Hasta ahora hemos visto lo sencillo que es unir un equipo SOR Cliente con Windows a un dominio de Active Directory gestionado por WS2016. Sin embargo, también podemos unir a un dominio de Active Directory equipos con otros sistemas operativos como GNU/Linux.
En este caso práctico, vamos a unir un equipo con un sistema operativo GNU/Linux Debian 11 a un dominio de Active Directory gestionado por un controlador de dominio con WS2016.
Como veréis el proceso no es tan sencillo como en sistemas Windows, pero se puede llevar a cabo y seguramente se podría automatizar bastante utilizando shell scripts.
Este proceso ya está documentado con otra distribución de GNU/Linux, en concreto con Ubuntu 20.04, en la entrada Añadiendo un sistema GNU/Linux a un dominio Active Directory.
1. Configurando la interfaz de red
Lo primero que tenemos que hacer para conectar un equipo a un dominio de active directory es configurar la interfaz de red para que estén en la misma red de área local y utilice el servidor DNS del dominio.
Esto lo tenemos que hacer con cualquier sistema operativo cliente. Al final, estamos trabajando en una arquitectura SOR que se va a comunicar a través de la red, por eso es fundamental que los equipos de dicha arquitectura en red se puedan comunicar.
Nosotros, en esta serie de casos prácticos, estamos trabajando con una Red NAT en VirtualBox, en concreto con la Red NAT SSOO_22Network.
¿Cuál es la dirección IP del Servidor WS2016?. Sabemos que en el servidor WS2016 que hace de controlador del dominio también tenemos instalado el servidor DNS del dominio. Por tanto es importante conocer esta dirección IP. Si hemos seguido las recomendaciones dadas a lo largo del curso, la dirección IP del servidor posiblemente sea la última o la primera dentro de la red. En este caso, es la última, no obstante nos cercioramos siempre.
Ahora, vamos a configurar la interfaz de red del S.O. Debian 11 para que esté dentro de la red 192.168.100.0/24 y, sobre todo, utilice como servidor DNS el servidor DNS del dominio, que será 192.168.100.254.
Antes de nada, comprobamos que la interfaz de red virtual de la máquina virtual de Debian 11 está conectada a la Red NAT SSOO_22Network.
Ahora configuramos la interfaz de red de forma manual o estática.
Por algún motivo, no aparece la interfaz de red en la aplicación de configuración network-manager.
Vamos a configurar la interfaz de red desde terminal, editando el fichero de configuración de interfaces de red del sistema.
Vamos a editar el fichero de configuración de interfaces de red: /etc/network/interfaces
Vamos a comprobar la resolución de nombres
Editamos el fichero para que resuelva nombres con nuestro servidor DNS
Comprobamos que resuelve correctamente el nombre del controlador de dominio dc01.educatica.ex
Vamos a ver si hay conexión con el controlador de dominio.
Llegados a este punto, tenemos el sistema GNU/Linux Debian configurado de forma que tiene conexión con el servidor WS 2016 y utiliza como servidor DNS el servidor DNS del dominio. Ahora tendríamos que instalar y configurar el software necesario para poder añadir este equipo al dominio.
Antes de ponernos a ello, vamos a comprobar que tenemos salida a Internet y que la resolución DNS funciona para dominios no gestionados por el servidor DNS del dominio: vamos a mandar un ping a www.educatica.es
2. Instalamos los paquetes de software
Para poder unir un equipo GNU/Linux a un dominio Active Directory tenemos que instalar una serie de paquetes de software. Los paquetes son los siguientes:
- realmd
- sssd
- sssd-tools
- samba-common
- krb5-user
- packagekit
- samba-common-bin
- samba-libs
- adcli
- ntp
Para instalar paquetes de software, primero actualizamos la lista de paquetes.
Ahora instalamos los paquetes de software
Configuración del software
Hemos instalado los paquetes de software necesarios para unir un GNU/Linux a un dominio. Ahora nos queda configurar este software para podernos unir a un dominio AD.
Configuración de la sincronización horaria
Es importante, para que el software de seguridad funcione correctamente, que todos los sistemas estén sincronizados, es decir que tengan, más o menos, la misma información de fecha y hora.
Tenemos que configurar en el sistema GNU/Linux el cliente NTP para que utilice el servidor NTP de Windows Server.
La configuración del cliente NTP está en un fichero de configuración en /etc/ntp.conf
Vamos a quitar los servidores NTP por defecto y añadiremos como servidor NTP el sistema Windows Server 2016.
Hasta ahora lo único que hemos hecho es editar un fichero de texto. Para que la configuración que hemos realizado se utilice, tenemos que reiniciar el servicio NTP en nuestro sistema. Para eso, ejecutamos el comando systemctl.
Vemos que hay un problema de sincronización de relojes. Vamos a echar un vistazo a las últimas 20 líneas del fichero de log del sistema /var/log/syslog para comprobar los mensajes de log.
Vamos a comprobar la sincronización de tiempo con el comando ntpq con la opción -p.
Hay cierta diferencia de tiempo, aunque no es muy grande. Tenemos dos opciones, seguimos el proceso o forzarmos la sincronización con una aplicación.
*****
Configurando realmd
Ahora nos toca configurar el software realmd que nos permitirá gestionar la unión del equipo a un dominio Active Directory.
Creamos el fichero de configuración /etc/realmd.conf, que no existe.
Obteniendo ticket kinit
Añadir el equipo al dominio
Vamos a comprobar si se ha unidad de verdad…
Configuración sssd
Editamos la configuración del fichero /etc/sssd/sssd.conf
Configuración de la creación de directorios personales de usuarios del dominio
Ahora vamos a configurar la creación automática de directorios personales para los nuevos usuarios del sistema. Para ello, vamos añadir el módulo pam pam_mkhomedir cómo último módulo en el fichero /etc/pam.d/common-session.
Para ello, editamos el fichero /etc/pam.d/common-session
Dejar una respuesta