Línea 8: | Línea 8: | ||
Utilizamos winbind para autenticarse en el dominio Windows y libpam-mount para montar los recursos compartidos del dominio automáticamente. | Utilizamos winbind para autenticarse en el dominio Windows y libpam-mount para montar los recursos compartidos del dominio automáticamente. | ||
− | + | apt-get install winbind | |
− | + | apt-get install libpam-mount | |
==Configuración de Windbind en nsswitch.conf== | ==Configuración de Windbind en nsswitch.conf== | ||
Línea 40: | Línea 40: | ||
*/etc/pam.d/common-auth | */etc/pam.d/common-auth | ||
− | + | auth required pam_mount.so | |
− | auth required pam_mount.so | + | |
auth sufficient /lib/security/pam_winbind.so use_first_pass | auth sufficient /lib/security/pam_winbind.so use_first_pass | ||
auth required pam_unix.so nullok_secure use_first_pass | auth required pam_unix.so nullok_secure use_first_pass | ||
Línea 48: | Línea 47: | ||
session required pam_unix.so nullok_secure | session required pam_unix.so nullok_secure | ||
session required pam_mkhomedir.so skel=/etc/skel umask=0022 | session required pam_mkhomedir.so skel=/etc/skel umask=0022 | ||
− | |||
session optional pam_mount.so | session optional pam_mount.so | ||
Línea 116: | Línea 114: | ||
Una vez que se completa la configuración de samba, hay que agregar la máquina al dominio: | Una vez que se completa la configuración de samba, hay que agregar la máquina al dominio: | ||
Primero reiniciamos el samba y el winbind : | Primero reiniciamos el samba y el winbind : | ||
− | + | invoke-rc.d samba restart | |
− | + | invoke-rc.d winbind restart | |
Y después lo agregamos al dominio: | Y después lo agregamos al dominio: | ||
− | + | net join -U administrador dominio | |
− | Nos va a pedir el password de administrador del dominio lo introducimos y LISTO, estamos dentro del dominio, hacer un "getent passwd" desde la linea de comando para comprobar que devuelva la lista de los usuarios del dominio | + | Nos va a pedir el password de administrador del dominio lo introducimos y LISTO, estamos dentro del dominio, hacer un "getent passwd" desde la linea de comando para comprobar que devuelva la lista de los usuarios del dominio. |
+ | |||
+ | Para que poder loguearnos con gdm con estos usuarios debemos reiniciar gdm | ||
+ | invoke-rc.d gdm restart | ||
+ | |||
== | == |
La idea de este documento es explicar paso a paso la manera en que podemos integrar máquinas con GNU/Linux Lihuen a un entorno de dominio Windows preexistente, de manera de que los usuarios puedan utilizar los recursos del mismo. Más concretamente, la posibilidad de autenticarse centralizadamente de manera que puedan utilizar cualquier estación de trabajo utilizando el mismo usuario y contraseña que en windows, acceder a los discos compartidos y utilizar las impresoras del dominio, siempre con los permisos definidos para ese usuario.
Utilizamos winbind para autenticarse en el dominio Windows y libpam-mount para montar los recursos compartidos del dominio automáticamente.
apt-get install winbind apt-get install libpam-mount
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: files winbind group: files winbind shadow: compat hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Hay que modificar los siguientes archivos
account sufficient pam_winbind.so account required pam_unix.so
auth required pam_mount.so auth sufficient /lib/security/pam_winbind.so use_first_pass auth required pam_unix.so nullok_secure use_first_pass
session required pam_unix.so nullok_secure session required pam_mkhomedir.so skel=/etc/skel umask=0022 session optional pam_mount.so
Modificamos el archivo /etc/security/pam_mount.conf
Para montar automáticamente los archivos compartidos del dominio una vez que los usuarios se loguean y desmontarlos una vez que se desloguean del sistema:
La configuración en este archivo dependerá de que es lo que queremos montar. A continuación un ejemplo común. Modificar el archivo
<?xml version="1.0" encoding="UTF-8"?> <pam_mount> <volume options="dmask=0750,workgroup=NOMBREDELDOMINIO" user="*" mountpoint="/home/%(USER)/Desktop/Usuario" path="%(USER)" server="IP_DEL_SERVIDOR" fstype="cifs" /> </pam_mount>
"/home/%(USER)/Desktop/Usuario" corresponde al punto donde se van a montar los archivos del usuario.
"%(USER)" en el campo path significa que busque el recurso que se llama como el nombre de usuario
Modificar en el archivo original de configuración de samba /etc/samba/smb.conf los siguientes parámetros y dejar el resto como está
[global] idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash template homedir = /home/%U workgroup = NOMBREDELDOMINIO winbind enum groups = yes winbind enum users = yes winbind separator = + winbind use default domain = yes winbind cache time = 10 domain master = no security = domain printing = cups printcap name = cups
Algunos comentarios
Rango de uids usados para los usuarios del dominio
Rango de gids usados para los usuarios del dominio
Directorio home de los usuarios (%U es reemplazado por el nombre de usuario y %D por el nombre de dominio)
Dominio por defecto
Separador entre el nombre de dominio y el nombre de usuario, por ejemplo en el dominio VENTAS el usuario carlos debería loguearse como: VENTAS+carlos
Si el usuario no se loguea como DOMINIO+nombreDeUsuario busca nombreDeUsuario en el dominio por defecto
Tiempo que se conservan los datos en cache
Aclara que no es un controlador de dominio
Especifica que hay un servidor de passwords
Una vez que se completa la configuración de samba, hay que agregar la máquina al dominio: Primero reiniciamos el samba y el winbind :
invoke-rc.d samba restart invoke-rc.d winbind restart
Y después lo agregamos al dominio:
net join -U administrador dominio
Nos va a pedir el password de administrador del dominio lo introducimos y LISTO, estamos dentro del dominio, hacer un "getent passwd" desde la linea de comando para comprobar que devuelva la lista de los usuarios del dominio.
Para que poder loguearnos con gdm con estos usuarios debemos reiniciar gdm
invoke-rc.d gdm restart
==
Por defecto vmware utiliza su propia configuración de PAM para las sesiones remotas, para poder utilizar el nombre de usuario y contraseña del dominio en un vmware server que resida en la máquina unida al dominio hay que modificar esta configuración para que quede como se detalla a continuación
#%PAM-1.0 @include common-auth @include common-account
http://foss.stat.unipd.it/mediawiki/index.php/Debian_Client_in_a_Samba_Domain
http://us1.samba.org/samba/docs/man/manpages-3/winbindd.8.html
http://www.geocities.com/wronski12/posix_ipc/index.html
http://www.kernel.org/pub/linux/libs/pam/modules.html
Ante cualquier duda o inconveniente no dudes en escribirnos un email a soportelihuen arroba linti.unlp.edu.ar (Sin los espacios) O visitar nuestros Foros. http://lihuen.linti.unlp.edu.ar/foros