Integre CentOS 7 a Samba4 AD desde Commandline - Parte 14


Esta guía le mostrará cómo puede integrar un servidor CentOS 7 sin interfaz gráfica de usuario al controlador de dominio de Active Directory Samba4 desde la línea de comandos utilizando el software Authconfig.

Este tipo de configuración proporciona una única base de datos de cuentas centralizada en manos de Samba y permite a los usuarios de AD autenticarse en el servidor CentOS a través de la infraestructura de red.

  1. Cree una infraestructura de Active Directory con Samba4 en Ubuntu
  2. Guía de instalación de CentOS 7.3

Paso 1: configurar CentOS para Samba4 AD DC

1. Antes de comenzar a unirse al servidor CentOS 7 en un DC Samba4, debe asegurarse de que la interfaz de red esté configurada correctamente para consultar el dominio a través del servicio DNS.

Ejecute el comando de dirección IP para enumerar las interfaces de red de su máquina y elija la NIC específica para editar emitiendo el comando nmtui-edit contra el nombre de la interfaz, como ens33 en este ejemplo, como se ilustra a continuación.

# ip address
# nmtui-edit ens33

2. Una vez que la interfaz de red esté abierta para editar, agregue las configuraciones IPv4 estáticas que mejor se adapten a su LAN y asegúrese de configurar las direcciones IP de los controladores de dominio de Samba AD para los servidores DNS.

Además, agregue el nombre de su dominio en los dominios de búsqueda archivados y navegue hasta el botón Aceptar usando la tecla [TAB] para aplicar los cambios.

Los dominios de búsqueda archivados aseguran que la contraparte del dominio se agregue automáticamente por resolución DNS (FQDN) cuando usa solo un nombre corto para un registro DNS de dominio.

3. Finalmente, reinicie el demonio de red para aplicar los cambios y pruebe si la resolución de DNS está configurada correctamente emitiendo una serie de comandos ping contra el nombre de dominio y los nombres cortos de los controladores de dominio como se muestra a continuación.

# systemctl restart network.service
# ping -c2 tecmint.lan
# ping -c2 adc1
# ping -c2 adc2

4. Además, configure el nombre de host de su máquina y reinicie la máquina para aplicar correctamente la configuración emitiendo los siguientes comandos.

# hostnamectl set-hostname your_hostname
# init 6

Verifique si el nombre de host se aplicó correctamente con los siguientes comandos.

# cat /etc/hostname
# hostname

5. Finalmente, sincronice la hora local con Samba4 AD DC emitiendo los siguientes comandos con privilegios de root.

# yum install ntpdate
# ntpdate domain.tld

Paso 2: Únase al servidor CentOS 7 a Samba4 AD DC

6. Para unir el servidor CentOS 7 a Samba4 Active Directory, primero instale los siguientes paquetes en su máquina desde una cuenta con privilegios de root.

# yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Para integrar el servidor CentOS 7 a un controlador de dominio, ejecute la utilidad gráfica authconfig-tui con privilegios de root y utilice las siguientes configuraciones como se describe a continuación.

# authconfig-tui

En la primera pantalla de aviso, elija:

  • Sobre la información del usuario:
    • Utilice Winbind

    • En la pestaña Autenticación, seleccione presionando la tecla [Espacio]:
      • Utilice una contraseña oculta
      • Utilice la autenticación Winbind
      • La autorización local es suficiente

      8. Presione Siguiente para continuar a la pantalla Configuración de Winbind y configure como se ilustra a continuación:

      • Modelo de seguridad: anuncios
      • Dominio u003d YOUR_DOMAIN (use mayúsculas)
      • Controladores de dominio u003d FQDN de máquinas de dominio (separados por comas si hay más de uno)
      • ADS Realm u003d YOUR_DOMAIN.TLD
      • Plantilla Shell u003d/bin/bash

      9. Para realizar la unión al dominio, navegue hasta el botón Unirse al dominio usando la tecla [tabulación] y presione la tecla [Intro] para unirse al dominio.

      En la siguiente pantalla, agregue las credenciales para una cuenta Samba4 AD con privilegios elevados para que la cuenta de la máquina se una a AD y presione OK para aplicar la configuración y cerrar el mensaje.

      Tenga en cuenta que cuando escriba la contraseña de usuario, las credenciales no se mostrarán en la pantalla de contraseña. En la pantalla restante, presione Aceptar nuevamente para finalizar la integración del dominio para la máquina CentOS 7.

      Para forzar la adición de una máquina a una unidad organizativa de Samba AD específica, obtenga el nombre exacto de su máquina usando el comando hostname y cree un nuevo objeto Computer en esa OU con el nombre de su máquina.

      La mejor manera de agregar un nuevo objeto a un Samba4 AD es utilizando la herramienta ADUC desde una máquina Windows integrada en el dominio con herramientas RSAT instaladas.

      Importante: un método alternativo para unirse a un dominio es mediante la línea de comandos authconfig, que ofrece un control extenso sobre el proceso de integración.

      Sin embargo, este método es propenso a errores debido a sus numerosos parámetros, como se ilustra en el siguiente extracto del comando. El comando debe escribirse en una sola línea larga.

      # authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups
      

      10. Después de que la máquina se haya unido al dominio, verifique si el servicio winbind está funcionando y ejecutando el siguiente comando.

      # systemctl status winbind.service
      

      11. Luego, verifique si el objeto de la máquina CentOS se ha creado con éxito en Samba4 AD. Use la herramienta AD Users and Computers desde una máquina Windows con herramientas RSAT instaladas y navegue hasta el contenedor Computers de su dominio. Un nuevo objeto de cuenta de computadora AD con el nombre de su servidor CentOS 7 debe aparecer en el plano de la derecha.

      12. Finalmente, modifique la configuración abriendo el archivo de configuración principal de samba (/etc/samba/smb.conf) con un editor de texto y agregue las siguientes líneas al final del bloque de configuración [global] como se ilustra a continuación:

      winbind use default domain = true
      winbind offline logon = true
      

      13. Para crear hogares locales en la máquina para cuentas AD en su primer inicio de sesión, ejecute el siguiente comando.

      # authconfig --enablemkhomedir --update
      

      14. Finalmente, reinicie el demonio Samba para reflejar los cambios y verificar la unión al dominio realizando un inicio de sesión en el servidor con una cuenta AD. El directorio de inicio de la cuenta AD debería crearse automáticamente.

      # systemctl restart winbind
      # su - domain_account
      

      15. Enumere los usuarios del dominio o los grupos de dominio emitiendo uno de los siguientes comandos.

      # wbinfo -u
      # wbinfo -g
      

      16. Para obtener información sobre un usuario de dominio, ejecute el siguiente comando.

      # wbinfo -i domain_user
      

      17. Para mostrar la información resumida del dominio, emita el siguiente comando.

      # net ads info
      

      Paso 3: Inicie sesión en CentOS con una cuenta Samba4 AD DC

      18. Para autenticarse con un usuario de dominio en CentOS, use una de las siguientes sintaxis de línea de comando.

      # su - ‘domain\domain_user’
      # su - domain\\domain_user
      

      O use la siguiente sintaxis en caso de que winbind use el parámetro default domain u003d true esté configurado en el archivo de configuración de samba.

      # su - domain_user
      # su - [email protected]
      

      19. Para agregar privilegios de root para un usuario o grupo de dominio, edite el archivo sudoers usando el comando visudo y agregue las siguientes líneas como se ilustra en la siguiente captura de pantalla.

      YOUR_DOMAIN\\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
      %YOUR_DOMAIN\\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups
      

      O use el siguiente extracto en caso de que winbind use el parámetro default domain u003d true esté configurado en el archivo de configuración de samba.

      domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
      %your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups
      

      20. La siguiente serie de comandos contra un Samba4 AD DC también puede ser útil para fines de resolución de problemas:

      # wbinfo -p #Ping domain
      # wbinfo -n domain_account #Get the SID of a domain account
      # wbinfo -t  #Check trust relationship
      

      21. Para salir del dominio, ejecute el siguiente comando contra su nombre de dominio usando una cuenta de dominio con privilegios elevados. Después de que la cuenta de la máquina se haya eliminado del AD, reinicie la máquina para revertir los cambios antes del proceso de integración.

      # net ads leave -w DOMAIN -U domain_admin
      # init 6
      

      ¡Eso es todo! Aunque este procedimiento se centra principalmente en unir un servidor CentOS 7 a un Samba4 AD DC, los mismos pasos descritos aquí también son válidos para integrar un servidor CentOS en un Active Directory de Microsoft Windows Server 2012.