Existi\u00f3 un tiempo en el que poner un servidor de dominio en Windows era algo muy sencillo, emular un Windows NT4 era la cosa m\u00e1s simple del mundo y firmar computadoras con Windows 95 , Windows 98 y Windows ME era simple r\u00e1pido y f\u00e1cil. Si no quer\u00edas pagar las licencias impuestas siempre pod\u00edas instalar un GNU\/Linux con Samba y evitar usar tecnolog\u00edas de SERVER Microsoft.<\/p>\n
Ocurri\u00f3 que por el 2000 Microsoft cambio las reglas del juego, con el Windows XP y Windows 2000 Server se hizo una integraci\u00f3n llamada Directorio Activo, donde ya no solo era un servidor controlador de dominio, sino un sistema formado por el PDC, Listas en directorios (Protocolo Ligero de Acceso a Directorios) Aka LDAP y para rematar un DNS Server. Son m\u00e1s cosas pero esas 3 b\u00e1sicas forman en si el Directorio Activo y en los primeros d\u00edas era horrible homologar un GNU\/Linux a un Servidor Windows 2000, 2003 y 2008 para entrar al mundo del Active Directory. No porque no se pueda, si no por que intentarlo es abrumador llevar a cabo todas las configuraciones necesarias.<\/p>\n
Afortunadamente la versi\u00f3n 4.0.0 de Samba hace que esto sea un poco mas sencillo y ahora si me da un art\u00edculo para dar los pasos necesarios para convertir tu equipo GNU\/Linux en un servidor de dominio con rol de PDC\/AD aka (Controlador Primario de Dominio con Directorio Activo)<\/p>\n
Los siguientes pasos los hice con un CentOS 6.3 a 64 bits y SAMBA 4.0.1 descargado de su sitio oficial en c\u00f3digo fuente para su compilaci\u00f3n en el equipo.<\/p>\n
1.0 Instalar GNU\/Linux 6.3 a 64bits<\/p>\n
2.0 Preparar el sistema.<\/p>\n
2.1 Deshabilitar SELinux, desactivar los firewall y quitar toda regla iptables filter<\/p>\n
2.2 Instalar los paquetes y herramientas necesarias con yum, con darle copiar y pegar a la siguiente l\u00ednea bastara.<\/p>\n
yum -y install gcc make wget python-devel gnutls-devel openssl-devel libacl-devel krb5-server krb5-libs krb5-workstation bind bind-libs bind-utils<\/p><\/blockquote>\n
2.3 Descargar Samba 4.0.X o superior, al momento de redactor este articulo estaba la versi\u00f3n 4.0.1 y la obtuve del siguiente URL<\/p>\n
http:\/\/www.samba.org\/samba\/ftp\/stable\/samba-4.0.1.tar.gz<\/p>\n
2.3.1 Preparar el Makefile para compilarlo usando configure y la bandera –enable-selftest. <\/p>\n
.\/configure –enable-selftest<\/p><\/blockquote>\n
Nota que no doy prefix, dejo que se instale en su ruta por default.<\/p>\n
2.4 Crear el smb.conf usando el comando samba-tool, se encuentra \/usr\/local\/samba\/bin\/ que es el lugar donde estar\u00e1n los binarios de SAMBA despu\u00e9s de la compilaci\u00f3n e instalaci\u00f3n. En este articulo usare lastdragon como dominio de red y lastdragon.net dominio de directorio activo.
\nLa l\u00ednea a usar es:<\/p>\n\/usr\/local\/samba\/bin\/samba-tool domain provision –realm=lastdragon.net –domain=lastdragon –adminpass ‘C@ntrase\u00f1a1#’ –server-role=dc –dns-backend=BIND9_DLZ<\/p><\/blockquote>\n
Nota que el par\u00e1metro de adminpass es seguido por la contrase\u00f1a de administrador entre apostrofes, esta contrase\u00f1a se le asignara al usuario Administrator, usuario que usaras para unir las maquinas con Windows al dominio, la contrase\u00f1a debe tener obligatoriamente una may\u00fascula, un numero, un s\u00edmbolo y al menos 6 caracteres de largo. El nombre de dominio debe ser diferente al HOSTNAME (Nombre) de tu maquina GNU\/Linux. Cuando este comando termine de ejecutarse creara el archivo smb.conf en la ruta \/usr\/local\/samba\/etc\/.<\/p>\n
El smb.conf se crea solo y se auto configura, salvo quieras editarlo para compartir alguna carpeta en red. Si no vas a compartir nada puedes dejarlo como te lo entrega el samba-tool y ser\u00e1 funcional para el prop\u00f3sito de Active Directory<\/p>\n
El contenido del archivo ser\u00e1 muy similar a:<\/p>\n
[global]
\n workgroup = lastdragon
\n realm = lastdragon.net
\n netbios name = HOSTNAME
\n server role = active directory domain controller
\n server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate<\/p>\n[netlogon]
\n path = \/usr\/local\/samba\/var\/locks\/sysvol\/adevya.com\/scripts
\n read only = No<\/p>\n[sysvol]
\n path = \/usr\/local\/samba\/var\/locks\/sysvol
\n read only = No<\/p><\/blockquote>\n3.0 Configurando el servicio de DNS Server<\/p>\n
3.1 generar la llave<\/p>\n
rndc-confgen -a -r \/dev\/urandom<\/p><\/blockquote>\n
3.2 editar named.conf en \/etc,
\nEl contenido de \/etc\/named.conf debe ser:<\/p>\noptions {
\nlisten-on port 53 { any; };
\nforwarders {192.168.1.1; };
\nallow-query { any; };
\ntkey-gssapi-keytab “\/usr\/local\/samba\/private\/dns.keytab”;
\n};
\ninclude “\/usr\/local\/samba\/private\/named.conf”;<\/p><\/blockquote>\nnota la ip en forwarders escribo la ip de mi GNU\/Linux en este caso es 192.168.1.1<\/p>\n
3.2.1 Edita el archivo named.conf en \/usr\/local\/samba\/private\/<\/p>\n
El contenido del archivo \/usr\/local\/samba\/private\/named.conf debe ser:<\/p>\n
# This DNS configuration is for BIND 9.8.0 or later with dlz_dlopen support.
\n#
\n# This file should be included in your main BIND configuration file
\n#
\n# For example with
\n# include “\/usr\/local\/samba\/private\/named.conf”;<\/p>\n#
\n# This configures dynamically loadable zones (DLZ) from AD schema
\n# Uncomment only single database line, depending on your BIND version
\n#
\ndlz “AD DNS Zone” {
\n # For BIND 9.8.0
\n database “dlopen \/usr\/local\/samba\/lib\/bind9\/dlz_bind9.so”;<\/p>\n# For BIND 9.9.0
\n # database “dlopen \/usr\/local\/samba\/lib\/bind9\/dlz_bind9_9.so”;
\n};<\/p><\/blockquote>\n3.3 edita resolv.con en \/etc<\/p>\n
El contenido de \/etc\/resolv.conf debe ser:<\/p>\n
nameserver 127.0.0.1
\ndomain lastdragon.net<\/p><\/blockquote>\nNota la l\u00ednea de domain, ah\u00ed va el dominio de directorio activo que usaras en tu red, yo uso lastdragon.net como lo especifique en el paso 2.4<\/p>\n
4.0 Configurando Kerberos<\/p>\n
4.1 Editando el archivo krb5.conf en \/etc
\nEl contenido del archivo \/etc\/krb5.conf debe ser:
\n\/etc\/krb5.conf<\/p>\n[libdefaults]
\ndefault_realm = LASTDRAGON.NET
\ndns_lookup_realm = false
\ndns_lookup_kdc = true<\/p><\/blockquote>\nNota la l\u00ednea de default_realm es LASTDRAGON.NET como lo especifique en el paso 2.4 y le hice de nuevo menci\u00f3n en el paso 3.3<\/p>\n
5.0 Instalar NTP
\nSi abres tu archivo smb.conf que se genero con samba-tool en la l\u00ednea de servicios encontraras una referencia de ntp_signd, esta caracter\u00edstica no la tiene el ntp que incluye la instalaci\u00f3n de CentOS por lo que como en samba; habr\u00e1 que descargar ntp y compilarlo asegur\u00e1ndonos que tenga signd<\/p>\nYo descargue la versi\u00f3n ntp-4.2.6p5 con el siguiente URL<\/p>\n
http:\/\/www.eecis.udel.edu\/~ntp\/ntp_spool\/ntp4\/ntp-4.2\/ntp-4.2.6p5.tar.gz<\/p>\n
5.1 Compilando ntp
\nal igual que con SAMBA para preparar el Makefile usamos .\/configure pero con la bandera que nos interesa, la de signd usando la l\u00ednea.<\/p>\n.\/configure –enable-ntp-signd<\/p><\/blockquote>\n
Nota que no uso prefix, permito que se instale en sus directorios por default.<\/p>\n
5.2 Configurando NTP el archivo ntp.conf en \/etc<\/p>\n
El contenido de \/etc\/ntp.conf debe ser<\/p>\n
server 127.127.1.0
\nfudge 127.127.1.0 stratum 10
\nserver 0.pool.ntp.org iburst prefer
\nserver 1.pool.ntp.org iburst prefer
\ndriftfile \/var\/lib\/ntp\/ntp.drift
\nlogfile \/var\/log\/ntp
\nntpsigndsocket \/usr\/local\/samba\/var\/lib\/ntp_signd\/
\nrestrict default kod nomodify notrap nopeer mssntp
\nrestrict 127.0.0.1
\nrestrict 0.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery
\nrestrict 1.pool.ntp.org mask 255.255.255.255 nomodify notrap nopeer noquery<\/p><\/blockquote>\n6.0 Aplicando los permisos finales a los archives de configuraci\u00f3n con las l\u00edneas.<\/p>\n
chown named:named \/usr\/local\/samba\/private\/dns
\nchown named:named \/usr\/local\/samba\/private\/dns.keytab
\nchmod 775 \/usr\/local\/samba\/private\/dns<\/p><\/blockquote>\nFelicidades hasta aqu\u00ed ya tienes un servidor de directorio activo, pero recuerda que el samba y el ntp fueron compilados y al no venir en los paquetes RPM de la distribuci\u00f3n no est\u00e1n aun reconocidos como servicios del sistema y no arrancaran por si solos, tampoco tendr\u00e1n un apagado correcto cuando quieras reiniciar o apagar tu servidor. A continuaci\u00f3n pondr\u00e9 como integrar samba y ntp como servicios en el sistema operativo.<\/p>\n
6.1 Crear el archivo samba en \/etc\/init.d\/<\/p>\n
El contenido de \/etc\/init.d\/samba debe ser.<\/p>\n
#! \/bin\/bash
\n#
\n# samba4 Bring up\/down samba4 service
\n#
\n# chkconfig: – 90 10
\n# description: Activates\/Deactivates all samba4 interfaces configured to \\
\n# start at boot time.
\n#
\n### BEGIN INIT INFO
\n# Provides:
\n# Should-Start:
\n# Short-Description: Bring up\/down samba4
\n# Description: Bring up\/down samba4
\n### END INIT INFO
\n# Source function library.
\n. \/etc\/init.d\/functions<\/p>\nif [ -f \/etc\/sysconfig\/samba4 ]; then
\n. \/etc\/sysconfig\/samba4
\nfi<\/p>\nCWD=$(pwd)
\nprog=”samba4″<\/p>\nstart() {
\n# Attach irda device
\necho -n $”Starting $prog: ”
\n\/usr\/local\/samba\/sbin\/samba
\nsleep 2
\nif ps ax | grep -v “grep” | grep -q \/samba\/sbin\/samba ; then success $”samba4 startup”; else failure $”samba4 startup”; fi
\necho
\n}
\nstop() {
\n# Stop service.
\necho -n $”Shutting down $prog: ”
\nkillall samba
\nsleep 2
\nif ps ax | grep -v “grep” | grep -q \/samba\/sbin\/samba ; then failure $”samba4 shutdown”; else success $”samba4 shutdown”; fi
\necho
\n}
\nstatus() {
\n\/usr\/local\/samba\/sbin\/samba –show-build
\n}<\/p>\n# See how we were called.
\ncase “$1″ in
\nstart)
\nstart
\n;;
\nstop)
\nstop
\n;;
\nstatus)
\nstatus irattach
\n;;
\nrestart|reload)
\nstop
\nstart
\n;;
\n*)
\necho $”Usage: $0 {start|stop|restart|status}”
\nexit 1
\nesac<\/p>\nexit 0<\/p><\/blockquote>\n
6.2 Crear el archivo ntp en \/etc\/init.d\/<\/p>\n
El contenido de \/etc\/init.d\/ntp debe ser<\/p>\n
#! \/bin\/bash
\n#
\n# ntp Bring up\/down ntp service
\n#
\n#chkconfig: – 99 30
\n#description: Bring up\/down ntp
\n#
\n### BEGIN INIT INFO
\n# Provides:
\n# Should-Start:
\n# Short-Description: Bring up\/down ntp
\n# Description: Bring up\/down ntp
\n### END INIT INFO
\n# Source function library.
\n. \/etc\/init.d\/functions<\/p>\nCWD=$(pwd)
\nNTPD=\/usr\/local\/bin\/ntpd
\nprog=”ntp”
\nstart() {
\n# Attach irda device
\necho -n $”Starting $prog: ”
\n$NTPD -p \/var\/run\/ntpd.pid
\nsleep 2
\nif ps ax | grep -v “grep” | grep -q $NTPD ; then success $”ntp startup”; else failure $”ntp startup”; fi
\necho
\n}
\nstop() {
\n# Stop service.
\necho -n $”Shutting down $prog: ”
\nkill -9 `cat \/var\/run\/ntpd.pid` > \/dev\/null 2>&1
\nsleep 2
\nif ps ax | grep -v “grep” | grep -q $NTPD ; then failure $”ntp shutdown”; else success $”ntp shutdown”; fi
\necho
\n}
\n# See how we were called.
\ncase “$1″ in
\nstart)
\nstart
\n;;
\nstop)
\nstop
\n;;
\nrestart|reload)
\nstop
\nstart
\n;;
\n*)
\necho $”Usage: $0 {start|stop|restart}”
\nexit 1
\nesac
\nexit 0<\/p><\/blockquote>\n6.3 Darles permiso de ejecuci\u00f3n<\/p>\n
chmod +x \/etc\/init.d\/ntp
\nchmod +x \/etc\/init.d\/samba<\/p><\/blockquote>\n6.4 Con la siguiente secuencia de arranque puedes activar el servicio<\/p>\n
\/etc\/init.d\/named start
\n\/etc\/init.d\/ntp start
\n\/etc\/init.d\/samba start<\/p><\/blockquote>\nPero si quieres que inicien sin intervenci\u00f3n cuando inicie tu servidor ejecuta las siguientes l\u00edneas.<\/p>\n
chkconfig –levels 35 samba on
\nchkconfig –levels 35 ntp on
\nchkconfig –levels 35 named on<\/p><\/blockquote>\n7.0 Administrando usuarios en el directorio activo.<\/p>\n
Puedes usar el comando smbpass, yo uso pdbedit<\/p>\n
Con pdbedit \u2013L puedes listar todos los usuarios registrados en el directorio, tanto usuarios de computadoras, como usuarios humanos. Consulta la ayuda de pdbedit para ver c\u00f3mo crear, editar o borrar usuarios. <\/p>\n
Yo prob\u00e9 uniendo a mi dominio una maquina con Windows 7, no tenia mas equipos a la mano, pero si se une una Windows 7, igual se une un Windows Vista y anteriores. Me falta probar si se une Windows 8 aunque seguramente si se unir\u00e1 a dominio. El usuario para unir las maquinas a dominio es Administrator, la contrase\u00f1a es la que se puso en la l\u00ednea de comando del paso 2.4<\/p>\n
Aunque parecen muchos pasos, el 90% de la configuraci\u00f3n se resuelve d\u00e1ndole copiar y pegar, solo hay que cambiar donde escribo lastdragon.net, lastdragon y la clave del Administrator<\/p>\n","protected":false},"excerpt":{"rendered":"
Existi\u00f3 un tiempo en el que poner un servidor de dominio en Windows era algo muy sencillo, emular un Windows NT4 era la cosa m\u00e1s simple del mundo y firmar computadoras con Windows 95 , Windows 98 y Windows ME era simple r\u00e1pido y f\u00e1cil. Si no quer\u00edas pagar las licencias impuestas siempre pod\u00edas instalar…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-709","post","type-post","status-publish","format-standard","hentry","category-consultoria-y-manuales"],"_links":{"self":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/709","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=709"}],"version-history":[{"count":0,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=\/wp\/v2\/posts\/709\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=709"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=709"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lastdragon.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=709"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}