Juan Oliva

Esta manual tiene como objetivo el describir de cómo instalé y configuré un controlador de dominios con samba y ldap en un sistema de Linux Debian Sarge( ojo para etch existen variaciones), No hay razón por la que no trabajaría en ningún otro sistema de linux, .

*********** INSTALACION DE SLAPD *****************

1.-Instalación de servidor LDAP :

$ apt-get update
$ apt-get upgrade
$ apt-get install slapd db4.2-util

Responder las siguientes perguntas:

DNS domain name: silcom.com.pe
Name of organisation: silcom.com.pe
Admin password: password
Confirm password: password
Allow LDAP v2: yes

****** INSTALACION PHPLADADMIN **********

1.- Phpldapadmin requiere un servidor web instalado. En una nueva instalación, nosotros necesitaremos instalar apache. Si usted tiene instalado apache omitir este paso.

$ apt-get install apache

Y responder con lo siguiente:

Enable SuExec: no

2.- instalar phpldapadmin nos provee un frontend para administrar LDAP

$ apt-get install phpldapadmin

use las siguientes respuestas :

Authentication type: session
Configure webserver: apache-ssl
Restart: yes

3.- Phpldapadmin requiere una utilidad llamada mkntpwd para crear las contraseñas Samba hashes. esta incluida en smbldap-tools pero esta no parece estar incluida para Debian así que se requiere descargarla.

$ cd /opt/
$ wget http://www.silcom.com.pe/soft/mkntpwd.tar.gz
$ tar -zxf mkntpwd.tar.gz
$ cd mkntpwd
$ make
$ cp mkntpwd /usr/local/bin

Chequeamos que esta corriendo:

$ mkntpwd

************* INSTALACION DE SAMBA ***********

1.- Ahora instalamos los paquetes samba y samba-doc

$ apt-get install samba samba-doc

Y respondemos con lo siguiente:

Domain Name: silcom
Use Password Encryption: Yes
Modify smb.conf to use WINS settings via DHCP: No
How to run Samba: daemons
Create password database: Yes

************* CONFIGURANDO Y POPULANDO LDAP *********
1.- slapd necesita Samba schema para trabajar. Hacemos lo siguiente:

$ cd /usr/share/doc/samba-doc/examples/LDAP/
$ gunzip samba.schema.gz
$ cp samba.schema /etc/ldap/schema/

Ahora incluimos las siguiente linea en /etc/ldap/slapd.conf :

include /etc/ldap/schema/samba.schema

Y reiniciamos slapd:$ /etc/init.d/slapd restart

2.- Se necesita crear unidades organizativas en LDAP para nuestros usuarios, grupos and maquinas.ingresar a phpldapadmin http://debian.silcom.com.pe/phpldapadmin/ (obiamente ingresar su direccion ip o dominio).

Ingresar con la contraseña para el usuario admin en LDAP.
Expandir la raiz del arbol, y hacer click en «Create New Entry Here»
Seleccionar «Organizational Unit» (ou): llamar a la ou «users» y confirmar.

repetir estos pasos, y aderir dos ou’s llamadas groups y machines. El arbol debe quedar de la siguien forma:

************** CONFIGURAR SAMBA ***************

1.- Ahora se configurara samba. abrir el archivo /etc/samba/smb.conf y buscar la linea:

passdb backend = tdbsam guest

Esta linea necesita ser reemplazada por lo siguiente :

passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=silcom,dc=com,dc=pe
ldap machine suffix = ou=machines
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=admin,dc=silcom,dc=com,dc=pe
ldap delete dn = no

# para PDC
domain logons = yes

# permitir privilegios a usuarios
enable privileges = yes

2.- ejecutar testparm para verificar que la configuracion no tiene errores.

$ testparm

3.- le enviamos a samba la contraseña del admin de LDAP del siguiente modo:

$ smbpasswd -w password

4.- Reiniciar samba:

$ /etc/init.d/samba restart

5.- Ahora mire en phpldapadmin, y serciorese que se ha creado una nueva entrada como esta : sambaDomainName=SILCOM

copiar el valor de sambaSID (eg S-1-5-21-2620819820-906013693-4274777306 ), ya que sera necesaria mas adelante.

************* CONFIGURAR PHPLDAPADMIN ********************

1.- Editar el archivo
/usr/share/phpldapadmin/templates/template_config.php . Buscar las siguiente linea :

// uncomment to set the base dn of posix groups
// default is set to the base dn of the server
//$base_posix_groups=»ou=People,dc=example,dc=com»;

$samba3_domains[] =
array( ‘name’ => ‘My Samba domain Name’,
‘sid’ => ‘S-1-5-21-4147564533-719371898-3834029857’ );

// The base dn of samba group. (CUSTOMIZE)
//$samba_base_groups = «ou=Groups,ou=samba,dc=example,dc=org»;

Cambiarla por esta:

// uncomment to set the base dn of posix groups
// default is set to the base dn of the server
$base_posix_groups=»ou=groups,dc=silcom,dc=com,dc=pe»;

$samba3_domains[] =
array( ‘name’ => ‘silcom’,
‘sid’ => ‘S-1-5-21-2620819820-906013693-4274777306’ );

// The base dn of samba group. (CUSTOMIZE)
$samba_base_groups = «ou=groups,dc=silcom,dc=com,dc=pe»;

donde el valos de sid se obtiene de phpldapadmin.

*********** INSGRESAR GRUPOS POR DEFECTO **************

1.- Se necesitara crear algunos grupos por defecto . para crearlos en phpladpadmin use Samba 3 Group Mappings sobre ou=groups:

Unix name Samba Name gid Samba Sid
admins Domain Admins 20000 Built-In -> Domain Admins
users Domain Users 20001 Built-In -> Domain Users
guests Domain Guests 20002 Built-In -> Domain Guests

************ CONFIGURACION AUTENTIFICACION UNIX ************

Configuraremos el servidor de modo que los usuariaros de LDAP aparescan como usuarios del sistema linux.

1.- Instalar libnss-ldap package y configurar:

$ apt-get install libnss-ldap

LDAP Server Host: 127.0.0.1
DN of Search Base: dc=silcom,dc=com,dc=pe
LDAP Version: 3
Database requires login: no
Make config readable by owner only: yes

2.- Editar el archivo /etc/nsswitch.conf de la siguiente forma:

passwd: compat ldap
group: compat ldap
shadow: compat ldap

3.- Ahora use la utilidad getent para confirmar que los grupos han sido correctamente configurados de la siguiente forma:

$ getent group
ssh:x:103:
users:x:20001:
guests:x:20002:
admins:x:20000:

4.- Instalar el paquete libpam-ldap

$ apt-get install libpam-ldap

Make local root db admin: yes
Database requires logging in : no
Root login account : cn=admin,dc=silcom,dc=com,dc=pe
Root password : password
Crypt : MD5

5.- Samba requiere un usuario Administrator (con un uidNumber de 0) para ingresar a las maquinas Windows al dominio.
No recomiendo tener un usuario el usuario root en LDAP ya que puede ser capaz de abrirse una sesión a los sitios de trabajo de Linux, para esto agregamos un filtro en /etc/pam_ldap.conf .

si no les incomoda este aspecto se puede saltar este paso.

Ingresar la siguiente linea en al final del archivo /etc/pam_ldap.conf

pam_filter !(uidNumber=0)

6.-Los siguientes archivos son necesarios para configurar PAM para LDAP:

/etc/pam.d/common-account

# Comentar esta linea
#account required pam_unix.so

# e insertar estas dos
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass

/etc/pam.d/common-auth

# comentar esta linea
#auth required pam_unix.so nullok_secure

# e insertar estas dos
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass

/etc/pam.d/common-password

# comentar
#password required pam_unix.so nullok obscure min=4 max=8 md5

# insertar estas lineas
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass

7.- Reiniciar ssh y samba

$ /etc/init.d/ssh restart
$ /etc/init.d/samba restart

8.- Instalar el servicio de caching para nombres:

$ apt-get install nscd

************ AGREGAR USUARIOS *****************

1.- Ahora se podra agregar algunos usuario. Se necesesita un Administrator (uid=0) y otro usuario para realizar las pruebas.
crear un nuevo : Samba 3 User(s) sobre ou=users de la siguiente forma:

Uid First Name User Name User Password Encryption Windows Group
0 Admin Administrator password MD5 Domain Admins
10000 Simon simon ******** MD5 Domain Admins

2.- Verificamos con getent que nss esta funcionando correctamente sobre el servidor linux.

$ getent passwd
simon:x:10000:20000:Simon Newton:/home/simon:/bin/bash
Administrator:x:0:20000:admin :/home/administrator:/bin/bash

3.- Creamos los directorios home para los usuarios:

$ mkdir /home/simon
$ cp /etc/skel/.* /home/simon/
$ chown -R simon /home/simon
$ chgrp -R users /home/simon

************ ASIGNANDO PRIVILEGIOS Y AUTOMATIZANDO *************

Ingresar computadoras al dominio automaticamente

1.- INstalar los siguientes modulos de Perl :

$ apt-get install libnet-ldap-perl libcrypt-smbhash-perl

2.- copiar el script smbldap-useradd (y archivos de configuracion) del paquete Samba-doc . en la ubicacion /usr/local/smbldaptools

$ mkdir /usr/local/smbldaptools
$ cd /usr/share/doc/samba-doc/examples/LDAP/smbldap-tools-0.8.7
$ cp smbldap_bind.conf smbldap_tools.pm.gz smbldap.conf.gz smbldap-useradd.gz /usr/local/smbldaptools/
$ gunzip /usr/local/smbldaptools/*.gz
$ cd /usr/local/smbldaptools
$ chmod go-r *
$ chmod u+x smbldap-useradd

Editar el archivo /usr/local/smbldaptools/smbldap.conf para que queden de esta manera:

SID=»S-1-5-21-3131077580-1338128831-1697195685″
suffix=»dc=silcom,dc=com,dc=pe»
usersdn=»ou=users,${suffix}»
computersdn=»ou=machines,${suffix}»
groupsdn=»ou=groups,${suffix}»
sambaUnixIdPooldn=»sambaDomainName=SILCOM,${suffix}»
hash_encrypt=»MD5″

Editar el archivo /usr/local/smbldaptools/smbldap_bind.conf:

slaveDN=»cn=admin,dc=silcom,dc=com,dc=pe»
slavePw=»password»
masterDN=»cn=admin,dc=silcom,dc=com,dc=pe»
masterPw=»password»

Editar /usr/local/smbldaptools/smbldap_tools.pm para enlazar los archivos correctos para la configuracion:

my $smbldap_conf=»/usr/local/smbldaptools/smbldap.conf»;
my $smbldap_bind_conf=»/usr/local/smbldaptools/smbldap_bind.conf»;

3.- Ubicar el objeto sambaDomainName=SILCOM en phpldapadmin.
Hacer click y Agregar un nuevo valor sobre el object class y escoger sambaUnixIdPool luego hacer click
en siguiente e ingresar un numero de uid y gid de inicio para este caso sera el 30000.

4.- Probar la configuracion ingresando una maquina de la siguiente manera:

$./smbldap-useradd -w «quigon»

si no emitio agun error todo esta correcto, se creara un nuevo objeto uid=quigon$ en el ou machines.
Nos daremos cuenta que el uidNumber en el objeto sambaDomainName=SILCOM se habra actualizado a 30001 ahora.

Este objeto solo sirve para verificar que todo esta trabajando bien ,procederemos a eliminarlo del arbol

5.- Finalmente agregar la siguiente linea en el archivo smb.conf :

add machine script = /usr/local/smbldaptools/smbldap-useradd -w «%u»

6.- Si deseamos que un usuario normal agregue las maquinas al dominio. podemos conceder al usuario derechos
para agregar las maquinas al dominio usando lo siguiente:

net rpc -UAdministrator rights grant simon SeMachineAccountPrivilege

************ SCRIPS DE INICIO DE SESION *****************

Vamos a usar KiXtart para escribir los archivos de inicio.

$ cd /opt/
$ wget http://www.kixtart.org/binary/distrib/KiX2010_453.zip
$ apt-get install unzip
$ unzip /opt/KiX2010_453.zip

1.- crear el netlogon, y hacer que el grupo administrador tenga a acceso a escribir

$ mkdir -p /data/samba/netlogon
$ chgrp admins /data/samba/netlogon

Y agregar las siguientes lines en /etc/samba/smb.conf:

# put this in the main section
logon script = logon.bat

# share for the logon scripts
[netlogon]
comment = Network logon service
path = /data/samba/netlogon
write list = «@admins»
guest ok = Yes

2.- Para el inicio de sesion de una maquina windows a un usuario en el grupos Domain Admins.Se tiene que tener aceso a escritura sobre la capeta netlogon

Download KiXstart,
extract, and put the following files into the netlogon share:

KIX32.EXE
KX32.dll

$ cp /opt/KiX2010.453/KIX32.EXE /data/samba/netlogon/
$ cp /opt/KiX2010.453/KX32.dll /data/samba/netlogon/

3.- crear un archivo logon.bat en la carpeta netlogon e ingresar lo siguiente
en el archivo:

\\pdc\netlogon\kix32 \\debian\netlogon\logon.kix /f

4.- crear un archivo logon.kix. eset se ejecutara cuando el usuario se loguee.
se puede montar unidades compartidas, sincronizar la hora etc. como este ejemplo:

; logon script

setconsole(‘hide’)

; delete all mapped drives
USE * /delete

; sync time
$timeserver = «\\pdc»
Settime $timeserver

IF INGROUP(«SILCOM\Domain Admins»)
use n: \\pdc\netlogon
ENDIF

; add more drive mappings here

; map homedirectory
use u: @HOMEDIR

Hasta aqui se debiar poder configurar una estacion de trabajo que se autentifique contral el dominio
***************** HABILITAR PROFILES **********************

mkdir /data/samba/profiles

[profiles]
path = /data/samba/profiles
comment = Profiles
writeable = yes
browseable = no
create mask = 0600
directory mask = 0700

************* CREACION DE HOME POR DEFECTO *************

Por defecto cuando se registra un usuario en ldap no crea el home respectivo
para corregir esto utilizamos lo siguiente:

editar /etc/pam.d/common-session y agregar en la primera linea

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

************ PERMITIR CAMBIO DE CONTRASEÑA ******************
Es bueno permitirle a los usuarios de windows cambiar su contraseña en el servidor ldap
para esto se hara lo siguiente:

cd /usr/share/doc/samba-doc/examples/LDAP/smbldap-tools-0.8.7
cp smbldap-passwd.gz /usr/local/smbldaptools/
cd /usr/local/smbldaptools/
gunzip smbldap-passwd.gz
chmod u+x smbldap-passwd

en el archivo /etc/samba/smb.conf modificar las siguientes lineas :

unix password sync = no
passwd program = /usr/bin/passwd %u

por estas :

unix password sync = yes
passwd program = /usr/local/smbldaptools/smbldap-passwd -o %u