Red Hat Training

A Red Hat training course is available for RHEL 8

3.6. Configuración de Samba en un miembro del dominio IdM

Esta sección describe cómo configurar Samba en un host que está unido a un dominio de Red Hat Identity Management (IdM). Los usuarios de IdM y también, si están disponibles, de los dominios de confianza de Active Directory (AD), pueden acceder a los recursos compartidos y a los servicios de impresión proporcionados por Samba.

Importante

El uso de Samba en un miembro del dominio IdM es una característica de Technology Preview no soportada y contiene ciertas limitaciones. Por ejemplo, debido a que los controladores de confianza de IdM no admiten el servicio de catálogo global, los hosts de Windows inscritos en AD no pueden encontrar usuarios y grupos de IdM en Windows. Además, los controladores de confianza de IdM no admiten la resolución de grupos de IdM mediante los protocolos Distributed Computing Environment / Remote Procedure Calls (DCE/RPC). Como consecuencia, los usuarios de AD sólo pueden acceder a los recursos compartidos e impresoras de Samba desde los clientes de IdM.

Se anima a los clientes que despliegan Samba en los miembros del dominio IdM a que proporcionen sus comentarios a Red Hat.

Requisitos previos

  • El host se une como cliente al dominio IdM.
  • Tanto los servidores de IdM como el cliente deben ejecutarse en RHEL 8.1 o posterior.

3.6.1. Preparación del dominio IdM para instalar Samba en los miembros del dominio

Antes de establecer una confianza con AD y si desea configurar Samba en un cliente IdM, debe preparar el dominio IdM mediante la utilidad ipa-adtrust-install en un servidor IdM. Sin embargo, aunque se den ambas situaciones, debe ejecutar ipa-adtrust-install sólo una vez en un maestro de IdM.

Requisitos previos

  • El IdM está instalado.

Procedimiento

  1. Instale los paquetes necesarios:

    [root@ipaserver ~]# yum install ipa-server ipa-server-trust-ad samba-client
  2. Autenticarse como usuario administrativo de IdM:

    [root@ipaserver ~]# kinit admin
  3. Ejecute la utilidad ipa-adtrust-install:

    [root@ipaserver ~]# ipa-adtrust-install

    Los registros de servicio DNS se crean automáticamente si IdM se ha instalado con un servidor DNS integrado.

    Si IdM se instaló sin un servidor DNS integrado, ipa-adtrust-install imprime una lista de registros de servicio que deben añadirse manualmente al DNS antes de poder continuar.

  4. El script le indica que el /etc/samba/smb.conf ya existe y será reescrito:

    WARNING: The smb.conf already exists. Running ipa-adtrust-install will break your existing Samba configuration.
    
    Do you wish to continue? [no]: yes
  5. El script le pide que configure el complemento slapi-nis, un complemento de compatibilidad que permite a los clientes de Linux más antiguos trabajar con usuarios de confianza:

    Do you want to enable support for trusted domains in Schema Compatibility plugin?
    This will allow clients older than SSSD 1.9 and non-Linux clients to work with trusted users.
    
    Enable trusted domains support in slapi-nis? [no]: yes
  6. Cuando se le solicite, introduzca el nombre NetBIOS del dominio IdM o pulse Enter para aceptar el nombre propuesto:

    Trust is configured but no NetBIOS domain name found, setting it now.
    Enter the NetBIOS name for the IPA domain.
    Only up to 15 uppercase ASCII letters, digits and dashes are allowed.
    Example: EXAMPLE.
    
    NetBIOS domain name [IDM]:
  7. Se le pide que ejecute la tarea de generación de SID para crear un SID para cualquier usuario existente:

    ¿Desea ejecutar la tarea ipa-sidgen? [no] yes

    Cuando el directorio se instala por primera vez, existe al menos un usuario (el administrador de IdM) y como esta es una tarea que consume muchos recursos, si tienes un número elevado de usuarios, puedes ejecutarla en otro momento.

  8. (Optional) Por defecto, el rango de puertos RPC dinámicos está definido como 49152-65535 para Windows Server 2008 y posteriores. Si necesita definir un rango de puertos RPC dinámicos diferente para su entorno, configure Samba para utilizar puertos diferentes y abra esos puertos en la configuración de su cortafuegos. El siguiente ejemplo establece el rango de puertos en 55000-65000.

    [root@ipaserver ~]# net conf setparm global 'rpc server dynamic port range' 55000-65000
    [root@ipaserver ~]# firewall-cmd --add-port=55000-65000/tcp
    [root@ipaserver ~]# firewall-cmd --runtime-to-permanent
  9. Reinicie el servicio ipa:

    [root@ipaserver ~]# ipactl restart
  10. Utilice la utilidad smbclient para verificar que Samba responde a la autenticación Kerberos desde el lado de IdM:

    [root@ipaserver ~]# smbclient -L server.idm.example.com -k
    lp_load_ex: changing to config backend registry
        Sharename       Type      Comment
        ---------       ----      -------
        IPC$            IPC       IPC Service (Samba 4.12.3)
    ...