Active Directory integration (Español)

Este artículo describe cómo integrar el sistema Arch Linux con un dominio de red Window utilizando Samba.

Esta traducción de Active Directory Integration fue revisada el 2019-07-19. Si existen cambios puede actualizarla o avisar al equipo de traducción.

De Wikipedia:

Active Directory (AD) o Directorio Activo son los términos que utiliza Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores.

Antes de continuar tiene que existir un dominio de Active Directory y tener un usuario con los permisos apropiados en el dominio para: listar usuarios y añadir cuentas en el ordenador (Unirse al dominio).

Este documento no tiene la intención de hacer una guía completa de Active Directory o Samba. Consulte en la sección de recursos para información adicional.

El servidor Active Directory es una localización central para la administración de la red y seguridad. Es el responsable de autentificar y autorizar todos los usuarios y ordenadores a través de la red de dominio de Window asignando y forzando políticas de seguridad para todos los ordenadores en una red e instalar o actualizar software en la red de ordenadores. Por ejemplo, cuando un usuario inicia sesión en un ordenador que es parte de un dominio Window su Active Directory es el que verifica la contraseña y especifíca si es un administrador del sistema o un usuario normal. Los ordenadores servidores en los cuales se está ejecutando el Active Directory son llamados controladores de dominio.

Active Directory utiliza las versiones dos y tres del protocolo ligero de acceso a directorios (LDAP), una versión de Microsoft de Kerberos y DNS.

Terminología

Si no está familiarizado con la terminología de Active Directory aquí tiene algunas palabras que son de ayuda conocer.

Dominio : El nombre usado para agrupar ordenadores y cuentas.
SID : Casa ordenador que se une al dominio como miembro tiene que tener un único SID o identificador del sistema.
SMB : Servidor de mensajes en bloque (Server Message Block).
NETBIOS: Protocolo de nombres de red (Network naming protocol) utilizado como alternativa a DNS. Más antiguo pero todavía utilizado en la red de Window.
WINS: Servicio de información de nombres de Windows (Windows Information Naming Service). Utilizado para resolver nombres Netbios a hosts Windows.
Winbind: Protocolo de autentificación de Windows.

Configuración de Active Directory

Esta sección funciona con las configuraciones por defecto en Windows Server 2012 R2.

Consideraciones GPO

La firma digital esta activada por defecto en Windows Server y tiene que estar activada en los niveles cliente y servidor. Para ciertas versiones de Samba los clientes Linux pueden experimentar problemas conectando al dominio y/o a recursos compartidos. Se recomienda que añada los siguientes parámetros a su archivo smb.conf:

client signing = auto 
server signing = auto

Si esto no lo soluciona puede desactivar Firmar digitalmente las comunicaciones (Siempre) en las directivas de grupo AD (Active Directory). En su editor de directivas de grupo AD localice:

En Directivas locales > Directivas de seguridad > Servidor de red Microsoft > Firmar digitalmente las comunicaciones (Siempre) activar Definir esta directiva y utilice el botón de selección desactivar.

Si utiliza Windows Server 2008 R2 necesita modificar esto en GPO para directivas de controlador de dominio por defecto > Ajustes del ordenador > Directivas > Ajustes de Windows > Ajustes de Seguridad > Directivas locales > Opciones de seguridad > Cliente de red Microsoft: Firmar digitalmente las comunicaciones (Siempre).

Por favor tenga en cuenta que desactivando esta GPO (Objeto directiva de grupo) afecta a la seguridad de todos los miembros del dominio.

Configuración del anfitrión Linux

Los siguientes pasos son para comenzar a configurar el anfitrión. Necesitará root o acceso sudo para completar estos pasos.

Instalación

Instale los siguientes paquetes:

samba, vea también Samba
pam-krb5
ntp or openntpd, vea también NTPd o OpenNTPD

Actualizar DNS

Active Directory es muy dependiente de DNS. Necesitará actualizar para utilizar uno o más controladores de dominio de Active Directory: Reemplaze <IP1> y <IP2> con unas direcciones IP válidas para los servidores de AD. Si su dominio de AD no permite reenvio de DNS o recursión puede necesitar añadir resolutores adicionales.

Configurar NTP

Lea Sincronización del reloj para configurar el servicio NTP.

En la configuración del servidor NTP utilice la dirección IP del los servidores AD que normalmente ejecutan NTP como servicio. Otra manera es utilizar otros servidores NTP conocidos proporcionados por la sincronización de los servidores de Active directory a la misma capa.

Asegúrese que el servicio está configurado para sincronizar la hora automáticamente bastante pronto en el inicio.

Kerberos

Supongamos que su AD se llama ejemplo.com y que su AD está controlado por dos controladores de dominio, el primario y el secundario que se llaman PDC (Primary Domain Controler) y BDC, pdc.ejemplo.com y bdc.ejemplo.com respectivamente. Las direcciones IP serán 192.168.1.2 y 192.168.1.3 en este ejemplo. Tenga en cuenta la sintaxis, las mayúsculas son muy importantes aquí.

Nota: Heimdal 1.3.1 encriptación DES en desuso que se requiere para la autentificación antes del Windows Server 2008. Probablemente tendrá que añadir

allow_weak_crypto = true

a la sección [libdefaults].

Crear un ticket de Kerberos

Ahora puede buscar los controladores del dominio de AD y pedir a un ticket a kerberos (las mayúsculas son necesarias):

Puede utilizar cualquier usuario que tenga permisos como Administrador de Dominio.

Validar el ticket

Ejecute klist para verificar que recibiste el token. Debe de ver algo similar a:

pam_winbind.conf

Si recibe errores de estado diciendo que el archivo /etc/security/pam_winbind.conf no se encuentra cree el archivo y añada lo siguiente:

Con estos ajustes winbind creará fichas de usuario sobre la marcha (krb5_ccache_type = FILE) en el inicio de sesión y los mantiene. Puede verificar esto ejecutando simplemente klist en una consola después de iniciar sesión con un usuario de AD pero sin necesidad de ejecutar kinit. Puede necesitar permisos adicionales en /etc/krb5.keytab por ejemplo 640 en vez de 600 para hacer que funcione (vea este ejemplo ).

Samba

Samba es un programa de software libre que re-implementa el protocolo de red SMB/CIFS. También incluye utilidades para las máquinas Linux para actuar como servidores de red Windows y clientes.

En esta sección nos centraremos primero en hacer que la autentificación funcione editando primero la sección 'Global'. Más tarde volveremos atrás y añadiremos comparticiones.

/etc/samba/smb.conf

[Global]
  netbios name = MYARCHLINUX
  workgroup = EJEMPLO
  realm = EJEMPLO.COM
  server string = %h Arch Linux Host
  security = ads
  encrypt passwords = yes
  password server = pdc.ejemplo.com
  client signing = auto
  server signing = auto

  idmap config * : backend = tdb
  idmap config * : range = 10000-20000

  winbind use default domain = Yes
  winbind enum users = Yes
  winbind enum groups = Yes
  winbind nested groups = Yes
  winbind separator = +
  winbind refresh tickets = yes
  winbind offline logon = yes
  winbind cache time = 300

  template shell = /bin/bash
  template homedir = /home/%D/%U
   
  preferred master = no
  dns proxy = no
  wins server = pdc.ejemplo.com
  wins proxy = no

  inherit acls = Yes
  map acl inherit = Yes
  acl group control = yes

  load printers = no
  debug level = 3
  use sendfile = no

Unirse al dominio

Necesita una cuenta de AD con permisos de administrados para hacer esto. Supongamos que la cuenta se llama Administrador. El comando es 'net ads join'.

Iniciar y comprobar servicios

Iniciar Samba

¡Milagrosamente no habrá reiniciado aún! Bien. Si esta en una sesión X quitela, de esta forma podrá probar iniciar sesión en otra consola mientras que esté aún con la sesión iniciada.

Active e inicie los demonios individuales de Samba , nmbd.service, y .

Lo siguiente que necesitará es modificar la configuración NSSwitch que es la que le dice a Linux como obtener la información de varias fuentes y en qué orden. En este caso dependemos del Active Directory como fuentes adicionales para Usuarios, Grupos, y Hosts.

Comprobar Winbind

Vamos a comprobar si winbind es capaz de listar el AD. El siguiente comando debe de devolver una lista de usuarios de AD:

Note que creamos un usuario de Active Directory llamado 'test.user' en el controlador de dominio.

Podemos hacer lo mismo para grupos de AD:

Comprobar nsswitch

Para asegurarse que su host es capaz de listar el domino para usuarios y grupos podemos comprobar los ajustes nsswitch utilizando el comando 'getent'.

Si los usuarios de su Controlador de Dominio no se ven pruebe añadir las siguiente línea a su archivo smb.conf:

La siguiente salida muestra como se ve una instalación de Arch Linux:

Y para los grupos:

Comprobar comandos de Samba

Pruebe algunos comandos net para ver si Samba se puede comunicar con el AD:

# net ads info

[2012/02/05 20:21:36.473559,  0] param/loadparm.c:7599(lp_do_parameter)
  Ignoring unknown parameter "idmapd backend"
LDAP server: 192.168.1.2
LDAP server name: PDC.ejemplo.com
Realm: EJEMPLO.COM
Bind Path: dc=EJEMPLO,dc=COM
LDAP port: 389
Server time: Sun, 05 Feb 2012 20:21:33 CST
KDC server: 192.168.1.2
Server time offset: -3

# net ads lookup

[2012/02/05 20:22:39.298823,  0] param/loadparm.c:7599(lp_do_parameter)
  Ignoring unknown parameter "idmapd backend"
Information for Domain Controller: 192.168.1.2

Response Type: LOGON_SAM_LOGON_RESPONSE_EX
GUID: 2a098512-4c9f-4fe4-ac22-8f9231fabbad
Flags:
        Is a PDC:                                   yes
        Is a GC of the forest:                      yes
        Is an LDAP server:                          yes
        Supports DS:                                yes
        Is running a KDC:                           yes
        Is running time services:                   yes
        Is the closest DC:                          yes
        Is writable:                                yes
        Has a hardware clock:                       yes
        Is a non-domain NC serviced by LDAP server: no
        Is NT6 DC that has some secrets:            no
        Is NT6 DC that has all secrets:             yes
Forest:                 ejemplo.com
Domain:                 ejemplo.com
Domain Controller:      PDC.ejemplo.com
Pre-Win2k Domain:       EJEMPLO
Pre-Win2k Hostname:     PDC
Server Site Name :              Office
Client Site Name :              Office
NT Version: 5
LMNT Token: ffff
LM20 Token: ffff

Configurar PAM

Ahora cambiaremos varias reglas en PAM para permitir que los usuarios de Active Directory puedan utilizar el sistema para cosas como iniciar sesión y acceso sudo. Cuando se cambian estas reglas note que el orden de estos elementos y cualquier cosa que este marcado como required (requerido) o sufficient (suficiente) es crítico para que funcione como se espera. No debe desviarse de estas reglas a no haya ser que sepa como escribir reglas PAM.

En el caso de inicios de sesión primero PAM debe de preguntar por las cuentas AD y por las cuentas locales si no encuentra ninguna cuenta de AD. Por lo tanto añadiremos entradas para incluir en el proceso de autentificación.

La configuración PAM de Arch Linux mantiene el proceso central de autentificación en . Iniciando con la configuración de stock de , cambiela como prosigue:

Sección "auth"

Encuentre la línea:

auth required pam_unix.so ...

Elimínela y reemplacela con:

auth [success=1 default=ignore] pam_localuser.so
auth [success=2 default=die] pam_winbind.so
auth [success=1 default=die] pam_unix.so nullok
auth requisite pam_deny.so

Sección "account"

Encuentre la línea:

account required pam_unix.so

Mantenla y añada esto debajo:

account [success=1 default=ignore] pam_localuser.so
account required pam_winbind.so

Sección "password"

Encuentre la línea:

password required pam_unix.so ...

Elimínela y reemplacela con:

password [success=1 default=ignore] pam_localuser.so
password [success=2 default=die] pam_winbind.so
password [success=1 default=die] pam_unix.so sha512 shadow
password requisite pam_deny.so

Sección "session"

Encuentre la línea:

session required pam_unix.so

Mantenla y añada esta línea justo encima de ella:

session required pam_mkhomedir.so skel=/etc/skel/ umask=0022

Debajo de la línea pam_unix añada esto:

session [success=1 default=ignore] pam_localuser.so
session required pam_winbind.so

Sección "password"

Para que los usuarios de Active Directory que han iniciado sesión puedan cambiar sus contraseñas con el comando 'passwd' el archivo tiene que incluir información de system-auth.

Encuentre la línea:

password required pam_unix.so sha512 shadow nullok

Elimínela y reemplacela con:

password include system-auth

Comprobar inicio de sesión

Ahora inicie una nueva sesión con consola (o ssh) e intente iniciar sesión con las credenciales de AD. El nombre del dominio es opcional como se establece en la configuración de Winbind como 'default realm'. Por favor tenga en cuenta que en el caso de ssh necesitará modificar el archivo para permitir la autentificación kerberos .

Ambos comandos deben funcionar. Debe notar que /home/example/test.user se creará automáticamente. Inicie sesión utilizando una cuenta de Linux. Compruebe si puede iniciar sesión como root - ¡pero tenga en cuenta que tiene que iniciar sesión como root en al menos una sesión!

Configurar recursos compartidos

Antes se omitió la configuración de recursos compartidos. Ahora que todo funciona vuelva a y añada los recursos del host que quiere que estén disponibles en la red de Windows.

En el ejemplo anterior la palabra NETWORK se tiene que utilizar. No lo sustituya erróneamente por su nombre de dominio. Para añadir grupos preceda el símbolo '@' del grupo. Note que está entre comillas para que Samba lo sustituya cuando lea el archivo de configuración.

Añadir un ordenador al archivo keytab y activar ssh kerberizado sin contraseña al ordenador

Esto explica cómo generar un ordenador al archivo keytab por el cual puede necesitar, por ejemplo, activar ssh kerberizado sin contraseña a tu ordenador desde otros ordenadores del dominio. El escenario que se plantea es que tenga un grupo de sistemas en su dominio y solo añadió un servidor/espacio de trabajo utilizando la descripción de arriva a su dominio del cual muchos usuarios necesitan ssh para trabajar, por ejemplo, con un espacio de trabajo GPU o con un nodo computacional OpenMP, etc. En este caso puede que no quiera introducir la contraseña cada vez que entre al servidor. Por otra parte muchos usuarios utilizan la autentificación por llave, en este supuesto a lo mejor no puede darle las credenciales necesarias para montar recursos compartidos kerberizados NFSv4, por ejemplo. Esto le ayudará activar los accesos sin contraseña desde sus clientes a la maquina en cuestion utilizando seguimiento de ticket kerberos.

Crear un archivo keytab del ordenador

Ejecute 'net ads keytab create -U administrador' como root para crear el archivo keytab del ordenador en /etc/krb5.keytab. Mostrará una advertencia de que necesita activar la autentificación keytab en su archivo de configuración, por tanto hágalo en el paso siguiente. En este caso específico hubo problemas cuando se creó el archivo keytab porque ya existía. En este caso el comando se queda sin responder. Para solucionarlo renombre el archivo /etc/krb5.keytab existente y ejecute el comando de nuevo, debería funcionar.

# net ads keytab create -U administrador

verifique el contenido de su keytab ejecutando:

Activar la autentificación keytab

Ahora necesita decirle a winbind que utilice el archivo añadiendo estas lineas a /etc/samba/smb.conf:

 kerberos method = secrets and keytab
 dedicated keytab file = /etc/krb5.keytab

Se verá algo parecido a esto:

Reinicie el demonio winbind utilizando 'systemctl restart winbindd.service' con privilegios root.

Compruebe que todo funciona obteniendo un ticket del ordenador desde su sistema ejecutando

No debe de devolver ningún resultado pero ejecutando 'klist' debe mostrarse su sth así:

Algunos errores comunes aquí son

Olvidar los $ finales o
Ignorar la sensibilidad de mayúsculas que son necesarias para las entradas en el keytab (en general no puede haber muchos fallos con todas las mayúsculas).

Preparar sshd en el servidor

Todo lo que necesita hacer es añadir algunas opciones a su configuración sshd_config y reiniciar sshd.service.

Edite /etc/ssh/sshd_config como sigue en los lugares adecuados:

# /etc/ssh/sshd_config

...

# Cámbiela a no para desactivar las contraseñas s/key
ChallengeResponseAuthentication no

# Opciones Kerberos
KerberosAuthentication yes
#KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosGetAFSToken yes

# Opciones GSSAPI
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes

...

Reinicie el sshd.service utilizando:

Añadir las opciones necesarias en el cliente

Primero necesita asegurarse que los tickets de su cliente se puede transferir. Esto normalmente es un estándar pero es mejor comprobarlo de todas formas. Tiene que mirar la opción transferible y establecerlo a 'true' en el archivo /etc/krb5.conf.

Después añada las siguientes opciones

 GSSAPIAuthentication yes
 GSSAPIDelegateCredentials yes

a su archivo .ssh/config para decirle a ssh que utilice estas opciones. Alternativamente se puede invocar directamente con la opción -o en el comando ssh (vea 'man ssh' para más información).

Comprobar la ejecución

En el cliente:

Asegúrese que tiene un ticket válido - si tiene dudas ejecute 'kinit'.

Después utilice ssh para conectarse a su ordenador.

Debe comprobar que se conecta sin necesidad de introducir su contraseña.

Si tiene una llave de autentificación adicional debe realizar

para ver cual método de autentificación utiliza actualmente.

Para depuración puede activar en el servidor DEBUG3 y mirar en el journal utilizando journalctl.

Ajuste preciso para un manejo completo de kerberos sin contraseña.

En el caso de que sus clientes no estén utilizando cuentas de dominio en sus ordenadores locales (por cualquier razón) puede ser difícil decirle a kinit antes que a ssh el espacio de trabajo. Sin embargo una solución posible es la que se propone en el siguiente apartado.

Generar Keytabs de usuarios que sean aceptados por AD

En el sistema deje que el usuario ejecute:

Ahora compruebe el archivo con:

No debe pedirle contraseña y no debe devolverle ningún comentario. Si funcionó ya estaría hecho; simplemente añada la linea de arriba en su ~./bashrc - ahora puede obtener tickets de kerberos sin escribir ninguna contraseña y puede conectar a su espacio de trabajo sin escribir la contraseña mientras este completamente kerberizado y habilitado para la autentificación a través de NFSv4 y CIFS via tickets.

Es bueno conocer

El archivo 'username.keytab' no es exclusivo del ordenador y puede copiarse. Ej. se copio archivos desde un ordenador Linux a un ordenador Mac ya que los comandos de Mac son diferentes.

Véase también

Soluciones comerciales

Centrify
Likewise

Versiones de código abierto

PowerBroker Identity Services Open: anteriormente también adquirida por BeyondTrust
Centrify Express para Linux

gollark: They could have done better with another language, and/or it was a flÜke.

gollark: Some examples of it being used successfully do not make it good in general, cuboid.

gollark: Yes. And PHP has many "bad" qualities and few "good" ones.

gollark: https://en.wikipedia.org/wiki/BANCStar_programming_language ← technically used by beeoids.

gollark: Yes, which doesn't make it good or better than alternatives.

This article is issued from Archlinux. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.