Aprenda Linux, 302 (Entornos mixtos): Control de dominio

Usando Samba para autenticación de red

En el lenguaje de SMB/CIFS, un dominio es similar a un grupo de trabajo: es una colección de computadores relacionados, normalmente existiendo en una sola red local. Un dominio, sin embargo, presenta una computadora especial conocido como un controlador de dominio que gestiona inicios de sesión para todos los servidores en el dominio. También proporciona algunos servicios adicionales. Samba puede funcionar como un controlador de dominio, pero necesita establecer varias opciones de Samba para que lo haga.

Roderick W. Smith, Consultant and author

Roderick Smith author photoRoderick W. Smith es consultor y autor de más de una docena de libros cobre UNIX y Linux, incluyendo The Definitive Guide to Samba 3, Linux in a Windows World, y Linux Professional Institute Certification Study Guide. También es el autor del software de particionamiento GPT fdisk. Actualmente vive en Woonsocket, Rhode Island.



09-04-2012

Sobre esta serie

Esta serie de artículos le ayuda a aprender las tareas de administración de sistemas Linux. También puede usar el material en estos artículos para prepararse para los exámenes de Linux Professional Institute Certification nivel 3 (LPIC-3).

Vea nuestro roadmap de developerWorks para LPIC-3 para obtener una descripción y un enlace de cada artículo en esta serie. El roadmap está en progreso y refleja los objetivos actuales (noviembre de 2010) para los exámenes de LPIC-3. A medida que cada artículo es completado, es añadido al roadmap.

Visión General

En este artículo, aprenda sobre estos conceptos:

  • Membresía de dominio
  • Configurando un controlador de dominio principal
  • Configurando un controlador de dominio de copia de seguridad
  • Añadiendo computadores a un dominio
  • Gestionando scripts de inicio de sesión
  • Gestionando perfiles de servicio itinerante
  • Gestionando políticas de sistema

Este artículo le ayuda a prepararse para el Objetivo 312.4 en el Tema 312 del examen de Especialidad en Entorno Mixto de Linux Professional Institute (302). El objetivo tiene un peso de 4.


Requisitos Previos

Este artículo asume que tiene un conocimiento práctico de las funciones de línea de comandos de Linux y que entiende las bases de la configuración de Samba. Debe estar familiarizado con la estructura general del archivo de configuración smb.conf y poder editarlo en el editor de su preferencia. Debe ser capaz de preparar un servidor de Samba para que sirva a los archivos.


Estableciendo dispositivos básicos de domino

Sobre el examen optativo LPI-302

Linux Professional Institute Certification (LPIC) es como muchas otras certificaciones en las que se ofrecen distintos niveles, con cada nivel requiriendo más conocimiento y experiencia que el anterior. El examen LPI-302 es un examen de especialidad optativo en el tercer nivel de la jerarquía de LPIC y requiere un nivel avanzado de conocimiento de administración del sistema Linux.

Para obtener su certificación de LPIC nivel 3 (LPIC-3), debe pasar los dos exámenes de primer nivel (101 y 102), los dos exámenes de segundo nivel (201 y 202) y el examen principal de LPIC-3 (301). Después de que haya obtenido este nivel, puede tomar los exámenes de especialidad optativos, tales como LPI-302.

El propósito principal de un controlador de dominio es gestionar la autenticación para otros computadores. Esto requiere que el servidor de Samba acepte ciertos tipos de datos de autenticación de sus clientes y que responda apropiadamente. Habilitar estos dispositivos requiere establecer algunas opciones de smb.conf. En la práctica, los controladores de dominio también tienden a servir para roles adicionales en la red, así que tal vez necesite ajustar opciones adicionales de Samba.

Antes de seguir adelante, debe estar consciente de las relaciones entre los computadores en un dominio estilo Microsoft® Windows NT®. El controlador de dominio está en el centro de esta red. Sus clientes pueden ser servidores de archivos y de impresión ejecutando Samba, el sistema operativo de Windows® o algún otro software. Estos computadores son conocidos como servidores de miembro de dominio y funcionan como servidores (para usar estaciones de trabajo) y como clientes (para el controlador de dominio). La arquitectura de la red puede afectar estas relaciones. Por ejemplo, en una red de igual a igual, una sola computadora puede funcionar como el servidor de miembro de dominio y como un cliente de intercambio de archivos. El controlador de dominio puede funcionar como un servidor de archivos e incluso como un cliente.

Estableciendo dispositivos obligatorios de controlador de dominio

La configuración más básica de Samba para un controlador de dominio involucra establecer las siguientes opciones de smb.conf:

workgroup = EXAMPLE
security = User
encrypt passwords = Yes
passdb backend = tdbsam:/etc/samba/private/passdb.tdb
domain logons = Yes
admin users = ntadmin

Construya su propio feed

Puede construir un feed personalizado de RSS, Atom o HTML, de forma que sea notificado a medida que añadimos nuevos artículos o actualizamos el contenido. Vaya a los feeds RSS de developerWorks. Seleccione Linux para la zona y Articles para el tipo, y escriba Linux Professional Institute para las palabras clave. Después, elija su tipo de feed preferido.

Algunas de estas opciones pueden ser cambiadas, dependiendo de sus necesidades, pero otras no. Específicamente:

  • La opción workgroup establece el nombre de dominio de Windows NT. Un dominio es sólo un grupo de trabajo con dispositivos extra.
  • La opción security debe ser establecida como User.
  • La opción encrypt passwords debe ser establecida como Yes.
  • La opción passdb backend puede ser establecida para cualquier valor legal; sin embargo, si desea usar ambos controladores, el principal y el de copia de seguridad, tal vez necesite establecerla en una forma particular, como se describe en Configurando un controlador de dominio de copia de seguridad.
  • La opción domain logons debe ser establecida como Yes.
  • La opción admin users establece uno o más usuarios (ntadmin, en este ejemplo) como usuarios administrativos. Estos usuarios efectivamente tienen privilegios de raíz para cualquier intercambio al que se conecten. Debe establecer un usuario administrativo de esta forma o añadir raíz a su base de datos de la cuenta de Samba para unir nuevos computadores a su dominio.

Estos valores tienen ciertas implicaciones. Específicamente, su computadora de servidor de Samba debe tener cuentas locales de Linux para todos los usuarios que debe autenticar, y estas cuentas deben tener entradas en la base de datos de contraseñas de Samba. Una vez que ha configurado Samba de esta manera, comenzará a aceptar inicios de sesión de dominio—pero sólo para computadores antiguos de Microsoft Windows 9x/Me o servidores de Samba establecidos con la opción security = Server . Para computadores de Windows más recientes o para computadores de Samba que usan la configuración security = Domain más segura, debe crear cuentas de confianza de máquina.

Creando cuentas de confianza de máquina

A diferencia de los grupos de trabajo, a los cuales se puede unir cualquier computadora en una red, los dominios son exclusivos: para obtener todos los beneficios de un dominio, una computadora debe ser un miembro del dominio con todos los derechos. Desde la perspectiva de un usuario, el principal beneficio de la membresía de dominio es el inicio de sesión único, que significa que un usuario sólo necesita escribir un nombre de usuario y contraseña una vez para obtener acceso a cualquier servidor que sea un miembro del dominio. Desde una perspectiva administrativa de Samba, la membresía de dominio permite el uso de la opción de configuración security = Domain en servidores de miembro de dominio. Este valor es más seguro que el valor security = Server , pero unirse completamente al dominio requiere configuración adicional.

Para unirse completamente a un dominio, una computadora (ya sea un servidor de miembro de dominio o un sistema de cliente) requiere su propia cuenta en el controlador de dominio. El controlador de dominio mismo está exento de este requisito. Esta cuenta es independiente de la cuenta de cualquier usuario que pueda usar la computadora. Esta cuenta es conocida como una cuenta de confianza de máquina.

Es mejor para todos que sus cuentas de confianza de máquina usen un solo grupo de Linux reservado para este propósito. El siguiente comando crea un grupo llamado trust para este propósito:

# groupadd -r trust

Con el grupo de confianza de máquina creado, puede proceder con la creación de cuentas de confianza de máquina—uno para cada miembro de dominio (cliente o servidor) en su red. Debe usar los nombres del sistema básico de entrada/salida de red (NetBIOS) del computador, convertidos a texto en minúsculas y con signos de dólar ($) añadidos, como nombres de usuario. Por ejemplo, si el nombre de NetBIOS de la computadora es WEMBLETH, su nombre de cuenta de confianza de máquina sería wembleth$. Se puede usar los comandos useradd y smbpasswd para crear estas cuentas, como en:

# useradd -d /dev/null -M -g trust -s /bin/false wembleth$
# smbpasswd -a -m wembleth$

Este ejemplo crea una cuenta de confianza de máquina llamada wembleth$, estableciendo el directorio de inicio de la cuenta en /dev/null (-d /dev/null), diciéndole a la utilidad que no cree el directorio de inicio (-M), añadiéndolo como un miembro del grupo trust (-g trust) y estableciendo el shell predeterminado en /bin/false (-s /bin/false). El segundo comando crea una entrada en la base de datos de contraseñas de Samba para la cuenta, especificando que debe ser una cuenta de confianza de máquina (-m).

Si creó un nuevo usuario para el parámetro admin user , debe establecer la contraseña de Samba de ese usuario con smbpasswd, como en smbpasswd ntadmin, para establecer la contraseña de ese usuario. Esta cuenta será usada al añadir máquinas al dominio. Si no tiene otro uso para el alto privilegio de esta cuenta en Samba, considere seriamente comentar la línea admin users en smb.conf después de que ha unido todos sus clientes al dominio.

Estableciendo dispositivos adicionales de dominio

Aunque los dispositivos recién descritos conforman los dispositivos críticos del controlador de dominio, los controladores de dominio típicamente toman también algunos otros roles en una red de NetBIOS. En particular, funcionan como navegadores maestros, como sistemas de Windows Internet Name Service (también conocido como NetBIOS Name Server) y frecuentemente como servidores de tiempo. Puede configurar estos dispositivos al establecer las siguientes opciones:

domain master = Yes
preferred master = Yes
os level = 65
wins support = Yes
time server = Yes

Una vez que ha salvado sus cambios en el archivo smb.conf, Samba eventualmente detecta los cambios y se reconfigura a sí mismo. Si desea acelerar las cosas, puede pasar al servidor una señal SIGHUP o usar los scripts de inicio de SysV de su distribución para recargar la configuración.

Añadiendo computadores a un dominio

En este punto, su servidor de Samba está suficientemente configurado para funcionar como un controlador de dominio y puede comenzar a añadir computadores al dominio. Sin embargo, cómo hace esto depende del sistema operativo instalado en el servidor del miembro de dominio o el cliente de dominio. En Windows 7, realice estas etapas:

  1. Ingrese las siguientes entradas de registro.

    HKEY_LOCAL_MACHINE\System\CCS\Services\LanmanWorkstation\Parameters
        DWORD  DomainCompatibilityMode = 1
        DWORD  DNSNameResolutionRequired = 0

    Alternativamente, descargue el archivo Win7_Samba3DomainMember.reg y haga doble clic en él en el sistema de Windows. Esta etapa no es requerida para Windows Vista® o versiones anteriores de sistemas operativos de Windows.

  2. Abra el elemento Control Panel System and Security.
  3. Haga clic en System.
  4. Haga clic en Change Settings en la cabecera Computer Name, Domain, and Workgroup Settings .

    Windows abre una ventana de propiedades de sistema.

  5. Haga clic en Change.

    Windows abre la ventana Computer Name/Domain Changes , mostrada en la Figura 1.

    Figura 1. Usted une un dominio en Windows al usar la ventana Computer Name/Domain Changes
    Usted une un dominio en Windows al usar la ventana Computer Name/Domain Changes
  6. Seleccione la opción Domain y después escriba el nombre de su dominio en el recuadro de texto.
  7. Haga clic en OK.

    Windows responde al abrir la ventana Windows Security , mostrada en la Figura 2.

    Figura 2. La ventana Windows Security solicita su nombre de usuario administrativo y contraseña
    La ventana Windows Security solicita su nombre de usuario administrativo y contraseña
  8. Escriba su nombre de cuenta administrativa de Samba(como se estableció mediante admin users) y la contraseña en la ventana y después haga clic en OK.

Windows le solicita reiniciar la computadora, después de lo cual usted deberá haberse unido al dominio.

Nota: No todas las versiones de Windows pueden unirse a un dominio. Las versiones Home, por ejemplo, están restringidas para usarse en grupos de trabajo.

Después de que se ha unido una computadora de Windows a su dominio y que lo ha reiniciado, la computadora le solicita que presione Ctrl-Alt-Del para iniciar sesión. Debe usar un nombre de usuario y contraseña asociados con su servidor de Samba para iniciar sesión. Después de eso, podrá acceder a cualquier computadora que sea parte del dominio y que autorice la cuenta que usó en su primer inicio de sesión sin volver a escribir su contraseña. Si configura la computadora para compartir archivos en impresoras, la computadora depende del servidor de Samba para autenticación.

Si desea que un servidor de Samba funcione como un miembro de dominio, también debe unirlo al dominio. Para hacerlo, primero establezca las siguientes opciones en el archivo smb.conf del servidor de miembro de dominio:

password server = SERVERNAME
domain logons = No
encrypt passwords = Yes
security = Domain
domain master = No
preferred master = No
os level = 1
wins support = No

Muchas de estas opciones son opuestas a aquellas para el controlador de dominio; debe establecerlas de esta manera para asegurarse de que no tiene dos computadores compitiendo por ser el navegador maestro o por entregar nombres de NetBIOS. La opción password server debe apuntar al controlador de dominio que pretende usar. La opción security puede ser establecida en una de dos formas: puede establecerla para Domain, como en este ejemplo, para unirse completamente al dominio, o puede establecerla para Server, en cuyo caso Samba no se unirá completamente al dominio, pero enviará sus solicitudes de contraseña al controlador de dominio usando protocolos más simples que no son de dominio. Si establece security = Domain, debe unirse completamente al dominio al escribir el siguiente comando:

# net join member -U ntadmin

Cambie ntadmin al nombre de usuario que ha elegido para su cuenta administrativa. El programa solicita una contraseña; ingrese la contraseña asociada con el usuario ntadmin . Si todo sale bien, verá un mensaje que le indica que se ha unido al dominio que ha especificado mediante la opción workgroup en smb.conf.

Una vez que ha unido un servidor de Samba a un dominio, la computadora depende del controlador de domino para autenticación—pero sólo para Samba. El Tema 313.3, Winbind, cubre la modificación de una computadora de Linux para usar un controlador de dominio para tareas de autenticación que no son de Samba.


Creando intercambios de domino y valores de usuario

Cuando haya probado la funcionalidad básica de inicio de sesión de dominio, tal vez quiera ir más allá. Una forma de hacerlo es crear un intercambio de dominio especial llamado NETLOGON y configurar Samba para almacenar valores de desktop de Windows de los usuarios en el controlador de dominio.

Creando intercambios de NETLOGON

Los scripts de inicio de sesión de dominio son almacenados en el intercambio NETLOGON. Estos scripts se ejecutan en el cliente de dominio siempre que un usuario inicia sesión en un dominio. Por lo tanto, debe crear dichos scripts en Windows y probarlos en Windows: estos no son scripts de Linux.

Un intercambio NETLOGON es un intercambio de archivo ordinario de ese nombre. (El Objetivo 312.2 cubre la creación de intercambios de archivo.) Ordinariamente, desea limitar quién puede escribir en el intercambio NETLOGON. Una definición típica puede verse de la siguiente manera:

[netlogon]
   comment = Network Logon Service
   path = /var/samba/netlogon
   guest ok = No
   read only = Yes
   write list = abe

Este ejemplo crea un intercambio de sólo lectura para que sea almacenado en /var/samba/netlogon. El parámetro write list da al usuario abe derecho de escritura para el intercambio. Tome en cuenta que abe debe tener acceso de escritura de Linux para /var/samba/netlogon; si los permisos de Linux evitan que abe escriba en este directorio, listar al usuario en la lista de escritura del intercambio no ayuda.

Los clientes de Windows deben saber qué scripts ejecutar desde el intercambio NETLOGON. Esto se hace mediante el parámetro global logon script . Un ejemplo básico establece un nombre de archivo simple:

logon script = LOGON.BAT

Este ejemplo les dice a todos los clientes que ejecuten el archivo LOGON.BAT. Sin embargo, algunas veces necesita proporcionar distintos scripts de inicio de sesión para clientes distintos. Por ejemplo, tal vez necesite distintos scripts para distintos sistemas operativos de cliente. Un ejemplo que hace esto podría verse de la siguiente manera:

logon script = LOGON-%a.BAT

En este ejemplo, %a es una variable que toma un valor distinto para distintos sistemas operativos de cliente, como se detalla en la Tabla 1. Puede usar también otras variables, como se describe en el Objetivo 312.1. Si usara el ejemplo anterior, un cliente de Windows 7 ejecutaría el script llamado LOGON-Vista.BAT, mientras que un cliente de Windows XP ejecutaría el script llamado LOGON-WinXP.BAT. Tome en cuenta que no todos los sistemas operativos usan scripts de inicio de sesión de red. Por ejemplo, Linux no lo hace, así que no necesitaría crear un script LOGON-CIFSFS.BAT .

Tabla 1. Valores de la variable %a
ValorTipo de cliente
SambaSamba
CIFSFSSistema de archivos Linux Common Internet File System (CIFS)
OS2IBM® Operating System/2® (OS/2)
WfWgWindows for Workgroups
Win95Windows 95, 98 o Me
WinNTWindows NT
Win2KMicrosoft Windows 2000
WinXPWindows XP
WinXP64Windows XP 64 bit
Win2K3Windows Server® 2003
VistaWindows Vista o Windows 7
UNKNOWNCualquier otro cliente

Además de los scripts de inicio de sesión de red, el intercambio NETLOGON puede alojar un archivo de políticas de sistema . Este archivo puede hacer cambios automáticamente al archivo de registro de Windows para ayudar a la computadora a ajustarse al dominio. En Windows 9x/Me, el archivo de políticas es llamado Config.POL y es generado en una computadora de Windows usando una herramienta llamada Policy Editor (Poledit.exe). En Windows NT, Windows 2000, Windows Server 2003, Windows XP, Windows Vista y Windows 7, el archivo de política es llamado NTConfig.POL y es generado al hacer clic en Start > Programs > Administrative Tools. Generar estos archivos está más allá del ámbito de este artículo, pero debe estar consciente de la posible necesidad de colocar el archivo en el intercambio NETLOGON.

Creando perfiles de servicio itinerante

Ordinariamente, los computadores de Windows almacenan información en los entornos de desktop de sus usuarios localmente. Esto está bien si cada individuo usa sólo una computadora la mayoría del tiempo; sin embargo, este no siempre es el caso. En el laboratorio de computadores de una universidad, por ejemplo, los individuos pueden iniciar sesión usando cualquiera de las diversas computadoras. En este caso, es preferible alojar los valores de desktop de los usuarios en un servidor remoto. Este es el trabajo de un perfil de servicio itinerante.

Para habilitar los perfiles de servicio itinerante para Windows NT, Windows 2000, Windows XP, Windows Vista y Windows 7, debe crear un intercambio PROFILES. Este intercambio es típicamente hecho como no navegable, así que no se muestra en las listas de navegación y confunde a los usuarios. También es establecido con permisos limitados de archivo y directorio dentro de Samba para evitar que los usuarios lean o escriban en los perfiles de otros usuarios. Sin embargo, el directorio de Linux usado para el intercambio debe permitir a todos los usuario leer y escribir en él (permisos 0777 pueden ser requeridos, dependiendo de sus políticas de grupo). El intercambio de Samba usado para almacenar perfiles de servicio itinerante pueden verse de la siguiente manera:

[profiles]
   comment = NT Profiles Share
   directory = /var/samba/profiles
   read only = No
   create mode = 0600
   directory mode = 0700
   browseable = No

Este intercambio es creando convencionalmente en el controlador de dominio de Samba; sin embargo, en principio puede aparecer en algún otro servidor de archivos. Además de crear el intercambio PROFILES, debe decirle a Windows dónde encontrarlo. Usted hace esto con la opción logon path :

logon path = \\%L\PROFILES\%U

Este ejemplo usa la variable %L (el nombre de NetBIOS del servidor actual) y la variable %U (el nombre de usuario asociado con la sesión) como parte de la ruta al directorio de perfil de servicio itinerante. Asegúrese de que sus perfiles de servicio itinerante son almacenados en el intercambio PROFILES que ha creado.


Configurando un controlador de dominio de copia de seguridad

Los dominios de Windows NT pueden tener múltiples controladores de dominio para proporcionar redundancia en caso de que uno falle. En el lenguaje de dominio de Windows NT, un controlador de dominio es designado como el controlador de dominio primario (PDC) y el otro es el controlador de dominio de copia de seguridad (BDC). Esta configuración implica una complejidad adicional de configuración, pero vale la pena si su red es altamente dependiente del controlador de dominio.

En Samba, habilitar un BDC es mejor realizado al usar Lightweight Directory Access Protocol (LDAP) para almacenar información de cuenta. LDAP fue diseñado para soportar el tipo de intercambios de datos de base de datos requeridos para este tipo de configuración, así que juntar un PDC con un servidor LDAP maestro y el BDC con un servidor LDAP esclavo tiene sentido. Los servidores de LDAP pueden ejecutarse en los mismos computadores o en computadores distintos de los servidores de Samba. Otras configuraciones, como usar un solo servidor LDAP con el PDC y el BDC, son posibles pero no óptimas, ya que usted pierde al menos algo de posibilidad de migración tras error—particularmente si el servidor LDAP se ejecuta en la misma computadora que uno de los controladores de dominio.

Una configuración de PDC mínima que usa un servidor LDAP añade varias opciones de configuración de Samba para identificar el servidor LDAP. Las opciones cambiadas o nuevas para el PDC son, como mínimo:

passdb backend = ldapsam://localhost:389
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org

Este ejemplo le dice a Samba que use un servidor LDAP ejecutándose en la misma computadora (passdb backend = ldapsam://localhost:389) e identifica diversos dispositivos críticos de LDAP usados para identificar y administrar información de cuenta.

Nota: La configuración de LDAP es un tema complejo en sí mismo. En este artículo, asumo que sus servidores de LDAP maestro y esclavo ya están configurados apropiadamente. Vea la sección Recursos para obtener enlaces a información adicional de LDAP.

Recomiendo configurar su PDC para usar el servidor LDAP maestro y probar detalladamente esta configuración antes de proceder. Con esta tarea realizada, puede configurar el BDC, comenzando con unas cuantas etapas preliminares:

  1. Escriba net rpc getsid en la computadora del BDC.

    Este comando recupera un identificador crítico que debe coincidir con las computadoras del PDC y el BDC.

  2. Escriba smbpasswd -w mypass en el BDC, donde mypass es la contraseña administrativa de LDAP.
  3. Sincronice la base de datos de cuenta local en el PDC y el BDC.

    Puede hacer esto de varias maneras, de las cuales la más simple es copiar /etc/passwd, /etc/group y /etc/shadow de una computadora a otro. Si usa LDAP para mantenimiento de cuenta de Linux, esta etapa tal vez no sea necesaria.

  4. Duplique el intercambio NETLOGON del PDC en el BDC.

    Recuerde copiar la definición de intercambio en smb.conf y el directorio del intercambio. Debe sincronizar el directorio de intercambio regularmente para así replicar cambios que puedan realizarse con el tiempo.

Con estas etapas realizadas, puede crear su configuración de BDC en smb.conf:

passdb backend= ldapsam:ldap://slave-ldap.example.org
domain master = No
domain logons = Yes
os level = 64
ldap suffix = dc=example,dc=org
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=ntadmin,dc=example,dc=org
idmap backend = ldap:ldap://master-ldap.example.org
idmap uid = 10000-20000
idmap gid = 10000-20000

Estas opciones causan que el BDC difiera al PDC en elecciones de navegador maestro, para usar el servidor LDAP esclavo (slave-ldap.example.org) para su base de datos de contraseñas y para usar el servidor LDAP maestro (master-ldap.example.org) para almacenar información de correlación entre la información de cuentas de Linux y Windows.


Configurando confianzas entre dominios

Los dominios aquí descritos son dominios de estilo Windows NT, que son el tipo de dominios que soporta Samba 3.x. Sin embargo, iniciando con Windows 2000, Microsoft comenzó a moverse hacia un nuevo estilo de dominio, conocido como dominios Active Directory® . Samba 3.x soporta unirse a un dominio Active Directory como un miembro, pero el soporte de Samba 3.x para funcionar como un controlador de dominio de Active Directory está limitado al máximo. Samba 4.x proporciona soporte bastante mejorado de Active Directory, pero actualmente (marzo de 2011) está en estado de pruebas alfa.

Active Directory es esencialmente una mezcla de tres distintos conjuntos de protocolos de red: Server Message Block (SMB)/CIFS, LDAP y Kerberos. SMB/CIFS proporciona los protocolos de intercambio de archivo e impresora; LDAP proporciona una forma de almacenar información de cuenta; y Kerberos proporciona cifrado. Todas estas tecnologías están disponibles en Linux, pero integrarlas puede ser un reto. Como se describió anteriormente, puede combinar Samba y LDAP para gestión de cuenta y esto es altamente recomendable si desea mantener un BDC. Samba 3.x también proporciona ganchos para Kerberos, aunque no son descritos aquí. Samba 4 funciona, en parte, al integrar sus propios dispositivos de LDAP y Kerberos en el paquete principal de Samba.

El Objetivo 314.3 cubre la integración de Samba con dominios de Active Directory con más detalle.

En una organización grande, distintos departamentos pueden tener sus propios dominios de Windows NT. Esta configuración permite que cada departamento mantenga sus propias cuentas, pero puede limitar la habilidad de los departamentos para usar los recursos de los demás. Por ejemplo, dos departamentos que están físicamente cerca uno de otro pueden querer habilitar a los usuarios de cada uno para que usen sus impresoras como un recurso compartido. Este tipo de intercambio de recursos entre dominios puede ser implementado al configurar las confianzas entre dominios o confianzas para abreviar.

Las relaciones de confianza tienen dos propiedades importantes que debe tener en mente. Primero, son no transitivas, lo que significa que afectan únicamente a los dominios para los que fueron explícitamente configurados. Por ejemplo, si el dominio PHYSICS confía en GEOLOGY, y GEOLOGY confía en BIOLOGY, PHYSICS no confía automáticamente en BIOLOGY. Segundo, las relaciones de confianza son de una sola vía. Por ejemplo, PHYSICS puede confiar en GEOLOGY sin que GEOLOGY confíe en PHYSICS. Para habilitar las relaciones de confianza de dos vías, debe configurar cada dominio para confíe en el otro.

Para configurar las confianzas entre dominios, cada dominio debe primero ser apropiadamente configurado en su propio derecho. El primer dominio es el dominio que confía, que aloja recursos que deben ser accesibles para el otro recurso, el cual es el dominio confiable. Por ejemplo, suponga que PHYSICS tiene una impresora de carro amplio al cual los usuarios de GEOLOGY deben tener acceso. PHYSICS es entonces el dominio que confía y GEOLOGY es el dominio de confianza. Para comenzar a configurar una relación de confianza, primero debe crear cuentas de Linux y de Samba en el dominio que confía (PHYSICS) para el dominio confiable (GEOLOGY):

# useradd -d /dev/null -M -g trust -s /bin/false geology$
# smbpasswd -a -i geology

Tome en cuenta que debe incluir un signo de dólar ($) al crear la cuenta de Linux con useradd pero no al crear la cuenta de Samba con smbpasswd. El comando smbpasswd le solicita ingresar una contraseña para la cuenta de confianza entre dominios. Recuerde esta contraseña, porque necesitará ingresarla de nuevo muy pronto. El controlador del dominio GEOLOGY usará esta cuenta, casi como si el controlador de dominio fuera un miembro ordinario del dominio que confía, para permitir que sus propios miembros accedan a los recursos de PHYSICS.

Con la cuenta de confianza entre dominios creada en el controlador del dominio que confía, ahora puede configurar el controlador del dominio confiable para usar esa cuenta:

# net rpc trustdom establish physics

Escriba este comando en un miembro de Linux del dominio confiable (GEOLOGY, en este ejemplo). Se le solicitará una contraseña; ingrese la misma que escribió para el comando smbpasswd en el dominio que confía. Si todo sale bien, los miembros de GEOLOGY ahora podrán acceder a los servidores en PHYSICS. Si desea establecer una confianza de dos vías, debe repetir estas etapas, invirtiendo los roles de los dos dominios.

Si desea finalizar una confianza entre dominios, puede hacerlo en el dominio confiable:

# net rpc trustdom revoke physics

Alternativamente, puede escribir el siguiente comando en el dominio que confía:

# net rpc trustdom del geology

Avanzando

El siguiente tema en esta serie, LPIC-3 objetivo 312.5, cubre Samba Web Administration Tool, que habilita la configuración basada en web de Samba.

Recursos

Aprender

Obtener los productos y tecnologías

  • Descargue el archivo Win7_Samba3DomainMember.reg que es requerido para unir una computadora de Windows 7 a un dominio de Samba.
  • Evalúe productos de IBM de la forma que mejor se ajuste a usted: Descargue una prueba de producto, ensaye un producto en línea, use un producto en un entorno en nube, o pase algunas horas en el SOA Sandbox aprendiendo a implementar la Arquitectura Orientada a Servicios con eficiencia.

Comentar

  • Participe en la Comunidad My developerWorks. Conéctese con otros usuarios developerWorks mientras explora los blogs, foros, grupos y wikis dirigidos a desarrolladores.

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Linux
ArticleID=808753
ArticleTitle=Aprenda Linux, 302 (Entornos mixtos): Control de dominio
publish-date=04092012