====== Uniendo Ubuntu al dominio ======
Solución probada en la Ubuntu 18.04
====== Sobre realmd and sssd ======
El servicio realmd es desarrollado por el proyecto freedesktop.org como una capa de abstracción en otros servidores de autenticación como **winbind** y **sssd**. El servicio sssd es desarrollado por RedHat Inc y es uno de los componentes de su suite FreeIPA. Puede reemplazar efectivamente winbind en varios escenarios.
En este ejemplo tomados como dominio a uclv.edu.cu y dos controladores de dominio: 10.12.1.50 y 10.12.1.51 y como nombre de la estación de trabajo: UBUNTU-PC.
====== Prerequisitos ======
Tener instalado un Ubutu 18.04 (32 o 64 bit) en una PC física o virtual y todos las actualizaciones aplicadas.
Asegúrese que la máquina que va a adicionar al dominio tiene acceso a los controladores de dominio:
dig -t SRV _ldap._tcp.uclv.edu.cu | grep -A2 "ANSWER SECTION"
;; ANSWER SECTION:
_ldap._tcp.uclv.edu.cu. 600 IN SRV 0 100 389 idu.uclv.edu.cu.
_ldap._tcp.uclv.edu.cu. 600 IN SRV 0 100 389 ido.uclv.edu.cu.
Verifique también la disponibilidad de los controladores de dominio:
fping idu.uclv.edu.cu ido.uclv.edu.cu
idu.uclv.edu.cu is alive
ido.uclv.edu.cu is alive
====== Instalando paquetes necesarios ======
Es necesario instalar los siguientes paquetes:
apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp krb5-user libpam-krb5 libpam-ccreds auth-client-config
El gestor de paquetes le preguntará durante el proceso de instalación por el realm de kerberos. Escriba en mayúsculas: UCLV.EDU.CU, seleccione OK y presione ENTER para continuar.
Al finalizar edite el fichero /etc/krb5.conf, debe quedar de la siguiente forma:
[libdefaults]
default_realm = UCLV.EDU.CU
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
**rdns = false**
[realms]
UCLV.EDU.CU = {
kdc = 10.12.1.50
admin_server = 10.12.1.51
default_domian = uclv.edu.cu
}
...
====== Ajustar la hora ======
Para simplificar las cosas, es conveniente adicionar las siguientes líneas en /etc/hosts, de esta forma todos las peticiones a los servidores de tiempo de Ubuntu serán redireccionadas a nuestros controladores de dominio, que a su vez son servidores de tiempo. Puede redireccionar los pedidos a su servidor de tiempo.
nano /etc/hosts
10.12.1.50 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
10.12.1.51 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
====== Configurar realmd ======
Cree un nuevo fichero /etc/realmd.conf con lo siguiente:
[users]
default-home = /home/%D/%U
default-shell = /bin/bash
[active-directory]
default-client = sssd
os-name = Ubuntu Desktop Linux
os-version = 18.04
[service]
automatic-install = no
[uclv.edu.cu]
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no
====== Adicionar la PC al dominio ======
Pruebe que todo va sin problemas
kinit user.domain
Password for user.domain@UCLV.EDU.CU
Adicione su PC al dominio
realm --verbose join uclv.edu.cu --user=user.domain
user.domin - es un usuario con permisos para adicionar computadoras al dominio
====== Configurando SSSD ======
Cuando usamos **realmd** para unir la máquina en el dominio, también se crea la configuración de sssd en el archivo **/etc/sssd/sssd.conf**.
[sssd]
domains = uclv.edu.cu
config_file_version = 2
services = nss, pam
[domain/uclv.edu.cu]
ad_domain = uclv.edu.cu
krb5_realm = UCLV.EDU.CU
realmd_tags = joined-with-adcli
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
simple_allow_users = $
#access_provider = simple
access_provider = ad
Se debe reiniciar el servicio
service sssd restart
====== Autocreación del HOME para nuevos usuarios ======
Adicione el módulo pam_mkhomedir pam en /etc/pam.d/common-session
session required pam_unix.so
session optional pam_winbind.so
session optional pam_sss.so
session optional pam_systemd.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
# end of pam-auth-update config
====== Verificar la resolución de los nombres de usuario del dominio ======
Para hacer la verificación se debe hacer lo siguiente:
id domainuser
Para terminar. Reinicie la PC.