User Tools

Site Tools


linux:linuxdomain

Uniendo Ubuntu al dominio

Solución probada en la Ubuntu 18.04

Sobre realmd and sssd

El servicio realmd es desarrollado por el proyecto freedesktop.org como una capa de abstracción en otros servidores de autenticación como winbind y sssd. El servicio sssd es desarrollado por RedHat Inc y es uno de los componentes de su suite FreeIPA. Puede reemplazar efectivamente winbind en varios escenarios.

En este ejemplo tomados como dominio a uclv.edu.cu y dos controladores de dominio: 10.12.1.50 y 10.12.1.51 y como nombre de la estación de trabajo: UBUNTU-PC.

Prerequisitos

Tener instalado un Ubutu 18.04 (32 o 64 bit) en una PC física o virtual y todos las actualizaciones aplicadas.

Asegúrese que la máquina que va a adicionar al dominio tiene acceso a los controladores de dominio:

dig -t SRV _ldap._tcp.uclv.edu.cu | grep -A2 "ANSWER SECTION"
;; ANSWER SECTION:
_ldap._tcp.uclv.edu.cu. 600     IN      SRV     0 100 389 idu.uclv.edu.cu.
_ldap._tcp.uclv.edu.cu. 600     IN      SRV     0 100 389 ido.uclv.edu.cu.

Verifique también la disponibilidad de los controladores de dominio:

fping idu.uclv.edu.cu ido.uclv.edu.cu
idu.uclv.edu.cu is alive
ido.uclv.edu.cu is alive

Instalando paquetes necesarios

Es necesario instalar los siguientes paquetes:

apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp krb5-user libpam-krb5 libpam-ccreds auth-client-config

El gestor de paquetes le preguntará durante el proceso de instalación por el realm de kerberos. Escriba en mayúsculas: UCLV.EDU.CU, seleccione OK y presione ENTER para continuar.

Al finalizar edite el fichero /etc/krb5.conf, debe quedar de la siguiente forma:

[libdefaults]
        default_realm = UCLV.EDU.CU
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        **rdns = false**
[realms]
        UCLV.EDU.CU = {
                kdc = 10.12.1.50
                admin_server = 10.12.1.51
                default_domian = uclv.edu.cu
        }
...
        

Ajustar la hora

Para simplificar las cosas, es conveniente adicionar las siguientes líneas en /etc/hosts, de esta forma todos las peticiones a los servidores de tiempo de Ubuntu serán redireccionadas a nuestros controladores de dominio, que a su vez son servidores de tiempo. Puede redireccionar los pedidos a su servidor de tiempo.

nano /etc/hosts
10.12.1.50 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org
10.12.1.51 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org

Configurar realmd

Cree un nuevo fichero /etc/realmd.conf con lo siguiente:

[users]
default-home = /home/%D/%U
default-shell = /bin/bash
[active-directory]
default-client = sssd
os-name = Ubuntu Desktop Linux
os-version = 18.04
[service]
automatic-install = no
[uclv.edu.cu]
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no

Adicionar la PC al dominio

Pruebe que todo va sin problemas

kinit user.domain
Password for user.domain@UCLV.EDU.CU

Adicione su PC al dominio

realm --verbose join uclv.edu.cu --user=user.domain

user.domin - es un usuario con permisos para adicionar computadoras al dominio

Configurando SSSD

Cuando usamos realmd para unir la máquina en el dominio, también se crea la configuración de sssd en el archivo /etc/sssd/sssd.conf.

[sssd]
domains = uclv.edu.cu
config_file_version = 2
services = nss, pam

[domain/uclv.edu.cu]
ad_domain = uclv.edu.cu
krb5_realm = UCLV.EDU.CU
realmd_tags = joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%d/%u
simple_allow_users = $
#access_provider = simple
access_provider = ad

Se debe reiniciar el servicio

service sssd restart

Autocreación del HOME para nuevos usuarios

Adicione el módulo pam_mkhomedir pam en /etc/pam.d/common-session

session required pam_unix.so
session optional pam_winbind.so
session optional pam_sss.so
session optional pam_systemd.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
# end of pam-auth-update config

Verificar la resolución de los nombres de usuario del dominio

Para hacer la verificación se debe hacer lo siguiente:

id domainuser

Para terminar. Reinicie la PC.

linux/linuxdomain.txt · Last modified: 2020/04/10 17:38 (external edit)