Instalación e Integración de Centos Directory Server con Samba 3

Hola. En este artículo voy a explicar como instalar y configurar un Centos-DS para que funcione como controlador de dominio. El sistema operativo donde lo he instalado es un Centos.
1. Instalación de paquetes necesarios:

 $ yum install -y samba samba-client samba-common samba-winbind smbldap-tools
 $ yum -y install centos-ds openssl mod_ssl openldap openldap-clients openldap-servers openldap-devel

2. Configuración de Centos Directory Server

$ setup-ds-admin.pl

Would you like to continue with set up? [yes]: yes
Do you agree to the license terms? [no]: yes
Would you like to continue? [no]: yes
Choose a setup type [2]: 3
Computer name []: server1.intecna.es (Nombre del servidor)
System User [nobody]: ldap (Usuario del sistema  para el servicio)
System Group [nobody]: ldap (Usuario del sistema  para el servicio)
Do you want to register this software with an existing configuration directory server? [yes]: no
administrator ID [admin]: (Usuario administrador para la consola de administración)
Password: (Contraseña)
Password (confirm): (Repetir la contraseña)
Administration Domain [intecna.es]: (Dominio de la instancia que vamos a crear)
Directory server network port [389]: 389
Directory server identifier [server]: intranet (Nombre de la instancia a crear)
Suffix [dc=intecna, dc=es]: (Dejar el valor predeterminado)
Directory Manager DN [cn=Directory Manager]: (Administrador del Centos DS)
Password: (Contraseña de almenos 8 dígitos)
Password (confirm): (Repita la contraseña)
Do you want to install the sample entries? [no]: (Pulsamos enter)
Type the full path and filename, the word suggest, or the word none [suggest]: none
Administration port [9830]: 3890
IP address [0.0.0.0]: (Pulsamos enter)
Run Administration Server as [ldap]: (Pulsamos enter)
Are you ready to set up your servers? [yes]: (Pulsamos enter)
Creating directory server . . .
Your new DS instance ‘exemplo’ was successfully created.
Creating the configuration directory server . . .
Beginning Admin Server creation . . .
Creating Admin Server files and directories . . .
Updating adm.conf . . .
Updating admpw . . .
Registering admin server with the configuration directory server . . .
Updating adm.conf with information from configuration directory server . . .
Updating the configuration for the httpd engine . . .
Starting admin server . . .
The admin server was successfully started.
Admin server was successfully created, configured, and started.
Exiting . . .
Log file is ‘/tmp/setupTSWCSn.log’

Ya está instalado y operativo el Centos Directory Server.

3. Condifuración de Samba. Editamos el archivo smb.conf:

$ vi /etc/samba/smb.conf

4. Introducimos el siguiente contenido:
———————————————————————————————————-
[global]
workgroup = INTECNA
security = user
passdb backend = ldapsam:ldap://ldap.intecna.es
ldap admin dn = cn=Directory Manager
ldap suffix = dc=intecna,dc=es
ldap user suffix = ou=People
ldap machine suffix = ou=Computers
ldap group suffix = ou=Groups

log file = /var/log/%m.log
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

os level = 33
domain logons = yes
domain master = yes
local master = yes
preferred master = yes

wins support = yes

logon home = \\%L\%u\profiles
logon path = \\%L\profiles\%u
logon drive = H:

template shell = /bin/false
winbind use default domain = no

add user script = /usr/sbin/smbldap-useradd -m «%u»
delete user script = /usr/sbin/smbldap-userdel «%u»
add group script = /usr/sbin/smbldap-groupadd -p «%g»
delete group script = /usr/sbin/smbldap-groupdel «%g»
add user to group script = /usr/sbin/smbldap-groupmod -m «%u» «%g»
delete user from group script = /usr/sbin/smbldap-groupmod -x «%u» «%g»
set primary group script = /usr/sbin/smbldap-usermod -g «%g» «%u»
add machine script = /usr/sbin/smbldap-useradd -w «%u»

[netlogon]
path = /var/lib/samba/netlogon
read only = yes
browsable = no

[profiles]
path = /var/lib/samba/profiles
read only = no
create mask = 0600
directory mask = 0700

[homes]
browsable = no
writable = yes
———————————————————————————————————-

5. Ahora vamos a ejecutar el siguiente comando para asegurarnos de que todo está completado:

$ /usr/share/doc/smbldap-tools-0.9.5/configure.pl

Samba Configuration File Path [/etc/samba/smb.conf] > (Pulsamos enter)
Smbldap-tools Configuration Directory Path [/etc/smbldap-tools/] > (Pulsamos enter)
workgroup name [INTECNA] > (Pulsamos enter)
logon drive [H:] > (Podemos establecer cualquier letra que no se esté utilizando en el windows)
logon home (press the «.» character if you don’t want homeDirectory) [\\server\U%] > (Pulsamos enter)
logon path (press the «.» character if you don’t want roaming profile) [\\server\profiles\%U] > (Este es un punto es importante. Si desea habilitar el perfil móvil, debe establecer la ruta aquí, si usted no quiere, sólo hay que poner «.»)
home directory prefix (use %U as username) [/home/%U] > (Definimos el directorio donde los usuarios tendrán sus datos, el acceso \\server\%U)
default users’ homeDirectory mode [700] > (Pulsamos enter)
default user netlogon script (use %U as username) [intecna.bat] > (EL script de inicio de sesión de usuario. Se puede cambiar posteriormente sin problemas, Hay que saber que este script debe ser accesible en la red dentro de NETLOGON)
default password validation time (time in days) [45] > (Dias para la expiración de la contraseña)
ldap suffix [dc=intecna,dc=es] >; (Revisar para que esté correpto antes de pulsar enter)
ldap group suffix [ou=Groups] > (Pulsamos enter)
ldap user suffix [ou=People] > (Pulsamos enter)
ldap machine suffix [ou=Computers] > (Pulsamos enter)
sambaUnixIdPooldn: object where you want to store the next uidNumber
and gidNumber available for new users and groups
sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=INTECNA] > (Pulsamos enter)
ldap master server [server1.intecna.es] > (Nombre del servidor)
ldap master port [389] > (Pulsamos enter)
ldap master bind dn [cn=Directory Manager] > (Usuario Administrador del Centos DS)
ldap master bind password [] > (Contraseña del usuario Administrador)
ldap slave server [server1.intecna.es] > (Ldap esclavo, podemos poner los mismo)
ldap slave port [389] > (Pulsamos enter)
ldap slave bind dn [cn=Directory Manager] > (Pulsamos enter)
ldap slave bind password [] > (Contraseña de Directory Manager)
ldap tls support (1/0) [0] > (Pulsamos enter)
SID for domain EXEMPLO: SID of the domain (can be obtained with ‘net getlocalsid server’)
SID for domain EXEMPLO [S-1-5-21-3949905433-2291849888-696682225] > (Pulsamos enter)
unix password encryption: encryption used for unix passwords
unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA) [SSHA] > CRYPT (Colocamos la misma encriptación que en CENTOS-DS)
crypt salt format: If hash_encrypt is set to CRYPT, you may set
a salt format. The default is «%s», but many systems will generate
MD5 hashed passwords if you use «$1$%.8s»
crypt salt format [%s] > (Pulsamos enter)
default user gidNumber [513] > (Pulsamos enter)
default computer gidNumber [515] > (Pulsamos enter)
default login shell [/bin/bash] > /sbin/nologin (Para que los usuarios no puedan iniciar sessión vía ssh)
default skeleton directory [/etc/skel] > (Pulsamos enter)
default domain name to append to mail adress [] > intecna.es (Poner el dominio del correo)
/etc/smbldap-tools/smbldap.conf done.
/etc/smbldap-tools/smbldap_bind.conf done.

Creamos los directorios apropiados con sus permisos que serán compartidos vía samba definidos en nuestra configuración:

# mkdir -p /var/lib/samba
# mkdir /var/lib/samba/{netlogon,profiles}
# chown root:root -R /var/lib/samba
# chmod 0755 /var/lib/samba/netlogon
# chmod 1755 /var/lib/samba/profiles

Ya tenemos configurado correctamente nuestro Samba.

6. Ahora tenemos que crear el esquema para el Centos-DS de la siguiente forma:

Nos descargamos el script ol-schema-migrate.pl:

$ wget http://directory.fedoraproject.org/download/ol-schema-migrate.pl

Ejecutamos el script de la siguiente forma:

$ perl ol-schema-migrate.pl -b /usr/share/doc/samba-*/LDAP/samba.schema >
/etc/dirsrv/slapd-<server>/schema/61samba.ldif

Donde «server» es el nombre de la instancia que hemos creado con el Centos-DS. En nuestro caso es intranet.

$ service dirsrv restart

Establecemos la contraseña del administrador del dominio para Samba:

$ smbpasswd -W

7. Poblamos la base de datos

$ smbldap-populate

Populating LDAP directory for domain INTECNA (S-1-5-21-3949905433-2291849888-696682225)
(using builtin directory structure)

adding new entry: dc=intecna,dc=es
adding new entry: ou=Users,dc=intecna,dc=es
adding new entry: ou=Groups,dc=intecna,dc=es
adding new entry: ou=Computers,dc=intecna,dc=es
adding new entry: ou=Idmap,dc=intecna,dc=es
adding new entry: uid=root,ou=Users,dc=intecna,dc=es
adding new entry: uid=nobody,ou=Users,dc=intecna,dc=es
adding new entry: cn=Domain Admins,ou=Groups,dc=exemplo,dc=com,dc=b
adding new entry: cn=Domain Users,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Domain Guests,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Domain Computers,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Administrators,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Account Operators,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Print Operators,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Backup Operators,ou=Groups,dc=intecna,dc=es
adding new entry: cn=Replicators,ou=Groups,dc=intecna,dc=es
adding new entry: sambaDomainName=INTECNA,dc=intecna,dc=es

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password: (Contraseña de root para el dominio. No tiene nada que ver con el usuario root del servidor)
Retype new password: (Repite la contraseña)

Ya tenemos Centos-DS integrado con Samba. Ahora podemos unir máquinas al dominio con los credenciales de root que hemos introducido ene l paso anteior.

Para finalizar vamos a testear que todo está funcionando correctamente

8. Listamos los usuarios de nuestro dominio.

$ smbldap-userlist

(Ahora mismo sólo existirá root y nobody)

9. Ahora, para autenticar el servidor (Este u otro servidor), con LDAP, debe ejecutar el comando:

$ authconfig-tui

Marcamos la casillas siguientes y le damos siguiente:

* Utilizar LDAP
* Utilizar Autenticación LDAP

Desmarcamos Utilizar TLS y establecemos la configuración del ldap:

Servidor: ldap://192.168.1.92
DN base: dc=intecna,dc=es_

Una vez configurado pulsamos sobre aceptar.

10. Editamos el archivo /etc/ldap.conf y modificamos los siguiente parámetros:

binddn cn=Directory Manager
bindpw (Contraseña)

11. Editamos el archivo /etc/openldap/ldap.conf e introducimos los siguientes parámetros:

BASE dc=intecna,dc=es
SSL no
TLS_CACERTDIR /etc/openldap/cacerts
URI ldap://192.168.1.92/

Ahora el sistema Operativo también está autenticando contra el Centos-DS.

Vamos a añadir un usuario para probar

$ smbldap-useradd -a -m -F "Isaias Aranda Cano" iaranda

$ smbldap-passwd iaranda

Changing UNIX password for iaranda
New password:
Retype new password:

Para ver las propiedades de un usuario ejecutamos:

$ id iaranda

uid=1006(iaranda) gid=513(Domain Users) grupos=513(Domain Users)

$ finger iaranda

Login: iaranda                    Name: System User
Directory: /home/iaranda                Shell: /sbin/nologin
Never logged in.
No mail.
No Plan.

Para listar los usuarios del dominio ejecutamos:

$ smbldap-userlist

uid  |username

0 |root
999 |nobody
1001 |isaias_pc$
1006 |iaranda