En este post veremos cómo añadir un equipo Linux a un dominio de Active Directory.
La idea es que la autenticación del equipo Linux se realice utilizando Kerberos.
La distribución de Linux que utilizaremos a modo de ejemplo será: CentOS 7.
El procedimiento a seguir será el siguiente:
- Nombre del equipo Linux a añadir al dominio: SYSADMIT-LINUX1
- Dirección IP del controlador de dominio (DC): 192.168.1.52
- Nombre del dominio de Active Directory: SYSADMIT.lab
Al configurar el TCP/IP del equipo Linux, debemos tener en cuenta que debemos configurar:
1) Como servidor DNS primario, la dirección IP de nuestro controlador de dominio (DC) Windows.
2) Como dominio de búsqueda, debemos configurar el nombre de dominio de Active Directory.
Visualizando el contenido del fichero /etc/resolv.conf, podemos ver el resultado:
[root@SYSADMIT-LINUX1 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search SYSADMIT.lab
nameserver 192.168.1.52
Todos los equipos Windows o Linux añadidos a un dominio de Active Directory requieren tener configurado como servidor de hora un controlador de dominio (DC).
En los equipos Windows que se añaden a un dominio de Active Directory esta configuración se realiza de forma automática.
Si el equipo que vamos a añadir a un dominio de Active Directory dispone de sistema operativo Linux, deberemos realizar la configuración NTP de forma manual.
Para ello, seguiremos el siguiente procedimiento:
Instalamos el paquete:
yum install ntp -y
Realizamos una copia de seguridad del fichero original, con el parámetro -a, copiamos los permisos.
cp -a /etc/ntp.conf /etc/ntp.conf.original
Editamos el fichero de configuración:
vi /etc/ntp.conf
Comentamos:
#restrict default nomodify notrap nopeer noquery
Añadimos:
restrict default nomodify notrap nopeer noquery kod limited
Comentamos:
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
Añadimos:
server 192.168.1.52 iburst
#Indicamos la dirección IP del DC.
Iniciamos el servicio y lo configuramos para que se inicie automáticamente al iniciar el equipo:
systemctl start ntpd
systemctl enable ntpd
Prueba:
ntpq -p
La idea es que la autenticación del equipo Linux se realice utilizando Kerberos.
La distribución de Linux que utilizaremos a modo de ejemplo será: CentOS 7.
El procedimiento a seguir será el siguiente:
Linux: Añadir equipo al dominio Windows: Datos de ejemplo:
- Nombre del equipo Linux a añadir al dominio: SYSADMIT-LINUX1
- Dirección IP del controlador de dominio (DC): 192.168.1.52
- Nombre del dominio de Active Directory: SYSADMIT.lab
Linux: Añadir equipo al dominio Windows: Config TCP/IP
Al configurar el TCP/IP del equipo Linux, debemos tener en cuenta que debemos configurar:
1) Como servidor DNS primario, la dirección IP de nuestro controlador de dominio (DC) Windows.
2) Como dominio de búsqueda, debemos configurar el nombre de dominio de Active Directory.
Visualizando el contenido del fichero /etc/resolv.conf, podemos ver el resultado:
[root@SYSADMIT-LINUX1 ~]# cat /etc/resolv.conf
# Generated by NetworkManager
search SYSADMIT.lab
nameserver 192.168.1.52
Linux: Añadir equipo al dominio Windows: Config NTP
Todos los equipos Windows o Linux añadidos a un dominio de Active Directory requieren tener configurado como servidor de hora un controlador de dominio (DC).
En los equipos Windows que se añaden a un dominio de Active Directory esta configuración se realiza de forma automática.
Si el equipo que vamos a añadir a un dominio de Active Directory dispone de sistema operativo Linux, deberemos realizar la configuración NTP de forma manual.
Para ello, seguiremos el siguiente procedimiento:
Instalamos el paquete:
yum install ntp -y
Realizamos una copia de seguridad del fichero original, con el parámetro -a, copiamos los permisos.
cp -a /etc/ntp.conf /etc/ntp.conf.original
Editamos el fichero de configuración:
vi /etc/ntp.conf
Comentamos:
#restrict default nomodify notrap nopeer noquery
Añadimos:
restrict default nomodify notrap nopeer noquery kod limited
Comentamos:
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
Añadimos:
server 192.168.1.52 iburst
#Indicamos la dirección IP del DC.
Iniciamos el servicio y lo configuramos para que se inicie automáticamente al iniciar el equipo:
systemctl start ntpd
systemctl enable ntpd
Prueba:
ntpq -p
Veremos como aparece el controlador de dominio (DC).
Linux: Añadir equipo al dominio Windows: Añadir
Procedemos a instalar los paquetes necesarios:
yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python -y
Añadimos equipo al dominio, indicamos que utilizaremos la cuenta de "Administrador" y el dominio: SYSADMIT.lab:
realm join --user=Administrador SYSADMIT.lab
Desde en controlador de dominio (DC), en usuarios y equipos de AD (dsa.msc): Podemos verificar que en el contenedor: "computers" aparece el equipo.
Linux: Añadir equipo al dominio Windows: Configuración SSSD
System Security Services Daemon (SSSD) es un servicio que proporciona servicios de autenticación de red.
La idea es que mediante ese servicio dispongamos de la autenticación de Active Directory en nuestro equipo Linux.
Los paquetes necesarios ya han sido añadidos en el punto anterior.
Realizamos una copia de seguridad del fichero original, con el parámetro -a, copiamos los permisos.
cp -a /etc/sssd/sssd.conf /etc/sssd/sssd.conf.original
Editamos el fichero:
vi /etc/sssd/sssd.conf
Comentamos las siguientes lineas:
#use_fully_qualified_names = True
#fallback_homedir = /home/%u@%d
#cache_credentials = True
#krb5_store_password_if_offline = True
Añadimos las siguientes lineas:
use_fully_qualified_names = False
fallback_homedir = /home/%u
cache_credentials = False
krb5_store_password_if_offline = False
Reiniciamos el servicio:
systemctl restart sssd.service
Configuramos un cron para que se limpie la caché a cada minuto:
Editamos el fichero de crons del sistema:
vi /etc/crontab
Añadimos:
* * * * * root /usr/sbin/sss_cache -Ed SYSADMIT.lab
Linux: Añadir equipo al dominio Windows: Verificación
Nos dirigimos dentro de usuarios y equipos de Active Directory (dsa.msc):
- Creamos usuario: U1@SYSADMIT.lab
- Creamos grupos: G1@SYSADMIT.lab, G2@SYSADMIT.lab
- Añadimos el U1@SYSADMIT.lab dentro del grupo G1@SYSADMIT.lab
Ejecutamos:
[root@SYSADMIT-LINUX1 ~]# id U1@SYSADMIT.lab
uid=808001241(u1) gid=808000513(usuarios del dominio) groups=808000513(usuarios del dominio),808001242(g1)
Aparece el grupo: G1
Añadimos el U1@SYSADMIT.lab dentro del grupo G2@SYSADMIT.lab
Ejecutamos:
[root@SYSADMIT-LINUX1 ~]# id U1@SYSADMIT.lab
uid=808001241(u1) gid=808000513(usuarios del dominio) groups=808000513(usuarios del dominio),808001243(g2),808001242(g1)
Vemos que aparece el grupo: G2.
---
Si como siguiente paso queréis configurar SAMBA en un entorno de Active Directory, podéis seguir la guía explicada en el siguiente enlace:
Linux: Configurar SAMBA Active Directory (SYSADMIT.com)
Siempre existe la opción de PBIS-OPEN (anteiormente LIKEWISE)
ResponderEliminar