Red Hat Training

A Red Hat training course is available for RHEL 8

3.5. Configuración de Samba como servidor miembro del dominio AD

Si está ejecutando un dominio AD o NT4, utilice Samba para añadir su servidor Red Hat Enterprise Linux como miembro del dominio para obtener lo siguiente:

  • Acceder a los recursos del dominio en otros miembros del dominio
  • Autenticar a los usuarios del dominio en los servicios locales, como sshd
  • Compartir directorios e impresoras alojados en el servidor para actuar como servidor de archivos e impresión

3.5.1. Unir un sistema RHEL a un dominio AD

Esta sección describe cómo unir un sistema Red Hat Enterprise Linux a un dominio AD utilizando realmd para configurar Samba Winbind.

Procedimiento

  1. Si su AD requiere el tipo de cifrado RC4 obsoleto para la autenticación Kerberos, habilite el soporte para estos cifrados en RHEL:

    # update-crypto-policies --set DEFAULT:AD-SUPPORT
  2. Instale los siguientes paquetes:

    # yum install realmd oddjob-mkhomedir oddjob samba-winbind-clients \ samba-winbind samba-common-tools samba-winbind-krb5-locator
  3. Para compartir directorios o impresoras en el miembro del dominio, instale el paquete samba:

    # yum install samba
  4. Realice una copia de seguridad del archivo de configuración de Samba existente en /etc/samba/smb.conf:

    # mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
  5. Únase al dominio. Por ejemplo, para unirse a un dominio llamado ad.example.com:

    # realm join --membership-software=samba --client-software=winbind ad.example.com

    Utilizando el comando anterior, la utilidad realm automáticamente:

    • Crea un archivo /etc/samba/smb.conf para un miembro del dominio ad.example.com
    • Añade el módulo winbind para la búsqueda de usuarios y grupos en el archivo /etc/nsswitch.conf
    • Actualiza los archivos de configuración del Pluggable Authentication Module (PAM) en el directorio /etc/pam.d/
    • Inicia el servicio winbind y permite que el servicio se inicie al arrancar el sistema
  6. Opcionalmente, establezca un back end de mapeo de ID alternativo o ajustes de mapeo de ID personalizados en el archivo /etc/samba/smb.conf. Para más detalles, consulte Sección 3.4, “Comprender y configurar la asignación de ID de Samba”.
  7. Compruebe que el servicio winbind está en funcionamiento:

    # systemctl status winbind
    ...
       Active: active (running) since Tue 2018-11-06 19:10:40 CET; 15s ago
    Importante

    Para que Samba pueda consultar la información de los usuarios y grupos del dominio, el servicio winbind debe estar funcionando antes de iniciar smb.

  8. Si ha instalado el paquete samba para compartir directorios e impresoras, active e inicie el servicio smb:

    # systemctl enable --now smb
  9. Opcionalmente, si está autenticando inicios de sesión locales en Active Directory, habilite el complemento winbind_krb5_localauth. Véase Sección 3.5.2, “Uso del complemento de autorización local para MIT Kerberos”.

Pasos de verificación

  1. Muestra los detalles de un usuario AD, como la cuenta de administrador AD en el dominio AD:

    # getent passwd "AD\administrator"
    AD\administrator:*:10000:10000::/home/administrator@AD:/bin/bash
  2. Consultar los miembros del grupo de usuarios del dominio en el dominio AD:

    # getent group "AD\Domain Users"
        AD\domain users:x:10000:user1,user2
  3. Opcionalmente, verifique que puede utilizar los usuarios y grupos del dominio cuando establezca los permisos de los archivos y directorios. Por ejemplo, para establecer el propietario del archivo /srv/samba/example.txt como AD\administrator y el grupo como AD\Domain Users:

    # chown "AD\administrator":"AD\Domain Users" /srv/samba/example.txt
  4. Verifique que la autenticación Kerberos funciona como se espera:

    1. En el miembro del dominio AD, obtenga un ticket para la entidad de crédito administrator@AD.EXAMPLE.COM:

      # kinit administrator@AD.EXAMPLE.COM
    2. Muestra el ticket de Kerberos en caché:

      # klist
      Ticket cache: KCM:0
      Default principal: administrator@AD.EXAMPLE.COM
      
      Valid starting       Expires              Service principal
      01.11.2018 10:00:00  01.11.2018 20:00:00  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
              renew until 08.11.2018 05:00:00
  5. Muestra los dominios disponibles:

    # wbinfo --all-domains
    BUILTIN
    SAMBA-SERVER
    AD

Recursos adicionales