3.5. Configuración de Samba como servidor miembro del dominio AD
Si está ejecutando un dominio AD o NT4, utilice Samba para añadir su servidor Red Hat Enterprise Linux como miembro del dominio para obtener lo siguiente:
- Acceder a los recursos del dominio en otros miembros del dominio
-
Autenticar a los usuarios del dominio en los servicios locales, como
sshd
- Compartir directorios e impresoras alojados en el servidor para actuar como servidor de archivos e impresión
3.5.1. Unir un sistema RHEL a un dominio AD
Esta sección describe cómo unir un sistema Red Hat Enterprise Linux a un dominio AD utilizando realmd
para configurar Samba Winbind.
Procedimiento
Si su AD requiere el tipo de cifrado RC4 obsoleto para la autenticación Kerberos, habilite el soporte para estos cifrados en RHEL:
#
update-crypto-policies --set DEFAULT:AD-SUPPORT
Instale los siguientes paquetes:
#
yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator
Para compartir directorios o impresoras en el miembro del dominio, instale el paquete
samba
:#
yum install samba
Realice una copia de seguridad del archivo de configuración de Samba existente en
/etc/samba/smb.conf
:#
mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
Únase al dominio. Por ejemplo, para unirse a un dominio llamado
ad.example.com
:#
realm join --membership-software=samba --client-software=winbind ad.example.com
Utilizando el comando anterior, la utilidad
realm
automáticamente:-
Crea un archivo
/etc/samba/smb.conf
para un miembro del dominioad.example.com
-
Añade el módulo
winbind
para la búsqueda de usuarios y grupos en el archivo/etc/nsswitch.conf
-
Actualiza los archivos de configuración del Pluggable Authentication Module (PAM) en el directorio
/etc/pam.d/
-
Inicia el servicio
winbind
y permite que el servicio se inicie al arrancar el sistema
-
Crea un archivo
-
Opcionalmente, establezca un back end de mapeo de ID alternativo o ajustes de mapeo de ID personalizados en el archivo
/etc/samba/smb.conf
. Para más detalles, consulte Sección 3.4, “Comprender y configurar la asignación de ID de Samba”. Compruebe que el servicio
winbind
está en funcionamiento:#
systemctl status winbind
... Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s agoImportantePara que Samba pueda consultar la información de los usuarios y grupos del dominio, el servicio
winbind
debe estar funcionando antes de iniciarsmb
.Si ha instalado el paquete
samba
para compartir directorios e impresoras, active e inicie el serviciosmb
:#
systemctl enable --now smb
-
Opcionalmente, si está autenticando inicios de sesión locales en Active Directory, habilite el complemento
winbind_krb5_localauth
. Véase Sección 3.5.2, “Uso del complemento de autorización local para MIT Kerberos”.
Pasos de verificación
Muestra los detalles de un usuario AD, como la cuenta de administrador AD en el dominio AD:
#
getent passwd "AD\administrator"
AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bashConsultar los miembros del grupo de usuarios del dominio en el dominio AD:
#
getent group "AD\Domain Users"
AD\domain users:x:10000:user1,user2Opcionalmente, verifique que puede utilizar los usuarios y grupos del dominio cuando establezca los permisos de los archivos y directorios. Por ejemplo, para establecer el propietario del archivo
/srv/samba/example.txt
comoAD\administrator
y el grupo comoAD\Domain Users
:#
chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
Verifique que la autenticación Kerberos funciona como se espera:
En el miembro del dominio AD, obtenga un ticket para la entidad de crédito
administrator@AD.EXAMPLE.COM
:#
kinit administrator@AD.EXAMPLE.COM
Muestra el ticket de Kerberos en caché:
#
klist
Ticket cache: KCM:0 Default principal: administrator@AD.EXAMPLE.COM Valid starting Expires Service principal 01.11.2018 10:00:00 01.11.2018 20:00:00 krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM renew until 08.11.2018 05:00:00
Muestra los dominios disponibles:
#
wbinfo --all-domains
BUILTIN SAMBA-SERVER AD
Recursos adicionales
- Si no desea utilizar los cifrados RC4 obsoletos, puede activar el tipo de cifrado AES en AD. Consulte Sección 3.6.2, “Habilitación del tipo de cifrado AES en Active Directory mediante un GPO”. Tenga en cuenta que esto puede tener un impacto en otros servicios de su AD.
-
Para más detalles sobre la utilidad
realm
, consulte la página de manualrealm(8)
.