You are on page 1of 49

Manual de Instalación y Configuración de un Servidor de dominio SAMBA-LDAP

Que es SAMBA Samba es un producto que básicamente permite al sistema Unix conversar con sistemas Windows a través de la red de forma nativa. De esta forma, el sistema Unix aparece en el "Entorno de red", clientes Windows pueden acceder a sus recursos de red e impresoras compartidas como si de otro sistema Windows se tratase. !ara ello, Samba implementa los protocolos "et#$%S S&#.

NetBI S es un protocolo de nivel de sesi'n que permite establecer sesiones entre dos ordenadores. SMB (Server &essa)e #loc*+, implementado sobre "et#$%S, es el protocolo que permite a los sistemas Windows compartir arc,ivos e impresoras . !l "rograma sm#d se encar)a de ofrecer los servicios de acceso remoto a fic,eros e impresoras (implementando para ello el protocolo S&#+, as- como de autenticar autori.ar usuarios. smbd ofrece los dos modos de compartici'n de recursos existentes en Windows, basado en usuarios o basado en recursos. En el modo basado en usuarios (propio de los dominios Windows "/ o 0111+ la autori.aci'n de acceso al recurso se reali.a en funci'n de nombres de usuarios re)istrados en un dominio, &ientras que en el modo basado en recursos (propio de Windows 2.33456+ a cada recurso se le asi)na una contrase7a, estando autori.ado el acceso en funci'n del conocimiento de dic,a contrase7a. !l "rograma nm#d permite que el sistema Unix participe en los mecanismos de resoluci'n de nombres propios de Windows, lo cual inclu e el anuncio en el )rupo de traba8o, la )esti'n de la lista de computadores del )rupo de traba8o, la contestaci'n a peticiones de resoluci'n de nombres el anuncio de los recursos compartidos. De esta forma, el sistema Unix aparece en el "Entorno de 9ed", como cualquier otro sistema Windows, publicando la lista de recursos que ofrece al resto de la red. :dicionalmente a los dos pro)ramas anteriores, Samba ofrece varias utilidades. :l)unas de las más relevantes son las si)uientes; • • • • smbclient. Una interfa. similar a la utilidad ftp, que permite a un usuario de un sistema Unix conectarse a recursos S&# listar, transferir enviar arc,ivos. swat (Samba Web :dministration /ool+. Esta utilidad permite confi)urar Samba de forma local o remota utili.ando un nave)ador de web. smbfs Sistema de arc,ivos S&# para <inux. <inux puede montar recursos S&# en su 8erarqu-a, al i)ual que sucede con directorios compartidos v-a "=S. winbind. !ermite inte)rar un servidor Samba en un dominio Windows sin necesidad de crear usuarios Unix en el servidor Samba que correspondan con los usuarios del dominio Windows, simplificando as- la labor de administraci'n.

Que es SMB !uesto que Samba es, fundamentalmente, una implementaci'n para Unix del protocolo S&#, qui.ás la me8or forma de entender Samba es comen.ar por describir S&# con un poco más de detalle. S&# es un protocolo de comunicaci'n de alto nivel que puede implementarse sobre diversos protocolos como />!4$!, "et#EU$ $!?4S!?, 8unto con la ubicaci'n de dic,os protocolos en los niveles %S$ en la pila />!4$!. Entre todas esas alternativas, tanto en el caso de Samba como de Windows 01114?!, S&# se implementa ,abitualmente encima de "et#$%S sobre />!4$! . Niveles de Seguridad Una de las consideraciones más importantes a la ,ora de confi)urar Samba es la selecci'n del nivel de se)uridad. Desde la perspectiva de un cliente, Samba ofrece dos modos de se)uridad, denominados s,are user; Modo S$are% En modo s,are, cada ve. que un cliente quiere utili.ar un recurso ofrecido por Samba, debe suministrar una contrase7a de acceso asociada a dic,o recurso. Una de las consideraciones más importantes a la ,ora de confi)urar Samba es la selecci'n del nivel de se)uridad. Modo &ser% En modo user, el cliente debe establecer en primer lu)ar una sesi'n con el servidor Samba, para lo cual le suministra un nombre de usuario una contrase7a. Una ve. Samba valida al usuario, el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba. En cualquiera de ambos, Samba tiene que asociar un usuario del sistema Unix en el que se e8ecuta Samba con la conexi'n reali.ada por el cliente. Este usuario es el utili.ado a la ,ora de comprobar los permisos de acceso a los arc,ivos directorios que el sistema Unix4Samba comparte en la red. <a selecci'n del nivel de se)uridad se reali.a con la opci'n securit , la cual pertenece a la secci'n @)lobalA. Sus alternativas son las si)uientes; securit B s,are C user C server C domain Desde la perspectiva del cliente, el nivel s,are corresponde al modo de se)uridad s,are los niveles user, server domain corresponden todos ellos al modo de se)uridad user. : continuaci'n se describen someramente los cuatro niveles. !l nivel s$are es utili.ado normalmente en entornos en los cuales no existe un dominio Windows "/ o 0111. En este caso, se asocia una contrase7a por cada recurso, que debe proporcionarse correctamente desde el cliente cuando se pide la conexi'n. !n el nivel user, el encar)ado de validar al usuario es el sistema Unix donde Samba se e8ecuta. <a validaci'n es idéntica a la que se reali.ar-a si el usuario iniciase una sesi'n local en el ordenador Unix. !ara que este método sea aplicable, es necesario que existan los mismos usuarios con idénticas contrase7as en los sistemas Windows en el sistema Unix donde Samba se e8ecuta.

Desde la aparici'n de sistemas Windows como Windows 0111 posteriores, la utili.aci'n de este nivel se ,a vuelto complicada, a que dic,os sistemas Windows transmiten las contrase7as cifradas por la red. !uesto que Samba no posee acceso a las contrase7as cifradas por Windows, el sistema Unix a no puede reali.ar la validaci'n. Existen dos métodos para resolver este problema. El primero consiste en modificar el re)istro del sistema Windows para permitir la transferencia de contrase7as sin cifrar por la red. El se)undo método obli)a a utili.ar una tabla de contrase7as adicional en el sistema Unix, en la cual se almacenan las contrase7as cifradas de los usuarios Windows. !n el nivel server, Samba dele)a la validaci'n del usuario en otro computador, normalmente un sistema Windows 0111. >uando un cliente intenta iniciar una sesi'n con Samba, éste Dltimo intenta iniciar una sesi'n en el computador en el cual ,a dele)ado la validaci'n con la misma acreditaci'n (usuarioEcontrase7a+ recibidos del cliente. Si la sesi'n reali.ada por Samba es satisfactoria, entonces la solicitud del cliente es aceptada. Este método aporta la venta8a de no necesitar que las contrase7as se manten)an sincroni.adas entre los sistemas Windows Unix, a que la contrase7a Unix no es utili.ada en el proceso de validaci'n. :dicionalmente, no ,a inconveniente en utili.ar contrase7as cifradas, a que la validaci'n la reali.a un sistema Windows 0111. !or Dltimo, el nivel domain. Este nivel es similar al nivel server, aunque en este caso el computador en el que se dele)a la validaci'n debe ser un D>, o una lista de Dcs. <a venta8a de este método estriba en que el computador Samba pasa a ser un verdadero miembro del dominio W0111, lo que implica, por e8emplo, que puedan utili.arse las relaciones de confian.a en las que participa el dominio W0111. Esto si)nifica, en pocas palabras, que usuarios pertenecientes a otros dominios en los que los D>s conf-an son conocidos por Samba. Que es LDAP <D:! ("<i),twei),t Director :cces !rotocol", en espa7ol !rotocolo <i)ero de :cceso a Directorios+ es un protocolo de tipo clienteFservidor para acceder a un servicio de directorio. Se us' inicialmente como un =rontFend o interfa. final para x.611, pero también puede usarse con servidores de directorio Dnicos con otros tipos de servidores de directorio. #ásicamente, %pen<D:! posee tres componentes principales; • • • slapd F Dominio de servidor ,erramientas <ibrer-as que implementan el protocolo <D:! !ro)ramas cliente; ldapsearc,, ldapadd, ldapdelete, entre otros

GHué es un directorioI Un directorio es una base de datos, pero en )eneral contiene informaci'n más descriptiva más basada en atributos. <a informaci'n contenida en un directorio normalmente se lee muc,o más de lo que se escribe. >omo consecuencia los directorios no implementan normalmente los complicados esquemas para transacciones o esquemas de reducci'n que las bases de datos utili.an para llevar a cabo actuali.aciones comple8as de )randes volDmenes de datos, <as actuali.aciones en un directorio son

aci'n de aplicaciones. al)unos de los )estores de contenidos más conocidos disponen de sistemas de autenticaci'n a través de <D:!.ar lecturas de datos de forma mu eficiente.ados por departamentos (si)uiendo la estructura or)ani. ◦ :ctive Director Server. :utenticaci'n Dnica ' Lsin)le si)nFonM para la personali. para el control de accesos de los usuarios a una red de conexi'n o $S!. <D:! es un tipo de base de datos. En otras palabras. si es que permiten al)o. • • • • • • • • • • • .usualmente cambios sencillos de todo o nada.aciones a una base de datos relacional. para )estionar todas las cuentas de acceso a una red corporativa mantener centrali.ar-a referencia en otro servidor <D:!. ◦ Sistemas de autenticaci'n para pá)inas Web. Directorios de informaci'n.allar más informaci'n. Sistemas de autenticaci'n basados en 9:D$US. ◦ Sistemas de control de entradas a edificios.aci'n centrali.ada la )esti'n del acceso a los recursos. Un directorio <D:! es una base de datosI El sistema )estor de una base de datos (D#&S+ de %racle ' &icrosoft es usado para procesar peticiones (queries+ ' actuali. pero no es una base de datos relacional.ace referencia a la misma entrada a la que . !ero <D:! procesa las 'rdenes de borrado actuali. sino para reali.ada. Sistemas de autenticaci'n4autori. Un servidor <D:! es usado para procesar peticiones (queries+ a un directorio <D:!. Krandes sistemas formados por más de un servidor que accedan a un repositorio de datos comDn. Sistemas de correo electr'nico.ados. Sistemas de alo8amiento de pá)inas web =/!. "o está dise7ada para procesar miles de cambios por minuto como los sistemas relacionales. el cliente <D:! se conecta con el servidor <D:! le . Uno o más servidores <D:! contienen los datos que conforman el árbol de directorio <D:! o base de datos troncal. Servidores de certificados pDblicos llaves de se)uridad. !or e8emplo bases de datos de empleados or)ani.aci'n de un modo mu lento. Estas bases de datos pueden recibir miles de inserci'n.ativa de la empresa+ ' cualquier tipo de pá)inas amarilla. con el repositorio de datos de usuario compartido. modificaci'n o borrado por se)undo. para permitir itinerancia ' L9oamin)M <ibretas de direcciones compartidas. 'uncionamiento de LDAP El servicio de directorio <D:! se basa en un modelo clienteFservidor.ace una consulta. El servidor contesta con la respuesta correspondiente. !erfiles de usuarios centrali. oficinas . "o importa con que servidor <D:! se conecte el cliente a que siempre observará la misma vista del directorioJ el nombre que se le presenta a un servidor <D:! . o bien con una indicaci'n de donde puede el cliente .

los permisos de acceso. su l-mite de almacenamiento (quota+.an de forma frecuente. impresoras. • #ac*ends de almacenamiento de datos (Data Stora)e bac*ends+ F estos realmente almacenan informaci'n ...a de caducidad de la contrase7a.'n+ posiblemente atributos adicionales para activar sistemas antiFspam o antiFvirus. >omo se puede ver este sistema <D:! recibirá cientos de consultas cada d-a (una por cada email recibido una cada ve. un base de datos dorsal o de se)undo plano (bac*end+ que trata Dnicamente con el almacenamiento de datos. a que solo se puede cambiar la contrase7a o dar de ba8a al usuario. :ctualmente 3O diferentes bac*ends son proporcionados en la distribuci'n de %pen<D:!. los )rupos de traba8o a los que pertenece. "o obstante el nDmero de modificaciones diarias es mu ba8o. que el usuario acceda a la red una más cada ve. operaciones ambas que no se reali. <a arquitectura es modular una variedad de bac*ends está disponible para interactuar con otras tecnolo)-as.. <os bac*ends estándar están or)ani. la fec. varios proporcionados por terceros son conocidos para mantener otros bac*ends de manera independiente. Administración de Sistemas LDAP Ar)uitectura de 'uncionamiento Bac*ends+ .ision -eneral Nist'ricamente la arquitectura del servidor %pen<D:! (slapd. la ruta del disco duro donde se almacenan los mensa8es (bu. • . que acceda a los recursos del )rupo de traba8o (directorios compartidos.. no s'lo bases de datos tradicionales. que el usuario se conecta mediante !%!2 o webmail+. =rente a estos cientos de consultas solo unas pocas veces se cambia la contrase7a de un usuario o se le inclu e en un nuevo )rupo de traba8o. los atributos que se )uardan de cada usuario son su contrase7a. • Sistema de autenticación a una red >ada usuario se identifica por un nombre de usuario los atributos asi)nados son la contrase7a.+ para comprobar los permisos del usuario.!(em"los de uso de LDAP Sistema de correo electrónico >ada usuario se identifica por su direcci'n de correo electr'nico.ados de manera imprecisa en tres cate)or-as. Este sistema recibirá una consulta cada ve. Standalone <D:! Daemon+ fue dividida entre una secci'n frontal que mane8a las conexiones de redes el procesamiento del protocolo.

!rox bac*ends F actDan como puertas de enlace a otros sistemas de almacenamiento de datos • • • • • bac*Fldap.ell para peticiones <D:! bac*Fsoc*. el primer bac*end transaccional para %pen<D:!. prox con caracter-sticas de metaFdirectorio bac*Fpasswd. locali. un bac*end nulo.a • • • • • • • bac*Fconfi). invoca scripts de s. prox simple a otros servidores <D:! bac*Fmeta. de interceptar peticiones lan. rediri)e peticiones <D:! sobre $!> a demonios de manera arbitraria verlays Ar)uitectura de Keneralmente una petici'n <D:! es recibida por el frontend. Un overla es una pie. #ac*ends de almacenamiento de datos (Data Stora)e bac*ends+ F estos realmente almacenan informaci'n • • • • bac*Fbdb. estad-sticas de slapd v-a <D:! bac*Fnull.a servidores <D:! v-a D"S bac*Fmonitor. internamente rediri)e a otros bac*ends de servidores slapd bac*Fsql.• • !rox bac*ends F actDan como puertas de enlace a otros sistemas de almacenamiento de datos . un bac*end transaccional construido en base al motor de cluster "D# de & SH< #ac*ends dinámicos F estos )eneran datos sobre la marc. >uando el bac*end completa la petici'n. formando una pila de m'dulos entre el frontend el bac*end. usa un sistema basado en Unix de datos passwd )roup bac*Frela . una variante de bac*Fbdb que es totalmente 8erárquica soporta renombrado de subF árboles bac*Fldif. construido en arc.a . decodificada lue)o transferida a un bac*end para procesamiento. devuelve un resultado al frontend.db. confi)uraci'n del servidor slapd v-a <D:! bac*Fdnssrv. por tanto pueden invocar cualquier llamada que podr-an reali. #ac*ends dinámicos F estos )eneran datos sobre la marc.ar otras acciones en ellas antes de que el bac*end las reciba. &Dltiples overla s pueden ser usados a la ve. construido en base a #er*ele D# bac*F.a de c'di)o que puede ser insertada entre el frontend el bac*end.ivos <D$= de texto plano bac*Fndb. invoca arbitrariamente m'dulos de perl en respuesta a peticiones <D:! bac*Fs. análo)o a 4dev4null en Unix bac*Fperl.ell. %verla s tiene acceso completo a las interfaces de pro)ramaci'n (:!$s+ internas del servidor slapd. Es entonces capa.ar el frontend u otros bac*ends. puede también actuar sobre los resultados del bac*end antes de que éstos alcancen el frontend. quien lue)o env-a el resultado al cliente <D:!. establece conexiones a bases de datos SH< ..

El D" se utili.r#ol / Atri#utos <os datos del directorio se representan mediante pares de atributo su valor. Se requieren los atributos cn sn.Re8emplo. Qosé T F FF:tributo 9equerido S surname. S mail. !or e8emplo.M. Nom#re Distintivo 0DN1.aci'n nos permite ordenar la informaci'n en subdirectorios que contienen informaci'n mu espec-fica.one"umber (nDmero de teléfono+. El e8emplo más claro es la estructura de carpetas (directorios+ de un sistema operativo. !or e8emplo el atributo common"ame. telep. seealso (véase también+. c'mo se ordenan comparan . >ada atributo de una entrada posee un tipo uno o más valores. o cn (nombre comun+.an usado las estructuras de árbol para 8erarqui. !or e8emplo. S cn. <a sintaxis de los atributos depende del tipo de atributo. 8msuare. userpassword (contrase7a del usuario+ se permiten pero no son obli)atorios. Introducción a la estructura de .comM. Esta or)ani.Introducción a la estructura de . !uede representarse en el directorio a una persona llamada Qosé Suare.r#ol /radicionalmente se . Una entrada es una colecci'n de atributos que tienen un Dnico )lobal . Suare.a en la clase de ob8etos person. S )ivenname. <os tipos son normalmente palabras nemotécnicas. /odas las entradas precisas de los atributos permitidos son aquellos que pueden estar presentes en las entradas que utilicen la clase de ob8etos.Re8emplo.com <os atributos requeridos son aquellos que deben estar presentes en las entradas que utilicen en la clase de ob8etos. un atributo cn puede contener el valor LQose &anuel Suare. <os atributos description (descripci'n+. en la clase de ob8etos person.a para referirse a una entrada sin ambi)Pedades. se usa para almacenar el nombre de una persona. El atributo 8pe)!.oto .a de contener una foto)raf-a en formato Q!EK.r#ol / 2i"os de Atri#utos Una definici'n de tipo de atributo especifica la sintaxis de un atributo los atributos de ese tipo. mediante.ca en el directorio se define mediante la colecci'n de atributos que . Qosé Suare. >ada persona que se introdu. o LmailM para una direcci'n de correo. Introducción a la estructura de . como LcnM para common name.ar la informaci'n contenida en un medio. Un atributo email puede contener un valor L8msuare.r#ol / !ntradas El modelo de informaci'n de <D:! está basado en entradas. Introducción a la estructura de . %tros atributos.

ivos <D$= a formato orientadas a ob8eto. "ormalmente es un arc.aciones que están en el directorio. como por e8emplo el nombre del pa-s su descripci'n. Una entrada determinada puede pertenecer a más de una clase de ob8etos. se usa en )eneral el arc.ation. Un arc. la entrada para personas se define mediante la clase de ob8etos person. )roup%f"ames or)ani. 0. El estándar <D:! proporciona estos tipos básicos para las clases de ob8etos.an de aplicarse al directorio.Clases de #(etos En <D:!. o para describir una serie de cambios que . Empla. La estructura de . !or e8emplo. !or e8emplo. pero también puede definirse mediante atributos en las clases de ob8etos inet%r)!erson. !ersonas que están en el directorio. /odos los servidores <D:! que inclu en una utilidad para convertir arc. U.ivo de formato conocido como <D$= (formato de intercambio de <D:!+.r#ol .<os tipos de atributos en el directorio forman un árbol de clases. %r)ani. Krupos en el directorio.r#ol . 3. La estructura de .!l Arc$ivo LDI' !ara importar exportar informaci'n de directorio entre servidores de directorios basados en <D:!. el tipo de atributo "common"ame" es una subclase del tipo de atributo "name".ivo <D$= almacena informaci'n en 8erarqu-as de entradas orientadas a ob8eto. .ivo :S>$$. entre ellos listas no ordenadas de ob8etos individuales o de )rupos de ob8etos. 2. una clase de ob8etos define la colecci'n de atributos que pueden usarse para definir una entrada. <a estructura de clases de ob8etos del servidor determina la lista total de atributos requeridos permitidos para una entrada concreta.amientos.

Pasos "ara la instalación y configuración de un Controlador Primario de Dominio 0PDC1 en De#ian 3%4 mediante Sam#a+ PAM5NSS y "enLDAP .

:ntes de comen. "o .ada mediante %pen<D:!. $nstalar los paquetes necesarios. la autenticaci'n de usuarios desde terminales <inux4Unix mediante !:&4"SS . aptitude install slapd ldap-utils libpam-ldap libpam-cracklib libnssldap samba samba-doc smbclient smbfs smbldap-tools libpamdotfile Configuración de SLAPD <o primero será reconfi)urar el paquete slapd Y dp*)Freconfi)ure slapd 9esponder a las si)uientes pre)untas.0 V <ibnssFldap. paquete libnssFldap en su versi'n 0O3F0. estos suelen tener los arc. dominio V %r)ani. es recomendable responder con cualquier dato a que mas adelante se procede a reconfi)urar los paquetes la informaci'n será solicitada de nuevo. Soft6are a utili7ar V Debian K"U4<inux.ará la informaci'n del directorio <D:! para autenticar asi)nar privile)ios restricciones. paquete samba.U. el cual utili.33F3Elenn 3 V <ibpamFldap.an bac*ends como sus fuentes de datos. paquete slapd en su versi'n 0. <D:!.6FUlenn W V %pen<D:!.2.ivos de confi)uraci'n separados.1.Introducción Se explica en este articulo la implementaci'n de una base de datos de usuarios centrali.0. contrase7a V Zerificar >ontrase7a. paquete libpamFldap en su versi'n 3XUFU.acion V >ontrase7a de :dministrador. ND# V GDesea que se borre la base de datos cuando se puer)ue el paquete slapdI. smbfs sambaFdoc en su versi'n 0. la contrase7a V Database bac*end to use.3 V SmbldapFtools. sino también por administraci'n de sistemas externos de usuario (por e8emplo. paquete ldapFutils en su versi'n 0.U. responder con datos reales si se cree conocer cuales son pero en este punto no es importante. :mbos utili. Se puede. la implementaci'n de un >ontrolador !rimario de Dominio (!D>+ mediante Samba.33F3Elenn 3 V <dapFutils.. V G%mitir la confi)uraci'n del servidor %pen<D:!I.+.. paquete smbldapFtools en su versi'n 1.ation "ame. en su versi'n 6. smbclient. nombre de la or)ani..2. "o V D"S Domain "ame.5.UF3 Se instalará todo el software de una ve. & SH< .ar se debe saber que !:& "SS son los dos servicios que ofrecen mecanismos para identificar los usuarios no solo por el usuario local el )rupo de base de datos. otra ve. V Samba. los paquetes de confi)uraci'n de los diferentes servicios solicitarán cierta informaci'n.

a la misma para evitar confusiones $~# slappass%d -h !md&# 'e% pass%ord$ contrase(a )e-enter ne% pass%ord$ otra *ez la contrase(a !+D&#. .ivo principal de confi)uraci'n del servidor slapd.schema !l arc$ivo 5etc5lda"5sla"d%conf Es el arc. Se .a la .aremos.ar el valor del parámetro rootpw con su .V GDesea mover la base de datos anti)uaI.m. # slapcat > ~/slapd.conf!". sus atributos sus re)las de sintaxis.a es la misma que la que se in)res' cuando se confi)ur' slapd.//-.ivo 4etc4ldap4slapd.ivo 4etc4ldap4slapd. esa estructura debe contar con ciertos atributos esos atributos se definen en un sc. Este parametro se establece para .conf.ora reempla. afortunadamente el paquete sambaFdoc nos proveerá de uno.ar el contenido del arc.erramienta slapcat permite volcar el contenido de una base de datos ldap a un arc. Si V :llow <D:!v0 protocolI.acer una copia de la base de datos./01b2P34+r5A66 <a salida de slappasswd se utili.schema.ema (esquema+ define el tipo de ob8etos que podemos mane8ar en nuestro arbol de directorio.ivo de texto ldif (<D:! Director $nterc.ace un bac*up de la base de datos. z > /etc/ldap/schema/samba.an)e =ormat+.acer posible la replicacion mediante s ncrepl :. Simplemente .ldif Agregar el Sc$ema Sam#a al Directorio Un sc.erramienta slappasswd.+. <a . # zcat /usr/share/doc/samba-doc/examples/LDAP/samba.-.ace una copia de respaldo del mismo antes de modificar el ori)inal. contrase7a "o es requerimiento que sea la misma clave.a como valor del parámetro rootpw en el arc. pero se utili. Se .ema. pero antes de incorporar esos atributos se debe . la clave que se utili.as.ori inal# !ara )enerar el password se utili. "o !ara que ldap sea el soporte para samba se debe incorporar la estructura de )rupos usuarios que samba necesita. Slapd inclu e por defecto los esquemas necesarios para almacenar informacion de cuentas Unix4!osix pero no incorpora soporte para el esquema de samba.conf con lo si)uiente (no olvidar reempla. # cp /etc/ldap/slapd.

ar s # )ead slapd.he tool-threads parameter sets the actual amount of cpu@s that is used # for indexin .pid # List of ar uments that %ere passed to the ser*er ar sfile /*ar/run/slapd/slapd. tool-threads / ###################################################### ################# # 7pecific 3ackend Directi*es for hdb$ # 3ackend specific directi*es appl4 to this backend until another # @backend@ directi*e occurs backend hdb ###################################################### .he maximum number of entries that is returned for a search operation sizelimit &.schema include /etc/ldap/schema/cosine.his is the main slapd confi uration file.schema # ?here the pid file is put.d script # %ill not stop the ser*er if 4ou chan e this.conf8&9 for possible *alues lo le*el none # ?here the d4namicall4 loaded modules are stored modulepath /usr/lib/ldap moduleload back<hdb # .# .he init.eatures to permit #allo% bind<*0 # 7chema and ob=ect>lass definitions include /etc/ldap/schema/core.schema include /etc/ldap/schema/nis.conf8&9 for more # info on the confi uration options. ###################################################### ################# # :lobal Directi*es$ # . pidfile /*ar/run/slapd/slapd. 7ee slapd.schema include /etc/ldap/schema/inetor person.schema include /etc/ldap/schema/samba. # .. .

//-.1E/&0 . rootdn Bcn6admin"dc6esdebian"dc6or B rootp% !+D&#.################# # 7pecific 3ackend Directi*es for @other@$ # 3ackend specific directi*es appl4 to this backend until another # @backend@ directi*e occurs #backend Aother> ###################################################### ################# # 7pecific Directi*es for database #/" of t4pe hdb$ # Database specific directi*es appl4 to this databasse until another # @database@ directi*e occurs database hdb # . dbconfi set<lk<max<ob=ects /&.C: directl4 # or remo*e D3<>2'.he base of 4our director4 in database #/ suffix Bdc6esdebian"dc6or B # rootdn directi*e for specif4in a superuser on the database. # 'umber of locks 8both reHuested and ranted9 dbconfi set<lk<max<locks /&.C: file the first # time slapd starts.G.he dbconfi settin s are used to enerate a D3<>2'./01b2P34+r5A66 # ?here the database file are ph4sicall4 stored for database #/ director4 B/*ar/lib/ldapB # . # 7*en Fart e reported that he had to set this *alue incredibl4 hi h # to et slapd runnin at all. ..debian. 0. 7ee http$//bu s.or the Debian packa e %e use 0+3 as default but be sure to update this # *alue if 4ou ha*e plent4 of )A+ dbconfi set<cachesize .C: # file.&E for more # information. Dou should therefore chan e these settin s in D3<>2'.he4 do '2..C: and restart slapd for chan es to take effect. # 'umber of lockers . # 'umber of ob=ects that can be locked at the same time. # . o*erride existin an existin D3<>2'. .-.or /G.m.his is needed # for s4ncrepl.

checkpoint &/0 G.. # Cndices to maintain for this database index ob=ect>lass eH"pres index ou"cn"sn"mail" i*enname eH"pres"sub index uid'umber" id'umber"memberIid eH"pres index lo in7hell eH"pres ## reHuired to support pdb< etsamp%nam index uid pres"sub"eH ## reHuired to support pdb< etsambap%rid89 index displa4'ame pres"sub"eH index nis+ap'ame"nis+apJntr4 eH"pres"sub index samba7CD eH index sambaPrimar4:roup7CD eH index sambaDomain'ame eH index default sub index uniHue+ember eH index samba:roup. # ?here to store the replica lo s for database #/ # replo file /*ar/lib/ldap/replo # users can authenticate and chan e their pass%ord access to attrs6userPass%ord"samba'.dbconfi set<lk<max<lockers /&.4pe eH index samba7CDList eH # 7a*e the time that the entr4 ets modified" for database #/ lastmod on # >heckpoint the 3erkele4D3 database periodicall4 in case of s4stem # failure and to speed slapd shutdo%n.Pass%ord"sambaL+Pass%ord"samba P%d+ust>han e"sambaP%dLast7et b4 self %rite b4 anon4mous auth b4 K none # those 0 parameters must be %orld readable for pass%ord a in to %ork correctl4 # 8or use a pri*iled e account in /etc/ldap.conf to bind to the director49 access to attrs6shado%Last>han e"shado%+ax b4 self %rite b4 K read # all others attributes are readable to e*er4bod4 access to K .

he base of 4our director4 for database #0 #suffix Bdc6debian"dc6or B >omo el arc.a sido a)re)ada en el arc.schema /etc/ldap/schema/nis.erramienta. si no se conoce como funciona esta .b4 K read # .ara las diferencias entre el arc.a con un E si)nifica que .a modificado el sufi8o de la base de datos a esdebian.K"ou6)oamin "o6morsnetB # b4 dn6Bcn6admin"dc6example"dc6comB %rite # b4 dnattr6o%ner %rite ###################################################### ################# # 7pecific Directi*es for database #0" of t4pe @other@ 8can be hdb too9$ # Database specific directi*es appl4 to this databasse until another # @database@ directi*e occurs #database Aother> # . una linea sin nada si)nifica que la linea permanece en ambos arc.schema /etc/ldap/schema/samba.ivo nuevo una que comien.schema Se .a sido quitada.a a)re)ado el esquema samba. bastará con saber que una linea que comien.ivo ori)inal el nuevo. se utili.ema para que sea incluido -suffix Lsuffix Bdc6example"dc6comB Bdc6esdebian"dc6or B Se .ivos.ara para eso diff.ivo es mu extenso solo se anali.schema /etc/ldap/schema/inetor person.or 'etscape )oamin support" each user ets a roamin # profile for %hich the4 ha*e %rite access to #access to dn6B. include include include Linclude /etc/ldap/schema/cosine.an a)re)ado las lineas que establecen el nombre (admin+ .sc.a con un F si)nifica que la linea .or) Lrootdn Lrootp% Bcn6admin"dc6esdebian"dc6or B !+D&#7>33hd2lfFozkMbuN:-t&%66 el password del administrador de la Se . !or partes.

-access to attrs6userPass%ord"shado%Last>han e b4 dn6Bcn6admin"dc6example"dc6comB %rite b4 anon4mous auth Laccess to attrs6userPass%ord"samba'.base de datos. !ara verificar la correctitud del arc. -index ob=ect>lass eH Lindex ob=ect>lass eH"pres Lindex ou"cn"sn"mail" i*enname eH"pres"sub Lindex uid'umber" id'umber"memberIid eH"pres Lindex lo in7hell eH"pres Lindex uid pres"sub"eH Lindex displa4'ame pres"sub"eH Lindex nis+ap'ame"nis+apJntr4 eH"pres"sub Lindex samba7CD eH Lindex sambaPrimar4:roup7CD eH Lindex sambaDomain'ame eH Lindex default sub Lindex uniHue+ember eH Lindex samba:roup.4pe eH Lindex samba7CDList eH Se . # slaptest -* -u . el incorporar -ndices acelerará las bDsquedas lo cual es mu importante en un servidor atareado. :l ser una base de datos.a a)re)ado una )ran cantidad de definiciones de -ndices. entre otras cosas.erramienta slaptest.ivo de confi)uraci'n se e8ecuta la .base6BB b4 K read Laccess to attrs6shado%Last>han e"shado%+ax L b4 self %rite L b4 K read access to K b4 dn6Bcn6admin"dc6example"dc6comB %rite b4 K read Se otor)an permisos a los usuarios para acceder modificar sus passwords.Pass%ord"sambaL+Pass%ord"samb aP%d+ust>han e"sambaP%dLast7et b4 self %rite L b4 anon4mous auth b4 K none -access to dn.

además de comprobar que el directorio se .aremos una busqueda en el directorio <D:! autenticado como el usuario admin del <D:! .confi file testin succeeded [ a podemos reiniciar el servido slapd # /etc/init. # # LDAP*G # base A> %ith scope base2b=ect # filter$ 8ob=ectclass6K9 # reHuestin $ namin >ontexts # # dn$ namin >ontexts$ dc6esdebian"dc6or # search result search$ 0 result$ .. consultaremos el namin)>ontexts $~ # ldapsearch -x -b @@ -s base @8ob=ectclass6K9@ namin >ontexts # extended LDC.dcBor).ado con la estrucutra básica.ora .d/slapd restart Prue#as Preliminares de servidor lda" Na)amos una consulta al servidor <D:! para ver si responde correctamente. esto es para comprobar que la autenticaci'n nuestras :><s funcionen correctamente. # # LDAP*G # base Adc6esdebian"dc6or > %ith scope subtree # filter$ 8ob=ectclass6K9 # reHuestin $ ALL # -b .a a inciali. 7uccess # num)esponses$ 0 # numJntries$ / :. >on el comando ldapsearc. $~# ldapsearch -x -D Bcn6admin"dc6esdebian"dc6or B Bdc6esdebian"dc6or B -? Jnter LDAP Pass%ord$ # extended LDC.aremos la buqueda usando como base dcBesdebian.

ar la confi)uraci'n que se plantea en este art-culo.e0 Una ve.f?)u-0P*M?t-+Jdzb:c6 # search result search$ 0 result$ . Si desea utili. . entre ellos apac. http$//ip<del<ser*idor/phpldapadmin $n)resar el nombre de usuario. Configuración de Sam#a !l arc$ivo 5etc5sam#a5sm#%conf :brir el arc.dcBor).ar esta .erramienta basta con instalarla.or dn$ dc6esdebian"dc6or ob=ect>lass$ top ob=ect>lass$ dc2b=ect ob=ect>lass$ or anization o$ esdebian.dcBesdebian.or dn$ cn6admin"dc6esdebian"dc6or ob=ect>lass$ simple7ecurit42b=ect ob=ect>lass$ or anizational)ole cn$ admin description$ LDAP administrator userPass%ord$$ e0'4eO3.# esdebian. 7uccess # num)esponses$ G # numJntries$ 0 La $erramienta "$"lda"admin Esta es una .ar para )estionar el directorio <D:!.or dc$ esdebian # admin" esdebian.p6. p. 9esulta mu Dtil pero no es necesaria para reali. en este caso cnBadmin. # Archi*o principal de confi uraciQn de 7amba la clave del mismo.erramienta alternativa que puede utili.ivo modificar4:)re)ar los si)uientes parametros. # aptitude install phpldapadmin <o cual instalará una )ran cantidad de software como dependencias. instalado el software a puede acceder desde cualquier nave)ador mediante.

....roupmod -m Vu V delete user from roup script 6 /usr/sbin/smbldap.6U/10 interfaces 6 eth.roupdel V add user to roup script 6 /usr/sbin/smbldap. lo . Inix charset 6 C72UU&1-/ # 'ombre de dominio 4 nombre net3C27 %ork roup 6 J7DJ3CA' realm 6 esdebian.V Vu add machine script 6 /usr/sbin/smbldap-useradd -% Vu # Cnformacion relacionada con la red 8adaptar a sus necesidades9 socket options 6 .R lobalS # Tue o de caractreres para archi*os dos 4 unix dos charset 6 U&.or # >adena con la cual se identifica al ser*idor ser*er strin 6 Vh ser*er # >omportamiento frente a usuarios inexistentes map to uest 6 3ad Iser # Archi*o de mapeo de nombres de usuarios" este archi*o no existe" por lo Hue debe crearse # Jl contenido es de la forma usuario 6 alias # Js util para mapear por e=emplo la cuenta de root con Administrator" la cuenta de # administrador en sistemas %indo%s username map 6 /etc/samba/smbusers # Cnformacion para la utilizacion del directorio LDAP como base de datos de usuarios passdb backend 6 ldapsam$ldap$///0E.6U/10 72<7'D3I.// ldap admin dn 6 cn6admin"dc6esdebian"dc6or ldap delete dn 6 Des ldap roup suffix 6 ou6 roup ldap idmap suffix 6 ou6idmap ldap machine suffix 6 ou6computer ldap suffix 6 dc6esdebian"dc6or ldap ssl 6 no ldap user suffix 6 ou6people add user script 6 /usr/sbin/smbldap-useradd -m Vu delete user script 6 /usr/sbin/smbldap-userdel Vu add roup script 6 /usr/sbin/smbldap.>P<'2DJLAD 72<)>M3I.roupadd -p V delete roup script 6 /usr/sbin/smbldap.roupmod -x Vu V set primar4 roup script 6 /usr/sbin/smbldap-usermod .

In perfil mQ*il implica # Hue ran *olumen de informaciQn se transmite a tra*Ys de la red cada *ez Hue # un usuario inicia sesiQn./05 hosts den4 6 ../WU../. smb ports 6 /G1 55& bind interfaces onl4 6 Des name resol*e order 6 %ins hosts lmhosts bcast remote announce 6 /10..hosts allo% 6 /0E.Vm max lo size 6 /....bat VI@ # Jsto hace Hue los usuarios posean perfiles mo*ibles./" /10./WU.. # # 7incroonizar la hora con el ser*idor PD> time ser*er 6 Des # # +apear atributos de archi*o de Inix a ?indo%s . Para desacti*ar los perfiles mQ*iles se debe de=ar # el parZmetro con un *alor *ac[o" como si ue$ lo on path 6 BB # Jn este e=emplo se permiten perfiles mQ*iles lo on path 6 XXV'XprofilesXVI lo on dri*e 6 I$ domain lo ons 6 Des os le*el 6 W& preferred master 6 Des domain master 6 Des dns prox4 6 'o %ins support 6 Des panic action 6 /usr/share/samba/panic-action Vd map acl inherit 6 Des case sensiti*e 6 'o hide unreadable 6 Des # 7incronizar pass%ord I'CO con pass%ords del dominio unix pass%ord s4nc 6 Des # Lo i in s4slo 6 ./.0&& # >ambio de contrase(as 4 otras opciones de PD> pam pass%ord chan e 6 Des pass%d pro ram 6 /usr/sbin/smbldap-pass%d -u Vu pass%d chat 6 K'e%Kpass%ordK VnXn K)et4peKne%Kpass%ordK VnXn KallKauthenticationKtokensKupdatedK # 7cript de inicio de sesion lo on script 6 @lo on.... lo file 6 /*ar/lo /samba/lo ....

E// Rnetlo onS path 6 /*ar/lib/samba/netlo on bro%seable 6 'o create mask 6 .E// uest ok 6 Des profile acls 6 Des bro%seable 6 'o csc polic4 6 disable RpublicS path 6 /tmp read onl4 6 'o .W// director4 mask 6 .W// director4 mask 6 .W// director4 mask 6 .W// director4 mask 6 .E// RprofilesS path 6 /*ar/lib/samba/profiles force user 6 VI read onl4 6 'o create mask 6 .W// director4 mask 6 .E// printable 6 Des bro%seable 6 'o Rprint\S comment 6 Printer Dri*ers path 6 /*ar/lib/samba/printers create mask 6 .E// bro%seable 6 'o RprintersS comment 6 All Printers path 6 /*ar/spool/samba create mask 6 .# Jstas opciones reHuieren Hue los parametros create mask 4 director4 mask # ten a acti*o el bit de e=ecucion para B rupoB 4 BotrosB map hidden 6 Des map s4stem 6 Des # )ecursos compartidos RhomesS comment 6 Fome Directories *alid users 6 V7 read onl4 6 'o create mask 6 .

bat en el directorio compartido netlo)on. !l arc$ivo 5etc5sam#a5sm#users !restar atencion al parametro username map B 4etc4samba4smbusers.ivo a modo de comentario.ivo de mapeo de nombres de usuarios.ivo lo)on. que indica el arc. la cuenta de administrador en sistemas windows El contenido de 4etc4samba4smbusers podria ser # Archi*o de mapeo de usuarios # .ivo bat con comandos que se e8ecutarán del lado del cliente cuando un usuario inicie sesi'n.an incluido una serie de explicaciones dentro del arc.W// director4 mask 6 . Seria mas que conveniente que no se limite a copiar el arc. Este arc. El script a utili.ormato$ Inix<CD 6 ?indo%s<CD # # J=emplo$ # root 6 Administrator # pepe 6 BPepe ParadaB # root 6 Administrator root 6 Administrador Crear los directorios netlogon y "rofiles >rear los directorios especiales netlo)on profile asi)nar los permisos adecuados # mkdir -p /*ar/lib/samba/netlo on /*ar/lib/samba/profiles # cho%n -)f root$root /*ar/lib/samba/netlo on /*ar/lib/samba/profiles # chmod /EEE /*ar/lib/samba/profiles Crear scri"ts de inicio de sesión Un script de inicio de sesi'n Windows es un arc.bat ]U\ <o que indica al cliente que debe buscarse el arc.ivo.arse está definido por el parámetro lo)on script en la secci'n @)lobalA de 4etc4samba4smb.E// Se .uest ok 6 Des create mask 6 .conf Se define el paramatro de la si)uiente manera lo)on script B \lo)on. el contenido es de la forma usuario B alias es util para mapear por e8emplo la cuenta de root con :dministrator. sino que lea los comentarios. .ivo no existe por lo que debe crearse.

com4windows01114 Descar)ar el arc.exe. . >uando un usuario inicia sesi'n en un equipo que pertenece a un dominio.ace efectivas en el cliente. si está disponible.exe" .:demás se inclu e ]U en la definici'n.ivo de nombre "/>onfi).ivo "/>onfi). Un script de inicio de sesi'n es utili. simplemente se dará una breve explicaci'n de como implementarlas en un dominio Samba.44www. "!ol-ticas de Sistema" cuenta con una 8erarqu-a. "o es la finalidad de este art-culo dar una explicaci'n detallada de !ol-ticas de Sistema.!%< Entonces implementar las pol-ticas es mu simple. !ara esto se debe obtener el software poledit. lo que se . • • • • • Diri)irse al sitio de descar)as de &icrosoft Windows 0111.ar la . la definici'n de una pol-tica local )obierna a una pol-tica )lobal. • • • Sincroni.ora con el servidor >onectar unidades de red Zaciar directorios temporales Un e8emplo de script de inicio de sesi'n podr-a ser.ivo "Windows 0111 Service !ac* U "etwor* $nstall for $/ !rofessionals" (W0*S!U_E".ivo "adminpac*.ttp.ar la acci'n dependiendo del usuario que inicia sesi'n.E?E 4x" E8ecutar el arc. el arc. V/ 66 uest net use p$ XXdebian-pdcXpublico Im"lementar Politicas de Sistema : )randes ras)os. V/ 66 Administrador net use p$ XXdebian-pdcXroot C.microsoft.ivo a través de la ruta ^^debianFpdc^netlo)on^"/>onfi). éste además descar)a del servidor.ará efectiva si no está definida esa pol-tica localmente. >ada equipo Windows define su "!ol-ticas de Sistema" local.erramientas >orrer "poledit. !ol-ticas de Sistema es un mecanismo que se emplea en sistemas &icrosoft Windows para esablecer ciertas condiciones que se imponen a los usuarios procesos del equipo.ivo de pol-ticas Klobales las . de modo que los clientes acceden a este arc.an en un Dnico arc. mientras que una pol-tica )lobál solo se . Eso permitirá personali. ]U se reempla.ará por el nombre de usuario éste se pasará por parametro al script.E?E+ Descomprimir el paquete con "W0*S!U_E".ado frecuentemente para tareas como. En un entorno de Dominio las !ol-ticas se materiali. ]echo off net time XXdebian-pdc /set /4es C.ace es.!%< a8ustarlo a nuestras necesidades.msi" para instalar las . desde un equipo Windows "/ compatible. la comple8idad radica en crear el arc.!%< que se almacenará en el directorio compartido netlo)on.

cuenta con una interfa...!%< copiarlo al servidor en el directorio compartido netlo)on.erramienta p.U-. Esta confi)uraci'n no es compatible para clientes Windows 5X. esta .pccFservices. en nuestro caso 4var4lib4samba4netlo)on En .ar.ora le se indica a samba la clave del usuario admin especificado en smb.erramienta resulta mu Dtil para confi)urar un servidor samba.o arc.d/samba restart [ a. cu o arc.ivo como "/>onfi). :l i)ual que cuando se describi' la . Com"ro#ando la configuración e iniciando el servicio !ara comprobar la confi)uraci'n de samba basta con e8ecutar. # testparm Si todo es correcto a se puede reiniciar el servicio.ivo de !oliticas de manera Standard. que cuenta con toda la informaci'n de las pa)inas man para cada parámetro de confi)uraci'n./ root root U/10 0. en nuestro caso la clave que utili. "o se tratará en este art-culo el caso de clientes Windows 5X.conf para que pueda asacceder modificar nuestro directorio ldap.tml se explica como confi)urar pol-ticas de modo mas detallado además se ofrecen plantillas personali.erramienta tampoco es necesaria para la confi)uraci'n que se propone en este articulo.ttp.!%< su estructura es diferente e incompatible.ivo de pol-ticas se denomina >onfi). a la cual se accede a través de un nave)ador web permite modificar todos los parametros de smb.pldapadmin. se asume que para implementar "!olitias de Sistema" usted sabe que son como se confi)uran. . a8ustadas las politicas a nuestras necesidades simplemente se debe )uardar el arc.amos es contrase7a # smbpass%d -? 7ettin stored pass%ord for Bcn6admin"dc6esdebian"dc6or B in secrets.adas que usted puede utili.tdb 'e% 7+3 pass%ord$ contrase(a )et4pe ne% 7+3 pass%ord$ contrase(a <a clave se almacenará en 4var4lib4samba4secrets. Una ve. # /etc/init.com4custom_poledit.ivo sean los adecuados # ls -l /*ar/lib/samba/secrets.[a obtenido el software se puede crear un ar. ase)urémonos que los permisos de dic. "%/:.W-/U 0G$01 /*ar/lib/samba/secrets.tdb La $erramienta S8A2 0Sam#a 8e# Administration 2ool1 Esta .tdb.conf a la ve.tdb -r%------.44www.

ivos de e8emplo de smbldapFtools # zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf Y c. claro.513 Configuración de sm#lda"-tools El arc.ivo smbldap_bind.conf <os permisos de 4etc4smbldapFtools4smbldap.conf /etc/smbldap-tools/smbldap<bind. simplemente .mod OU1 4etc4smbldapFtools4smbldap.ttp. en dic.ivo de confi)uraci'n de smbldapFtools es 4etc4smbldapFtools4smbldap. propiedad de root )rupo openldap. tipo de comunicaci'n (cifrada o en claro+.ora a podemos acceder desde cualquier nave)ador in)resando en la barra de direcciones .conf 4etc4smbldapF tools4smbldap_bind.ivo se definen los parámetros básicos como servidor ldap. el controlador de dominio también tiene uno. por lo que debemos decirle a inetd que active el servicio # update-inetd --enable @s%at@ :.conf # cp /usr/share/doc/smbldap-tools/examples/smbldap<bind.conf deberian ser Y c.conf.conf #teniendo el SID El S$D (securit identifiers+ es un identificador Dnico asi)nado desde su creaci'n a cada ob8eto dentro de un dominio.own root. z > /etc/smbldap-tools/smbldap. 4etc4smbldapFtools4smbldap_bind.ivo se almacenará en claro la informaci'n necesaria para la conexi'n con el servidor ldap #teniendo los arc$ivos de configuración Si in)resamos al directorio 4etc4smbldapFtools4 nos encontraremos con que está vac-o. en dic. .conf. S$D. dominio.conf 4etc4smbldapFtools4smbldap_bind.acer.!ara instalar swat. etc.44ip_del_servidor. servidor samba. # aptitude install s%at El servicio Swat corre ba8o el superserver inetd.o arc.o arc.ivos de confi)uraci'n desde los arc. /odo ob8eto en el dominio tiene un S$D . :demás necesita contar con el arc.conf OU1.conf. :fortunadamente podemos obtener los arc.openldap 4etc4smbldapFtools4smbldap.

Sin embar)o el S$D nos será mostrado correctamente !l arc$ivo 5etc5sm#lda"-tools5sm#lda"%conf :ntes de modificar el arc.U-/. a que se necesitara cuando se confi)ura 4etc4smbldapFtools4smbldap. !robablemente se muestren al)unos mensa8es de error cuando se e8ecuta net )etlocalsid.ora modificar los siquientes parametros. # net etlocalsid 7CD for domain DJ3CA'-PD> is$ 7-/-&-0/-G11//G/U..ace una copia de respaldo mismo cp /etc/smbldap-tools/smbldap. no olvidar reempla.ori inal# :.conf!"..U-/U&G/U/U.!ara obtener nuestro S$D ..L7 *erif46BreHuireB cafile6B/etc/smbldap-tools/ca..ke4B # 7ufi=o LDAP suffix6Bdc6esdebian"dc6or B # Donde se almacenan los usuarios" idmapdn usersdn6Bou6people"\!suffix#B computersdn6Bou6computer"\!suffix#B roupsdn6Bou6 roup"\!suffix#B rupos" computadoras 4 .pemB clientcert6B/etc/smbldap-tools/smbldap-tools..ar el S$D por el obtenido con net )etlocalsid # Jl sid obtenido mediante net etlocalsid 7CD6B7-/-&-0/-WW1/G0U15-0&UW00/E&1-G1/50/51W1B # 'uestro dominio net3C27 sambaDomain6BJ7DJ3CA'B # Cnformacion del ser*idor LDAP primario 4 escla*o sla*eLDAP6B/0E.&U/&GE11 Kuardar el S$D...L76B..ivo ori)inal se .acer.conf "%/:.pemB clientke46B/etc/smbldap-tools/smbldap-tools./B sla*ePort6BGU1B masterLDAP6B/0E./B masterPort6BGU1B # 'o utilizar conexiQn cifrada ldap.B # 7in importancia 4a Hue no se utiliza . eso se debe a que el paquete smbldapFtools aDn no esta confi)urado.

JO.B user:ecos6B74stem IserB defaultIser:id6B&/GB default>omputer:id6B&/&B skeletonDir6B/etc/skelB default+axPass%ordA e6BGW&B # >onfi uraciQn especifica para cuentas 7A+3A user7mbFome6BXXdebian-pdcXVIB userProfile6BXXdebian-pdcXprofilesXVIB userFomeDri*e6BI$B user7cript6Blo on. utili." +D&" 7+D&" 77FA" 7FA" >LJA). en el se almacenará en claro la clave de administrador del servidor ldap. el cual se utili.9 hash<encr4pt6B>)DP.or B # Jspecifico de smbldap-tools %ith<smbpass%d6B. En este caso.bat VIB mailDomain6Besdebian.ará para escrituras. . un servidor primario.idmapdn6Bou6idmap"\!suffix#B sambaInixCdPooldn6BsambaDomain'ame6\!sambaDomain#"\ !suffix#B # Default scope scope6BsubB # . por el momento.B cr4pt<salt<format6BVsB # Jspecifico para cuentas I'CO" shell" ruta al home 4 demZs userLo in7hell6B/bin/bashB userFome6B/home/VIB userFomeDirector4+ode6BE.ipo de cifrado I'CO 8>)DP.B slappass%d6B/usr/sbin/slappass%dB !l arc$ivo 5etc5sm#lda"-tools5sm#lda"9#ind%conf 4etc4smbldapFtools4smbldap_bind..ar el mismo servidor.B smbpass%d6B/usr/bin/smbpass%dB %ith<slappass%d6B. estos deben estar sincroni. Está de mas decir que si se utili. El contenido deberia ser.ivo de credenciales.an dos servidores <D:!. el cual solo se utili. sla*eD'6Bcn6admin"dc6esdebian"dc6or B sla*eP%6BldapadminB masterD'6Bcn6admin"dc6esdebian"dc6or B masterP%6BldapadminB Se puede definir un servidor <D:! esclavo.ados.ará para consultas.conf es el arc.

Domain :dmins.erramienta smbldapFpopulate poblará el directorio <D:! con.Po#lando el directorio LDAP con el Sc$ema Sam#a .. se crearán por defecto los Krupos !redeterminados de un dominio Samba.ativa >omputers (ouB>omputers+ para las cuentas de >omputadoras Windows Unidad %r)ani. Ipdatin it.erramientas smbldapFtools. colocar la clave dominioadmin >orrer el comando smbldapFpopulate # smbldap-populate Populatin LDAP director4 for domain J7DJ3CA' 87-/-&-0/WW1/G0U15-0&UW00/E&1-G1/50/51W19 8usin builtin director4 structure9 entr4 dc6esdebian"dc6or alread4 exist. addin ne% entr4$ ou6people"dc6esdebian"dc6or addin ne% entr4$ ou6 roup"dc6esdebian"dc6or addin ne% entr4$ ou6computer"dc6esdebian"dc6or addin ne% entr4$ ou6idmap"dc6esdebian"dc6or addin ne% entr4$ uid6root"ou6people"dc6esdebian"dc6or addin ne% entr4$ uid6nobod4"ou6people"dc6esdebian"dc6or addin ne% entr4$ cn6Domain Admins"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Domain Isers"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Domain :uests"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Domain >omputers"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Administrators"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Account 2perators"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6Print 2perators"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn63ackup 2perators"ou6 roup"dc6esdebian"dc6or addin ne% entr4$ cn6)eplicators"ou6 roup"dc6esdebian"dc6or entr4 sambaDomain'ame6J7DJ3CA'"dc6esdebian"dc6or alread4 exist.ativa $dmap (ouB$dmap+ para los mapeos de >uentas Unix a >uentas Samba4Windows (9elaciones U$D `Fa S$D+ • • • /ambien se solicitará que se asi)ne una contrase7a al usuario root del dominio.ar el dominio <a .dcBor) Unidad %r)ani. podemos iniciali. . Domain Kuests.. Unidad %r)ani. dcBesdebian.ativa people(ouBpeople+ para las cuentas Unix4Samba. confi)uradas las .ativa Kroups (ouBKroups+ para los Krupos Unix4Samba. • • #ase D". se crearán por defecto los usuarios root nobod los cuales serán mapeados al usuarios :dministrador Kuest Samba respectivamente. Domain >omputers Unidad %r)ani.La $erramienta sm#lda"-"o"ulate Una ve. Domain Users.

1$.....E$5E A).. . .. el administrador del dominio que está mapeado a la cuenta root. Primar4 :roup 7CD$ 7-/-&-0/-WW1/G0U15-0&UW00/E&1G1/50/51W1-&/G .1$.. Lo on hours $ ..........la s$ RI S Iser 7CD$ 7-/-&-0/-WW1/G0U15-0&UW00/E&1-G1/50/51W1-&...$root nobod4$W&&G5$nobod4 Zer la informaci'n del usuario root # pdbedit -L* root Inix username$ root '. 2esteando la configuración de Sam#a y lda" &ediante la ..ar para. Pass%ord can chan e$ lun" /U ene 0.. es la clave del usuario :dministrador. a)re)ar un equipo al dominio..Please pro*ide a pass%ord for the domain root$ >han in I'CO and samba pass%ords for root 'e% pass%ord$ dominioadmin )et4pe ne% pass%ord$ dominioadmin <a clave solicitada.ull 'ame$ root Fome Director4$ XXdebian-pdcXroot FomeDir Dri*e$ I$ Lo on 7cript$ @lo on...... 3ad pass%ord count $ .E$5E A). listar los usuarios del directorio # pdbedit -L root$.. Es la clave que se debe utili.. Pass%ord must chan e$ ne*er Last bad pass%ord $ . dominioadmin... .. username$ root Account .erramienta pdbedit testear que el servidor ldap se comporta como se espera......./....bat root@ Profile Path$ XXdebian-pdcXprofilesXroot Domain$ J7DJ3CA' Account desc$ ?orkstations$ +un ed dial$ Lo on time$ ./.. Lo off time$ ne*er Nickoff time$ ne*er Pass%ord last set$ lun" /U ene 0. por e8emplo..

!:& (!lu))able :ut.ivos 4etc4passwd 4etc4s. Sin embar)o se pueden implementar otros mecanismos para ello. la forma mas básica conocida es acceder a la informaci'n de los usuarios locales mediante los arc.&S smb$ X> como !odemos testear el funcionamiento de los alias de root que se defini' antes en el arc.ora conectarnos mediante smbclient.ivo de texto plano (4etc4passwd+ o un comple8o directorio ldap. se)Dn como se . asi)narle un . privile)ios limitaciones entre otras cosas. Entonces.0. 4etc4. la confi)uraci'n de ambos es la misma.0. El m'dulo !:&. la combinaci'n !:&4"SS nos provee una capa de abstracci'n que nos permite obtener la informaci'n de usuarios su identidad sin importar que dic. al acceder tanto !:& como "SS a la misma base de datos.a informaci'n sea almacenada en un simple arc. accederá a la informaci'n determinará su identidad.osts.ivo 4etc4samba4smbusers. .+ provee una interface para confi)urar acceder a diferentes bases de datos de cuentas de usuarios.ell.adow. etc. :dministrador :dministrator ~# smbclient //localhost/netlo on -I administrador Jnter administrador@s pass%ord$ dominioadmin Domain6RJ7DJ3CA'S 276RInixS 7er*er6R7amba G. # smbclient //localhost/netlo on -I root Jnter root@s pass%ord$ dominioadmin Domain6RJ7DJ3CA'S 276RInixS 7er*er6R7amba G.entication &odules+ es un mecanismo de autenticaci'n flexible que permite abstraer las aplicaciones otro software del proceso de identificaci'n.ome un s.0. /omar en cuenta que. # smbldap-usermod -d /root -s /bin/bash root !robar a. autenticidad.&S smb$ X> Huit ~# Configuración de PAM5NSS El servicio "SS ("ame Service Switc. es la que se usará como usuario root local administrador de dominio.<a cuenta root que se creo en el directorio <D:!.a a confi)urado.&S smb$ X> Huit ~# smbclient //localhost/netlo on -I administrator Jnter administrator@s pass%ord$ dominioadmin Domain6RJ7DJ3CA'S 276RInixS 7er*er6R7amba G. 4etc4)roup.

Configuración de li#nss-lda" El paquete libnssFldap es el nexo que permitirá el servicio "SS acceder directorio <D:!...ora # /etc/init.ivo de credenciales. ase)urar de que los permisos son restrictivos . base dc6esdebian"dc6or uri ldap$///0E.ivo de confi)uraci'n de libnssFldap. !ropietario root.// ldap<*ersion G rootbinddn cn6admin"dc6esdebian"dc6or bind<polic4 soft pam<pass%ord cr4pt nss<base<pass%d dc6esdebian"dc6or ^sub nss<base<shado% dc6esdebian"dc6or ^sub nss<base< roup ou6 roup"dc6esdebian"dc6or ^one !l arc$ivo 5etc5li#nss-lda"%secret 4etc4libnssFldap. :ll.dcBor) Zersi'n de <D:! a utili.4430W. • • • • • • • • $dentificador de recursos para el servidor <D:!. 2 GNace falta un usuario para acceder a la base de datos <D:!I. # dpk -reconfi ure libnss-ldap [ responder a las si)uientes pre)untas.se almacena en claro la clave de root del servidor ldap. #uscar reempla. . :celera de forma si)nificativa las consultas pero puede . dcBesdebian.dcBor) >ontrase7a para la cuenta <D:! de root. contrase7a utili.acer que la confi)uraci'n s'lo la pueda leer o escribir el propietarioI S>uenta <D:! para root.ar. cnBadmin.ar el contenido de las si)uientes lineas. Deten)amos el servicio por a.. )rupo root permisos O11.secret es el arc.dcBesdebian. SGDesea .d/nscd stop !l arc$ivo 5etc5li#nss-lda"%conf 4etc4libnssFldap. :ll. 9econfi)uremos el paquete mediante..acernos pasar malos ratos durante la confi)uraci'n.e Daemon+ es una cac. no en nuestro caso pero debe i)ualmente ase)urarse que los permisos son restrictivos. ldap.é de nombres para el servicio "SS.conf es el arc.1.34 El nombre distintivo (D"+ de la base de bDsquedas.1.se podr-an almacenar en claro al)una clave.ar la informaci'n en el El demonio nscd ("ame Service >ac. "o GDar privile)ios especiales de <D:! para rootI.

Zerificar el contenido del arc.ar. SGNace falta un usuario para acceder a la base de datos <D:!I. # cat /etc/libnss-ldap.// ldap<*ersion G rootbinddn cn6admin"dc6esdebian"dc6or bind<polic4 soft pam<pass%ord cr4pt nss<base<pass%d dc6esdebian"dc6or ^sub nss<base<shado% dc6esdebian"dc6or ^sub nss<base< roup ou6 roup"dc6esdebian"dc6or ^one !l arc$ivo 5etc5"am9lda"%secret 4etc4pam_ldap.ivo..secret contrase(a Configurando el "a)uete li#"am-lda" 9econfi)uremos el paquete libpamFldap # dpk -reconfi ure libpam-ldap <a confi)uraci'n es similar a libnssFldap.conf es el arc. contrase7a >ifrado local a utili.34 El nombre distintivo (D"+ de la base de bDsquedas.dcBesdebian. ase)urar de que los permisos son restrictivos .ar cuando se cambian las contrase7as.ivo.ivo de credenciales.. 2 >rear un administrador de la base de datos local. ldap. )rupo root permisos O11 . cnBadmin. Zerificar el contenido del arc. • • • • • • • • $dentificador de recursos para el servidor <D:!. )rupo root permisos O11 . #uscar las si)uientes lineas. :ll. !ropietario root. "o >uenta <D:! para root.1. cr pt !l arc$ivo 5etc5"am9lda"%conf 4etc4pam_ldap.se almacena en claro la clave de root del servidor ldap.dcBor) Zersi'n de <D:! a utili.secret es el arc.ivo de confi)uraci'n de libpamFldap. dcBesdebian.secret ldapadmin ..!ropietario root.1. base dc6esdebian"dc6or uri ldap$///0E. reempla.dcBor) >ontrase7a para la cuenta <D:! de root.. respondamos a las si)uientes pre)untas.ar el contenido de # cat /etc/pam<ldap.4430W.

.ar el ori)en files (4etc4passwd.arán para obtener la informaci'n.$.$ Domain Admins$K$&/0$root Domain Isers$K$&/G$ Domain :uests$K$&/5$ Domain >omputers$K$&/&$ Una cosa interesante que pasa cuando el servidor tiene más servicios que prestar como bases de datos.conf es el arc. web. pass%d$ files ldap roup$ files ldap shado%$ files ldap Esto le indica al servicio "SS que debe utili.$...osts+. esto indica que deben resolverse nombre de .!l arc$ivo 5etc5nss6itc$%conf 4etc4nsswitc.//$ >an@t contact LDAP ser*er .. /eniendo a confi)urado libnssFldap solo modificar las si)uientes lineas a)re)ando el ori)en ldap. lue)o se utili.8root9"&/08Domain Admins9 >omprobar las dos entradas para el usuario root.$root$/root$/bin/bash root$x$. # id root uid6. 4etc4)roup respectivamente+ el ori)en ldap (mediante el modulo libnssFldap+ 4etc4s. >omprobar que el usuario root pertenece al )rupo Domain :dmins. la de 4etc4passwd la de ldap # etent pass%d _ rep root root$x$.$'etbios Domain Administrator$/home/root$/bin/bash >omprobar los )rupos del dominio # etent roup _ rep -J @root_Domain@ root$x$. nss<ldap$ failed to bind to LDAP ser*er ldap$///0E. etcJ es que cuando se reinicia la !> sale un error como el si)uiente.ost mediante files (4etc4.ivo de confi)uraci'n del servicio "SS.8root9 id6.ará wins (samba+ finalmente mediante el D"S resolver >on esta confi)uraci'n a debe estar en condiciones de obtener informaci'n de los usuarios desde todos los or-)enes confi)urados.8root9 rupos6..osts mediante ese servicio hosts$ files %ins dns :qui el orden es mas importante. no está de mas recordar que se debe detener o al menos reiniciar el servicio nscd.adow [a teniendo samba confi)urado como servidor de nombres wins podemos a)re)ar también el soporte para resolucion de nombres de . él determina cuales son los or-)enes que se utili.

add roup --s4stem n*ram add roup --s4stem rdma add roup --s4stem fuse add roup --s4stem k*m add roup --s4stem scanner adduser --s4stem -.so use<first<pass # 7i no se salta este punto la autenticacion falla siempre auth reHuisite pam<den4. aunque para solucionar esto todo se vea bien durante el reinicio del servidor se deben a)re)ar los si)uietes )rupos usarios en la consola. pero no afecta en nada el funcionamiento del !D>.so nullok<secure auth Rsuccess6/ default6i noreS pam<ldap.so # 7i no se salta este punto la autenticacion falla siempre account reHuisite pam<den4.so account Rsuccess6/ default6i noreS pam<ldap. seria buena idea respaldar la confi)uraci'n de pam # cp -a /etc/pam.so !l arc$ivo 5etc5"am%d5common-account # Lo Hue denominarias el bloHue primario" si cualHuiera de los dos mQdulos tiene # exito se salta la e=ecucion del modulo pam<den4.d.so # a`n cuando la autenticacion tubiera Yxito los modulos del bloHue .roup --shell /usr/sbin/nolo in --home /*ar/lib/tpm tss Configurando PAM :.so account Rsuccess60 ne%<authtok<reHd6done default6i noreS pam<unix.so auth Rsuccess60 default6i noreS pam<unix.2)C:C'AL !l arc$ivo 5etc5"am%d5common-aut$ # Lo Hue denominar[as el bloHue primario" si cualHuiera de los dos mQdulos tiene # exito se salta la e=ecucion del modulo pam<den4.d /etc/pam.os errores que aparecerán.ora confi)uremos el m'dulo !:& para poder acceder localmente con usuarios del Dominio :ntes de modificar nada.Ese es uno de los muc.so # a`n cuando la autenticacion tubiera Yxito los modulos del bloHue # primario podrian no retornar un cQdi o positi*o" esto soluciona eso # ase urando un *alor positi*o si no lo era antes auth reHuired pam<permit.

so !l arc$ivo 5etc5"am%d5common-session # Lo Hue denominarias el bloHue primario" si el usuario estZ correctamente autenticado # se salta la e=ecucion del modulo pam<den4. simplemente aptitude install libpamFcrac*lib password required pam_crac*lib. esto soluciona eso Y ase)urando un valor positivo si no lo era antes password required pam_permit.so .so use_aut.to* tr _first_pass Y Si no se salta este punto la autenticacion falla siempre password requisite pam_den . si cualquiera de los dos m'dulos tiene Y exito se salta la e8ecucion del modulo pam_den .so !l arc$ivo 5etc5"am%d5common-"ass6ord Y Es buena idea que se ten)a restriciones sobre los passwords Y crac*lib permite controlar lon)itudes minimas fortale.so password @successB0 defaultBi)noreA pam_unix.a de la clave Y ante ataques de diccionario Y Solo no debe ovidarse instalar crac*lib.so # 7i no se salta este punto la autenticacion falla siempre session reHuisite pam<den4.so Y aDn cuando la autenticacion tubiera éxito los modulos del bloque Y primario podrian no retornar un c'di)o positivo.so obscure cr pt password @successB3 user_un*nownBi)nore defaultBdieA pam_ldap.so # a`n cuando la autenticacion tubiera Yxito los modulos del bloHue # primario podrian no retornar un cQdi o positi*o" esto soluciona eso # ase urando un *alor positi*o si no lo era antes session reHuired pam<permit.so difo*B0 minlenBX dcreditB0 ocreditB0 retr B2 Y <o que denominarias el bloque primario.so 8recordar Hue este es un apartado de # sesion" por lo tanto lo Hue se controla no es el acceso sino los pri*ile ios efecti*os # de un usuario 4a autenticado9 session Rdefault6/S pam<permit.# primario podrian no retornar un cQdi o positi*o" esto soluciona eso # ase urando un *alor positi*o si no lo era antes account reHuired pam<permit.

ivo 4etc4smbldapFtools4smbldap.erramientas provistas por smbldapFtools. Esta opci'n no siempre es necesario incluirla a puede pasar que no todos los usuarios del dominio necesiten un N%&E en el servidor <a opci'n F! indica que se solicitará establecerá un password al usuario • man smbldapFuseradd para mas informaci'n acerca de las opciones del comando <a contrase7a de pepe es 302U6O.. si pepe desea en el futuro cambiar su contrase7a deberá cumplir las especificaciones del arc.d4commonFpassword impuestas por el m'dulo pam_crac*lib /ambién vemos el mensa8e ">annot confirm uid"umber 3111 is free. Se puede verificar que el usuario se .ivo 4etc4pam. &ediante la . Ese mensa8e solo aparecerá ésta primera ve.erramienta smbldapFuseradd a)re)amos al usuario pepe al dominio # smbldap-useradd -a -m -P pepe >annot confirm uid'umber /. de a.so session optional pam<ldap.G$&/G$74stem Iser$/home/pepe$/bin/bash $~# .# 7e cheHuean los pri*ile ios 4 restricciones session reHuired pam<unix.e next one".ora en más el Dltimo U$D se almacenará en sambaUnix$d!ooldn como lo establece el arc. los cuales autenticarán mediante !:&. >uando se a)re)e el primer )rupo sucederá lo mismo. c...so Creación de usuarios y gru"os en el directorio LDAP mediante sm#lda"-tools <le)ado a este punto a se deber-a estar en condiciones de in)resar al servidor mediante usuarios del Dominio.ec*in) for t.a creado pero no existe localmente.ome del usuario e iniciali.a de8ado crear porque somos root.. es una contrase7a mu simple que el sistema nos . is free$ checkin for the next one >han in I'CO and samba pass%ords for pepe 'e% pass%ord$ /0G5&W )et4pe ne% pass%ord$ /0G5&W • • <a opci'n Fa indica que es un usuario Windows <a opci'n Fm indica que debe crearse el .arlo con el contenido de 4etc4s*el que es el comportamiento standard para la creaci'n de una cuenta U"$?. !ero para probar si es posible in)resar al sistema local con un usuario del dominio primero se debe crear uno Crear usuarios del dominio !ara esto nos valdremos de las .conf el si)uiente U$D libre se determinará en base a eso. $~# cat /etc/pass%d _ rep pepe $~# etent pass%d _ rep pepe pepe$x$/. accediendo éste a la informaci'n almacenada en el directorio <D:!.

ora si \ %hoami pepe Crear un usuario administrador del dominio : diferencia de los sistemas <inux4Unix.. !robar con el usuario pepe $~# pamtest pass%d pepe .he pro rams included %ith the Debian :'I/Linux s4stem are free soft%area the exact distribution terms for each pro ram are described in the indi*idual files in /usr/share/doc/K/cop4ri ht.ave no nameb" en el prompt. si se . cu o K$D es 630.D" to the extent permitted b4 applicable la%. C ha*e no nameb]debian-pdc$~\ [ se lo)ra acceder al equipo mediante una cuenta ldap..El paquete libpamFdotfile nos provee la . accedamos al sistema con el usuario pepe. !or lo tanto./ !or al)Dn motivo aDn con el demonio nscd detenido pasa esto.$5&$GE I.erramienta pamtest que nos permite verificar el funcionamiento de los mecanismos de autenticaci'n. debian-pdc lo in$ pepe Pass%ord$ /0G5&W Linux debian-pdc 0. para crear un usuario administrador del dominio. donde el administrador del dominio es root su U$D es 1. en un Dominio Windows para ser administrador del dominio basta con pertenecer al )rupo Domain :dmins.W. pero si se reinicia el demonio # /etc/init.1 iWUW .d/nscd restart a.> 0. basta con indicarle a smbldapFadduser que lo inclu a en el )rupo 630 # smbldap-useradd -a -m -: &/0 -P adminnue*o >han in I'CO and samba pass%ords for adminnue*o . <lama la atencion ese "$ . Pass%ord$ /0G5&W Authentication successful.JLD '2 ?A))A'. <os mecanismos de autenticaci'n funcionan correctamente. Debian :'I/Linux comes %ith A372LI.0W-0-WUW #/ 7+P ?ed 'o* 5 0.ace \ %hoami %hoami$ cannot find name for user CD /.r4in to authenticate Apepe> for ser*ice Apass%d>.

aciendo. pero no localmente $~# cat /etc/ roup _ rep B:rupo 'ue*oB $~# etent roup _ rep B:rupo 'ue*oB :rupo 'ue*o$K$/..'e% pass%ord$ adminnue*o )et4pe ne% pass%ord$ adminnue*o /ambién se puede in)resar al sistema mediante éste usuario..G$ $~# !liminar usuarios y gru"os del dominio !robemos eliminar el )rupo recién creado.roupdel B:rupo 'ue*oB $~# [ el )rupo a no existe ../ is free$ checkin for the next one >annot confirm id'umber /. $~# smbldap.ome del usuario Se !uede verificar que el usuario a no existe $~# etent pass%d _ rep pepe $~# .0 is free$ checkin for the next one $~# !odemos verificar que el )rupo existe.roupadd -a B:rupo 'ue*oB >annot confirm id'umber /. is free$ checkin for the next one >annot confirm id'umber /. se podra comprobar que es solo un administrador del dominio pero no tiene permisos de root (su prompt no es Y+ \ id adminnue*o uid6/..08adminnue*o9 id6&/G8Domain Isers9 rupos6&/08Domain Admins9"&/G8Domain Isers9 Crear un -ru"o en el dominio Simplemente ..cY Eliminemos el usuario pepe que creamos anteriormente $~# smbldap-userdel -r pepe $~# <a opci'n Fr indica que debe eliminarse el .. $~# smbldap.cY )etent )roup C )rep "Krupo "uevo" .

are4doc4smbldapFtools4examples4mi)ration_scripts4smbldapFmi)rateFunixF)roups. copiar 4etc4passwd # cp /etc/pass%d /etc/shado% /tmp/ Huitar de esos arc. Solo mi)rar los usuarios necesarios.adow. # smbldap-mi rate-unix-accounts -a -P /tmp/pass%d -7 /tmp/shado% Migrando gru"os locales al directorio LDAP "uevamente copiar 4etc4)roup a una ubicacion temporal.are4doc4smbldapFtools4examples4mi)ration_scripts4smbldapFmi)rateFunixFaccounts. z > /usr/sbin/smbldap-mi rate-unix.arán . Usuarios como bac*up.ivo de8ando los )rupos que se desea mi)rar (podria no mi)rar los )rupos root.erramientas provistas por el paquete Dic. <os copiaremos a al)una ubicaci'n que fi)ure en nuestro pat. # smbldap-mi rate-unix.ivos .). sin embar)o no se desea exportar todos los usuarios. Debemos descomprimir estos arc. como ser 4usr4sbin # zcat /usr/share/doc/smbldaptools/examples/mi ration<scripts/smbldap-mi rate-unix-accounts.adow a una ubicaion temporal.ivos. 4usr4s.roups # chmod E&& /usr/sbin/smbldap-mi rate-unix-accounts /usr/sbin/smbldap-mi rate-unix. <as .erramientas se encuentran en los arc. 4usr4s.roups Migrando usuarios locales al directorio LDAP El script smbldapFmi)rateFunixFaccounts está preparado para recibir como parametro el arc. # cp /etc/ roup /tmp/ Editar el arc.roups -a -: /tmp/ roup .roups.as .erramientas no son provistas como parte del paquete de software sino en la parte de documentaci'n. entonces si correr la 4etc4s.ivos temporales los usuarios que no se desea mi)rar .).acerlos e8ecutables.Agregar los usuarios y gru"os Linu:5&ni: locales al directorio LDAP !ara la mi)racion de usuarios smbldapFtools )rupos Unix al ldap se utili. tampoco se puede mi)rar root nobod porque esos usuarios a existen en el directorio.erramienta de mi)raci'n. bin o daemon no nos son necesarios en el directorio ldap.ivo 4etc4passwd 4etc4s.erramienta de mi)raci'n. bin daemon+ entonces correr la . z > /usr/sbin/smbldap-mi rate-unix-accounts # zcat /usr/share/doc/smbldaptools/examples/mi ration<scripts/smbldap-mi rate-unix.

e)uisitos del sistema 8indo6s El sistema a a)re)ar al dominio será un Windows ?! !rofessional. un dominio :ctive Director es )obernado por una implementaci'n D"S. flopp .or) sino que deberán . para tener esos privile)ios cuando accedan desde terminales <inux4Unix.ora como un controlador de Dominio "/. los clientes se autenticarán mediante "/<&. El no ser un servidor D"S resulta para nosotros en una m-nima confi)uraci'n más.or) no se resuelve con la $! del servidor. # id adminnue*o uid6/. por lo tanto los clientes no podrán a)re)arse al dominio esdebian. a deber-a ser posible unir terminales Windows al Dominio. al no contar con un servidor D"S el dominio esdebian.ar derberos no es un problema. cdrom.ar nombres "et#$%S en lu)ar de nombres D"S.acerlo al dominio "et#$%S ESDE#$:".ar derberos para la autenticaci'n. :ntes que nada se debe estar consiente que el !D> no es un Dominio :ctive Director . por lo que.Se)uramente se querrá que los usuarios Samba pertene. pero no puede utili. el servidor se comporta a. un protocolo lo suficientemente se)uro. a diferencia de un dominio "/. por e8emplo los )rupos audio.a que a)re)arlos a dic. donde los nombres se resuelven mediante wins. "o incorpora un servidor D"S. .roup audio"*ideo"flopp4"cdrom"plu de*"BDomain AdminsB"BDomain IsersB adminnue*o se puede ver que adminnuevo a es miembro de esos )rupos. por e8emplo al usuario adminnuevo. • El no utili.acer estas pruebas Agregar e)ui"os 8indo6s al Dominio [a reali.os )rupos.can a ciertos )rupos Unix.a el mecanismo de autenticaci'n &$/ derberos. • "o se utili. Si bien :ctive Director soporta wins (no por defecto. simplemente se debe utili.ar este mecanismo cuando es un !D>.. samba puede ser cliente en un dominio :ctive Director utili. etc. . Esto no supone un problema. # smbldap-usermod -. video. debe instalarse+ se basa en D"S para ubicar ob8etos en la red esto requiere que los clientes ten)an al controlador de dominio como servidor D"S primario.adas las confi)uraciones.08adminnue*o9 id6&/G8Domain Isers9 rupos6&/G8Domain Isers9"&/08Domain Admins9"058cdrom9"0&8flopp49"018audio9"558*ideo9"5W8plu de*9 "%/:. plu)dev. !ara ese . 9ecordar detener el demonio nscd para .

acer que el servidor sea también un servidor D"S no es nada complicado.abilitar también "et#$%S sobre />!4$!.Se debe confi)urar a los clientes para que utilicen el Samba como servidor de nombres W$"S. Configuración de red :si)nar al cliente una direcci'n $! dentro del se)mento de red del servidor confi)urar el servidor wins para que sea el servidor Samba. . Debemos . pero esa confi)uraci'n no se tratará en este articulo. . "%/:.

&nir el e)ui"o con 8indo6s <P Professional al dominio Sam#a :)re)ar el equipo al dominio de manera standard. Se utili. cu o password era dominioadmin .a la cuenta de root.

ull 'ame$ P>-?C'\ Fome Director4$ XXdebian-pdcXpc-%in< .5$&/&$>omputer$/de*/null$/bin/false &as informaci'n con $~# pdbedit -L* pc-%in\ Inix username$ pc-%in\ '.la s$ R? S Iser 7CD$ 7-/-&-0/-WW1/G0U15-0&UW00/E&1-G1/50/51W1-/.a con un e Se puede ver con # etent pass%d _ rep >omputer pc-%in\$K$/./ Primar4 :roup 7CD$ 7-/-&-0/-WW1/G0U15-0&UW00/E&1-G1/50/51W1&/& . username$ pc-%in\ Account .. el nombre de usuario es el nombre del equipo con la diferencia que su nombre finali.[ se debe recibir el mensa8e de bienvenida al Dominio ESDE#$:" !liminar el e)ui"o del dominio Un equipo dentro del dominio es un usuario dentro de la ouB>omputers..

.. : continuaci'n se debe crear dos claves de re)istro en las máquinas con Windows W que se unirán al dominio. Lo on hours . .a que .ivo sources.. se lo ./.. . Pass%ord must chan e$ ne*er Last bad pass%ord $ .erramienta smbldapFuserdel $~# smbldap-userdel pc-%in\ Notas "ara e)ui"os con 8indo6s = !ara unir equipos con windows W al dominio ....debian... $ !or lo tanto eliminar un equipo del dominio es lo mismo que eliminar un usuario..... !ara ello a7adir la si)uiente linea al arc./. Lo off time$ ne*er Nickoff time$ ne*er Pass%ord last set$ mar" /1 ene 0. FNL+X74stemX>>7X7er*icesXLanman?orkstationXParameters D?2)D Domain>ompatibilit4+ode 6 / D?2)D D'7'ame)esolution)eHuired 6 ...U de DebianFbac*ports..or /debian-backports lenn4-backports main Nacer un update e instalar samba..FomeDir Dri*e$ I$ Lo on 7cript$ @lo on...list.acer unos cambios en el re)istro de los clientes. .. :..como actuali. aptitude -t lenn4-backports install samba $nstalará los paquetes actuali. Pass%ord can chan e$ mar" /1 ene 0..ace mediante la ..bat pc-%in<@ Profile Path$ XXdebian-pdcXprofilesXpc-%in< Domain$ J7DJ3CA' Account desc$ >omputer ?orkstations$ +un ed dial$ Lo on time$ ... as. 3ad pass%ord count $ ......$0G A).E$G.......E$G..ar samba a la versi'n 2...ados desinstalará smbfs (no problem+.ora a se puede unir las máquinas al dominio abrir sesi'n en el mismo. deb http$//backports..$0G A)..

conf suele llamarse simplemente 4etc4ldap.acer que dic.a entre otras cosas samba para modificar la base de datos a)re)ando usuarios demás. dcBesdebian.conf $nstalar en el cliente el software necesario.dcBor) >ontrase7a para la cuenta <D:! de root.ace lo)in en el equipo cliente <inux4Unix se esta listo para confi)urar !:&4"SS para . "o "o olvidar la se)uridad Es importante destacar que cuando se pre)unt' ">ontrase7a para la cuenta <D:! de root." durante la confi)uraci'n de libnssFldap no se respondi' nada.3OX.Configurando PAM5NSS de clientes Linu:5&ni: "ara )ue utilicen la Autenticación centrali7ada% Una ve.ivo 4etc4libnssFldap. ldap.o equipo utilice el servidor !D> para la autenticaci'n mane8o de permisos. >onfi)uraci'n de libnssFldap.ivos de confi)uraci'n comentar la linea.0114 El nombre distintivo (D"+ de la base de bDsquedas. <a Dnica diferencia destacable en la confi)uracion es que en sistemas no Debian el arc. cuando se revise los arc." también lo . • • >rear un administrador de la base de datos local. . 2 >uenta <D:! para root. !ara el e8emplo utili. modificar sin El parámetro ">uenta <D:! para root. >ualquier equipo que se vea comprometido tendrá la posibilidad de acceder restricciones la base de datos. cnBadmin. "o GNace falta un usuario para acceder a la base de datos <D:!I .ar Debian4K"U <inux 6. <a contrase7a de root para la cuenta ldap es la que definimos en el servidor. en este caso era contrase7a. de8ar vac-o >onfi)uraci'n de libpamFldap. la utili.dcBesdebian. # aptitude install libnss-ldap libpam-ldap libpam-cracklib responder a las si)uientes pre)untas.emos establecido pero no tiene sentido al)uno.1 como Sistema %perativo para el equipo cliente pero cualquier cliente <inux4Unix debe porder ser confi)urado. Sin embar)o el servidor ldap es accesible desde toda la red una red con cientos de clientes <inux4Unix que ten)an almacenada la contrase7a de root para acceder al servidor ldap no parece mu inteli)ente.ar. • • • • • $dentificador de recursos para el servidor <D:!.44350.3. que se .dcBor) Zersi'n de <D:! a utili.

uri ldap$///10.so pam<permit./.2)C:C'AL# Modificar los arc$ivos de configuración de PAM> 5etc5"am%d5common-aut$ auth auth auth auth Rsuccess60 default6i Rsuccess6/ default6i reHuisite reHuired noreS pam<unix. Nacer un bac*up de la confi)uraci'n de !:& # cp -a /etc/pam.conf../.Los arc$ivos de configuración de PAM y NSS !:& "SS utili..arán la misma base de datos ldap./ # Mersion de ldap a utilizar ldap<*ersion G # >uenta de root ldap # Jsta linea no es necesaria" la comentamos o borramos # rootbinddn cn6admin"dc6esdebian"dc6or bind<polic4 soft pam<pass%ord cr4pt nss<base<pass%d dc6esdebian"dc6or ^sub nss<base<shado% dc6esdebian"dc6or ^sub nss<base< roup ou6 roup"dc6esdebian"dc6or ^one &odificar 4etc4nsswitc./WU. confi)uraci'n es mu similar a la del servidor+.so .conf a)re)ando ldap para las bDsquedas pass%d$ roup$ shado%$ hosts$ files ldap files ldap files ldap files %ins dns wins para resolver nombres.ivos 4etc4libnssFldap.d!".so nullok<secure noreS pam<ldap.conf 4etc4pam_ldap. reempla.0.ar con lo si)uiente (la Editar los arc.so use<first<pass pam<den4. # D' base base dc6esdebian"dc6or # I)C del ser*idor ldap" en nuestro caso es /10..0./WU. por la tanto su confi)uraci'n es i)ual.

debian-cli lo in$ adminnue*o Pass%ord$ Linux debian-cli 0.so 5etc5"am%d5common-session <a confi)uraci'n de este arc. En el servidor se puede crear las cuentas de usuario mediante smbldapFuseradd a)re)ando la opci'n Fm de modo que el .acer lo)in en los clientes <inux4Unix con al)Dn usuario del dominio Samba.ora a se puede . por lo que se utili. En los clientes el . utili.0W-0-WUW #/ 7+P ?ed 'o* 5 0.so pam<permit.so pam<unix.so obscure cr4pt pass%ord Rsuccess6/ user<unkno%n6i nore default6dieS pam<ldap.so pam<permit.ivo difiere de la del servidor !D>.d4nscd stop :.1 default6i noreS . detener el demonio nscd Y 4etc4init.W.so pam<ldap.so 5etc5"am%d5common-"ass6ord pass%ord reHuired pam<cracklib.ome del usuario en caso que no exista.so account reHuired pam<permit.so use<authtok tr4<first<pass pass%ord reHuisite pam<den4.a el m'dulo pam_m*.ome de cada usuario se crea 8unto con el usuario.so Pro#ando la configuración !rimero que nada.ar la cuenta de adminnuevo que se creo anteriormente.> 0.5etc5"am%d5common-account account Rsuccess60 ne%<authtok<reHd6done pam<unix.ivo session reHuired session Rdefault6/S session reHuisite session reHuired session reHuired session optional pam<mkhomedir.ome de cada usuario no existe.so pam<den4.so account Rsuccess6/ default6i noreS pam<ldap.omedir.so pass%ord reHuired pam<permit..so difok60 minlen6U dcredit60 ocredit60 retr46G pass%ord Rsuccess60 default6i noreS pam<unix.so account reHuisite pam<den4.$5&$GE I.so para crear el . Eso es lo que motiva a)re)ar la primer linea del arc.

or)4wi*i4controladorFprimarioFdominioFpdcFdebianFlenn F61FmedianteF sambaFpamnssFopenldapY33 2. 0.eferencias> 3.a lo)rado . !resentaci'n >urso ldapFsamba del >entro de Estudios /ecnol')icos :van. .D" to the extent permitted b4 applicable la%.a creado el .esdebian.iWUW .44www. Esto solo sucede para el primer lo)in .JLD '2 ?A))A'.ados (>E"/E>+. Debian :'I/Linux comes %ith A372LI. .ttp.at4adminwi*i4!:&4"SS .co.he pro rams included %ith the Debian :'I/Linux s4stem are free soft%area the exact distribution terms for each pro ram are described in the indi*idual files in /usr/share/doc/K/cop4ri ht.44amd.omedir.d4commonFsession .ttp.acer lo)in con un usuario del dominio Zer también como el m'dulo pam_m*.so definido en 4etc4pam. >reatin director4 @/home/adminnue*o@ adminnue*o]debian-cli$~\ [ se .ome del usuario en el equipo local.