Integrar CentOS 7 a Samba4 AD desde la línea de comandos - Parte 14


Esta guía le mostrará cómo puede integrar un servidor CentOS 7 sin interfaz gráfica de usuario al controlador de dominio de Samba4 Active Directory desde la línea de comandos usando el software Authconfig.

Este tipo de configuración proporciona una única base de datos de cuentas centralizada mantenida por Samba y permite a los usuarios de AD autenticarse en el servidor CentOS en toda la infraestructura de la red.

  1. Create an Active Directory Infrastructure with Samba4 on Ubuntu
  2. CentOS 7.3 Installation Guide

Paso 1: Configurar CentOS para Samba4 AD DC

1. Antes de comenzar a unirse al CentOS 7 en un Samba4 DC , debe asegurarse de que la interfaz de red esté configurada correctamente para consultar el dominio a través de DNS Servicio.

Ejecute el comando ip address para listar las interfaces de red de su máquina y elija la NIC específica para editar emitiendo el comando nmtui-edit contra el nombre de la interfaz, como ens33 en este ejemplo, ilustrado abajo

# ip address
# nmtui-edit ens33

2. Una vez que se abre la interfaz de red para editarla, agregue las configuraciones estáticas IPv4 más adecuadas para su LAN y asegúrese de configurar las direcciones IP de los controladores de dominio AD de Samba para los servidores DNS.

Además, agregue el nombre de su dominio en los dominios de búsqueda archivados y navegue hasta el botón Aceptar con la tecla [TAB] para aplicar los cambios.

Los dominios de búsqueda archivados aseguran que la contraparte del dominio se anexa automáticamente mediante la resolución de DNS (FQDN) cuando usa solo un nombre corto para un registro de DNS de dominio.

3. Finalmente, reinicie el demonio de red para aplicar los cambios y pruebe si la resolución de DNS está configurada correctamente emitiendo una serie de comandos ping contra el nombre de dominio y los nombres cortos de los controladores de dominio como se muestra abajo.

# systemctl restart network.service
# ping -c2 tecmint.lan
# ping -c2 adc1
# ping -c2 adc2

4. También, configure el nombre de host de su máquina y reinicie la máquina para aplicar correctamente las configuraciones emitiendo los siguientes comandos.

# hostnamectl set-hostname your_hostname
# init 6

Verifique si el nombre de host se aplicó correctamente con los siguientes comandos.

# cat /etc/hostname
# hostname

5. Finalmente, sincronice la hora local con Samba4 AD DC emitiendo los siguientes comandos con privilegios de root.

# yum install ntpdate
# ntpdate domain.tld

Paso 2: Unir el servidor CentOS 7 a Samba4 AD DC

6. Para unir el servidor de CentOS 7 a Samba4 Active Directory, primero instale los siguientes paquetes en su máquina desde una cuenta con privilegios de raíz.

# yum install authconfig samba-winbind samba-client samba-winbind-clients

7. Para integrar el servidor CentOS 7 a un controlador de dominio, ejecute la utilidad gráfica authconfig-tui con privilegios de root y use las configuraciones que se describen a continuación.

# authconfig-tui

En la primera pantalla de solicitud, elija:

  • On User Information:
    • Use Winbind
    • On Authentication tab select by pressing [Space] key:
      • Use Shadow Password
      • Use Winbind Authentication
      • Local authorization is sufficient

      8. Pulsa Siguiente para continuar con la pantalla de configuración de Winbind y configúralo como se ilustra a continuación:

      • Security Model: ads
      • Domain = YOUR_DOMAIN (use upper case)
      • Domain Controllers = domain machines FQDN (comma separated if more than one)
      • ADS Realm = YOUR_DOMAIN.TLD
      • Template Shell = /bin/bash

      9. Para realizar la unión al dominio, navegue hasta el botón Unirse al dominio con la tecla [pestaña] y presione la tecla [Ingresar] para unirse al dominio.

      En el siguiente indicador de pantalla, agregue las credenciales para una cuenta Samba4 AD con privilegios elevados para realizar la unión de la máquina en AD y presione Aceptar para aplicar la configuración y cerrar el indicador.

      Tenga en cuenta que cuando escriba la contraseña de usuario, las credenciales no se mostrarán en la pantalla de contraseña. En la pantalla restante, presione Aceptar nuevamente para finalizar la integración del dominio para la máquina CentOS 7.

      Para forzar la adición de una máquina a una Unidad organizativa Samba AD específica, obtenga el nombre exacto de su máquina con el comando hostname y cree un nuevo objeto de computadora en esa OU con el nombre de su máquina.

      La mejor manera de agregar un nuevo objeto a Samba4 AD es mediante el uso de la herramienta ADUC de una máquina Windows integrada en el dominio con las herramientas RSAT instaladas en él.

      rojo

      Sin embargo, este método es propenso a errores debido a sus numerosos parámetros, como se ilustra en el extracto del siguiente comando. El comando debe escribirse en una sola línea larga.

      # authconfig --enablewinbind --enablewinbindauth --smbsecurity ads --smbworkgroup=YOUR_DOMAIN --smbrealm YOUR_DOMAIN.TLD --smbservers=adc1.yourdomain.tld --krb5realm=YOUR_DOMAIN.TLD --enablewinbindoffline --enablewinbindkrb5 --winbindtemplateshell=/bin/bash--winbindjoin=domain_admin_user --update  --enablelocauthorize   --savebackup=/backups
      

      10. Una vez que la máquina se haya unido al dominio, verifique si el servicio winbind está funcionando correctamente ejecutando el siguiente comando.

      # systemctl status winbind.service
      

      11. Luego, verifique si el objeto de la máquina CentOS se ha creado correctamente en Samba4 AD. Use la herramienta Usuarios y computadoras de AD de una máquina con Windows con herramientas RSAT instaladas y navegue hasta el contenedor de computadoras de su dominio. Un nuevo objeto de cuenta de computadora AD con el nombre de su servidor CentOS 7 debe aparecer en el plano correcto.

      12. Finalmente, modifique la configuración abriendo el archivo de configuración principal de samba ( /etc/samba/smb.conf ) con un editor de texto y agregue las líneas siguientes al final de el bloque de configuración [global] como se ilustra a continuación:

      winbind use default domain = true
      winbind offline logon = true
      

      13. Para crear hogares locales en la máquina para cuentas de AD en su primer inicio de sesión, ejecute el siguiente comando.

      # authconfig --enablemkhomedir --update
      

      14. Finalmente, reinicie el demonio de Samba para reflejar los cambios y verificar la unión de dominios realizando un inicio de sesión en el servidor con una cuenta de AD. El directorio de inicio de la cuenta de AD debe crearse automáticamente.

      # systemctl restart winbind
      # su - domain_account
      

      15. Enumere los usuarios del dominio o los grupos de dominios emitiendo uno de los siguientes comandos.

      # wbinfo -u
      # wbinfo -g
      

      16. Para obtener información sobre un usuario del dominio, ejecute el siguiente comando.

      # wbinfo -i domain_user
      

      17. Para mostrar información de dominio de resumen, ejecute el siguiente comando.

      # net ads info
      

      Paso 3: Inicie sesión en CentOS con una cuenta Samba4 AD DC

      18. Para autenticarse con un usuario de dominio en CentOS, use una de las siguientes sintaxis de línea de comandos.

      # su - ‘domain\domain_user’
      # su - domain\domain_user
      

      O use la siguiente sintaxis en caso de que winbind use default domain = el parámetro true esté configurado en el archivo de configuración de samba.

      # su - domain_user
      # su - [email protected]
      

      19. Para agregar privilegios de root a un usuario o grupo del dominio, edite el archivo sudoers usando el comando visudo y agregue las siguientes líneas como se ilustra en la siguiente captura de pantalla.

      YOUR_DOMAIN\domain_username       		 ALL=(ALL:ALL) ALL  	#For domain users
      %YOUR_DOMAIN\your_domain\  group       	 ALL=(ALL:ALL) ALL	#For domain groups
      

      O use el siguiente extracto en caso de que winbind use default domain = el parámetro true esté configurado en el archivo de configuración samba.

      domain_username 	        	 ALL=(ALL:ALL) ALL  	#For domain users
      %your_domain\  group       		 ALL=(ALL:ALL) ALL	#For domain groups
      

      20. La siguiente serie de comandos contra un Samba4 AD DC también puede ser útil para solucionar problemas:

      # wbinfo -p #Ping domain
      # wbinfo -n domain_account #Get the SID of a domain account
      # wbinfo -t  #Check trust relationship
      

      21. Para dejar el dominio, ejecute el siguiente comando contra su nombre de dominio usando una cuenta de dominio con privilegios elevados. Después de que la cuenta de la máquina se haya eliminado del AD, reinicie la máquina para revertir los cambios antes del proceso de integración.

      # net ads leave -w DOMAIN -U domain_admin
      # init 6
      

      ¡Eso es todo! Aunque este procedimiento se centra principalmente en unir un servidor CentOS 7 a un Samba4 AD DC, los mismos pasos que se describen aquí también son válidos para integrar un servidor CentOS en un Active Directory de Microsoft Windows Server 2012.