3.5. Configuración de Samba como servidor miembro del dominio AD

Procedimiento

1. Si su AD requiere el tipo de cifrado RC4 obsoleto para la autenticación Kerberos, habilite el soporte para estos cifrados en RHEL:

   # update-crypto-policies --set DEFAULT:AD-SUPPORT

2. Instale los siguientes paquetes:

   # yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator

3. Para compartir directorios o impresoras en el miembro del dominio, instale el paquete samba:

   # yum install samba

4. Realice una copia de seguridad del archivo de configuración de Samba existente en /etc/samba/smb.conf:

   # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak

5. Únase al dominio. Por ejemplo, para unirse a un dominio llamado ad.example.com:

   # realm join --membership-software=samba --client-software=winbind ad.example.com

   Utilizando el comando anterior, la utilidad realm automáticamente:

   • Crea un archivo /etc/samba/smb.conf para un miembro del dominio ad.example.com
   • Añade el módulo winbind para la búsqueda de usuarios y grupos en el archivo /etc/nsswitch.conf
   • Actualiza los archivos de configuración del Pluggable Authentication Module (PAM) en el directorio /etc/pam.d/
   • Inicia el servicio winbind y permite que el servicio se inicie al arrancar el sistema
6. Opcionalmente, establezca un back end de mapeo de ID alternativo o ajustes de mapeo de ID personalizados en el archivo /etc/samba/smb.conf. Para más detalles, consulte Sección 3.4, “Comprender y configurar la asignación de ID de Samba”.

7. Compruebe que el servicio winbind está en funcionamiento:

   # systemctl status winbind
   ...
      Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago

   Importante

   Para que Samba pueda consultar la información de los usuarios y grupos del dominio, el servicio winbind debe estar funcionando antes de iniciar smb.

8. Si ha instalado el paquete samba para compartir directorios e impresoras, active e inicie el servicio smb:

   # systemctl enable --now smb

9. Opcionalmente, si está autenticando inicios de sesión locales en Active Directory, habilite el complemento winbind_krb5_localauth. Véase Sección 3.5.2, “Uso del complemento de autorización local para MIT Kerberos”.

Pasos de verificación

1. Muestra los detalles de un usuario AD, como la cuenta de administrador AD en el dominio AD:

   # getent passwd "AD\administrator"
   AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash

2. Consultar los miembros del grupo de usuarios del dominio en el dominio AD:

   # getent group "AD\Domain Users"
       AD\domain users:x:10000:user1,user2

3. Opcionalmente, verifique que puede utilizar los usuarios y grupos del dominio cuando establezca los permisos de los archivos y directorios. Por ejemplo, para establecer el propietario del archivo /srv/samba/example.txt como AD\administrator y el grupo como AD\Domain Users:

   # chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt

4. Verifique que la autenticación Kerberos funciona como se espera:

   1. En el miembro del dominio AD, obtenga un ticket para la entidad de crédito administrator@AD.EXAMPLE.COM:

      # kinit administrator@AD.EXAMPLE.COM

   2. Muestra el ticket de Kerberos en caché:

      # klist
      Ticket cache: KCM:0
      Default principal: administrator@AD.EXAMPLE.COM
      
      Valid starting       Expires              Service principal
      01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
              renew until 08.11.2018 05:00:00

5. Muestra los dominios disponibles:

   # wbinfo --all-domains
   BUILTIN
   SAMBA-SERVER
   AD