En este pequeño caso práctico vamos a añadir un equipo SOR Cliente con Sistema Operativo GNU/Linux Ubuntu 20.04 al dominio castelar.ex gestionado por Windows Server 2016.
Para llevar a cabo este proceso hay que ser muy metódico y realizar los pasos uno a uno.
1. Configuración de la red
Ambos equipos deben estar conectados a la misma red, así que primero configuramos las máquinas virtuales en VirtualBox para que ambos equipos estén conectados a la misma Red NAT.
Ahora vamos a configurar la interfaz de red de la máquina cliente para que pueda conectarse al dominio gestionado por WS2016. Para ello, como ya sabemos, la dirección IP de la máquina deberá estar dentro de la misma red y además, deberá utilizar como servidor DNS el servidor DNS del dominio, que en nuestro caso estará instalado en el propio servidor que hace controlador de dominio.
Configuramos la interfaz de red haciéndo clic en el botón de configuración.
Ahora insertamos los parámetros adecuados para que podamos unir este equipo al dominio. Para ello, la dirección IP del equipo tendrá que estar dentro de la red del dominio – 172.31.0.0/24 – y tendrá que usar como servidor DNS el servidor DNS del dominio.
Para que se aplique la configuración tenemos que desactivar la interfaz y volverla a activar.
Comprobamos si la configuración está bien, para ello vamos a comprobar si tenemos conexión con el controlador de dominio utilizando el comando ping con el nombre de dominio completo del mismo (FQDN).
Gracias a ese comando de ping, sabemos que se resuelve correctamente los nombres de dominio de nuestro dominio, al haber utilizado dc01.castelar.ex, y además sabemos que tenemos conexión puesto que ping nos da respuesta.
Podemos comprobar si tenemos conexión con Internet haciendo un ping a un equipo en Internet, como es el servidor DNS de google utilizando su dirección IP.
2. Instalando los paquetes de software
Para poder unir este equipo al dominio Active Directory tenemos que instalar una serie de paquetes de software: realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp.
Primero actualizamos la lista de paquetes para asegurarnos de instalar las versiones más recientes de los mismos.
Ahora instalamos los paquetes necesarios:
- realmd
- sssd
- sssd-tools
- samba-common
- krb5-user
- packagekit
- samba-common-bin
- samba-libs
- adcli
- ntp
En el proceso de instalación, Kerberos solicitará una configuración inicial para crear un Reino predeterminado, que será el nombre del dominio en el que vamos a trabajar. Este nombre de dominio se debe escribir con mayúsculas.
3. Configurando la sincronización de hora
Vamos a configurar nuestro sistema para que se sincronice con el servidor Windows Server 2016 controlador de nuestro dominio.
Vamos a configurar el servidor NTP
Vamos a añadir una entrada en la que apuntaremos como servidor NTP al controlador del dominio:
Ahora buscamos las entradas de pool y las comentamos o eliminamos.
Vamos a añadir una entrada pool que apunte al controlador de dominio.
Reiniciamos el servicio de NTP.
Podemos comprobar la sincronización con el comando ntpq y la opción -p.
Nos da información sobre los servidores a los que se conecta para obtener información de tiempo. No obstante, nos indica que hay un salto de tiempo grande. Posiblemente la configuración se aplique si reiniciamos el sistema con sudo reboot, pero ahora mismo tan solo reiniciando el servicio no se adaptará el tiempo por este problema.
Si no se sincroniza el tiempo, porque hay problema con el salto de tiempo, tendremos que realizar la sincronización manualmente utilizando el comando ntpdate como se explica a continuación.
Problemas con sincronización
Si estamos trabajando con máquinas virtuales y hay un salto de tiempo demasiado grande, el reloj no se sincronizará. Esto nos puede provocar problemas de conexiones del equipo con el dominio.
Para solucionar estos problemas de sincronización, tendremos que forzar la sincronización. Para ello usaremos la herramienta ntpdate.
Una vez instalado paramos el servidor ntp para que deje libre el puerto de NTP y poder ejecutar ntpdate.
A continuación ejecutamos el comando ntpdate pasándole como parámetro la dirección del servidor NTP a usar.
Volvemos a lanzar el servicio NTP.
Si nos volvemos a encontrar con problemas de sincronización podemos ejecutar el comando ntpdate para forzar la sincronización con el servidor.
4. Configurando realmd
Según el sitio web oficial, realmd es un servicio de sistema DBus bajo demanda que permite configurar autenticaciones de red e incorporaciones a dominio de una forma estándar.
Para configurarlo en nuestro sistema, vamos a crear un fichero de configuración en /etc/realmd.conf y añadiremos la siguiente configuración.
Para más información sobre las opciones, se puede consultar el manual de opciones de realmd.conf.
5. Obteniendo un ticket con kinit
El siguiente paso es conectarnos con el dominio para solicitar un ticket que permita el acceso remoto al dominio en el servidor Windows Server 2016 para continuar con el proceso de unión del equipo al dominio.
Para ello utilizamos el comando kinit de Kerberos.
Hemos de usar como parámetro del comando una cuenta miembro de Administradores del dominio. Hay que prestar especial atención al nombre del dominio, que debe ir en mayúsculas.
Si el comando se ejecuta correctamente se habrá obtenido y almacenado un «ticket de permiso» en kerberos.
Podemos mostrar los tickets almacenados en la caché de credenciales de Kerberos utilizando el comando klist.
6. Añadiendo el equipo al dominio con realm
A continuación debemos unir el equipo al dominio utilizando el comando realm con la opción join. Podemos consultar la sintaxis del comando realm con el parámetro –help.
Podemos comprobar que se ha unido el equipo al dominio en la herramienta de Usuarios y equipos del dominio en el Windows Server 2016.
7. Configurando sssd
Ahora toca configurar el Demonio de Servicios de Seguridad del Sistema, el cual permite aunteticaciones de seguridad en sistemas de directorios, como LDAP o Active Directory. Este servicio proporciona métodos de inicio de sesión compatibles con sistemas multiplataforma.
Vamos a cambiar un parámetro de configuración de sssd, el parámetro access_provider para asignarle el valor ad en lugar de simple. Para ello editamos el fichero de configuración de sssd: /etc/sssd/sssd.conf.
Una vez realizado el cambio y guardado el fichero, debemos reiniciar el servicio para que los cambios surtan efecto.
8. Configurando la creación automática de directorios personales para usuarios del dominio
Ahora vamos a configurar la creación automática de directorios personales para los nuevos usuarios del sistema. Para ello, vamos añadir el módulo pam pam_mkhomedir cómo último módulo en el fichero /etc/pam.d/common-session.
Para ello, editamos el fichero /etc/pam.d/common-session.
Buscamos las entradas session y añadimos una nueva entrada session required al final, indicando la ruta del directorio skel y la umask para el directorio, como la que aparece en la imagen.
Podemos comprobar si tenemos acceso a los datos del dominio, por ejemplo a los usuarios del dominio, utilizando el comando id seguido del nombre de alguna cuenta de usuario del dominio.
El hecho de que el comando id proporcione esa información, significa que estamos accediendo a la base de datos del dominio.
Antes de intentar iniciar sesión con usuarios del dominio, es buena idea reiniciar el sistema para asegurarnos de que todos los servicios involucrados se han reiniciado y han cargado la configuración recién realizada.
9. Reinicio y comprobación
Iniciamos sesión con un usuario del dominio en GNU/Linux Ubuntu. Para poder iniciar sesión con una cuenta de usuario del dominio, en la ventana de bienvenida, si no aparece la cuenta de usuario con la que queremos iniciar, debemos pulsar sobre ¿No está en la lista?.
Esto nos llevará a un cuadro de edición donde el sistema nos pide que insertemos el nombre del usuario con el que queremos iniciar sesión. En este caso, iniciaremos con la cuenta marinapg@castelar.ex y después insertamos la contraseña.
Si todo va bien, se iniciará la sesión del usuario del dominio, creando su directorio personal y mostrando su escritorio.
Si abrimos el navegador de archivos, se mostrará el directorio personal local del usuario del dominio. Si pulsamos CTRL+L para acceder a la barra de ubicaciones o direcciones, podemos ver la ruta del directorio personal
También podemos obtener información del usuario desde una terminal.
A lo largo de este apartado se han seguido una serie de pasos, en forma de manual, con los que hemos unido el equipo a dominio y podemos iniciar sesión con cuentas de usuario del dominio.
Dejar una respuesta