This shows you the differences between two versions of the page.
linux:linuxdomain [2020/03/06 05:59] miriel@uclv created |
linux:linuxdomain [2020/04/10 17:38] |
||
---|---|---|---|
Line 1: | Line 1: | ||
- | ====== Uniendo Ubuntu al dominio ====== | ||
- | Solución probada en la Ubuntu 18.04 | ||
- | |||
- | ====== Sobre realmd and sssd ====== | ||
- | El servicio realmd es desarrollado por el proyecto freedesktop.org como una capa de abstracción en otros servidores de autenticación como **winbind** y **sssd**. El servicio sssd es desarrollado por RedHat Inc y es uno de los componentes de su suite FreeIPA. Puede reemplazar efectivamente winbind en varios escenarios. | ||
- | |||
- | En este ejemplo tomados como dominio a uclv.edu.cu y dos controladores de dominio: 10.12.1.50 y 10.12.1.51 y como nombre de la estación de trabajo: UBUNTU-PC. | ||
- | |||
- | ====== Prerequisitos ====== | ||
- | Tener instalado un Ubutu 18.04 (32 o 64 bit) en una PC física o virtual y todos las actualizaciones aplicadas. | ||
- | |||
- | Asegúrese que la máquina que va a adicionar al dominio tiene acceso a los controladores de dominio: | ||
- | |||
- | <code> | ||
- | dig -t SRV _ldap._tcp.uclv.edu.cu | grep -A2 "ANSWER SECTION" | ||
- | </code> | ||
- | |||
- | <code> | ||
- | ;; ANSWER SECTION: | ||
- | _ldap._tcp.uclv.edu.cu. 600 IN SRV 0 100 389 idu.uclv.edu.cu. | ||
- | _ldap._tcp.uclv.edu.cu. 600 IN SRV 0 100 389 ido.uclv.edu.cu. | ||
- | </code> | ||
- | |||
- | Verifique también la disponibilidad de los controladores de dominio: | ||
- | <code> | ||
- | fping idu.uclv.edu.cu ido.uclv.edu.cu | ||
- | </code> | ||
- | |||
- | <code> | ||
- | idu.uclv.edu.cu is alive | ||
- | ido.uclv.edu.cu is alive | ||
- | |||
- | </code> | ||
- | |||
- | ====== Instalando paquetes necesarios ====== | ||
- | Es necesario instalar los siguientes paquetes: | ||
- | <code> | ||
- | apt-get -y install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp krb5-user libpam-krb5 libpam-ccreds auth-client-config | ||
- | </code> | ||
- | |||
- | El gestor de paquetes le preguntará durante el proceso de instalación por el realm de kerberos. Escriba en mayúsculas: UCLV.EDU.CU, seleccione OK y presione ENTER para continuar. | ||
- | |||
- | Al finalizar edite el fichero /etc/krb5.conf, debe quedar de la siguiente forma: | ||
- | |||
- | <code> | ||
- | [libdefaults] | ||
- | default_realm = UCLV.EDU.CU | ||
- | kdc_timesync = 1 | ||
- | ccache_type = 4 | ||
- | forwardable = true | ||
- | proxiable = true | ||
- | **rdns = false** | ||
- | [realms] | ||
- | UCLV.EDU.CU = { | ||
- | kdc = 10.12.1.50 | ||
- | admin_server = 10.12.1.51 | ||
- | default_domian = uclv.edu.cu | ||
- | } | ||
- | ... | ||
- | | ||
- | </code> | ||
- | |||
- | ====== Ajustar la hora ====== | ||
- | Para simplificar las cosas, es conveniente adicionar las siguientes líneas en /etc/hosts, de esta forma todos las peticiones a los servidores de tiempo de Ubuntu serán redireccionadas a nuestros controladores de dominio, que a su vez son servidores de tiempo. Puede redireccionar los pedidos a su servidor de tiempo. | ||
- | |||
- | <code> | ||
- | nano /etc/hosts | ||
- | </code> | ||
- | |||
- | <code> | ||
- | 10.12.1.50 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org | ||
- | 10.12.1.51 0.ubuntu.pool.ntp.org 1.ubuntu.pool.ntp.org 2.ubuntu.pool.ntp.org 3.ubuntu.pool.ntp.org | ||
- | </code> | ||
- | |||
- | ====== Configurar realmd ====== | ||
- | Cree un nuevo fichero /etc/realmd.conf con lo siguiente: | ||
- | |||
- | <code> | ||
- | [users] | ||
- | default-home = /home/%D/%U | ||
- | default-shell = /bin/bash | ||
- | [active-directory] | ||
- | default-client = sssd | ||
- | os-name = Ubuntu Desktop Linux | ||
- | os-version = 18.04 | ||
- | [service] | ||
- | automatic-install = no | ||
- | [uclv.edu.cu] | ||
- | fully-qualified-names = no | ||
- | automatic-id-mapping = yes | ||
- | user-principal = yes | ||
- | manage-system = no | ||
- | |||
- | </code> | ||
- | |||
- | ====== Adicionar la PC al dominio ====== | ||
- | Pruebe que todo va sin problemas | ||
- | |||
- | <code> | ||
- | kinit user.domain | ||
- | Password for user.domain@UCLV.EDU.CU | ||
- | </code> | ||
- | |||
- | Adicione su PC al dominio | ||
- | |||
- | <code> | ||
- | realm --verbose join uclv.edu.cu --user=user.domain | ||
- | <code> | ||
- | |||
- | user.domin - es un usuario con permisos para adicionar computadoras al dominio | ||
- | |||
- | ====== Configurando SSSD ====== | ||
- | |||
- | Cuando usamos **realmd** para unir la máquina en el dominio, también se crea la configuración de sssd en el archivo **/etc/sssd/sssd.conf**. | ||
- | |||
- | <code> | ||
- | [sssd] | ||
- | domains = uclv.edu.cu | ||
- | config_file_version = 2 | ||
- | services = nss, pam | ||
- | |||
- | [domain/uclv.edu.cu] | ||
- | ad_domain = uclv.edu.cu | ||
- | krb5_realm = UCLV.EDU.CU | ||
- | realmd_tags = joined-with-adcli | ||
- | cache_credentials = True | ||
- | id_provider = ad | ||
- | krb5_store_password_if_offline = True | ||
- | default_shell = /bin/bash | ||
- | ldap_id_mapping = True | ||
- | use_fully_qualified_names = False | ||
- | fallback_homedir = /home/%d/%u | ||
- | simple_allow_users = $ | ||
- | #access_provider = simple | ||
- | access_provider = ad | ||
- | |||
- | </code> | ||
- | |||
- | Se debe reiniciar el servicio | ||
- | |||
- | <code> | ||
- | service sssd restart | ||
- | </code> | ||
- | |||
- | ====== Autocreación del HOME para nuevos usuarios ====== | ||
- | Adicione el módulo pam_mkhomedir pam en /etc/pam.d/common-session | ||
- | |||
- | <code> | ||
- | session required pam_unix.so | ||
- | session optional pam_winbind.so | ||
- | session optional pam_sss.so | ||
- | session optional pam_systemd.so | ||
- | session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 | ||
- | # end of pam-auth-update config | ||
- | </code> | ||
- | |||
- | ====== Verificar la resolución de los nombres de usuario del dominio ====== | ||
- | Para hacer la verificación se debe hacer lo siguiente: | ||
- | |||
- | <code> | ||
- | id domainuser | ||
- | </code> | ||
- | |||
- | Para terminar. Reinicie la PC. | ||