Configuración dun servidor Active Directory con Debian e Samba. Primeira parte

Ola a todos. Nesta serie de cursos vou ensinarche a configurar un servidor Active Directory para redes con ordenadores Windows baixo Debian (Se imos configurar un servidor, farémolo correctamente, leña). Nesta primeira entrega explicarei a instalación e configuración do servidor e na segunda ensinarei a usar o ferramentas de administración remota de fiestras 7 e como unir as computadoras ao dominio (o propio Windows 7 e a Windows XP). Máis tarde farei unha terceira entrega aparte de como unirme a equipos con GNU / Linux xa que é algo que aínda non teño que probar.

Esta idea ocorréuseme mentres estaba (ou estaba, depende de cando leu este post) facendo un curso sobre a folga como técnico de reparación de equipos de microordenadores no que creamos un servidor de rede con fiestras 2008 (non RC2) e comecei a buscar se podía implementar o mesmo en GNU / Linux e o resultado é moi bo, ata o meu profesor quedou sorprendido coa velocidade do servidor.

Antes de continuar e seguramente moitos de vós vos preguntades: Que é Active Directory? Ben, é o termo que usa Microsoft para referirse ao seu conxunto de ferramentas para a administración de rede como o servidor DNS, a administración de usuarios de rede, etc.

Necesitaremos o seguinte:

  • Debian na súa rama estable (no meu caso Wheezy 7.5 con XFCE como ambiente de escritorio)
  • Samba 4
  • Un cliente con Windows 7 / 8 / 8.1 co paquete para instalar funcións de control de servidor remoto (necesarias para xestionar o servidor, como compartir un cartafol cos usuarios). Isto explicarase no seguinte tutorial.

Configurando o servidor

Antes de continuar, debemos editar algúns ficheiros para que todo funcione, especialmente para que os ordenadores da rede atopen o servidor de dominio.

O primeiro é darlle un enderezo ao noso servidor IP corrixida. No caso das miñas probas de Debian en Virtualbox uso rede, que é o que vén da base, pero no servidor real configúroo Network Manager, así que vou explicar como se fai en ambos.

Networking

O primeiro ficheiro que editaremos é / etc / network / interfaces.
# This file describes the network interfaces available on your system

e como activalos. Para obter máis información, consulte interfaces (5).

A interface de rede loopback

caralo
iface lo inet loopback

A interface de rede principal

auto eth0
iface eth0 inet estático
enderezo 192.168.0.67
máscara de rede 255.255.255.0
pasarela 172.26.0.1
servidores de nomes dns 192.168.0.67
dns-search class.org
dns-domain class.org
Ser:

  • enderezo: a IP do noso equipo.
  • máscara de rede: a máscara de rede. Nunha pequena rede ou un fogar adoita ser isto.
  • pasarela: a porta de entrada. Normalmente é a IP do enrutador a que nos dá a saída a Internet.
  • servidores de nomes dns: IP do servidor DNS. Neste caso o servidor, pero pode engadir un segundo, por exemplo os públicos de Google.
  • Os 2 últimos indican o nome da busca de dominio e o propio nome de dominio.

Agora debemos engadir as seguintes liñas a / etc / hosts:
127.0.0.1 Matrix.clase.org Matrix
192.168.0.67 Matrix.clase.org Matrix

Con isto, resolverase o nome de dominio para que se poida atopar na rede. matriz é o nome que lle dei ao servidor.

Finalmente editamos /etc/resolv.conf:

nameserver 192.168.0.13

Nalgúns titoriais que atopei engadiron outra liña de servidor de nomes e un par de variables máis, pero no meu caso só unha liña foi suficiente.
Agora reiniciamos o servizo de rede e xa está:

/etc/init.d/networking restart

Network Manager

Fai clic co botón dereito sobre a icona de redes e selecciona Editar conexións. Recibiremos as redes que configuramos, pero só nos interesa a chamada Rede cableada 1 ou como lle nomeou. Facemos dobre clic sobre el e aparecerá unha nova xanela e iremos a Configuración de IPv4. en método seleccionamos manual. Agora fai clic en Engadir e enche todos os campos:
AC DC Debian - Xestor de rede
Agora imos ao separador xeral e asegurámonos de que estea marcado Todos os usuarios deben conectarse a esta rede. Prema en Gardar e marchamos.

Instalación de Samba 4

No noso caso imos descargar e compilar Samba 4 desde a súa páxina porque en Debian só está dispoñible a través do repositorio Portos posteriores e deume problemas de dependencia.

Imos a http://samba.org para descargar a última versión estable e descomprimir o paquete nun cartafol.

A última versión estable no momento de escribir este artigo é 4.1.8 polo que será co que traballemos.

Para compilalo teremos que instalar os seguintes paquetes:

apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl

Unha vez descargado e descomprimido, abrimos un terminal e movémonos ao cartafol e executamos os seguintes comandos:
./configure --enable-debug
make
make install

A instalación predeterminada está en  / usr / local / samba. Aínda que admite o parámetro –prefix = / usr NON instálao nos directorios correspondentes (por exemplo, os binarios non os introducen / usr / bin)

Agora engadimos as novas rutas no PATH. No meu caso en /etc/bash.bashrc para aplicar a todos os usuarios, incluído o root.

export PATH=$PATH:/usr/local/samba/bin:/usr/local/samba/sbin

E tamén creamos unha ligazón dentro / etc para que Samba poida atopar o ficheiro de configuración:

ln -s /usr/local/samba/etc/ /etc/samba

Imos configurar o servidor Samba. Para iso executamos:

samba-tool domain provision --realm=clase.org --domain=CLASE --adminpass=Contraseña --use-rfc2307

onde:

  • –Realm: é o nome de dominio completo.
  • –Dominio: é o dominio. Ten que estar dentro letras maiúsculas
  • –Adminspass: é o contrasinal do administrador de rede.
  • –Use-rfc2307: para activar AC.

Se todo vai ben despois dun tempo Samba rematará de configurar. Se queres coñecer todas as opcións posibles, só tes que executar:

samba-tool domain provision -h

Agora imos editar o ficheiro /etc/samba/smb.conf. Polo de agora o que nos interesa é a seguinte liña:
dns forwarder = 192.168.0.1

Esta liña debe apuntar ao servidor DNS que nos dá acceso a Internet (neste caso, o enrutador). Samba adopta a configuración predeterminada da rede pero recoméndase verificala.

Agora comezamos o servizo:

samba

e comprobamos a conexión executando:

smbclient -L localhost -U%

E se todo é correcto veremos algo semellante a isto:
comprobando que a samba está en execución
No caso de que nos producise un erro de conexión, verificamos os pasos do punto anterior. O rexistro de Samba está en /usr/local/samba/var/log.samba

Agora imos copiar o ficheiro /usr/local/samba/private/krb5.conf a / Etc. Agora imos comprobar que podemos conectarnos:

kinit administrator@CLASE.ORG

Ojo, o dominio ten que ser maiúscula.

Despois pediranos o contrasinal do usuario (neste caso o do administrador) e se recibimos unha mensaxe similar a «Aviso: o teu contrasinal caducará en 40 días o luns 14 de xullo ás 13:57:10 2014» é que saíu correctamente.

E ata agora a primeira parte do tutorial. Lemos no seguinte.

Xa o comentei varias veces nos comentarios, pero púxeno aquí. Debido a que actualmente non teño os recursos necesarios (só teño un PC na casa e monto isto durante un curso) e que facelo en máquinas virtuais é engorroso, é imposible continuar. Se alguén co coñecemento e o equipo quere continuar isto, é libre de facelo)

O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

44 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   Lolo dixo

    Moi interesante, sempre quixen saber como se fixo isto.

    É posible facelo usando SSH en lugar de Samba?

    Entendo que é moito máis rápido e seguro.

    1.    Marcador de posición de Claudio Concepcion dixo

      Querido Lolo, iso é imposible, xa que SSH permite unha sesión (e outras cousas, como transferir ficheiros e aplicacións) a través do terminal entre ordenadores con GNU Linux. Mentres Samba o que constitúe unha alternativa para GNU Linux do sistema Active Directory de Microsoft.

      Son Link o que fixo é un controlador de dominio en GNU Linux.

  2.   Anthony dixo

    Moi bo tuto. É xenial para xente coma min que ten un pouco de verde. Moitas grazas

  3.   Marcador de posición de Claudio Concepcion dixo

    Grazas! Excelente guía. Aprobar…

  4.   adiazc87 dixo

    Grazas amigo, a túa guía é moi boa. Espero que a segunda parte, por certo, fixeches que funcionase cun ldap?

    Saúdos.

  5.   Sebastian dixo

    Moi interesante, estou á espera da continuación. Grazas. ^ _ ^

    PD: Creo que hai un pequeno erro de transcrición na configuración / etc / network / interfaces, di dns-domian cando me parece que debería ir dns-domain.

  6.   Wilson Ruiz dixo

    Pareceume moi interesante este artigo. Dado que estou no proceso de aprendizaxe e non teño moitos coñecementos nesta materia e quero aprender máis sobre a xestión e administración de sistemas operativos.

  7.   eliotime3000 dixo

    É bo para facer cartafoles compartidos en Debian ou só vai a outro tutorial dese xeito?

  8.   Gonzalo dixo

    Hai unha distribución de Linux chamada Resara Server baseada en Ubuntu que se usa exclusivamente para construír un controlador de dominio, intenteino e é moi sinxelo de usar, puiden unir ordenadores ao dominio con ese servidor, deixo aquí o howto , quizais alguén o use - http://ostechnix.wordpress.com/2012/12/31/resara-server-an-alternative-opensource-linux-domain-controller-for-windows-active-directory-controller/

    1.    elav dixo

      Ai !!! Estupendo, a contribución do día .. Grazas 😉

      1.    Gonzalo dixo

        Es Benvido! 😀

    2.    O_Mastersok dixo

      Grazas por compartir!!!
      lembranzas

  9.   oscar dixo

    Excelente tutorial, agardarei o resto. Lembro cando instalei un PDF en Debian 6 con samba 3 e ldap. Funcionou pero tiven que empregar os modelos .pol para editar as directivas. Neste caso, como se administran estas políticas?

  10.   Mario Guillermo Zavala Silva dixo

    Excelente información ... Grazas por isto ...

    ÁNIMOS !!!

  11.   Cesar dixo

    Excelente ... Estou bastante interesado nisto ... para cando a segunda parte ??? ou se tes un manual para isto envíame por correo electrónico ... por favor !!!! grazas

  12.   O_Mastersok dixo

    Excelente tutorial ....
    Espero que algún día o poña en práctica ..
    Un saúdo e esperou a segunda parte !!!!

  13.   Leandro dixo

    A verdade é que fixen isto unha vez, pero non entrei en case nada ... Quero recomendarvos unha ferramenta, non sei se a sabedes ou non, non sei as súas limitacións, pero para conectarme a un servidor de Active Directory non tiven ningún problema, tenteino nunha facultade e funcionou moi ben. O programa chámase Igualmente, fai o mesmo que todo o que fixeches con Samba, nada máis que non configuras tanto, é algo máis resumido, por suposto, podes modificar o que necesites ao teu gusto 🙂

    Espero que isto poida axudarche. Graciñas

  14.   César dixo

    Moi interesante artigo, agardarei a segunda entrega. Foi unha gran sorpresa descubrir que é posible manexar un directorio activo "moderno" con Gnu / Linux, lembro de facelo hai moito tempo cun directorio activo tipo NT 4 e foi unha gran decepción non poder emúlao cando Microsoft cambiou a "estrutura" do seu LDAP en Windows 2000 Server.

    Saúdos desde Ecuador =]

  15.   mmm dixo

    Ola. Moitas grazas!
    Teño un par de preguntas ... para que serve exactamente o directorio activo?
    E por outra banda, ¿podería ensinar, se pode, como auditar o que fan os usuarios?
    Cumprimento e agradecementos.

    Para audior implementei isto: http://chicheblog.wordpress.com/2011/01/21/como-auditar-la-actividad-de-los-usuarios-en-samba/
    Pero se podes amplialo ou engadir algo que sabes, agradécelo.
    lembranzas

  16.   Raúl Baca dixo

    Boas Noites, Saúdos dende Perú.
    Teño unha consulta un pouco diferente de todo o publicado, vexa para explicar un pouco, vexa que teño este cartafol configurado no ficheiro /etc/samba/smb.conf

    [Privado]
    comentario = Cartafol privado
    camiño = / home / privado
    só de lectura = si
    navegable = si
    invitado ok = non
    público = non
    lista de escritura = @comercial, @gestion
    usuarios válidos = @comercial, @gestion
    crear máscara = 0777
    máscara de directorio = 0777

    Agora a miña consulta vai, todo funciona ben, pero cando desde un ordenador inicie sesión co usuario «pepe» pertencente ao grupo «comercial» e desde outro ordenador inicie sesión co usuario «coco» pertencente ao grupo «gestion», o seguinte sucede cando creo un ficheiro ou cartafol do usuario "pepe" e quero eliminar este directorio ou ficheiro creado dende o outro PC co usuario "coco" dime que non podo porque non teño privilexios, pero o mesmo autor pode eliminar este ficheiro ou directorio.

    O cartafol privado creouse do seguinte xeito:
    chmod -R 777 / home / privado
    Traballan baixo a mesma rede LAN.
    Eu uso o Servidor Ubuntu 14.ro Distro
    Hai que ter en conta que o que quero é que esta carpeta PRIVADA sexa xestionada por 2 ou máis usuarios por aí coa idea de traballar con Grupos, pero parece que hai algo que me falta ou que omito, espero a túa atención e sigo atento aos teus comentarios.

    1.    O santo dixo

      Amigo que podes conseguir eliminando as comas
      deste xeito.

      lista de escritura = @comercial @gestion
      usuarios válidos = @comercial @gestion

  17.   Raúl Baca Centeno dixo

    Ola querida,

    Gustaríame saber se a segunda parte do curso aínda está pendente, estou atento aos teus comentarios e grazas.

  18.   Miguel dixo

    Boas tardes, hoxe mesmo lin todos os comentarios e teño unha máquina semiconfigurada, por este motivo decátome de que non publicarás a segunda parte e quero saber se podes ter un executable nun cartafol e varios dbf táboas, para acceder desde varios ordenadores.
    Responda canto antes.

  19.   Raúl Baca dixo

    Querido,
    Gustaríame saber se a segunda parte deste interesante tutorial aínda está pendente, agradézolle de antemán a súa atención.
    Grazas.

  20.   xaneda dixo

    Excelente tutorial, espero que anime a segunda parte, podería dicirme cales son as ferramentas de control remoto do servidor para descargalas e probalas.

    Saúdos.

  21.   BETO dixo

    Felicítote e a segunda parte?

  22.   Daniel Bernal dixo

    Interesante artigo, lanzaches a seguinte versión?

  23.   recadación dixo

    Moi bo tutorial, só unha pregunta a segunda parte, como sería ou con este tutorial remata?

  24.   SARA dixo

    GÚSTAME A IDEA DE APRENDER COUSAS NOVAS, GRAZAS DAVID POR COMPARTIR O SEU COÑECEMENTO,
    Saúdos

    POSCTRIPTO: EN MATERIA DE APRENDIZAXEI TENTAREI FACELO NA DEBIANA MÁQUINA VIRTUAL COMO SERVIDOR E CON GRUPOS DE CLIENTES VIRTUAIS, UN CON WIN7 E OUTRO CON WIN8.

  25.   Edgar dixo

    Esta guía está incompleta, non especifica directorios, deixa as cousas aleatoriamente, se eu fose vostede repetiríaa

    1.    elav dixo

      Ou podes completalo e escribilo ti mesmo, encantado publicarémolo por ti.

  26.   muro de ada dixo

    como configurar un servidor en debian 5 para poder conectarse remotamente a un xp

  27.   Francisco dixo

    ola que tal cando o fago:
    root @ pdc: ~ # apt-get install build-essential libacl1-dev libattr1-dev libblkid-dev \ libgnutls-dev libreadline-dev python-dev libpam0g-dev \ python-dnspyth gdb pkg-config libpopt-dev libldap2-dev \ dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2 ac1
    dime:
    Ler listas de paquetes ... Feito
    Construíndo árbore de dependencia
    Lectura da información do estado ... Feito
    O paquete build-essential non está dispoñible, pero o fai referencia outro paquete.
    Isto pode significar que falta o paquete, está obsoleto ou
    só está dispoñible noutra fonte
    E: o paquete build-essential non ten ningún candidato á instalación

    algunha axuda? grazas

  28.   Anónimo dixo

     

    1.    Anónimo dixo

      os repositorios non están configurados

  29.   Carlos dixo

    Sei que non vas publicar o meu comentario. O artigo está bastante mal, non fai falta dicir como está configurado kerberos, xa que o aplicas nos requisitos. Por que compilar Samba? A versión 4 xa está dispoñible. Coa configuración que configurou, Kinit dálle un erro fixo NT_STATUS_DENIED. Para todos aqueles interesados ​​en comezar: https://help.ubuntu.com/lts/serverguide/samba-dc.html