SERVIDOR PDC CON

SAMBA Y LDAP

Autor: Ismael Ouardi Año: 2015

ISMAEL OUARDI 1

ÍNDICE

OBJETIVO ............................................................................................................................ 3

TOPOLOGÍA ........................................................................................................................ 3

ESTRUCTURA DE RED Y CONFIGURACIÓN DE EQUIPOS ............................................. 4

Servidorldap: ..................................................................................................................... 4

Servidornat: ....................................................................................................................... 5

Windows7 .......................................................................................................................... 6

UbuntuCliente .................................................................................................................... 6

Configuración de Script ..................................................................................................... 7

Instalación y configuración de LDAP ................................................................................ 8

Configuración básica de OpenLDAP ................................................................................. 8

Configuración avanzada ................................................................................................ 9

Verificación del servicio .................................................................................................. 9

Configuración de OpenLDAP para almacenar la información de Samba ..................... 10

Índices de Samba ........................................................................................................ 12

Añadimos usuario LDAP de solo consulta.................................................................... 13

Operaciones básicas de gestión .................................................................................. 14

Instalación y integración de SAMBA en LDAP ............................................................... 15

Instalación de Samba .................................................................................................. 15

Configuración de Samba ................................................................................................. 15

Directorios de Samba: netlogon, profiles y shares ....................................................... 19

Fichero netlogon.bat .................................................................................................... 20

Herramienta SMBLDAP-TOOLS ....................................................................................... 21

Configuración de smbldap-tools ...................................................................................... 21

Inicializar nuestro directorio LDAP ............................................................................... 24

Comprobar la instalación, configuración e integración de OpenLDAP y Samba ........... 25

Comprobar la conexión a nuestro servidor Samba ....................................................... 26

Modificar la cuenta root ................................................................................................ 26

Comando básicos de gestión de usuarios .................................................................... 27

Instalación y configuración de LAM ................................................................................ 29

Instalación de WEBMIN .................................................................................................... 32

Servidor DNS ..................................................................................................................... 33

Unión a dominio con Windows 7 ..................................................................................... 35

Unión a dominio con Ubuntu Desktop ............................................................................ 41

ISMAEL OUARDI 2

Instalación y configuración de CUPS .............................................................................. 44

Añadir impresora en CUPS ............................................................................................. 45

Añadir impresora a Windows: .......................................................................................... 47

Añadir impresora a Ubuntu: ............................................................................................. 49

Conclusión ........................................................................................................................ 53

ISMAEL OUARDI 3

OBJETIVO

Autenticar usuarios desde ordenadores con S.O distintos (windows y linux) contra un

servidor Linux, y poder acceder a los recursos alojados en dicho servidor

(Impresoras,dominios, carpetas)

TOPOLOGÍA

ISMAEL OUARDI 4

ESTRUCTURA DE RED Y CONFIGURACIÓN DE EQUIPOS

Servidorldap:

sudo nano /etc/hostname

sudo nano /etc/hosts

sudo nano /etc/network/interface

ISMAEL OUARDI 5

Servidornat:

sudo nano /etc/hostname

sudo nano /etc/hosts

sudo nano /etc/network/interfaces

ISMAEL OUARDI 6

Windows7

Configuración de red de windows:

UbuntuCliente

Nombre de equipo:

ISMAEL OUARDI 7

Configuración de Script

Vamos a crear un Script para que este servidor nos haga de NAT, y los otros equipos de la

red puedan acceder a internet mediante esta pasarela o ruta.

Lo primero de todo es crear un archivo, nosotros lo llamaremos IPTABLES.sh, y lo

colocaremos en /etc/init.d

Sudo nano /etc/init.d/iptables.sh

Y añadimos el siguiente contenido:

Para ejecutar el Script ponemos lo siguiente:

sudo sh /etc/init.d/iptables.sh

Comprobamos el funcionamiento:

Vamos a Windows y hacemos un tracert a Google:

Y Vemos el correcto Funcionamiento pasa por el servidornat:192.168.10.1

ISMAEL OUARDI 8

Instalación y configuración de LDAP

El primer paso será la instalación de OpenLDAP:

apt-get install slapd ldap-utils

El asistente nos solicitará la contraseña del administrador del directorio LDAP. Nosotros utilizaremos

la contraseña P@ssword.

Configuración básica de OpenLDAP

Ejecutaremos el siguiente comando para configurar los principales parámetros de nuestro directorio

OpenLDAP:

dpkg-reconfigure --priority=low slapd

El asistente nos solicitará la siguiente información:

■ ¿Desea omitir la configuración del servidor OpenLDAP? No

■ Introduzca su nombre de dominio DNS:sintesis.com

■ Nombre de la organización: sintesis.com

■ Contraseña del administrador: P@ssw0rd

■ Verificación de la contraseña: P@ssw0rd

■ Motor de base de datos a utilizar: HDB

■ ¿Desea que se borre la base de datos cuando se purgue el paquete slapd? No. De esta

manera, aunque desinstaláremos por equivocación el paquete slapd no

perderíamos nuestros datos.

■ ¿Desea mover la base de datos antigua? Sí.Relizamos una copia de seguridad de los

datos anteriores.

■ ¿Desea permitir el protocolo LDAPv2? No. Únicamente deberíamos permitir el

protocolo LDAPv2 si queremos utilizar alguna aplicación que solo acepta la versión

2.

Comprobamos que se ha inicializado correctamente nuestro directorio:

slapcat

Debería mostrar dos objetos:

■ La raíz de nuestro directorio: dn: dc=sintesis,dc=com

■ El usuario administrador: dn: cn=admin,dc=sintesis,dc=com

ISMAEL OUARDI 9

En caso de error:

Si no muestra la información esperada pararemos el servicio slapd, borraremos la base de datos

actual, ejecutaremos el asistente (introduciendo los datos indicados anteriormente), iniciaremos el

servicio slapd y comprobaremos de nuevo el contenido de nuestro directorio:

service slapd stop

rm -R /var/lib/ldap/*

dpkg-reconfigure --priority=low slapd

service slapd start

slapcat

Configuración avanzada

Conexión segura (TLS/SSL)

Verificación del servicio

Podemos verificar que el servicio está en ejecución con el siguiente comando:

service slapd status

También podemos comprobar que el servicio slapd está escuchando en el puerto esperado (TCP

389):

netstat -atun (muestra los puertos en formato numérico, 389)

netstat -atu (muestra el nombre del servicio, ldap)

Verificamos que la conexión a nuestro directorio OpenLDAP realizando una consulta:

ldapsearch -x -b "dc=sintesis,dc=com"

Parámetros:

-x Configuración sencilla en lugar de SASL.

-b Punto de inicio de la consulta.

ISMAEL OUARDI 10

Configuración de OpenLDAP para almacenar la información de Samba

El siguiente paso es la configuración de OpenLDAP para almacenar la información de Samba

(dominio, grupos, usuarios, equipos...).

Instalación del esquema de Samba

El primer paso será listar los esquemas que OpenLDAP ya tiene cargados:

ls -l /etc/ldap/slapd.d/cn\=config/cn\=schema

Por defecto OpenLDAP carga los siguientes esquemas:

cn={0}core.ldif

cn={1}cosine.ldif

cn={2}nis.ldif

cn={3}inetorgperson.ldif

Si añadimos otro esquema deberíamos asignarle el siguiente número libre. En nuestro caso, el 4.

El esquema OpenLDAP de Samba podemos encontrarlo en el paquete samba-doc:

apt-get install samba-doc

Copiamos el esquema de samba al directorio donde OpenLDAP tiene los almacenados los esquemas

(/etc/ldap/schema):

zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz >

/etc/ldap/schema/samba.schema

A continuación crearemos un directorio temporal donde crearemos y modificaremos tods los ficheros

de configuración de OpenLDAP:

mkdir -p /root/temporal/ldap

Creamos un directorio donde almacenaremos los esquemas en formato LDIF:

mkdir /root/temporal/ldap/esquemas.d

ISMAEL OUARDI 11

Creamos el fichero /root/temporal/ldap/esquemas.conf y estableceremos como contenido la lista de

esquemas ya cargados en OpenLDAP (en riguroso orden) y los esquemas que queremos añadir (en

nuestro caso, Samba):

¡Atención no alterar el orden!

include /etc/ldap/schema/core.schema

include /etc/ldap/schema/cosine.schema

include /etc/ldap/schema/nis.schema

include /etc/ldap/schema/inetorgperson.schema

include /etc/ldap/schema/samba.schema

Convertimos el fichero /root/temporal/ldap/esquemas.conf a formato LDIF:

slaptest -f /root/temporal/ldap/esquemas.conf -F /root/temporal/ldap/esquemas.d

Editamos el fichero ldif del esquema Samba

(/root/temporal/ldap/esquemas.d/cn\=config/cn\=schema/cn\=\{4\}samba.ldif) y realizamos los

siguientes cambios:

■ Modificamos las tres primeras líneas de la siguiente manera:

dn: cn=samba,cn=schema,cn=config

objectClass: olcSchemaConfig

cn: samba

■ Borramos las últimas líneas:

structuralObjectClass: olcSchemaConfig

entryUUID: 8309b686-91ed-102f-93fa-972e7504ce9b

creatorsName: cn=config

createTimestamp: 20101201232147Z

entryCSN: 20101201232147.210006Z#000000#000#000000

modifiersName: cn=config

modifyTimestamp: 20101201232147Z

Añadimos el esquema Samba con el siguiente comando:

ldapadd -Y EXTERNAL -H ldapi:/// -f

/root/temporal/ldap/esquemas.d/cn\=config/cn\=schema/cn\=\{4\}samba.ldif

Parámetros:

-Y Especifica el mecanismo SASL de autentificación.

-H Especifica la URI que hace referencia al servidor LDAP (protocolo/host/puerto).

-f Lee las modificaciones desde un fichero en lugar de utilizar la entrada estándar.

ISMAEL OUARDI 12

Índices de Samba

Samba necesita una serie de índices en la base de datos para funcionar correctamente. Crearemos

el fichero /root/temporal/ldap/samba_indices.ldif con el siguiente contenido:

dn: olcDatabase={1}hdb,cn=config

changetype: modify

add: olcDbIndex

olcDbIndex: uidNumber eq

olcDbIndex: gidNumber eq

olcDbIndex: loginShell eq

olcDbIndex: uid eq,pres,sub

olcDbIndex: memberUid eq,pres,sub

olcDbIndex: uniqueMember eq,pres

olcDbIndex: sambaSID eq

olcDbIndex: sambaPrimaryGroupSID eq

olcDbIndex: sambaGroupType eq

olcDbIndex: sambaSIDList eq

olcDbIndex: sambaDomainName eq

olcDbIndex: default sub

Añadimos los índices anteriores con el siguiente comando:

ldapmodify -Y EXTERNAL -H ldapi:/// -f /root/temporal/ldap/samba_indices.ldif

Podemos comprobar que los índices se han añadido correctamente con la siguiente consulta:

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcDatabase={1}hdb

olcDbIndex

Parámetros:

-Q Habilita el modo SASL Quiet. Nunca solicita información.

-LLL Modifica la forma en que se muestra la información

-Y Especifica el mecanismo SASL de autentificación.

-H Especifica la URI que hace referencia al servidor LDAP (protocolo/host/puerto).

-f Lee las modificaciones desde un fichero en lugar de utilizar la entrada estándar.

ISMAEL OUARDI 13

Añadimos usuario LDAP de solo consulta

Si configuramos alguna aplicación que solo necesite acceso de lectura a OpenLDAP es

recomendable crear un usuario que pueda consultar el directorio pero que no pueda modificarlo.

Creamos un fichero con la información del usuario (/root/temporal/ldap/usuario_consulta.ldif):

dn: cn=consulta,dc=sintesis,dc=com

objectClass: simpleSecurityObject

objectClass: organizationalRole

cn: conexion

description: Usuario de consulta

userPassword: indiferente

Añadimos el usuario cn=consulta,dc=sintesis,dc=com con el siguiente comando:

ldapadd -x -D "cn=admin,dc=sintesis,dc=com" -w P@ssw0rd -f

/root/temporal/ldap/usuario_consulta.ldif

-x Configuración sencilla en lugar de SASL.

-D Usuario con la que realizamos la conexión.

-w Contraseña del usuario con el que realizamos la conexión.

-f Lee las modificaciones desde un fichero en lugar de utilizar la entrada estándar.

Debemos establecer la contraseña del nuevo usuario:

ldappasswd -x -D "cn=admin,dc=sintesis,dc=com" -w P@ssw0rd -s consulta

"cn=consulta,dc=sintesis,dc=com"

Parámetros:

-s Contraseña que queremos establecer al usuario.

Podemos comprobar qué permisos de acceso a la base de datos están asignados actualmente:

ldapsearch -Q -LLL -Y EXTERNAL -H ldapi:/// -b cn=config olcDatabase={1}hdb

olcAccess

ISMAEL OUARDI 14

Para establecer los nuevos permisos creamos el fichero /root/temporal/ldap/permisos.ldif y copiamos

el siguiente contenido

dn: olcDatabase={1}hdb,cn=config

changetype: modify

delete: olcAccess

dn: olcDatabase={1}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: to

attrs=userPassword,shadowLastChange,sambaNTPassword,sambaLMPassword,sam

baPwdMustChange,sambaPwdLastSet by dn="cn=admin,dc=sintesis,dc=com" write

by dn="cn=consulta,dc=sintesis,dc=com" read by anonymous auth by self write by *

none

dn: olcDatabase={1}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: to dn.base="" by * read

dn: olcDatabase={1}hdb,cn=config

changetype: modify

add: olcAccess

olcAccess: to * by self write by dn="cn=admin,dc=sintesis,dc=com" write by * read

Podemos realizar las modificaciones con el siguiente comando:

ldapmodify -Q -Y EXTERNAL -H ldapi:/// -f /root/temporal/ldap/permisos.ldif

Operaciones básicas de gestión

Copias de seguridad de la base de datos

Realizar copia de seguridad de la base de datos:

slapcat -l backup.ldif

Recuperar copia de seguridad de la base de datos:

slapadd -c -l backup.ldif

ISMAEL OUARDI 15

Instalación y integración de SAMBA en LDAP

Instalación de Samba

Instalamos el servidor Samba:

apt-get install samba

El asistente nos solicitará la siguiente información:

■ Nombre del dominio o del grupo de trabajo: SINTESIS

Configuración de Samba

El primer paso será realizar una copia de seguridad del fichero de configuración de Samba

(/etc/samba/smb.conf):

cp /etc/samba/smb.conf /etc/samba/smb.conf{,.orig}

El contenido de /etc/samba/smb.conf debe ser el siguiente:

[global]

### ------ Dominio ------ ###

workgroup = SINTESIS

netbios name = servidorldap

realm = sintesis.com

server string = %h PDC

security = user

dns proxy = No

### ------ Usuarios ------ ###

passdb backend = ldapsam:ldap://127.0.0.1

username map = /etc/samba/smbusers

# Si queremos permitir el acceso a usuarios invitados deberemos crear el

# usuario indicado en 'guest account'

# map to guest = Bad User

# guest account = guest

map to guest = Never

encrypt passwords = Yes

ISMAEL OUARDI 16

unix password sync = Yes

ldap passwd sync = Yes

passwd program = /usr/sbin/smbldap-passwd %u

passwd chat = *New*password* %n\n *Retype*new*password* %n\n

*all*authentication*tokens*updated*

idmap backend = ldap:ldap://127.0.0.1

idmap uid = 10000-40000

idmap gid = 10000-40000

### ------ PDC ------ ###

domain master = Yes

preferred master = Yes

local master = Yes

wins support = Yes

os level = 100

domain logons = Yes

logon path = \\%L\profiles\%U\

logon drive = H:

logon script = netlogon.bat

time server = Yes

### ------ LDAP ------ ###

ldap suffix = dc=sintesis,dc=com

ldap admin dn = cn=admin,dc=sintesis,dc=com

ldap user suffix = ou=Users

ldap group suffix = ou=Groups

ldap machine suffix = ou=Computers

ldap idmap suffix = ou=Idmap

ldap passwd sync = Yes

ldap ssl = No

ldap delete dn = Yes

# La siguiente directiva solo tiene sentido si tenemos un servidor LDAP esclavo

# ldap replication sleep = 1000

add machine script = /usr/sbin/smbldap-useradd -w %u

add user script = /usr/sbin/smbldap-useradd -m %u

delete user script = /usr/sbin/smbldap-userdel %u

add group script = /usr/sbin/smbldap-groupadd -p %g

ISMAEL OUARDI 17

delete group script = /usr/sbin/smbldap-groupdel %g

add user to group script = /usr/sbin/smbldap-groupmod -m %u %g

delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g

set primary group script = /usr/sbin/smbldap-usermod -g %g %u

### ------ Ficheros ------ ###

case sensitive = No

default case = lower

preserve case = Yes

short preserve case = Yes

map acl inherit = Yes

hide unreadable = Yes

dos charset = 850

Unix charset = ISO8859-1

### ------ Impresoras ------ ###

load printers = Yes

printing = cups

printcap name = cups

### ------ Red ------ ###

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

interfaces = eth0 eth1 eth2 eth3 lo

hosts allow = 127.0.0.1, 192.168.10.0/24,

hosts deny = 0.0.0.0

smb ports = 139 445

bind interfaces only = Yes

name resolve order = wins hosts lmhosts bcast

# La directiva "remote announce" solo la utilizaremos para enviar

# paquetes broadcast a redes remotas (no conectadas al servidor)

# remote announce = 192.168.200.255, 192.168.210.255

### ------ Logs ------ ###

syslog only = No

max log size = 1000

log file = /var/log/samba/log.%m

syslog = 0

### ------ Varios ------ ###

panic action = /usr/share/samba/panic-action %d

### ------ Comparticiones ------ ###

ISMAEL OUARDI 18

[netlogon]

comment = Domain Logon Service

path = /home/samba/netlogon

guest ok = No

read only = Yes

browseable = No

[profiles]

comment = Network Profiles Share

path = /home/samba/profiles

read only = No

create mask = 0600

directory mask = 0700

browseable = No

guest ok = No

printable = No

profile acls = Yes

csc policy = disable

[homes]

comment = Home Directories

valid users = %S, %D%w%S

read only = No

browseable = No

guest ok = No

create mask = 0600

directory mask = 0700

inherit acls = Yes

vfs objects = recycle

recycle:repository = Papelera de reciclaje

recycle:keeptree = Yes

recycle:versions = Yes

[printers]

comment = All Printers

path = /var/spool/samba

browseable = No

printable = Yes

guest ok = No

read only = Yes

create mask = 0700

[print$]

comment = Printer Drivers

path = /var/lib/samba/printers

browseable = Yes

ISMAEL OUARDI 19

read only = Yes

guest ok = No

Crearemos el fichero /etc/samba/smbusers con el siguiente contenido:

nano /etc/samba/smbusers

root = Administrador

root = Administrator

Indicamos a Samba la contraseña del usuario rootDN (cn=admin,dc=sintesis,dc=com):

smbpasswd -w P@ssw0rd

La contraseña del usuario rootDN se almacena en el fichero /var/lib/samba/secrets.tdb.

Nota: Es importante que este fichero solo pueda ser leido por el usuario root.

Reiniciamos el servicio Samba:

service smbd restart

Si consultamos el contenido de nuestro directorio (comando slapcat) veremos como se ha creado

un objeto (dn: sambaDomainName=sintesis,dc=sintesis,dc=com) con la información de nuestro

dominio Samba.

Directorios de Samba: netlogon, profiles y shares

Crearemos los directorios necesarios para almacenar la información de nuestro dominio Samba:

■ netlogon: almacena los scripts de autentificación de los clientes Windows.

■ profiles: almacena los perfiles de usuario de los clientes Windows.

■ shares: almacena los directorios compartidos de nuestro dominio.

Ejecutaremos los siguientes comandos para crear y configurar los directorios anteriores:

mkdir -p /home/samba/ {netlogon,profiles,shares}

chmod 755 /home/samba/ {netlogon,shares}

chmod 1777 /home/samba/profiles

ISMAEL OUARDI 20

Fichero netlogon.bat

Creamos el fichero /home/samba/netlogon/netlogon.bat.unix con el siguiente contenido:

nano /home/samba/netlogon/netlogon.bat.unix

net time \\servidorldap /set /yes

net use H: \\servidorldap\%U

servidorldap es el nombre NETBIOS de nuestro servidor Samba.

Debemos convertir el fichero a formato DOS. Para ello utilizaremos la aplicación tofrodos.

Instalamos la aplicación tofrodos:

apt-get install tofrodos

Convertimos el fichero a formato DOS:

fromdos -u < /home/samba/netlogon/netlogon.bat.unix >

/home/samba/netlogon/netlogon.bat

ISMAEL OUARDI 21

Herramienta SMBLDAP-TOOLS

El paquete smbldap-tools nos facilitará mucho la gestión de nuestro dominio: creará los objetos

necesarios (unidades organizativas, grupos...) y nos proporcionará comandos para la gestión de

usuarios y grupos.

Instalamos el paquete smbldap-tools:

apt-get install smbldap-tools

Configuración de smbldap-tools

Este paquete nos proporciona un script perl (configure.pl) que nos creará los ficheros de

configuración de smbldap-tools: /etc/smbldap-tools/smbldap.conf y /etc/smbldap-

tools/smbldap_bind.conf.

Copiamos, descomprimimos y ejecutamos el script perl:

cp /usr/share/doc/smbldap-tools/configure.pl.gz /root/temporal/smbldap-tools

cd /root/temporal/smbldap-tools

gzip -d configure.pl.gz

perl configure.pl

El asistente nos solicitará la siguiente información:

■ Samba Configuration File Path > /etc/samba/smb.conf

■ Smbldap-tools Configuration Directory Path > /etc/smbldap-tools

■ workgroup name > sintesis

■ netbios name > servidorldap

■ logon drive > H:

■ logon home > .

■ logon path > \\%L\profiles\%U\

■ home directory prefix > /home/%U

■ default users homeDirectory mode > 700

■ default user netlogon script > netlogon.bat

■ default password validation > 45

■ ldap suffix > dc=sintesis,dc=com

■ ldap group suffix > ou=Groups

■ ldap user suffix > ou=Users

■ ldap machine suffix > ou=Computers

■ Idmap suffix > ou=Idmap

■ sambaUnixPooldn object (relative to ${suffix}) > sambaDomainName=SINTESIS

■ ldap master server > 127.0.0.1

■ ldap master port > 389

■ ldap master bin > cn=admin,dc=sintesis,dc=com

■ ldap master password > P@ssw0rd

■ ldap slave server > 127.0.0.1

ISMAEL OUARDI 22

■ ldap slave port > 389

■ ldap slave bin > cn=admin,dc=sintesis,dc=com

■ ldap slave password > P@ssw0rd

■ ldap tls support > 0

■ SID for domain sintesis > SID por defecto

■ unix password encryption > MD5

■ default user gidNumber > 513

■ default computer gidNumber > 515

■ default login shell > /bin/bash

■ default skeleton directory > /etc/skel

■ default domain name to append to mail addres > sintesis.com

Atención si de la anterior forma no ha funcionado hacemos lo siguiente:

■ nano /etc/smbldap-tools/smbldap.conf

SID="S-1-5-21-2252255531-4061614174-2474224977"

sambaDomain="SINTESIS"

slaveLDAP="ldap://127.0.0.1/"

masterLDAP="ldap://127.0.0.1/"

ldapTLS="0"

verify="require"

cafile="/etc/smbldap-tools/ca.pem"

clientcert="/etc/smbldap-tools/smbldap-tools.example.com.pem"

clientkey="/etc/smbldap-tools/smbldap-tools.example.com.key"

suffix="dc=sintesis,dc=com"

usersdn="ou=Users,${suffix}"

computersdn="ou=Computers,${suffix}"

groupsdn="ou=Groups,${suffix}"

idmapdn="ou=Idmap,${suffix}"

sambaUnixIdPooldn="sambaDomainName=${SINTESIS},${suffix}"

scope="sub"

password_hash="MD5"

password_crypt_salt_format="%s"

userLoginShell="/bin/bash"

userHome="/home/%U"

userHomeDirectoryMode="700"

userGecos="System User"

defaultUserGid="513"

defaultComputerGid="515"

skeletonDir="/etc/skel"

shadowAccount="1"

defaultMaxPasswordAge="45"

userSmbHome="\\PDC-SRV\%U"

userProfile="\\PDC-SRV\profiles\%U"

userHomeDrive="H:"

userScript="logon.bat"

mailDomain="sintesis.com"

with_smbpasswd="0"

smbpasswd="/usr/bin/smbpasswd"

ISMAEL OUARDI 23

with_slappasswd="0"

slappasswd="/usr/sbin/slappasswd"

■ nano /etc/smbldap-tools/smbldap_bind.conf

masterDN="cn=admin,dc=sintesis,dc=com"

masterPw="P@ssw0rd"

ISMAEL OUARDI 24

Inicializar nuestro directorio LDAP

Por último ejecutaremos el comando que inicializará nuestro directorio LDAP con la información

anterior:

smbldap-populate

Este comando nos solicitará la contraseña para el administrador (root) del dominio. Nosotros le

asignaremos la contraseña P@ssw0rd.

A continuación se muestra los principales objetos (unidades organizativas, usuarios y grupos)

creados:

dc=sintesis,dc=com

|

|--- ou=Users Unidad organizativa para almacenar las cuentas de usuario

UNIX/Samba

| |

| |--- uid=root Administrador de UNIX y Administrador del Dominio Samba

| |

| |--- uid=nobody Cuenta anónima para UNIX y el Dominio Samba

|

|

|--- ou=Computers Unidad organizativa para almacenar las cuentas de los

| equipos Microsoft Windows añadidos al dominio

|

|--- ou=Groups Unidad organizativa para almacenar los grupos UNIX/Samba

| |

| |--- cn=Domain Admins Grupo Global para los Administradores del Dominio

| |

| |--- cn=Domain Users Grupo Global para los Usuarios de Dominio

| |

| |--- cn=Domain Computers Grupo Global para las Cuentas de Computadoras del

Dominio

|

|

|--- ou=Idmaps Unidad organizativa para almacenar los mapeos de cuentas

Unix a cuentas Samba

En este punto es necesario reiniciar el servidor Samba:

service samba restart

ISMAEL OUARDI 25

Comprobar la instalación, configuración e integración de OpenLDAP y

Samba

Comprobar las cuentas Samba almacenadas en el directorio

El comando pdbedit nos permite gestionar las cuentas Samba.Utilizaremos pdbedit para listar

información del directorio. Siempre que tengamos que realizar cualquier modificación (añadir una

cuenta, borrar una cuenta, modificar una cuenta, añadir un grupo...) utilizaremos las herramientas

proporcionadas por smbldap-tools.

Podemos listar las cuentas Samba almacenadas en el directorio con el comando:

pdbedit -L

Si no hemos añadido nuevos usuarios nos deberá mostrar solo dos usuarios: root y nobody.

Si queremos ver un listado detallado utilizaremos la opción -v:

pdbedit -L

Para obtener la información de un usuario en concreto utilizaremos el comando:

pdbedit -Lv usuario

Ejemplo:

ISMAEL OUARDI 26

Comprobar el mapeo de grupos Unix y Samba

Podemos consultar los grupos mapeados entre Unix y Samba con el siguiente comando:

net groupmap list

Los principales grupos mapeados son:

■ Domain Admins (S-1-5-21-...-512) -> 512

■ Domain Users (S-1-5-21-...-513) -> 513

■ Domain Guests (S-1-5-21-...-514) -> 514

■ Domain Computers (S-1-5-21-...-515) -> 515

Comprobar la conexión a nuestro servidor Samba

Para realizar una conexión al servidor Samba necesitamos instalar el cliente Samba:

apt-get install smbclient

Para comprobar que funciona correctamente realizaremos una conexión al recurso compartido

netlogon con el usuario root:

smbclient //localhost/netlogon -U root

Podemos comprobar también que los mapeos de usuario samba especificados en el fichero

/etc/smbusers funcionan:

smbcliente //localhost/netlogon -U Administrador

smbcliente //localhost/netlogon -U Administrator

Modificar la cuenta root

Es conveniente realizar las siguientes modificaciones en el usuario root:

■ Cambiar la ruta de su carpeta personal.

■ Establecer el shell (/bin/bash).

■ Deshabilitar el uso de perfil móvil.

Para realizar estos cambios ejecutaremos el siguiente comando:

smbldap-usermod -d /root -s /bin/bash -C "" -D "" -F "" root

Podemos observar los cambios ejecutando el comando:

ldapsearch -x -D "cn=admin,dc=sintesis,dc=com" -b

"uid=root,ou=Users,dc=sintesis,dc=com" -W

ISMAEL OUARDI 27

Comando básicos de gestión de usuarios

El paquete smbldap-tools proporciona una serie de comandos que facilita la gestión de grupos y

usuarios. Los principales son los siguientes:

■ Añadir un usuario: smbldap-useradd

■ Borrar un usuario: smbldap-userdel

■ Modificar un usuario: smbldap-usermod

■ Cambiar contraseña de un usuario: smbldap-passwd

■ Añadir un grupo: smbldap-groupadd

■ Borrar un grupo: smbldap-groupdel

■ Modificar un grupo: smbldap-groupmod

Podéis consultar la página de manual asociada a cada uno de estos comandos para ver todas las

opciones.

Veamos algunos ejemplos comunes:

■ Crear una cuenta (UNIX y Samba) a ismael ouardi con el nombre de usuario ismael,

creando su carpeta personal y estableciendo su contraseña:

smbldap-useradd -a -m -N "ismael" -S “ouardi” -P ismael

Opciones:

-a El usuario también tendrá una cuenta Samba

-m Crea la carpeta personal del usuario si no existe

-N Nombre

-S Apellidos

-P Una vez que se ha creado el usuario se ejecuta smbldap-passwd para asignarle contraseña.

ISMAEL OUARDI 28

■ Borrar el usuario ismael:

smbldap-userdel ismael

■ Establecer la contraseña del usuario ismael:

smbldap-passwd ismael

■ Borrar el usuario ismael y borrar su carpeta personal:

smbldap-userdel -r ismael

■ Crear el grupo ventas (Unix y Samba):

smbldap-groupadd -a ventas

■ Borar el grupo ventas:

smbldap-groupdel ventas

■ Añadir el usuario ismael al grupo ventas:

smbldap-groupmod -m ismael ventas

■ Eliminar el usuario ismael' del grupo ventas:

smbldap-groupmod -x ismael ventas

ISMAEL OUARDI 29

Instalación y configuración de LAM

LAM es un frontend web para la administración de cuentas de usuarios UNIX y SAMBA

dentro de un directorio LDAP. Para instalarlo ejecutamos

apt-get install ldap-account-manager

Una vez instalado para acceder a la interfaz de configuración abriremos un navegador y

escribimos http://192.168.10.2/lam

Nada mas abrir la página de login pulsaremos sobre la opción “LAM Configuration”. En la

siguiente página accedemos a “Edit General Settings”, aquí nos pedirá la contraseña

maestra que por defecto es “lam”, la introducimos y al acceder al siguiente menu, si

queremos podemos cambiarla en la opción que se encuentra al final de dicha página.Una

vez hecho esto vamos al menu anterior y seleccionamos la opción “Edit Servers Profiles”.

ISMAEL OUARDI 30

En la página de “Edit server profiles” debemos comprobar los datos para que coincidan

con los de nuestro servidor, tanto los referentes a la configuración general como a los tipos

de cuentas. Y al final de la primera página debemos poner los datos de nuestro usuario root

del LDAP “cn=admin,dc=sintesis,dc=com” y su contraseña.

En la segunda pestaña debemos modificar los módulos y tipos de módulos de nuestro

servidor LDAP. Con la configuración básica es suficiente, pero ojo con los atributos que ya

hay por defecto, nosotros tenemos los grupos Users,Groups y Computers, los de LAM no

son los mismos, por eso habrá que cambiar tanto el nombre de dominio como el de los

grupos…

ISMAEL OUARDI 31

ISMAEL OUARDI 32

Instalación de WEBMIN

Para instalar WEBMIN debemos de añadir dos repositorios, para añadirlos hacemos lo

siguiente:

sudo nano /etc/apt/sources.list

Y añadimos estas dos siguientes líneas:

deb http://download.webmin.com/download/repository sarge contrib

deb http://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib

Después vamos a descargar y descomprimir el archivo de instalación de WEBMIN:

wget -q http://www.webmin.com/jcameron-key.asc -O- | sudo apt-key add -

Antes de instalar Webmin es aconsejable actualizar:

sudo apt-get update

Y ahora ejecutamos el siguiente comando para instalar Webmin:

sudo apt-get install webmin

Una vez instalado para acceder a webmin debemos de ir a un navegador web y escribir lo

siguiente:

https://192.168.10.2:10000

ISMAEL OUARDI 33

Servidor DNS

Instalar el servicio BIND9:

sudo apt-get install bind9

Configurar nuestra zona primaria de DNS usando Webmin

Ahora se ha de crear la zona DNS. Usaremos Webmin, ya instalado anteriormente.

Abrimos un navegador web y escribimos https://192.168.10.2:10000, nos autenticamos con

el usuario y la contraseña del servidor (administrador, P@ssw0rd).

Una vez dentro vamos a “Servidores>BIND DNS Server”

En el apartado de “zonas dns existentes”, pulsamos sobre “Crear zona raíz”.

● Tipo de zona: Reenvío (nombres de direcciones) Forward

● Nombre de dominio: sintesis.com

● Archivo de registros: Automático

● Servidor maestro: servidorldap (suele aparecer por defecto)

● Dirección de correo: administrador@sintesis.com

Pulsamos sobre “Crear”

Pulsamos sobre “Aplicar cambios”

Pulsamos sobre Dirección (0) en la parte superior.

Nombre: servidorldap

Dirección: 192.168.10.2

Pulsamos sobre “Crear” y después “Regresar a Tipo de registro”

Pulsamos sobre “Aplicar Cambios”

ISMAEL OUARDI 34

Configuramos el servidor para usarse a sí mismo para resolver

DNS

En esta sección vamos a hacer que el archivo de configuración de resolución de nombres

/etc/resolv.conf apunte a nosotros mismos, es decir a nuestros servidor DNS.

Abrimos el archivo /etc/resolv.conf para editarlo:

sudo nano /etc/resolv.conf

Agregamos las siguientes líneas al principio:

search sintesis.com

servidorldap 192.168.10.2

Reiniciamos el servidor para asegurar el correcto funcionamiento:

sudo reboot

ISMAEL OUARDI 35

Unión a dominio con Windows 7

Para unir un cliente Windows 7 al dominio deberemos modificar 2 campos del registro para

que nos permita hacerlo. Si nos bajamos este fichero y lo ejecutamos ya podremos unir

nuestro cliente al dominio sin problemas:

https://bugzilla.samba.org/attachment.cgi?id=4988&action=view

Una vez hecho esto accedemos a “Propiedades del Sistema”, en el apartado

“Configuración de nombre, dominio y grupo de trabajo del equipo” seleccionamos

“Cambiar configuración” y mediante la pestaña “Nombre de Equipo pulsamos el bóton

de”ID de red”. A lo largo del asistente nos preguntará el usuario root de nuestro LDAP, en

nuestro caso: “Administrador” y pass: P@ssw0rd

ISMAEL OUARDI 36

ISMAEL OUARDI 37

ISMAEL OUARDI 38

ISMAEL OUARDI 39

ISMAEL OUARDI 40

ISMAEL OUARDI 41

Unión a dominio con Ubuntu Desktop

Para poder unir Ubuntu al dominio y poder iniciar sesión con usuarios de UNIX es un poco

más complejo, vamos por pasos primero de todo vamos a instalar los siguientes paquetes:

Sudo apt-get install ldap-utils libpam-ldap libnss-ldap nslcd

Nos pedirá rellenar unos parámetros básicos sobre lo configurado anteriormente.

El siguiente paso debemos abrir el archivo /etc/nsswitch.conf como “root” y debemos de

configurar el archivo de manera que nos quede de esta manera:

Ahora vamos a editar el siguiente archivo /etc/pam.d/common-session y añadimos al final

del documento esta línea:

session required pam_mkhomedir.so skel=/etc/skel umask=0022

ISMAEL OUARDI 42

También tendremos que añadir la misma línea en /etc/pam.d/login y /etc/pam.d/lightdm

session required pam_mkhomedir.so skel=/etc/skel umask=0022

Ahora vamos a crear el archivo /etc/lightdm/lightdm.conf con el siguiente contenido

nano /etc/lightdm/lightdm.conf

ISMAEL OUARDI 43

Ahora vamos a añadir al inicio del sistema el demonio de ldap llamado nscld:

sudo update-rc.d nslcd enable

sudo /etc/init.d/nscd restart

Ahora reiniciamos el equipo:

sudo reboot

Si todo ha funcionado correctamente nos debería salir iniciar sesión:

ISMAEL OUARDI 44

Instalación y configuración de CUPS

Bueno ahora vamos a instalar CUPS, que nos ara de servidor de impresión, ejecutamos el

siguiente comando para instalar:

sudo apt-get install cupsys

Después de haber instalado cups lo siguiente será ir al archivo de configuración de cups y

añadir o asegurarse de que los siguientes apartados sean idénticos a los siguientes:

nano /etc/cups/cupsd.conf

<Location/>

Order Deny,Allow

Deny From All

Allow From 127.0.0.1

</Location>

<Location /printers/>

Order Deny,Allow

Deny From All

Allow From 127.0.0.1

Allow From 192.168.10.*

</Location>

Lo que hemos hecho es permitir acceso a la interface gráfica des de otro equipo que no sea

el servidor para poder administrar el servicio de impresión.

Para acceder vamos a un navegador y ponemos lo siguiente:

https://192.168.10.2:631

ISMAEL OUARDI 45

Añadir impresora en CUPS

Para añadir una impresora en CUPS primero de todo debemos acceder a la interface

gráfica de CUPS:

https://192.168.10.2:631

Una vez dentro vamos a Administración>añadir impresora:

Una vez dentro nos dará a elegir en qué tipo de impresora nosotros elegimos de red la

primera:

ISMAEL OUARDI 46

Ahora podemos poner un nombre a la impresora, una descripción y una ubicación:

Aquí debemos elegir el modelo concreto de la impresora elegimos uno cualquiera ya que no

hay impresora física:

Una vez hecho lo anterior la impresora ya estaría creada ahora falta añadir las impresoras a

ambos clientes Windows y Ubuntu.

ISMAEL OUARDI 47

Añadir impresora a Windows:

Iniciamos sesión en nuestro dominio con Windows, vamos a red, escaneamos la red ,

entramos en nuestro servidor y nos saldrán nuestros recursos compartidos, allí estarán las

impresoras que tengamos instaladas con CUPS, lo que haremos para poder usar-las es

instalarla en Windows de la siguiente manera:

Hacemos doble clic sobre la impresora que queremos instalar nos saltara un asistente que

nos pedirá que elijamos el fabricante y el modelo lo seleccionamos y hacemos clic en

aceptar:

ISMAEL OUARDI 48

Una vez instalada vamos a Panel de Controls>Hardware ySonido> Dispositivos y

impresoras, y veremos como ya nos muestra que la impresora está correctamente

instalada:

ISMAEL OUARDI 49

Añadir impresora a Ubuntu:

Para añadir una impresora en Ubuntu ya sea de red o local es más distinto a Windows.

Primero de todo debemos de ir a la herramienta gráfica de Ubuntu llamada Impresión, y

damos clic sobre Añadir Impresora, nos saltara un asistente, donde nos pedirá una URL, la

URL que nos pide la encontraremos en cups, y es la siguiente:

192.168.10.2:631/printers/Canon_Canon_50i

ISMAEL OUARDI 50

En el siguiente paso le dejemos que vaya a consultar a CUPS para encontrar el controlador

de la impresora:

ISMAEL OUARDI 51

En este paso lo dejamos por defecto:

ISMAEL OUARDI 52

Ahora podemos ponerle un nombre y una descripción o si preferís podéis dejarlo por

defecto:

Y ya tendríamos la impresora lista para usar:

ISMAEL OUARDI 53

Conclusión

Este proyecto me ha servido de experiencia profesional, de poder depender de mí mismo y

espabilarme en situaciones complejas y poder solucionarlas por mi cuenta, además del

conocimiento técnico adquirido durante el proyecto, sobre administración de sistemas ya

sea en Linux o Windows.

Valoro esta experiencia como positiva.

ISMAEL OUARDI 54