Muntant un servidor Active Directory amb Debian i Samba. primera part

Hola a tots i totes. En aquesta sèrie de cursos us vaig a ensenyar com muntar un servidor Active Directory per a xarxes amb equips Windows Sota Debian (Si anem a muntar un servidor, anem a fer-ho com cal, lenes). En aquest primer lliurament explicaré la instal·lació i configuració de servidor i en la segona ensenyaré a fer servir les eines d'administració remota de Windows 7 i com unir els equips a l'domini (el Windows 7 pròpiament dit i un Windows XP). Més endavant faré un tercer lliurament a part de com unir equips amb GNU / Linux ja que és una cosa que tinc pendent de provar.

Aquesta idea em va sorgir mentre estic (o estava, depèn de quan llegeixis aquesta entrada) cursant un curs de l'atur de Tècnic de reparació d'equips microinformàtics en el qual muntàvem un servidor de xarxa amb Windows 2008 (No RC2) i em vaig posar a buscar si podia implementar el mateix sota GNU / Linux i el resultat la veritat és bo, fins el meu professor es va quedar sorprès de la rapidesa de servidor.

Abans de seguir, i segurament molts us pregunteu Què és Active Directory? Doncs és el terme que fa servir Microsoft per referir-se a la seva conjunt d'eines per a l'administració de xarxes com el servidor DNS, L'administració dels usuaris de la xarxa, etc.

Necessitarem el següent:

  • Debian en la seva branca estable (en el meu cas Wheezy 7.5 amb XFCE com a entorn d'escriptori)
  • Samba 4
  • Un client amb Windows 7 / 8 / 8.1 amb el paquet per instal·lar les funcions de control de servidor remot (necessari per administrar el servidor, com per exemple compartir una carpeta amb els usuaris). Això s'expliqués en el següent tutorial.

Configurant el servidor

Abans de seguir hem d'editar alguns arxius perquè tot funcioni, sobretot perquè els equips de la xarxa trobin al servidor de l'domini.

El primer és donar al nostre servidor una adreça IP fixa. En el cas del meu Debian de proves en Virtualbox ús xarxa, Que és el que ve de base, però al servidor real el configuri des Xarxa Manager, De manera que explicaré com es fa en tots dos.

xarxes

El primer arxiu que editarem és / Etc / network / interfaces.
# This file describes the network interfaces available on your system

and how to activate them. For more information, see interfaces(5).

The loopback network interface

auto lo
iface lo inet loopback

The primary network interface

auto eth0
iface eth0 inet static
address 192.168.0.67
netmask 255.255.255.0
gateway 172.26.0.1
dns-nameservers 192.168.0.67
dns-search clase.org
dns-domain clase.org

En què:

  • adreça: la IP del nostre equip.
  • màscara de xarxa: la mascara de xarxa. En una xarxa petita o d'una casa sol ser aquesta.
  • passarel·la: la porta d'enllaç. Normalment és la IP de l'encaminador que ens dóna la sortida a Internet.
  • dns-nameservers: La ip de servidor DNS. En aquest cas el de servidor, però es pot afegir un segon, per exemple les publiques de google.
  • Les 2 ultimes indiquen el nom de recerca de el domini i el nom de l'domini en si.

Ara hem d'afegir les següents línies a / Etc / hosts:
127.0.0.1 Matrix.clase.org Matrix
192.168.0.67 Matrix.clase.org Matrix

Amb això es resoldrà el nom de domini perquè pugui ser trobat a la xarxa. matriu és el nom que li vaig donar a servidor.

Per últim vam editar /etc/resolv.conf:

nameserver 192.168.0.13

En alguns tutorials que vaig trobar afegien una altra línia nameserver i un parell de variables mes, però en el meu cas m'ha bastat sols una línia.
Ara reiniciem el servei de xarxa i llest:

/etc/init.d/networking restart

Xarxa Manager

Premem amb el botó dret de ratolí sobre la icona de xarxes i seleccionem Edita les connexions. Ens sortiran les xarxes que tinguem configurades, però només ens interessa l'anomenada Xarxa cablejada 1 o com ho hagis nomenat. Fem doble clic sobre ella i ens sortirà una nova finestra i ens anirem a Configuració d'IPv4. En la mètode seleccionem Manual. Ara premem a Afegir i omplim tots els camps:
AC DC Debian - Network Manager


Ara ens anem a la pestanya General i ens assegurem que aquesta marcat Tots els usuaris s'han de connectar a aquesta xarxa. premem en Desar i vam sortir.

Instal·lant Samba 4

En el nostre cas anem a descarregar i compilar Samba 4 des de la seva pàgina pel fet que en Debian només està disponible a través del repositori backports i em va donar problemes de dependències.

Ens dirigim a http://samba.org per descarregar-nos l'ultima versió estable i descomprimim el paquet en alguna carpeta.

L'última versió estable a l'hora d'escriure aquest article és la 4.1.8 per la qual cosa serà amb la qual treballem.

Per compilar necessitarem instal·lar els següents paquets:

apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl

Un cop descarregat i descomprimit obrim una terminal i ens movem fins la carpeta i executem les següents comandes:
./configure --enable-debug
make
make install

La instal·lació per defecte és en  / Usr / local / samba. Si bé admet el paràmetre -prefix = / usr NO ho instal dins de les directoris corresponents (per exemple els binaris no els fica en / Usr / bin)

Ara afegim les noves rutes a l' CAMÍ. En el meu cas en /etc/bash.bashrc perquè s'apliqui a tots els usuaris, root inclòs.

export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin

I també vam crear un enllaç dins de / etc perquè Samba trobi el fitxer de configuració:

ln -s /usr/local/samba/etc/ /etc/samba

Anem ja a configurar el servidor Samba. Per a això executem:

samba-tool domain provision --realm=clase.org --domain=CLASE --adminpass=Contraseña --use-rfc2307

on:

  • -realm: és el nom complet de l'domini.
  • -domain: és el domini. Ha d'estar en majúscules
  • -adminspass: és la contrasenya de l'administrador de la xarxa.
  • -use-rfc2307: per activar AC.

Si tot surt bé després una estoneta Samba acabés de configurar-se. Si voleu conèixer totes les opcions possibles n'hi ha prou amb executar:

samba-tool domain provision -h

Ara anem a editar el fitxer /etc/samba/smb.conf. Per ara el que ens interessa és la següent línia:
dns forwarder = 192.168.0.1

Aquesta línia ha de d'apuntar a l'servidor DNS que ens dóna sortida a Internet (en aquest cas, el router). Samba la presa per defecte de la configuració de la xarxa però és recomanable verificar-ho.

Ara iniciem el servei:

samba

i vam comprovar la connexió executant:

smbclient -L localhost -U%

I si tot esta correcte veurem alguna cosa similar a això:
comprovant que samba aquesta corrent


En cas que ens donés error de connexió verifiquem els passos de el punt anterior. El log de Samba es troba en /usr/local/samba/var/log.samba

Ara anem a copiar el fitxer /usr/local/samba/private/krb5.conf a / etc. Ara anem a comprovar que ens podem connectar:

kinit administrator@CLASE.ORG

ull, El domini ha d'escriure en majúscules.

Tot seguit ens demanarà la contrasenya de l'usuari (en aquest cas el de l'administrador) i si ens surt un missatge similar a «Warning: Your password will expire in 40 days on Mon juliol 14 13:57:10 2014» és que va sortir correctament.

I fins aquí la primera part de l'tutorial. Ens llegim en el següent.

Ja ho comenti diverses vegades en els comentaris, però ho poso aquí. A causa de que actualment no disposo dels recursos necessaris (només tinc un PC a casa i això el muntanya durant la realització d'un curs) i que fer-ho en maquines virtuals és molest, m'és impossible seguir. Si algú amb els coneixements i l'equip vol continuar amb això, és lliure de fer-ho)

44 comentaris, deixa el teu

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   Lolo va dir

    Molt interessant, sempre vaig voler saber com es feia això.

    És possible fer-ho usant SSH en comptes de Samba?

    Tinc entès que és molt més ràpid i segur.

    1.    Claudi Concepcio va dir

      Benvolgut Lolo, això és impossible, ja que SSH permet una sessió (i altres coses, com transferir arxius i aplicacions) a través del terminal entre ordinadors amb GNU Linux. Mentre Samba el que constitueix una alternativa per a GNU Linux de sistema d'Active Directory de Microsoft.

      Són Link el que ha fet és un controlador de domini en GNU Linux.

  2.   Antonio va dir

    Molt bon Estatut. Ve genial per a gent com jo que estem una mica verds en això. moltes gràcies

  3.   Claudi Concepcio va dir

    Gràcies! Excel·lent guia. A provar ...

  4.   adiazc87 va dir

    Gràcies amic, molt bona la teva guia espere la segona part, per cert ho has fet treballar amb un ldap ??

    Salutacions.

  5.   Sebastian va dir

    Molt interessant, quedo esperant la continuació. Gràcies. ^ _ ^

    PD: Crec que hi ha un petit error de transcripció en la configuració de / etc / network / interfaces, diu dns-domian quan em sembla que ha d'anar dns-domain.

  6.   wilson ruiz va dir

    M'ha semblat molt interessant aquest article. Ja que tot just estic en procés d'aprenentatge i no tinc molts coneixements en aquesta matèria i vull aprendre més sobre gestiona i administració de sistemes operatius.

  7.   eliotime3000 va dir

    ¿Això serveix per fer carpetes compartides en Debian o simplement va per un altre tutorial aquest aspecte?

  8.   Gonzalo va dir

    Hi ha una distribució Linux anomenada Resara Server basada en Ubuntu que serveix exclusivament per aixecar un controlador de domini, jo ho vaig provar i és molt fàcil d'utilitzar, vaig poder unir equips a l'domino amb aquest servidor, deixo aquí el howto, potser a algú li serveixi - http://ostechnix.wordpress.com/2012/12/31/resara-server-an-alternative-opensource-linux-domain-controller-for-windows-active-directory-controller/

    1.    ILAV va dir

      Oh !!! Genial, l'aportació del dia .. Gràcies 😉

      1.    Gonzalo va dir

        You'r welcome! 😀

    2.    The_Mastersok va dir

      Gràcies per compartir !!!
      Salutacions

  9.   oscar va dir

    Excel·lent tutorial, estaré a l'espera de la resta. Recordo quan instal·li un PDF en havien de 6 amb samba 3 i ldap. Funcionava però havia de fer servir les plantilles .pol per editar les directives. En aquest cas com s'administren aquestes directives?

  10.   Mario Guillermo Zavala Silva va dir

    Excel·lent la informació ... Gràcies per aquesta ...

    SALUTACIONS !!!

  11.   Cesar va dir

    Exelente .... estic bastant interessat en això ....... per a quan la segona part ??? o si tens algun manual d'això fes-m'ho arribar per email ... porfa !!!! gràcies

  12.   The_Mastersok va dir

    Exelente tutorial ....
    espero algun dia posar-ho en pràctica ..
    Salutacions i va esperar la segona part !!!!

  13.   Leandro va dir

    Jo la veritat que vaig fer un cop això, però no aprofundeixi gairebé res ... Vull recomanar / et una eina, no sé si la coneixes o no, tampoc es seves limitacions, però per connectar amb un servidor Active Directory no vaig tenir problema, el probe en una facultat i va funcionar molt bé. El programa es diu likewise, fa el mateix que tot el que vas fer amb Samba, res més que no configures tant, és alguna cosa més resumit, és clar que podis modificar el que necessitis al teu gust 🙂

    Espero que et serveixi! Salutacions

  14.   César va dir

    Molt interessant article, esperés amb ànsies la segona entrega. Va ser una gran sorpresa assabentar-me que és possible gestionar un directori actiu "modern" amb GNU / Linux, recordo haver-ho fet fa moltíssim temps enrere amb un directori actiu tipus NT 4 i va ser una gran desil·lusió no poder-ho emular-quan Microsoft va canviar la "estructura" de seva LDAP al Windows 2000 Server.

    Salutacions des de l'Equador =]

  15.   mmm va dir

    Hola. Moltes gràcies!
    Tinc un parell de dubtes ... per a què serveix exactament el activi directory?
    I d'altra banda, podries ensenyar, si pots, com fer per auditar el que fan els usuaris?
    Salutacions i gràcies.

    Jo per audior vaig implementar això: http://chicheblog.wordpress.com/2011/01/21/como-auditar-la-actividad-de-los-usuarios-en-samba/
    però si pots ampliar-lo, o afegir alguna cosa que coneguis doncs s'agraeix!
    salutacions

  16.   RaulBaca va dir

    Bons Nits, Salutacions des de Perú.
    Tinc una consulta una mica diferent a tot el que s'ha publicat, mira per explicar-te una mica miri tinc aquesta carpeta configurada en arxiu /etc/samba/smb.conf

    [Privat]
    comment = Carpeta Privada
    path = / home / Privat
    read only = yes
    browseable = yes
    convidat ok = no
    public = no
    write list = @comercial, @gestion
    valid users = @comercial, @gestion
    create mask = 0777
    directory mask = 0777

    Ara va la meva consulta tot funciona bé però quan des d'un ordinador em logeo amb l'usuari «pepe» pertanyent a el grup «comercial» i des d'un altre ordinador em logeo amb l'usuari «coco» pertanyent a el grup «gestió», passa el següent que quan crec un arxiu o carpeta des de l'usuari «pepe» i vull esborrar aquest directori o arxiu creat des de l'altra PC amb l'usuari «coco» em diu que no puc xq no tinc privilegis, però el mateix autor si pot esborrar aquest fitxer o directori , alcanzes.

    les carpeta privada es ah creat des de la següent manera:
    chmod -R 777 / home / Privat
    Treballen sota una mateixa xarxa LAN.
    Utilitzo Distro Ubuntu Server 14.xx
    Cal recalcar que el que vull és que aquesta carpeta PRIVADA sigui administrada per 2 a mes usuaris ahi la idea de treballar amb Grups però sembla que hi ha alguna cosa que em aquesta faltant o ometent, espero la seva atenció i quedo atent als seus comentaris.

    1.    Thesaint va dir

      Amic això ho pots aconseguir llevant les comes
      d'aquesta manera.

      write list = @comercial @gestion
      valid users = @comercial @gestion

  17.   Raúl Baca Centeno va dir

    Hola Benvolgut,

    M'agradaria saber si encara segueix en pendent la segona part de el curs, quedo atent als teus comentaris i gràcies.

  18.   Miguel va dir

    Bona tarda, recent avui llegeixo tots els comentari i tinc una màquina a mitja configuració, per tal raó m'assabento que no publiquessis la segona part i vull saber si es pot tenir un executable en una carpeta i diverses taules dbf, per a accedir de diverses computadores .
    Si us plau contestar el mes aviat possible.

  19.   Raul Baca va dir

    Benvolguts,
    Voldria saber si encara està en pendent la segona part d'aquest interessant tutorial, per endavant els agradesco la seva atencio.
    gràcies.

  20.   jaraneda va dir

    Excel·lent tutorial, tant de bo t'animis a la segona part, em podries indicar quines són les eines funcions de control de servidor remot per descarregar-les i provar.

    Salutacions.

  21.   BETO va dir

    Et felicito, i la segona part?

  22.   Daniel Bernal va dir

    Interessant article, has tret la següent versió?

  23.   impost va dir

    Molt bon tutorial, només una pregunta la segona part, com seria o amb aquest tutorial finalitza?

  24.   SARA va dir

    M'AGRADA LA IDEA D'APRENDRE COSES NOVES, GRÀCIES DAVID PER COMPARTIR TEUS CONEIXEMENTS,
    SALUTACIONS

    POSDATA: AL TEMA DE L'APRENENTATGE provaré FER-HO A LA MEVA MÀQUINA VIRTUAL DEBIAN COM SERVIDOR I AMB UN GRUPS DE VIRTUALS CLIENTS, UNA AMB Win7 I UNA ALTRA AMB Win8.

  25.   edgar va dir

    Aquesta guia aquesta incompleta, no especifiques directoris, et deixes coses random, jo ​​si fos tu la repetiria

    1.    ILAV va dir

      O bé podries completar-la i escriure-la tu mateix, amb gust te la publiquem.

  26.   ada tàpia va dir

    com configurar un servidor del debian 5 per a poder connectar-se de manera remota a un xp

  27.   francisco va dir

    hola que tal quan faig:
    root @ pdc: ~ # apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev \ libgnutls-dev libreadline-dev python-dev libpam0g-dev \ python-dnspyth gdb pkg-config libpopt-dev libldap2-dev \ dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2 AC1
    em diu:
    Llegint llistes de paquets ... Fet
    Creació d'un arbre de dependència
    Llegint informació sobre l'estat ... Fet
    Package build-essential no és available, però està referdit per un altre paquet.
    This may pixen that the package is missing, has been obsoleted, or
    només està disponible des d'una altra font
    E: Package build-essential has no installation candidate

    alguna ajuda? gràcies

  28.   anònim va dir

     

    1.    anònim va dir

      no estan configurats els repositoris

  29.   Carlos va dir

    Es que el meu comentari no ho vas a publicar. L'article és bastant dolent, cal dir com es configura kerberos, ja que ho apliques en els requisits. ¿Perquè compilar Samba ?, la versió 4 ja està disponible. Amb la configuració que has posat, el Kinit, et dóna error fix NT_STATUS_DENIED !. Per a tots els interessats en iniciar-se: https://help.ubuntu.com/lts/serverguide/samba-dc.html