educatica!

educación, informática y demás

Clases de informática, Informática, Sistemas Operativos en Red

Añadiendo un sistema GNU/Linux a un dominio Active Directory

En este pequeño caso práctico vamos a añadir un equipo SOR Cliente con Sistema Operativo GNU/Linux Ubuntu 20.04 al dominio castelar.ex gestionado por Windows Server 2016.

Para llevar a cabo este proceso hay que ser muy metódico y realizar los pasos uno a uno.

1. Configuración de la red

Ambos equipos deben estar conectados a la misma red, así que primero configuramos las máquinas virtuales en VirtualBox para que ambos equipos estén conectados a la misma Red NAT.

Configuración de la máquina con GNU/Linux Ubuntu
Confituración de la máquina con WS2016

Ahora vamos a configurar la interfaz de red de la máquina cliente para que pueda conectarse al dominio gestionado por WS2016. Para ello, como ya sabemos, la dirección IP de la máquina deberá estar dentro de la misma red y además, deberá utilizar como servidor DNS el servidor DNS del dominio, que en nuestro caso estará instalado en el propio servidor que hace controlador de dominio.

Configuramos la interfaz de red haciéndo clic en el botón de configuración.

Ahora insertamos los parámetros adecuados para que podamos unir este equipo al dominio. Para ello, la dirección IP del equipo tendrá que estar dentro de la red del dominio – 172.31.0.0/24 – y tendrá que usar como servidor DNS el servidor DNS del dominio.

Para que se aplique la configuración tenemos que desactivar la interfaz y volverla a activar.

Comprobamos si la configuración está bien, para ello vamos a comprobar si tenemos conexión con el controlador de dominio utilizando el comando ping con el nombre de dominio completo del mismo (FQDN).

Gracias a ese comando de ping, sabemos que se resuelve correctamente los nombres de dominio de nuestro dominio, al haber utilizado dc01.castelar.ex, y además sabemos que tenemos conexión puesto que ping nos da respuesta.

Podemos comprobar si tenemos conexión con Internet haciendo un ping a un equipo en Internet, como es el servidor DNS de google utilizando su dirección IP.

2. Instalando los paquetes de software

Para poder unir este equipo al dominio Active Directory tenemos que instalar una serie de paquetes de software: realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp.

Primero actualizamos la lista de paquetes para asegurarnos de instalar las versiones más recientes de los mismos.

Ahora instalamos los paquetes necesarios:

  • realmd
  • sssd
  • sssd-tools
  • samba-common
  • krb5-user
  • packagekit
  • samba-common-bin
  • samba-libs
  • adcli
  • ntp

En el proceso de instalación, Kerberos solicitará una configuración inicial para crear un Reino predeterminado, que será el nombre del dominio en el que vamos a trabajar. Este nombre de dominio se debe escribir con mayúsculas.

3. Configurando la sincronización de hora

Vamos a configurar nuestro sistema para que se sincronice con el servidor Windows Server 2016 controlador de nuestro dominio.

Vamos a configurar el servidor NTP

Vamos a añadir una entrada en la que apuntaremos como servidor NTP al controlador del dominio:

Añadimos como servidor NTP el controlador de dominio, en nuestro caso dc01.castelar.ex

Ahora buscamos las entradas de pool y las comentamos o eliminamos.

Buscamos las entradas pool y las comentamos.

Vamos a añadir una entrada pool que apunte al controlador de dominio.

Configuración del pool el controlador de dominio, en nuestro caso dc01.castelar.ex

Reiniciamos el servicio de NTP.

Vamos a tener problema con la sincronización del sistema debido a la diferencia entre el reloj local y el del servidor

Podemos comprobar la sincronización con el comando ntpq y la opción -p.

Si nos fijamos nos está advirtiendo de que hay un salto de tiempo (offset) muy grande

Nos da información sobre los servidores a los que se conecta para obtener información de tiempo. No obstante, nos indica que hay un salto de tiempo grande. Posiblemente la configuración se aplique si reiniciamos el sistema con sudo reboot, pero ahora mismo tan solo reiniciando el servicio no se adaptará el tiempo por este problema.

Si no se sincroniza el tiempo, porque hay problema con el salto de tiempo, tendremos que realizar la sincronización manualmente utilizando el comando ntpdate como se explica a continuación.

Problemas con sincronización

Si estamos trabajando con máquinas virtuales y hay un salto de tiempo demasiado grande, el reloj no se sincronizará. Esto nos puede provocar problemas de conexiones del equipo con el dominio.

Para solucionar estos problemas de sincronización, tendremos que forzar la sincronización. Para ello usaremos la herramienta ntpdate.

Una vez instalado paramos el servidor ntp para que deje libre el puerto de NTP y poder ejecutar ntpdate.

A continuación ejecutamos el comando ntpdate pasándole como parámetro la dirección del servidor NTP a usar.

Volvemos a lanzar el servicio NTP.

Si nos volvemos a encontrar con problemas de sincronización podemos ejecutar el comando ntpdate para forzar la sincronización con el servidor.

4. Configurando realmd

Según el sitio web oficial, realmd es un servicio de sistema DBus bajo demanda que permite configurar autenticaciones de red e incorporaciones a dominio de una forma estándar.

Para configurarlo en nuestro sistema, vamos a crear un fichero de configuración en /etc/realmd.conf y añadiremos la siguiente configuración.

Configuración de realmd para añadir este equipo al dominio

Para más información sobre las opciones, se puede consultar el manual de opciones de realmd.conf.

5. Obteniendo un ticket con kinit

El siguiente paso es conectarnos con el dominio para solicitar un ticket que permita el acceso remoto al dominio en el servidor Windows Server 2016 para continuar con el proceso de unión del equipo al dominio.

Para ello utilizamos el comando kinit de Kerberos

Solicitud de ticket utilizando Kerberos

Hemos de usar como parámetro del comando una cuenta miembro de Administradores del dominio. Hay que prestar especial atención al nombre del dominio, que debe ir en mayúsculas.

Si el comando se ejecuta correctamente se habrá obtenido y almacenado un «ticket de permiso» en kerberos.

Podemos mostrar los tickets almacenados en la caché de credenciales de Kerberos utilizando el comando klist.

6. Añadiendo el equipo al dominio con realm

A continuación debemos unir el equipo al dominio utilizando el comando realm con la opción join. Podemos consultar la sintaxis del comando realm con el parámetro –help.

Podemos comprobar que se ha unido el equipo al dominio en la herramienta de Usuarios y equipos del dominio en el Windows Server 2016.

7. Configurando sssd

Ahora toca configurar el Demonio de Servicios de Seguridad del Sistema, el cual permite aunteticaciones de seguridad en sistemas de directorios, como LDAP o Active Directory. Este servicio proporciona métodos de inicio de sesión compatibles con sistemas multiplataforma. 

Vamos a cambiar un parámetro de configuración de sssd, el parámetro access_provider para asignarle el valor ad en lugar de simple. Para ello editamos el fichero de configuración de sssd: /etc/sssd/sssd.conf.

Una vez realizado el cambio y guardado el fichero, debemos reiniciar el servicio para que los cambios surtan efecto.

8. Configurando la creación automática de directorios personales para usuarios del dominio

Ahora vamos a configurar la creación automática de directorios personales para los nuevos usuarios del sistema. Para ello, vamos añadir el módulo pam pam_mkhomedir cómo último módulo en el fichero /etc/pam.d/common-session.

Para ello, editamos el fichero /etc/pam.d/common-session.

Buscamos las entradas session y añadimos una nueva entrada session required al final, indicando la ruta del directorio skel y la umask para el directorio, como la que aparece en la imagen.

Podemos comprobar si tenemos acceso a los datos del dominio, por ejemplo a los usuarios del dominio, utilizando el comando id seguido del nombre de alguna cuenta de usuario del dominio.

El hecho de que el comando id proporcione esa información, significa que estamos accediendo a la base de datos del dominio.

Antes de intentar iniciar sesión con usuarios del dominio, es buena idea reiniciar el sistema para asegurarnos de que todos los servicios involucrados se han reiniciado y han cargado la configuración recién realizada. 

9. Reinicio y comprobación

Iniciamos sesión con un usuario del dominio en GNU/Linux Ubuntu. Para poder iniciar sesión con una cuenta de usuario del dominio, en la ventana de bienvenida, si no aparece la cuenta de usuario con la que queremos iniciar, debemos pulsar sobre ¿No está en la lista?.

Esto nos llevará a un cuadro de edición donde el sistema nos pide que insertemos el nombre del usuario con el que queremos iniciar sesión. En este caso, iniciaremos con la cuenta marinapg@castelar.ex y después insertamos la contraseña.

Si todo va bien, se iniciará la sesión del usuario del dominio, creando su directorio personal y mostrando su escritorio.

Si abrimos el navegador de archivos, se mostrará el directorio personal local del usuario del dominio. Si pulsamos CTRL+L para acceder a la barra de ubicaciones o direcciones, podemos ver la ruta del directorio personal

También podemos obtener información del usuario desde una terminal.

A lo largo de este apartado se han seguido una serie de pasos, en forma de manual, con los que hemos unido el equipo a dominio y podemos iniciar sesión con cuentas de usuario del dominio.

Deja un comentario

Tema creado por Anders Norén