount y despues crearemos una configuración para montar el volumen.m.net/docs/samba+ldap-como/html-onechunk/ New SMB password:ldapadmin Retype new SMB password:ldapadmin Reiniciamos samba para que los cambios tomen efecto: root@jmlap:~# /etc/init. como los del servidor samba mediante CIFS. . http://tuxjm.

xml: <!-Create mountpoint if it does not exist yet. podemos ver que el directorio si se haya montado.so Con esto.d/common-session: Al final: session optional pam_mount. //truzka/jmedina on /home/jmedina/truzka type cifs (rw. This is a good thing.so use_first_pass Por ejemplo: auth auth auth auth sufficient sufficient optional required pam_unix. ya que la configuración de pam_mount creará el directorio automáticamente si no existe.so pam_mount. al hacer login gráfico co KDE automaticamente pasará la contraseña al modulo pam_mount y montará el volumen..so likeauth nullok pam_ldap. To disable this behavior.so pam_ldap. use remove="false".so use_first_pass pam_deny.xml las siguientes lineas: <volume user="jmedina" fstype="cifs" server="truzka" path="jmedina" mountpoint="/home/jmedina/truzka" options="serverino.so Agregar a /etc/pam.d/common-auth: auth optional pam_mount..Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. note que también puede configurar si usted desea que el directorio del punto de montaje sea eliminado automáticamente al cerrar la sesión. http://tuxjm.mand) No es necesario crear el directorio del punto de montaje manualmente. Carpetas compartidas con ACL a usuarios y grupos de dominio 104 de 115 05/10/2010 06:42 p.so Por ejemplo: session session session required optional optional pam_unix. and a mountpoint was created by pam_mount. El parametro de configuración para la creación automática de directorios de puntos de montaje es mkmountpoint y esta activada por default en el archivo de conifguración instalado por default en Ubuntu. podemos ver un ejemplo de la configuración de mkmountpoint en /etc/security/pam_mount. --> <mkmountpoint enable="1" remove="true" /> Si no esta activado en su sistema cambie enable="0" por enable="1".so use_first_pass pam_mount.conf. If enabled.m.iocharset=utf8"/> Configuraciones de Samba para pam_mount Agregar a /etc/pam.conf.net/docs/samba+ldap-como/html-onechunk/ $ sudo apt-get install pam_mount Agregar al archivo de configuración /etc/security/pam_mount. . the mountpoint will be removed again on logout.

m. Referencias adicionales OpenLDAP Software 2. Ejemplos para compartir carpetas usando ACLs: Escenario con un servidor miembro de dominio. http://tuxjm.4 Administrator's Guide Capítulo 16..net/docs/samba+ldap-como/html-onechunk/ ==Permitiendo hacer login cuando no hay red o el servidor LDAP esta fuera de linea== Un problema muy frecuente es que los usuarios no pueden hacer login en su equipo local ya que no tiene red o el servidor LDAP esta fuera de linea y por lo tanto es imposible autenticar el usuario. o usarlo desde samba con create mode: Asignando el ACL por default setfacl -d -m Asignando permisos de rwx a al grupo contabilidad setfacl -m Asignando permisos de r-x a la directora Asignando permisos r-x a la asistente de finanzas Quizas poner ejemplo de una subcarpeta con otros ACL o dejar que los hagan desde windows. un dueño Escenario para compartir una carpeta en el home del usuario por ejemplo /home/jmedina/Reportes_Tickets crear directorio mkdir ~/Reportes_Tickets Autenticando cuentas de usuario de dominio de forma desconectada Capítulo 14. . Resolución de Problemas Permisos en /etc/ldap? Permisos en directorio /var/lib/ldap/ Capítulo 15.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Existe la posibilidad de permitir el login disconnected. el servidor LSFS001 ya esta integrado en el dominio y tiene una partición /finanzas chown root:finanzas /finanzas chmod 770 /finanzas Ver si usar Set GUID. Apendices 105 de 115 05/10/2010 06:42 p..

. El archivo de configuración /etc/ldap/slapd.conf El archivo de configuración smb.conf (NSS_LDAP y PAM_LDAP) Apéndice A.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Licencia de Documentación Libre de GNU Versión 1.conf (Cliente LDAP) El archivo de configuración /etc/smbldap-tools/smbldap_bind.conf El archivo de configuración /etc/ldap. and does not legally state the distribution 106 de 115 05/10/2010 06:42 p.conf (NSS_LDAP y PAM_LDAP) Parrafo. Noviembre 2002 Tabla de contenidos PREÁMBULO APLICABILIDAD Y DEFINICIONES COPIA LITERAL COPIADO EN CANTIDAD MODIFICACIONES COMBINACIÓN DE DOCUMENTOS COLECCIONES DE DOCUMENTOS AGREGACIÓN CON TRABAJOS INDEPENDIENTES TRADUCCIÓN TERMINACIÓN REVISIONES FUTURAS DE ESTA LICENCIA ADENDA: Cómo usar esta Licencia en sus documentos This is an unofficial translation of the GNU Free Documentation License into Spanish.2.m. It was not published by the Free Software Foundation.conf El archivo de configuración /etc/smbldap-tools/smbldap.net/docs/samba+ldap-como/html-onechunk/ Tabla de contenidos El archivo de configuración /etc/ldap/slapd. .conf (Servidor slapd) El archivo de configuración /etc/default/slapd El archivo de configuración /etc/ldap/ldap. http://tuxjm.conf El archivo de configuración /etc/smbldap-tools/smbldap.conf (Cliente LDAP) El archivo de configuración /etc/smbldap-tools/smbldap_bind..conf (Servidor slapd) El archivo de configuración /etc/default/slapd El archivo de configuración /etc/ldap/ldap.conf El archivo de configuración smb.conf El archivo de configuración /etc/ldap.

y uno de Cubierta Trasera puede tener hasta 25 palabras. ya sea una copia literal o con modificaciones y/o traducciones a otro idioma. modifica o distribuye el trabajo de cualquier modo que requiera permiso según la ley de propiedad intelectual. Sin embargo. que contenga una nota del propietario de los derechos de autor que indique que puede ser distribuido bajo los términos de esta Licencia. pero cuyo marcaje o ausencia de él haya sido diseñado para impedir o dificultar modificaciones posteriores 107 de 115 05/10/2010 06:42 p.only the original English text of the GNU FDL does that.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. http://tuxjm. Hemos diseñado esta Licencia para usarla en manuales de software libre. we hope that this translation will help Spanish speakers understand the GNU FDL better. Una Versión Modificada del Documento significa cualquier trabajo que contenga el Documento o una porción del mismo. Las Secciones Invariantes son ciertas Secciones Secundarias cuyos títulos son designados como Secciones Invariantes en la nota que indica que el documento es liberado bajo esta Licencia. However. significa una copia para lectura en máquina. pero no se permiten cambios[1]. Complementa la Licencia Pública General de GNU.m. y que sea adecuado como entrada para formateadores de texto o para su traducción automática a formatos adecuados para formateadores de texto. filosófica. Si una sección no entra en la definición de Secundaria. lo que significa que los trabajos derivados del documento deben a su vez ser libres en el mismo sentido. Inc. Se permite la copia y distribución de copias literales de este documento de licencia. APLICABILIDAD Y DEFINICIONES Esta Licencia se aplica a cualquier manual u otro trabajo. Esta traducción está basada en una de la versión 1. . de manera comercial o no. Un Texto de Cubierta Delantera puede tener como mucho 5 palabras. que es una licencia tipo copyleft diseñada para el software libre. PREÁMBULO El propósito de esta Licencia es permitir que un manual. En segundo término. una Sección Secundaria puede no explicar nada de matemáticas). Copyright (C) 2000. Si el Documento no identifica las Secciones Invariantes. representada en un formato cuya especificación está disponible al público en general.. Una Sección Secundaria es un apéndice con título o una sección preliminar del Documento que trata exclusivamente de la relación entre los autores o editores y el tema general del Documento (o temas relacionados) pero que no contiene nada que entre directamente en dicho tema general (por ejemplo. Recomendamos esta licencia principalmente para trabajos cuyo fin sea instructivo o de referencia. MA 02111-1307 USA. comercial. en cualquier soporte. Suite 330. Una copia Transparente del Documento. ética o política acerca de ellos. libro de texto. 59 Temple Place. con o sin modificaciones. La versión original de la GFDL esta disponible en la Free Software Foundation. es que no las tiene. u otro documento escrito sea libre en el sentido de libertad: asegurar a todo el mundo la libertad efectiva de copiarlo y redistribuirlo. si el Documento es en parte un texto de matemáticas. sin tener en cuenta su temática o si se publica como libro impreso o no. no puede designarse como Invariante. Una copia hecha en un formato definido como Transparente. 2001. esperamos que esta traducción ayude los hispanohablantes a entender mejor la GFDL.net/docs/samba+ldap-como/html-onechunk/ terms for documentation that uses the GNU FDL -. El documento puede no tener Secciones Invariantes. o una opinión legal. el uso de dicho trabajo según las condiciones aquí estipuladas. esta Licencia proporciona al autor y al editor[2] una manera de obtener reconocimiento por su trabajo. En adelante la palabra Documento se referirá a cualquiera de dichos manuales o trabajos. Boston. No ha sido publicada por la Free Software Foundation y no establece legalmente los términos de distribución para trabajos que usen la GFDL (sólo el texto de la versión original en Inglés de la GFDL lo hace). Usted acepta la licencia si copia. Pero esta licencia no se limita a manuales de software. La relación puede ser una conexión histórica con el tema o temas relacionados. Cualquier persona es un licenciatario y será referido como Usted. Ésta es una traducción no oficial de la GNU Free Document License a Español (Castellano). Esta Licencia es de tipo copyleft.1 de Igor Támara y Pablo Reyes. apto para que los contenidos puedan ser vistos y editados directamente con editores de texto genéricos o (para imágenes compuestas por puntos) con programas genéricos de manipulación de imágenes o (para dibujos) con algún editor de dibujos ampliamente disponible. Los Textos de Cubierta son ciertos pasajes cortos de texto que se listan como Textos de Cubierta Delantera o Textos de Cubierta Trasera en la nota que indica que el documento es liberado bajo esta Licencia.. sin pago de derechos y sin límite de tiempo. ya que el software libre necesita documentación libre: un programa libre debe venir con manuales que ofrezcan la mismas libertades que el software. Sin embargo la responsabilidad de su interpretación es de Joaquín Seoane. puede usarse para cualquier texto. sin que se le considere responsable de las modificaciones realizadas por otros. 2002 Free Software Foundation. Tal nota garantiza en cualquier lugar del mundo.

en inglés. y puede exhibir copias públicamente. precediendo el comienzo del cuerpo del texto. formato de entrada de LaTeX. Si los textos requeridos para la cubierta son muy voluminosos para que ajusten legiblemente. para asegurar que esta copia Transparente permanecerá accesible en el sitio establecido por lo menos un año después de la última vez que distribuya una copia Opaca de esa edición al público (directamente o a través de sus agentes o distribuidores). Dedications. más las páginas siguientes que sean necesarias para mantener legiblemente el material que esta Licencia requiere en la portada. 108 de 115 05/10/2010 06:42 p. siempre y cuando esta Licencia. [3] En sentido estricto esta licencia parece exigir que los títulos sean exactamente Acknowledgements.m. por referencia. Si usted hace uso de la última opción. que sigan los estándares y diseñados para que los modifiquen personas. Ambas cubiertas deben identificarlo a Usted clara y legiblemente como editor de tales copias. PostScript o PDF generados por algunos procesadores de palabras sólo como salida. COPIA LITERAL Usted puede copiar y distribuir el Documento en cualquier soporte. La cubierta debe mostrar el título completo con todas las palabras igualmente prominentes y visibles. Endorsements e History. COPIADO EN CANTIDAD Si publica copias impresas del Documento (o copias en soportes que tengan normalmente cubiertas impresas) que sobrepasen las 100. deberá tomar las medidas necesarias. en un libro impreso. cuando comience la distribución de las copias Opacas en cantidad. Una copia que no es Transparente se denomina Opaca. que pueda ser leída por una máquina. Se considera que estas Limitaciones de Garantía están incluidas. en la Licencia. y HTML. SGML o XML usando una DTD disponible públicamente. Sin embargo.net/docs/samba+ldap-como/html-onechunk/ por parte de los lectores no es Transparente. Ejemplos de formatos de imagen transparentes son PNG. sea en forma comercial o no. El Documento puede incluir Limitaciones de Garantía cercanas a la nota donde se declara que al Documento se le aplica esta Licencia. las notas de copyright y la nota que indica que esta Licencia se aplica al Documento se reproduzcan en todas las copias y que usted no añada ninguna otra condición a las expuestas en esta Licencia. Las copias con cambios limitados a las cubiertas. formato de entrada de Texinfo. pueden considerarse como copias literales. Usted también puede prestar copias. Además puede añadir otro material en las cubiertas. la página de título. Si distribuye un número suficientemente grande de copias también deberá seguir las condiciones de la sección 3. La Portada significa. y HTML. con cada copia Opaca. una dirección de red donde cualquier usuario de la misma tenga acceso por medio de protocolos públicos y estandarizados a una copia Transparente del Documento completa. o bien mostrar. debe incluir las copias con cubiertas que lleven en forma clara y legible todos esos Textos de Cubierta: Textos de Cubierta Delantera en la cubierta delantera y Textos de Cubierta Trasera en la cubierta trasera. debe colocar los primeros (tantos como sea razonable colocar) en la verdadera cubierta y situar el resto en páginas adyacentes. a continuación de texto que traduce XYZ a otro idioma (aquí XYZ se refiere a nombres de sección específicos mencionados más abajo. Dedicatorias . Un formato de imagen no es Transparente si se usa para una cantidad de texto sustancial. como Agradecimientos. debe incluir una copia Transparente. . Como ejemplos de formatos adecuados para copias Transparentes están ASCII puro sin marcaje. y la nota de licencia del Documento exige Textos de Cubierta. bajo las mismas condiciones establecidas anteriormente. sin material adicional.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. XCF y JPG. usted puede aceptar compensación a cambio de las copias. Portada significa el texto cercano a la aparición más prominente del título del trabajo... Para trabajos en formatos que no tienen página de portada como tal. Una sección Titulada XYZ significa una parte del Documento cuyo título es precisamente XYZ o contiene XYZ entre paréntesis. SGML o XML para los cuáles las DTD y/o herramientas de procesamiento no estén ampliamente disponibles. pero sólo en cuanto a limitaciones de garantía: cualquier otra implicación que estas Limitaciones de Garantía puedan tener es nula y no tiene efecto en el significado de esta Licencia. en cada copia Opaca. Conservar el Título de tal sección cuando se modifica el Documento significa que permanece una sección Titulada XYZ según esta definición[3] . Los formatos Opacos incluyen formatos propietarios que pueden ser leídos y editados únicamente en procesadores de palabras propietarios. Usted no puede usar medidas técnicas para obstruir o controlar la lectura o copia posterior de las copias que usted haga o distribuya. Si Usted publica o distribuye copias Opacas del Documento cuya cantidad exceda las 100. http://tuxjm. siempre que conserven el título del Documento y satisfagan estas condiciones. Aprobaciones o Historia. PostScript o PDF simples.

Usar en la Portada (y en las cubiertas. como se estableció en la oración anterior. debe hacer lo siguiente en la Versión Modificada: A. tal como figuran en la Portada. H. con la Versión Modificada haciendo el rol del Documento. añada sus títulos a la lista de Secciones Invariantes en la nota de licencia de la Versión Modificada. F. Conservar el Título de la sección y conservar en ella toda la sustancia y el tono de los agradecimientos y/o dedicatorias incluidas por cada contribuyente. como se muestra en la Adenda al final de este documento. Si el Documento ya incluye un textos de cubiertas añadidos previamente por usted o por la misma entidad que usted representa. Mostrar en la Portada como editor el nombre del editor de la Versión Modificada. D. si hay menos de cinco). o si el editor original de dicha versión da permiso. Listar en la Portada. O. Para hacerlo. L. MODIFICACIONES Puede copiar y distribuir una Versión Modificada del Documento bajo las condiciones de las secciones 2 y 3 anteriores.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. Con esta Licencia ni los autores ni los editores del Documento dan permiso para usar sus nombres para publicidad ni para asegurar o implicar aprobación de cualquier Versión Modificada.m. G. Tales títulos deben ser distintos de cualquier otro título de sección. Si no hay una sección Titulada Historia en el Documento. por lo tanto dando licencia de distribución y modificación de la Versión Modificada a quienquiera posea una copia de la misma. puede opcionalmente designar algunas o todas esas secciones como invariantes. así como las otras direcciones de red dadas en el Documento para versiones anteriores en las que estuviese basado. el año. junto con por lo menos cinco de los autores principales del Documento (todos sus autores principales. I. dada en el Documento para el acceso público a una copia Transparente del mismo. En cualquier sección Titulada Agradecimientos o Dedicatorias. conservar su Título y añadirle un elemento que declare al menos el título. Tales secciones no pueden estar incluidas en las Versiones Modificadas. pero puede reemplazar el anterior. para darles la oportunidad de que le proporcionen una versión actualizada del Documento. observaciones de peritos o que el texto ha sido aprobado por una organización como la definición oficial de un estándar. los autores y el editor del Documento. a menos que le eximan de tal requisito. Puede añadir un pasaje de hasta cinco palabras como Texto de Cubierta Delantera y un pasaje de hasta 25 palabras como Texto de Cubierta Trasera en la Versión Modificada. siempre que usted libere la Versión Modificada bajo esta misma Licencia. Puede añadir una sección titulada Aprobaciones. C. Incluir. siempre que incluya en la combinación todas las Secciones Invariantes de todos los documentos originales. aunque no es requisito. el año. E. Incluir una copia sin modificación de esta Licencia.. Números de sección o el equivalente no son considerados parte de los títulos de la sección. http://tuxjm. adyacente a las otras notas de copyright.net/docs/samba+ldap-como/html-onechunk/ Se solicita. Conservar la sección Titulada Historia. Así mismo 109 de 115 05/10/2010 06:42 p. una o más personas o entidades responsables de la autoría de las modificaciones de la Versión Modificada. inmediatamente después de las notas de copyright. crear una estableciendo el título. Conservar todas las Limitaciones de Garantía. Añadir una nota de copyright apropiada a sus modificaciones. si la hay. una nota de licencia dando el permiso para usar la Versión Modificada bajo los términos de esta Licencia. Conservar todas las Secciones Invariantes del Documento. que se ponga en contacto con los autores del Documento antes de redistribuir gran número de copias. B. Si la Versión Modificada incluye secciones o apéndices nuevos que califiquen como Secciones Secundarias y contienen material no copiado del Documento. Una entidad solo puede añadir (o hacer que se añada) un pasaje al Texto de Cubierta Delantera y uno al de Cubierta Trasera. si hay alguna) un título distinto al del Documento y de sus versiones anteriores (que deberían. usted no puede añadir otro. como autores. Conservar todas las notas de copyright del Documento. sin alterar su texto ni sus títulos. Conservar en esa nota de licencia el listado completo de las Secciones Invariantes y de los Textos de Cubierta que sean requeridos en la nota de Licencia del Documento original. con permiso explícito del editor que agregó el texto anterior. M. siempre que contenga únicamente aprobaciones de su Versión Modificada por otras fuentes --por ejemplo.. añadiendo además un elemento describiendo la Versión Modificada. estar listadas en la sección de Historia del Documento). Conservar la dirección en red. COMBINACIÓN DE DOCUMENTOS Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia. Puede usar el mismo título de versiones anteriores al original siempre y cuando quien las publicó originalmente otorgue permiso. No cambiar el título de ninguna sección existente a Aprobaciones ni a uno que entre en conflicto con el de alguna Sección Invariante. . Se puede omitir la ubicación en red de un trabajo que haya sido publicado por lo menos cuatro años antes que el Documento mismo. si hay alguna. Además. bajo los términos definidos en la sección 4 anterior para versiones modificadas. tal como figuran en su Portada. J. listadas todas como Secciones Invariantes del trabajo combinado en su nota de licencia. sin modificar. N. Borrar cualquier sección titulada Aprobaciones. K. los nuevos autores y el editor de la Versión Modificada. Pueden ubicarse en la sección Historia.

por lo que usted puede distribuir traducciones del Documento bajo los términos de la sección 4. el nombre del autor o editor original de esa sección. los terceros que hayan recibido copias. modificar. Debe borrar todas las secciones tituladas Aprobaciones.m. así como de las Limitaciones de Garantía. se denomina un agregado si el copyright resultante de la compilación no se usa para limitar los derechos de los usuarios de la misma más allá de lo que los de los trabajos individuales permiten. En caso contrario deben aparecer en cubiertas impresas enmarcando todo el agregado. de usted bajo esta Licencia no verán terminadas sus licencias. siempre que incluya también la versión en Inglés de esta Licencia y las versiones originales de las notas de licencia y Limitaciones de Garantía. Si el requisito de la sección 3 sobre el Texto de Cubierta es aplicable a estas copias del Documento y el Documento es menor que la mitad del agregado entero. 110 de 115 05/10/2010 06:42 p. http://tuxjm. sublicenciamiento o distribución del Documento es nulo. Sin embargo. sublicenciar o distribuir el Documento salvo por lo permitido expresamente por esta Licencia. o derechos. Si hay varias Secciones Invariantes con el mismo nombre pero con contenidos diferentes. Dedicatorias o Historia el requisito (sección 4) de Conservar su Título (Sección 1) requerirá. Si una sección del Documento está Titulada Agradecimientos. Cualquier otro intento de copia. y puede reemplazar varias Secciones Invariantes idénticas por una sola copia. Puede extraer un solo documento de una de tales colecciones y distribuirlo individualmente bajo esta Licencia.. entre paréntesis.gnu. El reemplazo las Secciones Invariantes con traducciones requiere permiso especial de los dueños de derecho de autor. un número único. En caso de desacuerdo entre la traducción y la versión original en Inglés de esta Licencia. o el equivalente electrónico de las cubiertas si el documento está en forma electrónica. El trabajo combinado necesita contener solamente una copia de esta Licencia. formando una sección Titulada Historia. TERMINACIÓN Usted no puede copiar. TRADUCCIÓN La Traducción es considerada como un tipo de modificación. los Textos de Cubierta del Documento pueden colocarse en cubiertas que enmarquen solamente el Documento dentro del agregado. Vea http://www. modificación. Haga el mismo ajuste a los títulos de sección en la lista de Secciones Invariantes de la nota de licencia del trabajo combinado. debe combinar cualquier sección Titulada Historia de los documentos originales. En la combinación. la versión original en Inglés prevalecerá. y siga esta Licencia en todos los demás aspectos relativos a la copia literal de dicho documento. COLECCIONES DE DOCUMENTOS Puede hacer una colección que conste del Documento y de otros documentos liberados bajo esta Licencia. la nota de licencia o la limitación de garantía. y cualquier sección Titulada Dedicatorias. cambiar su título.. Cuando el Documento se incluye en un agregado. Puede incluir una traducción de esta Licencia. de la misma forma combine cualquier sección Titulada Agradecimientos. en cualquier soporte de almacenamiento o distribución.org/copyleft/. pero pueden diferir en detalles para solucionar nuevos problemas o intereses. siempre que permanezcan en total conformidad con ella. de todas las notas de licencia del documento. típicamente. siempre que inserte una copia de esta Licencia en el documento extraído. esta Licencia no se aplica a otros trabajos del agregado que no sean en sí mismos derivados del Documento. si es conocido. . Tales versiones nuevas serán similares en espíritu a la presente versión. AGREGACIÓN CON TRABAJOS INDEPENDIENTES Una recopilación que conste del Documento o sus derivados y de otros documentos o trabajos separados e independientes. siempre que siga las reglas de esta Licencia para cada copia literal de cada uno de los documentos en cualquiera de los demás aspectos. pero usted puede añadir traducciones de algunas o todas las Secciones Invariantes a las versiones originales de las mismas. y reemplazar las copias individuales de esta Licencia en todos los documentos por una sola copia que esté incluida en la colección. o si no. REVISIONES FUTURAS DE ESTA LICENCIA De vez en cuando la Free Software Foundation puede publicar versiones nuevas y revisadas de la Licencia de Documentación Libre GNU. haga el título de cada una de estas secciones único añadiéndole al final del mismo. y dará por terminados automáticamente sus derechos bajo esa Licencia.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard.net/docs/samba+ldap-como/html-onechunk/ debe incluir la Limitación de Garantía.

with or without modifying it. Apéndice B. quien publica. We have designed this License in order to use it for manuals for free software. diferente de editor. Se concede permiso para copiar. it can be used for any textual work. Fifth Floor. APPLICABILITY AND DEFINITIONS 111 de 115 05/10/2010 06:42 p. recomendamos liberar estos ejemplos en paralelo bajo la licencia de software libre que usted elija.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. La licencia original dice publisher. estrictamente. . 0. or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and redistribute it. Si el Documento no especifica un número de versión de esta Licencia. reemplace la frase sin . which is a copyleft license designed for free software. 1. para permitir su uso en software libre. mezcle ambas alternativas para adaptarse a la situación. 51 Franklin St. but changing it is not allowed. This License is a kind of "copyleft". En castellano editor se usa para ambas cosas. incluya una copia de la Licencia en el documento y ponga el siguiente copyright y nota de licencia justo después de la página de título: Copyright (c) AÑO SU NOMBRE. this License preserves for the author and publisher a way to get credit for their work.. como la Licencia Pública General de GNU (GNU General Public License). Textos de Cubierta Delantera y Textos de Cubierta Trasera. It complements the GNU General Public License. [1] [2] Ésta es la traducción del Copyright de la Licencia. Si su documento contiene ejemplos de código de programa no triviales. Una copia de la licencia está incluida en la sección titulada GNU Free Documentation License. ADENDA: Cómo usar esta Licencia en sus documentos Para usar esta licencia en un documento que usted haya escrito. usted tiene la opción de seguir los términos y condiciones de la versión especificada o cualquiera posterior que haya sido publicada (no como borrador) por la Free Software Foundation. Si el Documento especifica que se aplica una versión numerada en particular de esta licencia o cualquier versión posterior. Secondarily. Boston. PREAMBLE The purpose of this License is to make a manual. que es. which means that derivative works of the document must themselves be free in the same sense.m. Everyone is permitted to copy and distribute verbatim copies of this license document. distribuir y/o modificar este documento bajo los términos de la Licencia de Documentación Libre de GNU. Trasera por esto: siendo las Secciones Invariantes LISTE SUS TÍTULOS. 2001. sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Si tiene Secciones Invariantes.net/docs/samba+ldap-como/html-onechunk/ Cada versión de la Licencia tiene un número de versión que la distingue. GNU Free Documentation License Copyright (C) 2000. Inc. y siendo sus Textos de Cubierta Trasera LISTAR. no es el Copyright de esta traducción no autorizada.2 o cualquier otra versión posterior publicada por la Free Software Foundation. textbook. http://tuxjm. either commercially or noncommercially. Versión 1. puede escoger cualquier versión que haya sido publicada (no como borrador) por la Free Software Foundation. We recommend this License principally for works whose purpose is instruction or reference. But this License is not limited to software manuals.. que es más bien quien prepara un texto para publicar. siendo los Textos de Cubierta Delantera LISTAR. MA 02110-1301 USA. because free software needs free documentation: a free program should come with manuals providing the same freedoms that the software does.. regardless of subject matter or whether it is published as a printed book. 2002 Free Software Foundation.. Si tiene Secciones Invariantes sin Textos de Cubierta o cualquier otra combinación de los tres. while not being considered responsible for modifications made by others.

as Front-Cover Texts or Back-Cover Texts. Any member of the public is a licensee. unlimited in duration. A copy made in an otherwise Transparent file format whose markup. Examples of suitable formats for Transparent copies include plain ASCII without markup. or absence of markup. such as "Acknowledgements". and that you add no other conditions whatsoever to those of this License. 3.. in the notice that says that the Document is released under this License. represented in a format whose specification is available to the general public. http://tuxjm. Such a notice grants a world-wide. and a Back-Cover Text may be at most 25 words. The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. COPYING IN QUANTITY 112 de 115 05/10/2010 06:42 p. in any medium. "Title Page" means the text near the most prominent appearance of the work's title. plus such following pages as are needed to hold. "Dedications". in the notice that says that the Document is released under this License. (Here XYZ stands for a specific section name mentioned below. that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. provided that this License. Opaque formats include proprietary formats that can be read and edited only by proprietary word processors. to use that work under the conditions stated herein. A Front-Cover Text may be at most 5 words. or "History".net/docs/samba+ldap-como/html-onechunk/ This License applies to any manual or other work. However. for a printed book. royalty-free license. and standard-conforming simple HTML. and is addressed as "you". and the license notice saying this License applies to the Document are reproduced in all copies. or with modifications and/or translated into another language.) The relationship could be a matter of historical connection with the subject or with related matters. as being those of Invariant Sections. VERBATIM COPYING You may copy and distribute the Document in any medium. You accept the license if you copy. the material this License requires to appear in the title page. Texinfo input format. For works in formats which do not have any title page as such. and you may publicly display copies.) To "Preserve the Title" of such a section when you modify the Document means that it remains a section "Entitled XYZ" according to this definition. or of legal. and the machine-generated HTML. either commercially or noncommercially. and that is suitable for input to text formatters or for automatic translation to a variety of formats suitable for input to text formatters. You may not use technical measures to obstruct or control the reading or further copying of the copies you make or distribute. either copied verbatim. the title page itself. . The "Cover Texts" are certain short passages of text that are listed. under the same conditions stated above. you may accept compensation in exchange for copies. PostScript or PDF produced by some word processors for output purposes only. preceding the beginning of the body of the text. "Endorsements". ethical or political position regarding them. has been arranged to thwart or discourage subsequent modification by readers is not Transparent. A "Transparent" copy of the Document means a machine-readable copy. The "Title Page" means. refers to any such manual or work.m. philosophical. SGML or XML using a publicly available DTD. These Warranty Disclaimers are considered to be included by reference in this License. legibly. XCF and JPG. The "Invariant Sections" are certain Secondary Sections whose titles are designated. The Document may contain zero Invariant Sections. A "Modified Version" of the Document means any work containing the Document or a portion of it. PostScript or PDF designed for human modification. SGML or XML for which the DTD and/or processing tools are not generally available. The "Document". LaTeX input format. if the Document is in part a textbook of mathematics. below. (Thus. A copy that is not "Transparent" is called "Opaque". If a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License. If you distribute a large enough number of copies you must also follow the conditions in section 3. a Secondary Section may not explain any mathematics. that is suitable for revising the document straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. An image format is not Transparent if used for any substantial amount of text. Examples of transparent image formats include PNG. A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language. commercial.. modify or distribute the work in a way requiring permission under copyright law. You may also lend copies. 2. the copyright notices. If the Document does not identify any Invariant Sections then there are none.

as long as they preserve the title of the Document and satisfy these conditions. if there were any. and the Document's license notice requires Cover Texts.. and publisher of the Document as given on its Title Page. 113 de 115 05/10/2010 06:42 p. Section numbers or the equivalent are not considered part of the section titles. Such a section may not be included in the Modified Version. if any) a title distinct from that of the Document. These titles must be distinct from any other section titles. in the form shown in the Addendum below. numbering more than 100. Include. then add an item describing the Modified Version as stated in the previous sentence. you should put the first ones listed (as many as fit reasonably) on the actual cover. and preserve in the section all the substance and tone of each of the contributor acknowledgements and/or dedications given therein. L. you must enclose the copies in covers that carry. If there is no section Entitled "History" in the Document. thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. Preserve its Title. and add to it an item stating at least the title. N. It is requested. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section. all these Cover Texts: Front-Cover Texts on the front cover. If you use the latter option. together with at least five of the principal authors of the Document (all of its principal authors. authors. and publisher of the Modified Version as given on the Title Page. clearly and legibly. In addition. . that you contact the authors of the Document well before redistributing any large number of copies. B. State on the Title page the name of the publisher of the Modified Version. MODIFICATIONS You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above. new authors. or state in or with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy of the Document. Both covers must also clearly and legibly identify you as the publisher of these copies. For any section Entitled "Acknowledgements" or "Dedications". You may omit a network location for a work that was published at least four years before the Document itself.. or if the original publisher of the version it refers to gives permission. K. Preserve all the copyright notices of the Document. to give them a chance to provide you with an updated version of the Document. when you begin distribution of Opaque copies in quantity.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. You may use the same title as a previous version if the original publisher of that version gives permission. The front cover must present the full title with all words of the title equally prominent and visible. be listed in the History section of the Document). These may be placed in the "History" section. H. Preserve the network location. with the Modified Version filling the role of the Document. given in the Document for public access to a Transparent copy of the Document. Copying with changes limited to the covers. provided that you release the Modified Version under precisely this License. F. create one stating the title. O. can be treated as verbatim copying in other respects. Delete any section Entitled "Endorsements". as the publisher. M. add their titles to the list of Invariant Sections in the Modified Version's license notice. If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document. and likewise the network locations given in the Document for previous versions it was based on. you must do these things in the Modified Version: A.net/docs/samba+ldap-como/html-onechunk/ If you publish printed copies (or copies in media that commonly have printed covers) of the Document. as authors. Preserve the Title of the section. G. immediately after the copyright notices. but not required. E. a license notice giving the public permission to use the Modified Version under the terms of this License. You may add other material on the covers in addition. unless they release you from this requirement. If you publish or distribute Opaque copies of the Document numbering more than 100. and from those of previous versions (which should. year. Include an unaltered copy of this License. 4. http://tuxjm. if any. you must take reasonably prudent steps. C. Use in the Title Page (and on the covers. If the required texts for either cover are too voluminous to fit legibly. To do this. and continue the rest onto adjacent pages. Preserve all the Invariant Sections of the Document. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice. J. unaltered in their text and in their titles. D. you may at your option designate some or all of these sections as invariant. Preserve any Warranty Disclaimers. if it has fewer than five).m. year. one or more persons or entities responsible for authorship of the modifications in the Modified Version. I. List on the Title Page. you must either include a machine-readable Transparent copy along with each Opaque copy. to ensure that this Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that edition to the public. free of added material. and Back-Cover Texts on the back cover. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices. Preserve the section Entitled "History".

provided it contains nothing but endorsements of your Modified Version by various parties--for example. or "History". you may not add another. http://tuxjm. The combined work need only contain one copy of this License. then if the Document is less than one half of the entire aggregate. When the Document is included in an aggregate. Only one passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. You may add a passage of up to five words as a Front-Cover Text. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer. and multiple identical Invariant Sections may be replaced with a single copy. statements of peer review or that the text has been approved by an organization as the authoritative definition of a standard. unmodified. 6. You may include a translation of this License.net/docs/samba+ldap-como/html-onechunk/ You may add a section Entitled "Endorsements". In the combination. 7. COLLECTIONS OF DOCUMENTS You may make a collection consisting of the Document and other documents released under this License. If a section in the Document is Entitled "Acknowledgements". and any sections Entitled "Dedications". 5. the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual 114 de 115 05/10/2010 06:42 p. If the Cover Text requirement of section 3 is applicable to these copies of the Document. The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version. Otherwise they must appear on printed covers that bracket the whole aggregate. "Dedications". and distribute it individually under this License. and that you preserve all their Warranty Disclaimers.Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. but you may replace the old one. You may extract a single document from such a collection. or else a unique number. If the Document already includes a cover text for the same cover. 8. you must combine any sections Entitled "History" in the various original documents. and all the license notices in the Document. make the title of each such section unique by adding at the end of it. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work. the name of the original author or publisher of that section if known. AGGREGATION WITH INDEPENDENT WORKS A compilation of the Document or its derivatives with other separate and independent documents or works. previously added by you or by arrangement made by the same entity you are acting on behalf of.. provided that you include in the combination all of the Invariant Sections of all of the original documents. the original version will prevail.m. provided you insert a copy of this License into the extracted document. . and list them all as Invariant Sections of your combined work in its license notice. on explicit permission from the previous publisher that added the old one. the Document's Cover Texts may be placed on covers that bracket the Document within the aggregate. Replacing Invariant Sections with translations requires special permission from their copyright holders. likewise combine any sections Entitled "Acknowledgements".. and follow this License in all other respects regarding verbatim copying of that document. in parentheses. in or on a volume of a storage or distribution medium. COMBINING DOCUMENTS You may combine the Document with other documents released under this License. and replace the individual copies of this License in the various documents with a single copy that is included in the collection. so you may distribute translations of the Document under the terms of section 4. under the terms defined in section 4 above for modified versions. and any Warranty Disclaimers. provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects. forming one section Entitled "History". TRANSLATION Translation is considered a kind of modification. You must delete all sections Entitled "Endorsements". this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document. If there are multiple Invariant Sections with the same name but different contents. to the end of the list of Cover Texts in the Modified Version. is called an "aggregate" if the copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. or the electronic equivalent of covers if the Document is in electronic form. provided that you also include the original English version of this License and the original versions of those notices and disclaimers. but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. and a passage of up to 25 words as a Back-Cover Text.

include a copy of the License in the document and put the following copyright and license notices just after the title page: Copyright (C) YEAR YOUR NAME. If you have Invariant Sections without Cover Texts. Version 1. and will automatically terminate your rights under this License. from you under this License will not have their licenses terminated so long as such parties remain in full compliance. and no Back-Cover Texts. Permission is granted to copy. If your document contains nontrivial examples of program code. http://tuxjm.Texts.org/copyleft/. with the Front-Cover Texts being LIST. such as the GNU General Public License. If the Document does not specify a version number of this License. A copy of the license is included in the section entitled "GNU Free Documentation License".Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard. See http://www. or distribute the Document except as expressly provided for under this License. and with the Back-Cover Texts being LIST." line with this: with the Invariant Sections being LIST THEIR TITLES.. However.gnu. no Front-Cover Texts. with no Invariant Sections. or some other combination of the three. Such new versions will be similar in spirit to the present version. . you may choose any version ever published (not as a draft) by the Free Software Foundation. modify. merge those two alternatives to suit the situation. If the Document specifies that a particular numbered version of this License "or any later version" applies to it. revised versions of the GNU Free Documentation License from time to time.net/docs/samba+ldap-como/html-onechunk/ title. replace the "with. TERMINATION You may not copy. Any other attempt to copy. modify. 9. Each version of the License is given a distinguishing version number. 10.. If you have Invariant Sections.m.2 or any later version published by the Free Software Foundation. sublicense or distribute the Document is void. distribute and/or modify this document under the terms of the GNU Free Documentation License. to permit their use in free software.. you have the option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. parties who have received copies. FUTURE REVISIONS OF THIS LICENSE The Free Software Foundation may publish new. but may differ in detail to address new problems or concerns. 115 de 115 05/10/2010 06:42 p. or rights.. Front-Cover Texts and Back-Cover Texts. sublicense. we recommend releasing these examples in parallel under your choice of free software license. ADDENDUM: How to use this License for your documents To use this License in a document you have written.

Sign up to vote on this title
UsefulNot useful