educación, informática y demás

Sistemas Operativos en Red

Uniendo GNU/Linux a un dominio AD

Hasta ahora hemos visto lo sencillo que es unir un equipo SOR Cliente con Windows a un dominio de Active Directory gestionado por WS2016. Sin embargo, también podemos unir a un dominio de Active Directory equipos con otros sistemas operativos como GNU/Linux.

En este caso práctico, vamos a unir un equipo con un sistema operativo GNU/Linux Debian 11 a un dominio de Active Directory gestionado por un controlador de dominio con WS2016.

Como veréis el proceso no es tan sencillo como en sistemas Windows, pero se puede llevar a cabo y seguramente se podría automatizar bastante utilizando shell scripts.

Este proceso ya está documentado con otra distribución de GNU/Linux, en concreto con Ubuntu 20.04, en la entrada Añadiendo un sistema GNU/Linux a un dominio Active Directory.

1. Configurando la interfaz de red

Lo primero que tenemos que hacer para conectar un equipo a un dominio de active directory es configurar la interfaz de red para que estén en la misma red de área local y utilice el servidor DNS del dominio.

Esto lo tenemos que hacer con cualquier sistema operativo cliente. Al final, estamos trabajando en una arquitectura SOR que se va a comunicar a través de la red, por eso es fundamental que los equipos de dicha arquitectura en red se puedan comunicar.

Nosotros, en esta serie de casos prácticos, estamos trabajando con una Red NAT en VirtualBox, en concreto con la Red NAT SSOO_22Network.

El Sistema WS2016 está conectado a la Red NAT SSOO_22Network
La red es 192.168.100.0/24

¿Cuál es la dirección IP del Servidor WS2016?. Sabemos que en el servidor WS2016 que hace de controlador del dominio también tenemos instalado el servidor DNS del dominio. Por tanto es importante conocer esta dirección IP. Si hemos seguido las recomendaciones dadas a lo largo del curso, la dirección IP del servidor posiblemente sea la última o la primera dentro de la red. En este caso, es la última, no obstante nos cercioramos siempre.

La dirección IP del servidor es 192.168.100.254

Ahora, vamos a configurar la interfaz de red del S.O. Debian 11 para que esté dentro de la red 192.168.100.0/24 y, sobre todo, utilice como servidor DNS el servidor DNS del dominio, que será 192.168.100.254.

Antes de nada, comprobamos que la interfaz de red virtual de la máquina virtual de Debian 11 está conectada a la Red NAT SSOO_22Network.

Ahora configuramos la interfaz de red de forma manual o estática.

Por algún motivo, no aparece la interfaz de red en la aplicación de configuración network-manager.

Vamos a configurar la interfaz de red desde terminal, editando el fichero de configuración de interfaces de red del sistema.

Lanzamos una terminal en modo gráfico
Mostramos información de las interfaces de red

Vamos a editar el fichero de configuración de interfaces de red: /etc/network/interfaces

Vamos a comprobar la resolución de nombres

Editamos el fichero para que resuelva nombres con nuestro servidor DNS

Comprobamos que resuelve correctamente el nombre del controlador de dominio dc01.educatica.ex

Vamos a ver si hay conexión con el controlador de dominio.

Llegados a este punto, tenemos el sistema GNU/Linux Debian configurado de forma que tiene conexión con el servidor WS 2016 y utiliza como servidor DNS el servidor DNS del dominio. Ahora tendríamos que instalar y configurar el software necesario para poder añadir este equipo al dominio.

Antes de ponernos a ello, vamos a comprobar que tenemos salida a Internet y que la resolución DNS funciona para dominios no gestionados por el servidor DNS del dominio: vamos a mandar un ping a www.educatica.es

Tenemos conexión a Internet

2. Instalamos los paquetes de software

Para poder unir un equipo GNU/Linux a un dominio Active Directory tenemos que instalar una serie de paquetes de software. Los paquetes son los siguientes:

  • realmd
  • sssd
  • sssd-tools
  • samba-common
  • krb5-user
  • packagekit
  • samba-common-bin
  • samba-libs
  • adcli
  • ntp

Para instalar paquetes de software, primero actualizamos la lista de paquetes.

Actualizamos la lista de paquetes

Ahora instalamos los paquetes de software

Insertamos la información de Kerberos

Configuración del software

Hemos instalado los paquetes de software necesarios para unir un GNU/Linux a un dominio. Ahora nos queda configurar este software para podernos unir a un dominio AD.

Configuración de la sincronización horaria

Es importante, para que el software de seguridad funcione correctamente, que todos los sistemas estén sincronizados, es decir que tengan, más o menos, la misma información de fecha y hora.

Tenemos que configurar en el sistema GNU/Linux el cliente NTP para que utilice el servidor NTP de Windows Server.

La configuración del cliente NTP está en un fichero de configuración en /etc/ntp.conf

Vamos a quitar los servidores NTP por defecto y añadiremos como servidor NTP el sistema Windows Server 2016.

Deshabilitamos los servidores NTP por defecto y añadimos el de nuestro servidor
Configuramos el servidor dc01.educatica.ex

Hasta ahora lo único que hemos hecho es editar un fichero de texto. Para que la configuración que hemos realizado se utilice, tenemos que reiniciar el servicio NTP en nuestro sistema. Para eso, ejecutamos el comando systemctl.

Reiniciamos el servicio y comprobamos el estado.

Vemos que hay un problema de sincronización de relojes. Vamos a echar un vistazo a las últimas 20 líneas del fichero de log del sistema /var/log/syslog para comprobar los mensajes de log.

Vamos a comprobar la sincronización de tiempo con el comando ntpq con la opción -p.

Hay cierta diferencia de tiempo, aunque no es muy grande. Tenemos dos opciones, seguimos el proceso o forzarmos la sincronización con una aplicación.

*****

Configurando realmd

Ahora nos toca configurar el software realmd que nos permitirá gestionar la unión del equipo a un dominio Active Directory.

Creamos el fichero de configuración /etc/realmd.conf, que no existe.

Configuración de realmd.

Obteniendo ticket kinit

Cuidado con las mayúsculas
Mostramos información de tickets disponibles y la información de caducidad

Añadir el equipo al dominio

Vamos a comprobar si se ha unidad de verdad…

Configuración sssd

Editamos la configuración del fichero /etc/sssd/sssd.conf

Configuración de la creación de directorios personales de usuarios del dominio

Ahora vamos a configurar la creación automática de directorios personales para los nuevos usuarios del sistema. Para ello, vamos añadir el módulo pam pam_mkhomedir cómo último módulo en el fichero /etc/pam.d/common-session.

Para ello, editamos el fichero /etc/pam.d/common-session

Se creará automáticamente el home de los usuarios. El módulo es pam_mkhomedir.so

Reiniciamos el sistema e iniciamos sesión

Fin!

Dejar una respuesta