eras, 1:91 Instaary coniguar Convoladr de dominio Samba —RAGASYS SISTEMAS instalar y configurar un controlador de dominio Samba, + Actualizamos el sistema operativo con las tltimas versiones de los paquetes disponibles en los repositorios, para ello, ejecutaremos apt-get update && apt-get upgrade: caer cae ae oon oe et ec aCe ween) irein ete eta e cCeerm ern 5] OC ei ee sce caer eee eee ere eet en] ee eee On ee ene ace aceon Ts re 3 ereaee Reeves Se a een Ste ese ee era * Editamos el fichero hosts, nano /ete/hosts e introducimos el nombre del servidor, tanto el nombre DNS como el nombre NETBIOS: A orci ae nee coon eur eed allnod eit + Acontinuacién vamos a configurar la conexién de red, para ello, editamos el fichero nano Jetcinetplan/01-network-manager-all.yaml: eases bitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-sambaInstalry eonfigurar Contolador de dominio Samba — RAGASYS SISTEMAS ener CRC CITE aces etre eet) crn) Crag preety eats coat Beers ta ean ae Eee | oeteastateta-/etaeineee) + Aplicamos la nueva configuracién de red con netplan apply: eerie root@ubnt22643:~# Ro uec cree mw taney ee eT eel ee Peer tier ese Cree] * Si ejecutamos ip a podmeos ver que los cambios se han aplicado: eee Peter eee) PRR ee ee eee a eee cr MOC ed SUSE eee a Pm ee mec aria wees cee aoa Pete eae ear ead Paes ee ce ac Caa a Se eC ee ec ee Teas Poetry RCO ea eee ee ed eer rare Cea ee ee Ce eee Pic Ce Cer re Msrir Ene) + Ahora vamos a cambiarle el nombre al equipo, para ello, ejecutamos hostnamectl set- hostname dc02aso y reiniciamos el equipo para que se apliquen los cambios: oy Pe csc Pee nssieeees ee esse eet eee ore Petter cre ier + Seguiremos por instalar los paquetes necesarios, ademas de los paquetes propios de Samba necesitaremos disponer de algunos otros, que deberan estar preinstalados antes de c hitps: blog ragasys.esinstlareras, 1:91 Instalary coniguar Convoladr de dominio Samba —RAGASYS SISTEMAS con el proceso de configuracién, aunque todos ellos estan en los repositorios. Son los siguientes: + samba: servidor de archivos, impresién y autenticacién para SMB/CIFS. + smbelient: clientes de linea de comandos para SMBICIFS. + krb5-config: Archivos de configuracién para Kerberos Version 5. + winbind: Servicio para resolver informacién sobre usuarios y grupos de servidores Windows NT. + Ejecutamos este comando, apt-get install samba krb5-config winbind smbclient: eae eee) atari tne reer te Pasa Neca ac ecco Cr ORI crn RC ar yr Retr er coe cme Mcci eerste teen see erect Ucar meee orem atria nt tec er Senin erent feet re nec eneateare acts Ponte oman rs Sennen ern eae ee cee) Bindoutits ctdb tdb-toots ntp | chrony snbldap-tools heindal-clients cifs-utils Libnss-winbind eeructe eee cea Pear tunes eee es as eee ener Peer recta c(i hoterike ihetredt rere otc nie conreer nec rrese at an ier ere Socata rycen eer eerie eens oenecTty Petar tea Say ance eee cece acer ear et) actualtzados, 27 nuevos se instalaran, © para elintnar y 2 no actualtzados. Se necesita descargar 13,2 HB de archivos fe uttlizaran 76,4 Seeeete eet + Cuando llegue el momento de instalar Kerberos, nos preguntaré por el reino, que se refiere al nombre del dominio, en nuestro caso JRRG.LOCAL: cs ‘cuando tos usuarios intentan usar Kerberos y especifican un nonbre principal o de usuario sin aclarar a qué doninto administrative de Kerberos pertenece el principal, el ststena tona el retno Dredeterminada. EL retno predeterninade tanblen se puede utttizar cone et reino de un servicio de Kerberos que se ejecute en ta niquina local. Nernalnente, el reino predeterninado es el nonbre en nayisculas del dominio del ONS Local Reino predeterntnada de la verstén 5 de Kerberos: + Nos solicita el nombre de los servidores de Kerberos para nuestro reino, en este caso, se refiere a los controladores de dominio que tengamos definidos, en nuestro caso, sélo tenemos uno que se llama de02aso: hitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-samba2519124, 11:31 Instalar y configurar Contolador de dominio Samba — RAGASY'S SISTEMAS cos Configurands La autentlcacton de Kerberos -———__ Introduzca los nonbres de los servidores Kerberos en el retina JARG-LOCAL de Kerberos, separados or espactos. servidores de Kerberos para su retno: = * Nos solicita el servidor administrativo para nuestro reino de Kerberos, como sdlo tenemos uno, volvemos a escribir su nombre, dc02aso: ‘Configurando La autenctcacton de Kerberos |———__ Introduzea el nonbre del servider administrative (canbto de contrasena) para el retne 2RRG.LOCAL de Kerberos Servidor adnintstrative para su reino de Kerberos: = * Como podemos ver, la instalacién finaliza satisfactoriamente: hitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-samba259124, 11:31 Instalar y configurar Contolador de dominio Samba — RAGASY'S SISTEMAS oar arreeer Sai oma Jean poe Boat ars ele et eed meseay Oetyea? ia seer Ps Recent terrae ter cea iro Wa an aes pe antss 3 feet Sate pernrerer en) + Una vez completada la instalacién de los paquetes, vamos a configurar samba: + Lo primero que haremos sera renombrar el fichero de configuracién de samba, ya que para poder realizar la promocién de este servidor a controlador de dominio debe utilizar su propio fichero de configuracién de samba personalizado, mv /etc/samba/smb.conf letc/sambalsmb.conf.orig: ees + Después de esto, ya estaria preparado nuestro equipo Ubuntu para promoverlo a controlador de dominio samba, para ello, usaremos el comando samba-tool domain provision, y lo haremos de forma interactiva, para que sea el propio comando el que nos solicite los valores que necesite y, cuando sea posible, nos sugiera sus valores predeterminados, dejamos todos los valores como nos va indicando y solo cambiamos el DNS forwarder que ponemos el de google, también nos indica que configuremos la password de! Administrator de! dominio: oe hitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-sambaInstalary eonfigurar Contolador de dominio Samba — RAGASYS SISTEMAS oe reas Pen ee ee eee ety Pol gw ean e Pome) re oC COC St arene ear nsec mea ome ete) DNS forwarder IP address (write ‘none’ to disable Forwarding) [127.010.53]: 8.8.8.8 ese carter? assert * Con todo esto que hemos realizado, ademas de configurarse Samba de forma adecuada, se ha generado un archivo de configuracién para Kerberos en la ruta /varllib/sambalprivate/krb5.conf, solo tenemos que copiarlo a la ubicacién adecuada, cp Nvarllib/sambalprivate/krb5.conf /etc in Peed oe eer Peet oe ree ee CAC ray CLR Pert reatees + Ahora vamos a ajustar la resolucién de nombres, y comenzaremos deteniendo los servicios implicados, systemet! stop smbd nmbd winbind systemd-resolved: mn eS ec ree Pee roe Raa ee eS See He Peete + Los deshabilitamos, para que no vuelvan a iniciarse si reiniciamos el equipo, systemet! disable smbd nmbd winbind systemd-resolved: ml ceed eee ee eee eres eee ee eT Ee sree esate es eee ce ened (eater Ee ete eee ieee ert eens) irre etc irs rat even NC eStart errr er Wane ere te creed Pore C Dn En tres mCree ees) Bre Css ean ae tr ere era aera em cs cores etee i SC ORR nace oman ue eect) Renoved /etc/systend/systen/nultt-user. target.wants/nnbd. service. Renoved /ete/systend/systen/multt-user target wants/snbd. service. Renoved /ete/systend/systen/nultt-user target wants/systend-resoived. service Renoved /ete/systend/systen/nulti-user target wants /winbind. service Renoved /ete/aystend/=ysten/dbus-org.freedesktop. resolvel. service fener eee + Nos aseguraremos de que el servicio samba-adsde se podra iniciar sin dificultades, evitando cualquier enmascaramiento que pueda existir, systemct! unmask samba-ad-de: hitps: blog ragasys.esinstlar259124, 11:31 Instalar y configurar Contolador de dominio Samba — RAGASY'S SISTEMAS eros + Eliminamos el archivo conf que, en realidad, sera un enlace a ..Jrun/systemd/resolve/stub- resolv.conf, para comprobarlo, comenzamos por consultar su entrada en el directorio, Is -1 Jetclresolv.conf: eee SoU g + Procedemos a eliminar el enlace, rm /etc/resolv.conf: eT eres + Utilizamos el editor nano para crear un nuevo archivo que lo sustituya, nano /etc/resolv.conf: ccs * Editamos los valores adecuados para nuestro dominio: domain jrrg.local nameserver 127.0.0.1 org Jetc/resolv.cont + Volvemos a iniciar el servicio samba-ad-dc, systemctl start samba-ad-de: ces + Lo habilitamos, para que también se inicie automaticamente al arrancar el Sistema, systemctl enable samba-ad-de: hitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-samba 70Instalry eonfigurar Contolador de dominio Samba — RAGASYSS SISTEMAS eee es Sere ca eee De orga Soe ora coe eae at Ecos ey cone Executing: /Lib/systend/systend-sysv-install enable sanba-ad-de oer es tira ied irr) Cay rae ese yt eee Ce tc Perera ts rere s | + Ahora vamos a comprobar la instalacién, para consultar el nivel de nuestro dominio, es decir, el tipo de servidor que hemos implementado, ejecutamos este commando, samba-tool domain level show: cer reotgdce2aso:-# sanba-tool donain Level show Donain and forest function level for donain ‘DC=jrrg,0C=Local eat Cres PUR CURO ECTS Lowest function level of a DC: (Windows) 2008 R2 peeretne esti * Ahora vamos a cuatro cuentas de usuario, al igual que hicimos para el controlador de dominio window: jo, ejecutamos este commando, samba-tool user create nombreusuario A oto foe Ea eres Pe carerest cosa rare t seme Retest Peer reer ree eter mrad New Password Ces Teraarnrna team eter gnnny eee reer ree error arta pease] eran Stier teen tty err eterno ea ee mre Od eer! rarer Peet Perea * Confirmamos que el servidor DNS funciona de manera adecuada. + Comprobamos el servicio LDAP sobre el protocolo TCP, para lo que escribiremos, host -t SRV _Idap._tep.jrrg.local, si todo es correcto, recibiremos una respuesta parecida a ésta, _tep jrrg.local has SRV record 0 100 389 dc02aso.jrrg.local. a Peron eee ee ee eee dap._tep. jrrg.local has SRV record @ 108 389 dce2aso. jrrg.local poscrcriirted hitps: blog ragasys.esinstlarnat Instalary coniguar Convoladr de dominio Samba —RAGASYS SISTEMAS + Comprobamos el registro SRV para el protocolo Kerberos sobre UDP, para lo que escribiremos, host -t SRV _kerberos._udp.jrrg.local, si todo es correcto, recibiremos una respuesta parecida a ésta, _udp.jrrg.local has SRV record 0 100 88 dc02aso.jrrg.local. nr fone reece! Pete er Ce _kerberos._udp.jerg.local has SRV record © 180 88 dcé2aso. jrrg.local Footedcozaso:~# I + Para terminar, comprobamos la resolucién del nombre de nuestro servidor, host -t A dc02as0,jrrg.local, si todo es correcto, recibiremos una respuesta parecida a ésta, jrrg.local has address 192.168.5.52: eon exer eceerreed toe a eee ace Ces raCc are etree ee oceored + Comprobamos con nslookup que nuestro dominio res io eee eet oon aeeee? Perore eres = oC ere crane Prete} ro enone oa rericarc) aT rar nee + Ahora vamos a comprobar el funcionamiento de Kerberos para ver si nuestros usuarios pueden autenticar de forma correcta, para ello, ejecutamos este comando, smbclient -L dc02aso jrrg.local -U ‘administrator’: or er eee rootedcezaso:~# snbcltent -L dcozaso.Jrrg.local -U ‘Adntntstrator eee ttt etersts ar oo Disk re 1c cancun a erred eae poser Tees Eerie) feet rece? PoeeeT nD) + Para terminar, si reiniciésemos nuestro servidor o nuestra conexién de red, el fichero resolv.conf se restableceria con la configuracién original y todo dejaria de funcionar, ya que no tendriamos resolucién de nombres, para evitar que esto no suceda lo que vamos a hacer es protegerlo contra escritura, para ello, ejecutamos el comando chattr +i /etc/resolv.conf: hitps: blog ragasys.esinstlar2519124, 11:31 Instalar y configurar Contolador de dominio Samba — RAGASY'S SISTEMAS Pete ee TG + Una vez ejecutado, podemos consular si esta protegido, ejecutando el comando Isattr letciresolv.conf: Drones bitpsolog ragasys.esinstaar-y-conigurar-conrolador-de-dominio-samba s0110