Home

Manual de Instalación y Configuración de un Servidor de

1. etc pam d common password password required pam_cracklib so difok 2 minlen 8 dcredit 2 ocredit 2 retry 3 password success 2 default ignore pam_unix so obscure crypt password success 1 user_unknown ignore default die pam_ldap so use_authtok try_first_pass password requisite pam_deny so password required pam_permit so etc pam d common session La configuraci n de este archivo difiere de la del servidor PDC En el servidor se puede crear las cuentas de usuario mediante smbldap useradd agregando la opci n m de modo que el home de cada usuario se crea junto con el usuario En los clientes el home de cada usuario no existe por lo que se utiliza el m dulo pam_mkhomedir so para crear el home del usuario en caso que no exista Eso es lo que motiva agregar la primer linea del archivo session required pam_mkhomedir so session default 1 pam_permit so session requisite pam_deny so session required pam_permit so session required pam_unix so session optional pam_ldap so Probando la configuraci n Primero que nada detener el demonio nscd etc init d nscd stop Ahora ya se puede hacer login en los clientes Linux Unix con alg n usuario del dominio Samba utilizar la cuenta de adminnuevo que se creo anteriormente debian cli login adminnuevo Password Linux debian cli 2 6 26 2 686 1 SMP Wed Nov 4 20 45 37 UTC 2009 1686 The programs included with the Debian GNU Linux system are free software the exact distribution
2. S 1 5 21 669132894 2586221759 3914214969 513 Full Name root Home Directory debian pdc root HomeDir Drive U Logon Script logon bat root Profile Path debian pdc profiles root Domain ESDEBIAN Account desc Workstations Munged dial Logon time 0 Logoff time never Kickoff time never Password last set lun 18 ene 2010 09 07 47 ART Password can change lun 18 ene 2010 09 07 47 ART Password must change never Last bad password 0 Bad password count 0 Logon hours FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF La cuenta root que se creo en el directorio LDAP es la que se usara como usuario root local y como administrador de dominio asignarle un home y un shell smbldap usermod d root s bin bash root Probar ahora conectarnos mediante smbclient smbclient localhost netlogon U root Enter root s password dominioadmin Domain ESDEBIAN OS Unix Server Samba 3 2 5 smb gt Podemos testear el funcionamiento de los alias de root que se defini antes en el archivo etc samba smbusers Administrador y Administrator smbclient localhost netlogon U administrador Enter administrador s password dominioadmin Domain ESDEBIAN OS Unix Server Samba 3 2 5 smb gt quit smbclient localhost netlogon U administrator Enter administrator s password dominioadmin Domain ESDEBIAN OS Unix Server Samba 3 2 5 smb gt quit Configuraci n de PAM NSS El servicio NSS Na
3. e Version de LDAP a utilizar 3 e Hace falta un usuario para acceder a la base de datos LDAP No e Dar privilegios especiales de LDAP para root S e Desea hacer que la configuraci n s lo la pueda leer o escribir el propietario Si e Cuenta LDAP para root cn admin dc esdebian dc org e Contrase a para la cuenta LDAP de root contrase a El demonio nscd Name Service Cache Daemon es una cach de nombres para el servicio NSS Acelera de forma significativa las consultas pero puede hacernos pasar malos ratos durante la configuraci n Detengamos el servicio por ahora etc init d nscd stop El archivo etc libnss Idap conf etc libnss ldap conf es el archivo de configuraci n de libnss Idap All se podr an almacenar en claro alguna clave no en nuestro caso pero debe igualmente asegurarse que los permisos son restrictivos Propietario root grupo root y permisos 600 Buscar y reemplazar el contenido de las siguientes lineas base dc esdebian dc org uri ldap 127 0 0 1 ldap version 3 rootbinddn cn admin dc esdebian dc org bind_policy soft pam_password crypt nss_base_passwd dc esdebian dc org sub nss_base_shadow dc esdebian dc org sub nss_base_group ou group dc esdebian dc org one El archivo etc libnss Idap secret etc libnss ldap secret es el archivo de credenciales All se almacena en claro la clave de root del servidor ldap asegurar de que los permisos son restrictivos Propietario root grupo root y perm
4. success 1 user unknown ignore default die pam ldap so use_authtok try_first_pass Si no se salta este punto la autenticacion falla siempre password requisite pam_deny so aun cuando la autenticacion tubiera xito los modulos del bloque primario podrian no retornar un c digo positivo esto soluciona eso asegurando un valor positivo si no lo era antes password required pam permit so El archivo etc pam d common session Lo que denominarias el bloque primario si el usuario est correctamente autenticado se salta la ejecucion del modulo pam_deny so recordar que este es un apartado de sesion por lo tanto lo que se controla no es el acceso sino los privilegios efectivos de un usuario ya autenticado session default 1 pam_permit so Si no se salta este punto la autenticacion falla siempre session requisite pam_deny so a n cuando la autenticacion tubiera xito los modulos del bloque primario podrian no retornar un c digo positivo esto soluciona eso asegurando un valor positivo si no lo era antes session required pam_permit so Se chequean los privilegios y restricciones session required pam_unix so session optional pam_ldap so Creaci n de usuarios y grupos en el directorio LDAP mediante smbldap tools Llegado a este punto ya se deber a estar en condiciones de ingresar al servidor mediante usuarios del Dominio los cuales autenticar n mediante PAM accediendo ste a la informaci n almacenad
5. Un ejemplo de script de inicio de sesi n podr a ser echo off net time debian pdc set yes IF 1 Administrador net use p debian pdc root IF 1 guest net use p debian pdc publico Implementar Politicas de Sistema A grandes rasgos Politicas de Sistema es un mecanismo que se emplea en sistemas Microsoft Windows para esablecer ciertas condiciones que se imponen a los usuarios y procesos del equipo Cada equipo Windows define su Pol ticas de Sistema local Cuando un usuario inicia sesi n en un equipo que pertenece a un dominio ste ademas descarga del servidor si esta disponible el archivo de pol ticas Globales y las hace efectivas en el cliente Pol ticas de Sistema cuenta con una jerarqu a la definici n de una pol tica local gobierna a una pol tica global mientras que una pol tica glob l solo se har efectiva si no est definida esa pol tica localmente No es la finalidad de este art culo dar una explicaci n detallada de Pol ticas de Sistema simplemente se dar una breve explicaci n de como implementarlas en un dominio Samba En un entorno de Dominio las Pol ticas se materializan en un nico archivo de nombre NTConfig POL que se almacenar en el directorio compartido netlogon de modo que los clientes acceden a este archivo a trav s de la ruta debian pdc netlogon NTConfig POL Entonces implementar las pol ticas es muy simple la complejidad radica en crear el archivo NTConfig POL y ajustar
6. del servidor OpenLDAP No DNS Domain Name dominio Organization Name nombre de la organizacion Contrase a de Administrador contrase a Verificar Contrase a otra vez la contrase a Database backend to use HDB Desea que se borre la base de datos cuando se puergue el paquete slapd No Desea mover la base de datos antigua Si Allow LDAPv2 protocol No Para que Idap sea el soporte para samba se debe incorporar la estructura de grupos y usuarios que samba necesita esa estructura debe contar con ciertos atributos y esos atributos se definen en un schema pero antes de incorporar esos atributos se debe hacer una copia de la base de datos La herramienta slapcat permite volcar el contenido de una base de datos Idap a un archivo de texto Idif LDAP Directory Interchange Format Se hace un backup de la base de datos slapcat gt slapd ldif Agregar el Schema Samba al Directorio Un schema esquema define el tipo de objetos que podemos manejar en nuestro arbol de directorio sus atributos y sus reglas de sintaxis Slapd incluye por defecto los esquemas necesarios para almacenar informacion de cuentas Unix Posix pero no incorpora soporte para el esquema de samba afortunadamente el paquete samba doc nos proveera de uno Simplemente haremos zcat usr share doc samba doc examples LDAP samba schema gz gt etc Idap schema samba schema El archivo etc Idap slapd conf Es el archivo principal de configurac
7. dominios en los que los DCs conf an son conocidos por Samba Que es LDAP LDAP Lightweight Directory Acces Protocol en espa ol Protocolo Ligero de Acceso a Directorios es un protocolo de tipo cliente servidor para acceder a un servicio de directorio Se us inicialmente como un Front end o interfaz final para x 500 pero tambi n puede usarse con servidores de directorio nicos y con otros tipos de servidores de directorio B sicamente OpenLDAP posee tres componentes principales e slapd Dominio de servidor y herramientas e Librer as que implementan el protocolo LDAP e Programas cliente ldapsearch Idapadd Idapdelete entre otros Qu es un directorio Un directorio es una base de datos pero en general contiene informaci n m s descriptiva y m s basada en atributos La informaci n contenida en un directorio normalmente se lee mucho m s de lo que se escribe Como consecuencia los directorios no implementan normalmente los complicados esquemas para transacciones o esquemas de reducci n que las bases de datos utilizan para llevar a cabo actualizaciones complejas de grandes vol menes de datos Las actualizaciones en un directorio son usualmente cambios sencillos de todo o nada si es que permiten algo Un directorio LDAP es una base de datos El sistema gestor de una base de datos DBMS de Oracle Microsoft es usado para procesar peticiones queries 6 actualizaciones a una base de datos relacional Estas bases de da
8. la colecci n de atributos que pueden usarse para definir una entrada El est ndar LDAP proporciona estos tipos b sicos para las clases de objetos 1 Grupos en el directorio entre ellos listas no ordenadas de objetos individuales o de grupos de objetos 2 Emplazamientos como por ejemplo el nombre del pa s y su descripci n 3 Organizaciones que est n en el directorio 4 Personas que est n en el directorio Una entrada determinada puede pertenecer a m s de una clase de objetos Por ejemplo la entrada para personas se define mediante la clase de objetos person pero tambi n puede definirse mediante atributos en las clases de objetos inetOrgPerson groupOfNames y organization La estructura de clases de objetos del servidor determina la lista total de atributos requeridos y permitidos para una entrada concreta Pasos para la instalaci n y configuraci n de un Controlador Primario de Dominio PDC en Debian 5 0 mediante Samba PAM NSS y OpenLDAP Introduccion Se explica en este articulo la implementaci n de una base de datos de usuarios centralizada mediante OpenLDAP la implementaci n de un Controlador Primario de Dominio PDC mediante Samba el cual utilizar la informaci n del directorio LDAP para autenticar y asignar privilegios y restricciones y la autenticaci n de usuarios desde terminales Linux Unix mediante PAM NSS Antes de comenzar se debe saber que PAM y NSS son los dos servicios que ofrecen mecanismos para identifi
9. n creado smbldap groupdel Grupo Nuevo Y el grupo ya no existe getent group grep Grupo Nuevo A Eliminemos el usuario pepe que creamos anteriormente smbldap userdel r pepe i La opci n r indica que debe eliminarse el home del usuario Se Puede verificar que el usuario ya no existe getent passwd grep pepe Agregar los usuarios y grupos Linux Unix locales al directorio LDAP Para la migracion de usuarios y grupos Unix al ldap se utilizar n herramientas provistas por el paquete smbldap tools Dichas herramientas no son provistas como parte del paquete de software sino en la parte de documentaci n Las herramientas se encuentran en los archivos lusr share doc smbldap tools examples migration_scripts smbldap migrate unix accounts gz ust share doc smbldap tools examples migration_scripts smbldap migrate unix groups gz Debemos descomprimir estos archivos y hacerlos ejecutables Los copiaremos a alguna ubicaci n que figure en nuestro path como ser usr sbin zcat usr share doc smbldap tools examples migration_scripts smbldap migrate unix accounts gz gt usr sbin smbldap migrate unix accounts zcat usr share doc smbldap tools examples migration_scripts smbldap migrate unix groups gz gt usr sbin smbldap migrate unix groups chmod 755 usr sbin smbldap migrate unix accounts usr sbin smbldap migrate unix groups Migrando usuarios locales al directorio LDAP El script smbldap migrate un
10. n security la cual pertenece a la secci n global Sus alternativas son las siguientes security share user server domain Desde la perspectiva del cliente el nivel share corresponde al modo de seguridad share y los niveles user server y domain corresponden todos ellos al modo de seguridad user A continuaci n se describen someramente los cuatro niveles El nivel share es utilizado normalmente en entornos en los cuales no existe un dominio Windows NT o 2000 En este caso se asocia una contrase a por cada recurso que debe proporcionarse correctamente desde el cliente cuando se pide la conexi n En el nivel user el encargado de validar al usuario es el sistema Unix donde Samba se ejecuta La validaci n es id ntica a la que se realizar a si el usuario iniciase una sesi n local en el ordenador Unix Para que este m todo sea aplicable es necesario que existan los mismos usuarios y con id nticas contrase as en los sistemas Windows y en el sistema Unix donde Samba se ejecuta Desde la aparici n de sistemas Windows como Windows 2000 y posteriores la utilizaci n de este nivel se ha vuelto complicada ya que dichos sistemas Windows transmiten las contrase as cifradas por la red Puesto que Samba no posee acceso a las contrase as cifradas por Windows el sistema Unix ya no puede realizar la validaci n Existen dos m todos para resolver este problema El primero consiste en modificar el registro del sistema Windows para permi
11. una red corporativa y mantener centralizada la gesti n del acceso a los recursos o Sistemas de autenticaci n para p ginas Web algunos de los gestores de contenidos m s conocidos disponen de sistemas de autenticaci n a trav s de LDAP o Sistemas de control de entradas a edificios oficinas e Sistemas de correo electr nico Grandes sistemas formados por m s de un servidor que accedan a un repositorio de datos com n e Sistemas de alojamiento de p ginas web y FTP con el repositorio de datos de usuario compartido e Sistemas de autenticaci n basados en RADIUS para el control de accesos de los usuarios a una red de conexi n o ISP e Servidores de certificados p blicos y llaves de seguridad e Autenticaci n nica single sign on para la personalizaci n de aplicaciones e Perfiles de usuarios centralizados para permitir itinerancia 6 Roaming e Libretas de direcciones compartidas Ejemplos de uso de LDAP Sistema de correo electr nico Cada usuario se identifica por su direcci n de correo electr nico los atributos que se guardan de cada usuario son su contrase a su l mite de almacenamiento quota la ruta del disco duro donde se almacenan los mensajes buz n y posiblemente atributos adicionales para activar sistemas anti spam o anti virus Como se puede ver este sistema LDAP recibir cientos de consultas cada d a una por cada email recibido y una cada vez que el usuario se conecta mediante POP3 o
12. 2 30 Where to store the replica logs for database 1 replogfile var lib ldap replog users can authenticate and change their password access to attrs userPassword sambaNTPassword sambaLMPassword samba PwdMustChange sambaPwdLastSet by self write by anonymous auth by none those 2 parameters must be world readable for password aging to work correctly or use a priviledge account in etc Idap conf to bind to the directory access to attrs shadowLastChange shadowMax by self write by read all others attributes are readable to everybody access to by read For Netscape Roaming support each user gets a roaming profile for which they have write access to access to dn ou Roaming o morsnet by dn cn admin dc example dc com write by dnattr owner write P AA AAAH AAEH HEHH TEETER Specific Directives for database 2 of type other can be hdb too Database specific directives apply to this databasse until another database directive occurs database lt other gt The base of your directory for database 2 suffix de debian dc 0rg Como el archivo es muy extenso solo se analizara las diferencias entre el archivo original y el nuevo se utilizara para eso diff si no se conoce como funciona esta herramienta bastar con saber que una linea que comienza con un significa que ha sido agregada en el archivo nuevo y una que comienza con un significa que la linea ha sido quita
13. 50 Unix charset ISO8859 1 Nombre de dominio y nombre netBIOS workgroup ESDEBIAN realm esdebian org Cadena con la cual se identifica al servidor server string h server Comportamiento frente a usuarios inexistentes map to guest Bad User Archivo de mapeo de nombres de usuarios este archivo no existe por lo que debe crearse El contenido es de la forma usuario alias Es util para mapear por ejemplo la cuenta de root con Administrator la cuenta de administrador en sistemas windows username map etc samba smbusers Informacion para la utilizacion del directorio LDAP como base de datos de usuarios passdb backend Idapsam dap 127 0 0 1 ldap admin dn cn admin dc esdebian dc org ldap delete dn Yes ldap group suffix ou group ldap idmap suffix ou idmap ldap machine suffix ou computer ldap suffix dc esdebian dc org ldap ssl no ldap user suffix ou people add user script usr sbin smbldap useradd m u delete user script usr sbin smbldap userdel You add group script usr sbin smbldap groupadd p g delete group script usr sbin smbldap groupdel g add user to group script usr sbin smbldap groupmod m u g delete user from group script usr sbin smbldap groupmod x u 208 set primary group script usr sbin smbldap usermod g g You add machine script usr sbin smbldap useradd w u Informacion relacionada con la red adaptar a sus necesidades socket op
14. AP Password extended LDIF LDAPv3 base lt dc esdebian dc org gt with scope subtree filter objectclass requesting ALL esdebian org dn dc esdebian dc org objectClass top objectClass dcObject objectClass organization o esdebian org dc esdebian admin esdebian org dn cn admin dc esdebian dc org objectClass simpleSecurityObject objectClass organizationalRole cn admin description LDAP administrator userPassword e2NyeXBOfWRuZ20vVWtZMEdzbGc search result search 2 result 0 Success numResponses 3 numEntries 2 La herramienta phpldapadmin Esta es una herramienta alternativa que puede utilizar para gestionar el directorio LDAP Resulta muy til pero no es necesaria para realizar la configuraci n que se plantea en este art culo Si desea utilizar esta herramienta basta con instalarla aptitude install phpldapadmin Lo cual instalar una gran cantidad de software como dependencias entre ellos apache2 y phpS Una vez instalado el software ya puede acceder desde cualquier navegador mediante http ip_del_servidor phpldapadmin Ingresar el nombre de usuario en este caso cn admin dc esdebian dc org y la clave del mismo Configuraci n de Samba El archivo etc samba smb conf Abrir el archivo y modificar A gregar los siguientes parametros Archivo principal de configuraci n de Samba global Juego de caractreres para archivos dos y unix dos charset 8
15. La herramienta smbldap populate Una vez configuradas las herramientas smbldap tools podemos inicializar el dominio La herramienta smbldap populate poblar el directorio LDAP con e Base DN dc esdebian dc org e Unidad Organizativa people ou people para las cuentas Unix Samba se crear n por defecto los usuarios root y nobody los cuales ser n mapeados al usuarios Administrador y Guest Samba respectivamente e Unidad Organizativa Groups ou Groups para los Grupos Unix Samba se crear n por defecto los Grupos Predeterminados de un dominio Samba Domain Admins Domain Users Domain Guests Domain Computers e Unidad Organizativa Computers ou Computers para las cuentas de Computadoras Windows Unidad Organizativa Idmap ou Idmap para los mapeos de Cuentas Unix a Cuentas Samba Windows Relaciones UID lt gt SID Tambien se solicitar que se asigne una contrase a al usuario root del dominio colocar la clave dominioadmin Correr el comando smbldap populate smbldap populate Populating LDAP directory for domain ESDEBIAN S 1 5 21 669132894 2586221759 3914214969 using builtin directory structure entry dc esdebian dc org already exist adding new entry ou people dc esdebian dc org adding new entry ou group dc esdebian dc org adding new entry ou computer dc esdebian dc org adding new entry ou idmap dc esdebian dc org adding new entry uid root ou people dc esdebian dc org adding new entry uid nobody ou people dc es
16. Manual de Instalacion y Configuracion de un Servidor de dominio SAMBA LDAP Que es SAMBA Samba es un producto que basicamente permite al sistema Unix conversar con sistemas Windows a trav s de la red de forma nativa De esta forma el sistema Unix aparece en el Entorno de red y clientes Windows pueden acceder a sus recursos de red e impresoras compartidas como si de otro sistema Windows se tratase Para ello Samba implementa los protocolos NetBIOS y SMB NetBIOS es un protocolo de nivel de sesi n que permite establecer sesiones entre dos ordenadores SMB Server Message Block implementado sobre NetBIOS es el protocolo que permite a los sistemas Windows compartir archivos e impresoras El programa smbd se encarga de ofrecer los servicios de acceso remoto a ficheros e impresoras implementando para ello el protocolo SMB as como de autenticar y autorizar usuarios smbd ofrece los dos modos de compartici n de recursos existentes en Windows basado en usuarios o basado en recursos En el modo basado en usuarios propio de los dominios Windows NT o 2000 la autorizaci n de acceso al recurso se realiza en funci n de nombres de usuarios registrados en un dominio Mientras que en el modo basado en recursos propio de Windows 3 11 95 a cada recurso se le asigna una contrase a estando autorizado el acceso en funci n del conocimiento de dicha contrase a El programa nmbd permite que el sistema Unix participe en los mecanismos de resol
17. OSTS Obtener la direcci n del servidor DNS autom ticamente Configuraci n de NetBIOS O Predeterminada Usar la configuraci n NetBIOS del servidor DHCP Si se utiliza la Servidor DNS preferido 192 168 1 direcci n IP est tica o el servidor DHCP no proporciona la configuraci n NetBIOS habilitar NetBIOS sobre TCP IP Habilitar NetBios sobre TCP IP Deshabilitar NetBios sobre TCP IP 2 Usar las siguientes direcciones de servidor DNS Servidor DNS alternativo Que C Unir el equipo con Windows XP Professional al dominio Samba Agregar el equipo al dominio de manera standard Se utiliza la cuenta de root cuyo password era dominioadmin Cambios en el nombre de equipo fo Wise Cambiar nombre de equipo Puede cambiar el nombre y la pertenencia de este eq cambios pueden afectar el acceso a los recursos de 1 Nombre de equipo pe win Introduzca el nombre y la contrase a de una cuenta con permiso para unirse al dominio Nombre completo de equipo pe win Usuario root v anal Contrasefia Prriiiiiiiiy Miembro de Dominio Grupo de trabajo GRUPO_TRABAJO Y se debe recibir el mensaje de bienvenida al Dominio ESDEBIAN aa Puede cambiar el nombre y la pertenencia de este equipo Los cambios pueden afectar el acceso a los recursos de red Cambios en el nombre
18. a en el directorio LDAP Pero para probar si es posible ingresar al sistema local con un usuario del dominio primero se debe crear uno Crear usuarios del dominio Para esto nos valdremos de las herramientas provistas por smbldap tools Mediante la herramienta smbldap useradd agregamos al usuario pepe al dominio smbldap useradd a m P pepe Cannot confirm uidNumber 1000 is free checking for the next one Changing UNIX and samba passwords for pepe New password 123456 Retype new password 123456 e La opci n a indica que es un usuario Windows e La opci n m indica que debe crearse el home del usuario e inicializarlo con el contenido de etc skel que es el comportamiento standard para la creaci n de una cuenta UNIX Esta opci n no siempre es necesario incluirla ya puede pasar que no todos los usuarios del dominio necesiten un HOME en el servidor e La opci n P indica que se solicitar y establecer un password al usuario man smbldap useradd para mas informaci n acerca de las opciones del comando La contrase a de pepe es 123456 es una contrase a muy simple que el sistema nos ha dejado crear porque somos root si pepe desea en el futuro cambiar su contrase a deber cumplir las especificaciones del archivo etc pam d common password impuestas por el m dulo pam_cracklib Tambi n vemos el mensaje Cannot confirm uidNumber 1000 is free checking for the next one Ese mensaje solo aparecer sta primera vez de ahora en m
19. cacion falla siempre auth requisite pam_deny so a n cuando la autenticacion tubiera xito los modulos del bloque primario podrian no retornar un c digo positivo esto soluciona eso asegurando un valor positivo si no lo era antes auth required pam_permit so El archivo etc pam d common account Lo que denominarias el bloque primario si cualquiera de los dos m dulos tiene exito se salta la ejecucion del modulo pam_deny so account success 2 new _authtok reqd done default ignore pam_unix so account success 1 default ignore pam_ldap so Si no se salta este punto la autenticacion falla siempre account requisite pam_deny so a n cuando la autenticacion tubiera xito los modulos del bloque primario podrian no retornar un codigo positivo esto soluciona eso asegurando un valor positivo si no lo era antes account required pam_permit so El archivo etc pam d common password Es buena idea que se tenga restriciones sobre los passwords cracklib permite controlar longitudes minimas y fortaleza de la clave ante ataques de diccionario Solo no debe ovidarse instalar cracklib simplemente aptitude install libpam cracklib password required pam_cracklib so difok 2 minlen 8 deredit 2 ocredit 2 retry 3 Lo que denominarias el bloque primario si cualquiera de los dos m dulos tiene exito se salta la ejecucion del modulo pam_deny so password success 2 default ignore pam_unix so obscure crypt password
20. car los usuarios no solo por el usuario local y el grupo de base de datos sino tambi n por administraci n de sistemas externos de usuario por ejemplo LDAP MySQL Ambos utilizan backends como sus fuentes de datos y estos suelen tener los archivos de configuraci n separados Software a utilizar Debian GNU Linux en su versi n 5 0 3 Samba paquete samba smbclient smbfs y samba doc en su versi n 2 3 2 5 4lenny7 OpenLDAP paquete slapd en su versi n 2 4 11 1 lenny1 Ldap utils paquete Idap utils en su versi n 2 4 11 1 lenny1 Libpam Idap paquete libpam Idap en su versi n 184 4 2 Libnss Idap paquete libnss ldap en su versi n 261 2 1 Smbldap tools paquete smbldap tools en su versi n 0 9 4 1 Se instalar todo el software de una vez los paquetes de configuraci n de los diferentes servicios solicitar n cierta informaci n es recomendable responder con cualquier dato ya que mas adelante se procede a reconfigurar los paquetes y la informaci n ser solicitada de nuevo Se puede responder con datos reales si se cree conocer cuales son pero en este punto no es importante Instalar los paquetes necesarios aptitude install slapd Idap utils libpam ldap libpam cracklib libnss ldap samba samba doc smbclient smbfs smbldap tools libpam dotfile Configuraci n de SLAPD Lo primero ser reconfigurar el paquete slapd dpkg reconfigure slapd Responder a las siguientes preguntas Omitir la configuraci n
21. cd detenido pasa esto pero si se reinicia el demonio etc init d nscd restart ahora si whoami pepe Crear un usuario administrador del dominio A diferencia de los sistemas Linux Unix donde el administrador del dominio es root y su UID es 0 en un Dominio Windows para ser administrador del dominio basta con pertenecer al grupo Domain Admins cuyo GID es 512 Por lo tanto para crear un usuario administrador del dominio basta con indicarle a smbldap adduser que lo incluya en el grupo 512 smbldap useradd a m G 512 P adminnuevo Changing UNIX and samba passwords for adminnuevo New password adminnuevo Retype new password adminnuevo Tambi n se puede ingresar al sistema mediante ste usuario y se podra comprobar que es solo un administrador del dominio pero no tiene permisos de root su prompt no es id adminnuevo uid 1002 adminnuevo gid 513 Domain Users grupos 512 Domain Admins 513 Domain Users Crear un Grupo en el dominio Simplemente haciendo smbldap groupadd a Grupo Nuevo Cannot confirm gidNumber 1000 is free checking for the next one Cannot confirm gidNumber 1001 is free checking for the next one Cannot confirm gidNumber 1002 is free checking for the next one HH Podemos verificar que el grupo existe pero no localmente cat etc group grep Grupo Nuevo getent group grep Grupo Nuevo Grupo Nuevo 1003 Eliminar usuarios y grupos del dominio Probemos eliminar el grupo reci
22. da una linea sin nada significa que la linea permanece en ambos archivos Por partes include etc Idap schema cosine schema include etc Idap schema nis schema include etc Idap schema inetorgperson schema include etc ldap schema samba schema Se ha agregado el esquema samba schema para que sea incluido suffix dc example dc com suffix dc esdebian dc org Se ha modificado el sufijo de la base de datos a esdebian org rootdn cn admin dc esdebian dc org rootpw MD5 SCBBhdOlfHozkVbuKGZt5w Se han agregado las lineas que establecen el nombre admin y el password del administrador de la base de datos index objectClass eq index objectClass eq pres index ou cn sn malil givenname eq pres sub index uidNumber gidNumber memberUid eq pres index loginShell eq pres index uid pres sub eq index displayName pres sub eq index nisMapName nisMapEntry eq pres sub index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index default sub index uniqueMember eq index sambaGroupType eq index sambaSIDList eq Se ha agregado una gran cantidad de definiciones de ndices Al ser una base de datos el incorporar ndices acelerar las b squedas lo cual es muy importante en un servidor atareado access to attrs userPassword shadowLastChange by dn cn admin dc example dc com write by anonymous auth access to attrs userPassword sambaNT Password sambaLMPassword samb aPwdMustCha
23. de equipo Nombre de equipo pe win Nombre completo de equipo pe win Cambiar nombre de equipo Miembro de ES Dominio a ESDEBIAN J Bienvenido al dominio ESDEBIAN Grupo de trabajo i O Eliminar el equipo del dominio Un equipo dentro del dominio es un usuario dentro de la ou Computers el nombre de usuario es el nombre del equipo con la diferencia que su nombre finaliza con un Se puede ver con getent passwd grep Computer pc win 1004 515 Computer dev null bin false Mas informaci n con pdbedit Lv pc win Unix username pc win NT username pc win Account Flags W User SID S 1 5 21 669132894 2586221759 3914214969 1001 Primary Group SID S 1 5 21 669132894 2586221759 3914214969 515 Full Name PC WIN Home Directory debian pdc pc win_ HomeDir Drive U Logon Script logon bat pc win_ Profile Path debian pdc profiles pc win_ Domain ESDEBIAN Account desc Computer Workstations Munged dial Logon time 0 Logoff time never Kickoff time never Password last set mar 19 ene 2010 07 30 23 ART Password can change mar 19 ene 2010 07 30 23 ART Password must change never Last bad password 0 Bad password count 0 Logon hours FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF Por lo tanto eliminar un equipo del dominio es lo mismo que eliminar un usuario se lo hace mediante la herramienta smblda
24. deben estar presentes en las entradas que utilicen en la clase de objetos Todas las entradas precisas de los atributos permitidos son aquellos que pueden estar presentes en las entradas que utilicen la clase de objetos Por ejemplo en la clase de objetos person Se requieren los atributos cn y sn Los atributos description descripci n telephoneNumber n mero de tel fono seealso v ase tambi n y userpassword contrase a del usuario se permiten pero no son obligatorios Introducci n a la estructura de rbol Tipos de Atributos Una definici n de tipo de atributo especifica la sintaxis de un atributo y c mo se ordenan y comparan los atributos de ese tipo Los tipos de atributos en el directorio forman un rbol de clases Por ejemplo el tipo de atributo commonName es una subclase del tipo de atributo name La estructura de rbol El Archivo LDIF Para importar y exportar informaci n de directorio entre servidores de directorios basados en LDAP o para describir una serie de cambios que han de aplicarse al directorio se usa en general el archivo de formato conocido como LDIF formato de intercambio de LDAP Un archivo LDIF almacena informaci n en jerarqu as de entradas orientadas a objeto Todos los servidores LDAP que incluyen una utilidad para convertir archivos LDIF a formato orientadas a objeto Normalmente es un archivo ASCII La estructura de rbol Clases de Objetos En LDAP una clase de objetos define
25. debian dc org adding new entry cn Domain Admins ou group dc esdebian dc org adding new entry cn Domain Users ou group dc esdebian dc org adding new entry cn Domain Guests ou group dc esdebian dc org adding new entry cn Domain Computers ou group dc esdebian dc org adding new entry cn Administrators ou group dc esdebian dc org adding new entry cn Account Operators ou group dc esdebian dc org adding new entry cn Print Operators ou group dc esdebian dc org adding new entry cn Backup Operators ou group dc esdebian dc org adding new entry cn Replicators ou group dc esdebian dc org entry sambaDomainName ESDEBIAN dc esdebian dc org already exist Updating it Please provide a password for the domain root Changing UNIX and samba passwords for root New password dominioadmin Retype new password dominioadmin La clave solicitada dominioadmin es la clave del usuario Administrador el administrador del dominio que esta mapeado a la cuenta root Es la clave que se debe utilizar para por ejemplo agregar un equipo al dominio Testeando la configuraci n de Samba y ldap Mediante la herramienta pdbedit testear que el servidor ldap se comporta como se espera listar los usuarios del directorio pdbedit L root 0 root nobody 653534 nobody Ver la informaci n del usuario root pdbedit Lv root Unix username root NT username root Account Flags U User SID S 1 5 21 669132894 2586221759 3914214969 500 Primary Group SID
26. do NOT override existing an existing DB_CONFIG file You should therefore change these settings in DB_ CONFIG directly or remove DB_ CONFIG and restart slapd for changes to take effect For the Debian package we use 2MB as default but be sure to update this value if you have plenty of RAM dbconfig set_cachesize 0 2097152 0 Sven Hartge reported that he had to set this value incredibly high to get slapd running at all See http bugs debian org 303057 for more information Number of objects that can be locked at the same time dbconfig set_lk_max_objects 1500 Number of locks both requested and granted dbconfig set_lk_max_locks 1500 Number of lockers dbconfig set_lk_max_lockers 1500 Indices to maintain for this database index objectClass eq pres index ou cn sn mail givenname eq pres sub index uidNumber gidNumber memberUid eq pres index loginShell eq pres required to support pdb_getsampwnam index uid pres sub eq required to support pdb_getsambapwrid index displayName pres sub eq index nisMapName nisMapEntry eq pres sub index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index default sub index uniqueMember eq index sambaGroupType eq index sambaSIDList eq Save the time that the entry gets modified for database 1 lastmod on Checkpoint the BerkeleyDB database periodically in case of System failure and to speed slapd shutdown checkpoint 51
27. dos por terceros son conocidos para mantener otros backends de manera independiente Los backends est ndar est n organizados de manera imprecisa en tres categor as Backends de almacenamiento de datos Data Storage backends estos realmente almacenan informaci n e Proxy backends act an como puertas de enlace a otros sistemas de almacenamiento de datos e Backends din micos estos generan datos sobre la marcha Backends de almacenamiento de datos Data Storage backends estos realmente almacenan informaci n e back bdb el primer backend transaccional para OpenLDAP construido en base a BerkeleyDB e back hdb una variante de back bdb que es totalmente jer rquica y soporta renombrado de sub rboles e back ldif construido en archivos LDIF de texto plano e back ndb un backend transaccional construido en base al motor de cluster NDB de MySQL Backends din micos estos generan datos sobre la marcha e back config configuraci n del servidor slapd via LDAP e back dnssrv localiza servidores LDAP v a DNS e back monitor estad sticas de slapd v a LDAP e back null un backend nulo an logo a dev null en Unix e back perl invoca arbitrariamente m dulos de perl en respuesta a peticiones LDAP e back shell invoca scripts de shell para peticiones LDAP e back sock redirige peticiones LDAP sobre IPC a demonios de manera arbitraria Arquitectura de Overlays Generalmente una petici n LDAP es recibida por el front
28. e sambaDomain suffix Default scope scope sub Tipo de cifrado UNIX CRYPT MD3 SMD5 SSHA SHA CLEARTEXT hash_encrypt CRYPT crypt_salt_format s Especifico para cuentas UNIX shell ruta al home y demas userLoginShell bin bash userHome home U user HomeDirectoryMode 700 userGecos System User defaultUserGid 513 defaultComputerGid 515 skeletonDir etc skel defaultMaxPasswordAge 365 Configuracion especifica para cuentas SAMBA userSmbHome debian pdc U userProfile debian pdc profiles U userHomeDrive U userScript logon bat U mailDomain esdebian org Especifico de smbldap tools with_smbpasswd 0 smbpasswd usr bin smbpasswd with_slappasswd 0 slappasswd usr sbin slappasswd El archivo etc smbldap tools smbldap_bind conf etc smbldap tools smbldap bind conf es el archivo de credenciales en el se almacenar en claro la clave de administrador del servidor Idap El contenido deberia ser slaveDN cn admin dc esdebian dc org slavePw ldapadmin masterDN cn admin dc esdebian dc org masterPw ldapadmin Se puede definir un servidor LDAP esclavo el cual solo se utilizar para consultas y un servidor primario el cual se utilizar para escrituras En este caso y por el momento utilizar el mismo servidor Est de mas decir que si se utilizan dos servidores LDAP estos deben estar sincronizados Poblando el directorio LDAP con el Schema Samba
29. e Unix a Windows Estas opciones requieren que los parametros create mask y directory mask tenga activo el bit de ejecucion para grupo y otros map hidden Yes map system Yes Recursos compartidos homes comment Home Directories valid users S read only No create mask 0611 directory mask 0711 browseable No printers comment All Printers path var spool samba create mask 0611 directory mask 0711 printable Yes browseable No print comment Printer Drivers path var lib samba printers create mask 0611 directory mask 0711 netlogon path var lib samba netlogon browseable No create mask 0611 directory mask 0711 profiles path var lib samba profiles force user U read only No create mask 0611 directory mask 0711 guest ok Yes profile acls Yes browseable No csc policy disable public path tmp read only No guest ok Yes create mask 0611 directory mask 0711 Se han incluido una serie de explicaciones dentro del archivo a modo de comentario Seria mas que conveniente que no se limite a copiar el archivo sino que lea los comentarios El archivo etc samba smbusers Prestar atencion al parametro username map etc samba smbusers que indica el archivo de mapeo de nombres de usuarios Este archivo no existe por lo que debe crearse el contenido es de la forma usuario alias y es util para mapear por ejemplo la cu
30. e con la IP del servidor Esto no supone un problema simplemente se debe utilizar nombres NetBIOS en lugar de nombres DNS por lo tanto los clientes no podr n agregarse al dominio esdebian org sino que deber n hacerlo al dominio NetBIOS ESDEBIAN Se debe configurar a los clientes para que utilicen el Samba como servidor de nombres WINS NOTA hacer que el servidor sea tambi n un servidor DNS no es nada complicado pero esa configuraci n no se tratar en este articulo Configuraci n de red Asignar al cliente una direcci n IP dentro del segmento de red del servidor y configurar el servidor wins para que sea el servidor Samba Debemos habilitar tambi n NetBIOS sobre TCP IP Configuraci n avanzada de TCP IP Propiedades de Protocolo Internet TCP IP General Configuraci n de IP DNS WINS Opciones Direcciones WINS en orden de uso Puede hacer que la configuraci n IP se asigne autom ticamente si su red es compatible con este recurso De lo contrario necesita consultar 192 168 1 200 con el administrador de la red cu l es la configuraci n IP apropiada 3 Obtener una direcci n IP autom ticamente Usar la siguiente direcci n IP Direcci n IP 192 168 1 201 A f Sila b squeda LMHOSTS est habilitada se aplica a todas las conexiones a O que tienen habilitado TCP IP Puerta de enlace predeterminada 192 168 1 1 Habilitar la b squeda de LMHOSTS Importar LMH
31. end decodificada y luego transferida a un backend para procesamiento Cuando el backend completa la petici n devuelve un resultado al frontend quien luego env a el resultado al cliente LDAP Un overlay es una pieza de c digo que puede ser insertada entre el frontend y el backend Es entonces capaz de interceptar peticiones y lanzar otras acciones en ellas antes de que el backend las reciba y puede tambi n actuar sobre los resultados del backend antes de que stos alcancen el frontend Overlays tiene acceso completo a las interfaces de programaci n APIs internas del servidor slapd y por tanto pueden invocar cualquier llamada que podr an realizar el frontend u otros backends M ltiples overlays pueden ser usados a la vez formando una pila de m dulos entre el frontend y el backend Proxy backends act an como puertas de enlace a otros sistemas de almacenamiento de datos e back ldap proxy simple a otros servidores LDAP e back meta proxy con caracter sticas de meta directorio back passwd usa un sistema basado en Unix de datos passwd y group e back relay internamente redirige a otros backends de servidores slapd e back sql establece conexiones a bases de datos SQL Introduccion a la estructura de arbol Tradicionalmente se han usado las estructuras de arbol para jerarquizar la informacion contenida en un medio El ejemplo m s claro es la estructura de carpetas directorios de un sistema operativo Esta organizaci n nos per
32. enta de root con Administrator la cuenta de administrador en sistemas windows El contenido de etc samba smbusers podria ser Archivo de mapeo de usuarios Formato Unix_ID Windows_ID Ejemplo root Administrator pepe Pepe Parada root Administrator root Administrador Crear los directorios netlogon y profiles Crear los directorios especiales netlogon y profile y asignar los permisos adecuados mkdir p var lib samba netlogon var lib samba profiles chown Rf root root var lib samba netlogon var lib samba profiles chmod 1777 var lib samba profiles Crear scripts de inicio de sesi n Un script de inicio de sesi n Windows es un archivo bat con comandos que se ejecutar n del lado del cliente cuando un usuario inicie sesi n El seript a utilizarse est definido por el par metro logon script en la secci n global de etc samba smb conf Se define el paramatro de la siguiente manera logon script logon bat U Lo que indica al cliente que debe buscarse el archivo logon bat en el directorio compartido netlogon Adem s se incluye U en la definici n U se reemplazar por el nombre de usuario y ste se pasar por parametro al script Eso permitir personalizar la acci n dependiendo del usuario que inicia sesi n Un script de inicio de sesi n es utilizado frecuentemente para tareas como e Sincronizar la hora con el servidor e Conectar unidades de red e Vaciar directorios temporales
33. figuraci n de smbldap tools El archivo de configuraci n de smbldap tools es etc smbldap tools smbldap conf en dicho archivo se definen los par metros b sicos como servidor ldap servidor samba tipo de comunicaci n cifrada o en claro dominio SID etc Adem s necesita contar con el archivo smbldap_bind conf en dicho archivo se almacenar en claro la informaci n necesaria para la conexi n con el servidor ldap Obteniendo los archivos de configuraci n Si ingresamos al directorio etc smbldap tools nos encontraremos con que est vac o Afortunadamente podemos obtener los archivos de configuraci n desde los archivos de ejemplo de smbldap tools zcat usr share doc smbldap tools examples smbldap conf gz gt etc smbldap tools smbldap conf cp usr share doc smbldap tools examples smbldap_bind conf etc smbldap tools smbldap_bind conf Los permisos de etc smbldap tools smbldap conf y etc smbldap tools smbldap_bind conf deberian ser 640 propiedad de root y grupo openldap chmod 640 etc smbldap tools smbldap conf etc smbldap tools smbldap_bind conf chown root openldap etc smbldap tools smbldap conf etc smbldap tools smbldap_bind conf Obteniendo el SID El SID security identifiers es un identificador nico asignado desde su creaci n a cada objeto dentro de un dominio Todo objeto en el dominio tiene un SID y claro el controlador de dominio tambi n tiene uno Para obtener nuestro SID hacer net ge
34. ftware necesario aptitude install libnss ldap libpam ldap libpam cracklib y responder a las siguientes preguntas Configuraci n de libnss Idap e Identificador de recursos para el servidor LDAP Idap 192 168 1 200 El nombre distintivo DN de la base de b squedas dc esdebian dc 0rg e Version de LDAP a utilizar 3 e Cuenta LDAP para root cn admin dc esdebian dc 0rg e Contrase a para la cuenta LDAP de root dejar vac o Configuraci n de libpam Idap e Crear un administrador de la base de datos local No e Hace falta un usuario para acceder a la base de datos LDAP No No olvidar la seguridad Es importante destacar que cuando se pregunt Contrase a para la cuenta LDAP de root durante la configuraci n de libnss Idap no se respondi nada La contrase a de root para la cuenta ldap es la que definimos en el servidor en este caso era contrase a y la utiliza entre otras cosas samba para modificar la base de datos agregando usuarios y dem s Sin embargo el servidor Idap es accesible desde toda la red y una red con cientos de clientes Linux Unix que tengan almacenada la contrase a de root para acceder al servidor ldap no parece muy inteligente Cualquier equipo que se vea comprometido tendr la posibilidad de acceder y modificar sin restricciones la base de datos El par metro Cuenta LDAP para root tambi n lo hemos establecido pero no tiene sentido alguno cuando se revise los archivos de configuraci n come
35. i n del servidor slapd Se hace una copia de respaldo del mismo antes de modificar el original cp etc Idap slapd conf original Para generar el password se utiliza la herramienta slappasswd la clave que se utiliza es la misma que la que se ingres cuando se configur slapd contrase a No es requerimiento que sea la misma clave pero se utiliza la misma para evitar confusiones slappasswd h md5 New password contrase a Re enter new password otra vez la contrase a MD5 TmZgZ01 Z0 29bOPByMr4A La salida de slappasswd se utiliza como valor del par metro rootpw en el archivo etc ldap slapd conf Este parametro se establece para hacer posible la replicacion mediante syncrepl Ahora reemplazar el contenido del archivo etc Idap slapd conf con lo siguiente no olvidar reemplazar el valor del par metro rootpw con su hash This is the main slapd configuration file See slapd conf 3 for more info on the configuration options PARAR EEE FEE EE Global Directives Features to permit Hallow bind_v2 Schema and objectClass definitions include etc Idap schema core schema include etc ldap schema cosine schema include etc Idap schema nis schema include etc ldap schema inetorgperson schema include etc Idap schema samba schema Where the pid file is put The init d script will not stop the server if you change this pidfile var run slapd slapd pid List of arguments that were passed to the ser
36. icio etc init d samba restart Y ahora le se indica a samba la clave del usuario admin especificado en smb conf para que pueda asi acceder y modificar nuestro directorio Idap en nuestro caso la clave que utilizamos es contrase a smbpasswd W Setting stored password for cn admin dc esdebian dc org in secrets tdb New SMB password contrasena Retype new SMB password contrasena La clave se almacenar en var lib samba secrets tdb asegur monos que los permisos de dicho archivo sean los adecuados ls l var lib samba secrets tdb rW 1 root root 8192 2008 06 18 23 29 var lib samba secrets tdb La herramienta SWAT Samba Web Administration Tool Esta herramienta resulta muy til para configurar un servidor samba cuenta con una interfaz a la cual se accede a trav s de un navegador web y permite modificar todos los parametros de smb conf a la vez que cuenta con toda la informaci n de las paginas man para cada par metro de configuraci n Al igual que cuando se describi la herramienta phpldapadmin esta herramienta tampoco es necesaria para la configuraci n que se propone en este articulo Para instalar swat simplemente hacer aptitude install swat El servicio Swat corre bajo el superserver inetd por lo que debemos decirle a inetd que active el servicio update inetd enable swat Ahora ya podemos acceder desde cualquier navegador ingresando en la barra de direcciones http ip_del_servidor 901 Con
37. id 513 Domain Users grupos 513 Domain Users 512 Domain Admins 24 cdrom 25 floppy 29 audio 44 video 46 plugdev NOTA Recordar detener el demonio nscd para hacer estas pruebas Agregar equipos Windows al Dominio Ya realizadas las configuraciones el servidor se comporta ahora como un controlador de Dominio NT ya deber a ser posible unir terminales Windows al Dominio Requisitos del sistema Windows El sistema a agregar al dominio ser un Windows XP Professional Antes que nada se debe estar consiente que el PDC no es un Dominio Active Directory por lo que e No se utiliza el mecanismo de autenticaci n MIT Kerberos samba puede ser cliente en un dominio Active Directory y utilizar Kerberos para la autenticaci n pero no puede utilizar este mecanismo cuando es un PDC No incorpora un servidor DNS a diferencia de un dominio NT donde los nombres se resuelven mediante wins un dominio Active Directory es gobernado por una implementaci n DNS Si bien Active Directory soporta wins no por defecto debe instalarse se basa en DNS para ubicar objetos en la red y esto requiere que los clientes tengan al controlador de dominio como servidor DNS primario El no utilizar Kerberos no es un problema los clientes se autenticar n mediante NTLM un protocolo lo suficientemente seguro El no ser un servidor DNS resulta para nosotros en una m nima configuraci n m s al no contar con un servidor DNS el dominio esdebian org no se resuelv
38. isos 600 Verificar el contenido del archivo cat etc libnss ldap secret contrasena Configurando el paquete libpam Idap Reconfiguremos el paquete libpam ldap dpkg reconfigure libpam ldap La configuraci n es similar a libnss ldap respondamos a las siguientes preguntas e Identificador de recursos para el servidor LDAP Idap 127 0 0 1 El nombre distintivo DN de la base de b squedas dc esdebian dc 0rg e Version de LDAP a utilizar 3 e Crear un administrador de la base de datos local Si e Hace falta un usuario para acceder a la base de datos LDAP No e Cuenta LDAP para root cn admin dc esdebian dc org e Contrase a para la cuenta LDAP de root contrase a e Cifrado local a utilizar cuando se cambian las contrase as crypt El archivo etc pam_Idap conf etc pam_ldap conf es el archivo de configuraci n de libpam ldap Buscar y reemplazar el contenido de las siguientes lineas base dc esdebian dc org uri ldap 127 0 0 1 Idap_ version 3 rootbinddn cn admin dc esdebian dc org bind_policy soft pam_password crypt nss_base_passwd dc esdebian dc org sub nss_base_shadow dc esdebian dc org sub nss_base group ou group dc esdebian dc org one El archivo etc pam_Idap secret etc pam_ldap secret es el archivo de credenciales All se almacena en claro la clave de root del servidor ldap asegurar de que los permisos son restrictivos Propietario root grupo root y permisos 600 Verificar el contenido del archiv
39. ix accounts est preparado para recibir como parametro el archivo etc passwd y etc shadow sin embargo no se desea exportar todos los usuarios Usuarios como backup bin o daemon no nos son necesarios en el directorio ldap tampoco se puede migrar root y nobody porque esos usuarios ya existen en el directorio Solo migrar los usuarios necesarios copiar etc passwd y etc shadow a una ubicaion temporal cp etc passwd etc shadow tmp Quitar de esos archivos temporales los usuarios que no se desea migrar y entonces si correr la herramienta de migraci n smbldap migrate unix accounts a P tmp passwd S tmp shadow Migrando grupos locales al directorio LDAP Nuevamente copiar etc group a una ubicacion temporal cp etc group tmp Editar el archivo dejando los grupos que se desea migrar podria no migrar los grupos root bin y daemon y entonces correr la herramienta de migraci n smbldap migrate unix groups a G tmp group Seguramente se querra que los usuarios Samba pertenezcan a ciertos grupos Unix por ejemplo los grupos audio video cdrom plugdev floppy etc para tener esos privilegios cuando accedan desde terminales Linux Unix Para ese hay que agregarlos a dichos grupos por ejemplo al usuario adminnuevo smbldap usermod group audio video floppy cdrom plugdev Domain Admins Domain Users adminnuevo y se puede ver que adminnuevo ya es miembro de esos grupos id adminnuevo uid 1002 adminnuevo g
40. lo a nuestras necesidades Para esto se debe obtener el software poledit exe lo que se hace es desde un equipo Windows NT compatible e Dirigirse al sitio de descargas de Microsoft Windows 2000 http www microsoft com windows2000 e Descargar el archivo Windows 2000 Service Pack 4 Network Install for IT Professionals W2kSP4_EN EXE e Descomprimir el paquete con W2kSP4_EN EXE x e Ejecutar el archivo adminpack msi para instalar las herramientas e Correr poledit exe Ya obtenido el software se puede crear un arhivo de Politicas de manera Standard se asume que para implementar Politias de Sistema usted sabe que son y como se configuran Una vez ajustadas las politicas a nuestras necesidades simplemente se debe guardar el archivo como NTConfig POL y copiarlo al servidor en el directorio compartido netlogon en nuestro caso var lib samba netlogon En http www pce services com custom_poledit html se explica como configurar pol ticas de modo mas detallado y adem s se ofrecen plantillas personalizadas que usted puede utilizar NOTA Esta configuraci n no es compatible para clientes Windows 98 cuyo archivo de pol ticas se denomina Config POL y su estructura es diferente e incompatible No se tratar en este art culo el caso de clientes Windows 98 Comprobando la configuraci n e iniciando el servicio Para comprobar la configuraci n de samba basta con ejecutar testparm Si todo es correcto ya se puede reiniciar el serv
41. me Service Switch provee una interface para configurar y acceder a diferentes bases de datos de cuentas de usuarios la forma mas b sica y conocida es acceder a la informaci n de los usuarios locales mediante los archivos etc passwd y etc shadow etc group etc hosts etc Sin embargo se pueden implementar otros mecanismos para ello PAM Pluggable Authentication Modules es un mecanismo de autenticaci n flexible que permite abstraer las aplicaciones y otro software del proceso de identificaci n El m dulo PAM seg n como se haya configurado acceder a la informaci n y determinar su identidad autenticidad privilegios y limitaciones entre otras cosas Entonces la combinaci n PAM NSS nos provee una capa de abstracci n que nos permite obtener la informaci n de usuarios y su identidad sin importar que dicha informaci n sea almacenada en un simple archivo de texto plano etc passwd o un complejo directorio Idap Tomar en cuenta que al acceder tanto PAM como NSS a la misma base de datos la configuraci n de ambos es la misma Configuraci n de libnss Idap El paquete libnss Idap es el nexo que permitir el servicio NSS acceder y utilizar la informaci n en el directorio LDAP Reconfiguremos el paquete mediante dpkg reconfigure libnss ldap Y responder a las siguientes preguntas e Identificador de recursos para el servidor LDAP Idap 127 0 0 1 El nombre distintivo DN de la base de b squedas dc esdebian dc 0rg
42. mite ordenar la informaci n en subdirectorios que contienen informaci n muy espec fica Introducci n a la estructura de rbol Entradas El modelo de informaci n de LDAP est basado en entradas Una entrada es una colecci n de atributos que tienen un nico y global Nombre Distintivo DN El DN se utiliza para referirse a una entrada sin ambigiiedades Cada atributo de una entrada posee un tipo y uno o m s valores Los tipos son normalmente palabras nemot cnicas como cn para common name o mail para una direcci n de correo La sintaxis de los atributos depende del tipo de atributo Por ejemplo un atributo cn puede contener el valor Jose Manuel Suarez Un atributo email puede contener un valor jmsuarez ejemplo com El atributo jpegPhoto ha de contener una fotograf a en formato JPEG Introducci n a la estructura de rbol Atributos Los datos del directorio se representan mediante pares de atributo y su valor Por ejemplo el atributo commonName o cn nombre comun se usa para almacenar el nombre de una persona Puede representarse en el directorio a una persona llamada Jos Suarez mediante e cn Jos Suarez Cada persona que se introduzca en el directorio se define mediante la colecci n de atributos que hay en la clase de objetos person Otros atributos e givenname Jos Atributo Requerido surname Suarez e mail jmsuarez ejemplo com Los atributos requeridos son aquellos que
43. nge sambaPwdLastSet by self write F by anonymous auth by none access to dn base by read access to attrs shadowLastChange shadowMax E by self write E by read access to by dn cn admin dc example dc com write by read Se otorgan permisos a los usuarios para acceder y modificar sus passwords entre otras cosas Para verificar la correctitud del archivo de configuraci n se ejecuta la herramienta slaptest slaptest v u config file testing succeeded Y ya podemos reiniciar el servido slapd etc init d slapd restart Pruebas Preliminares de servidor Idap Hagamos una consulta al servidor LDAP para ver si responde correctamente Con el comando Idapsearch consultaremos el namingContexts ldapsearch x b s base objectclass namingContexts extended LDIF LDAPv3 base lt gt with scope baseObject filter objectclass requesting namingContexts dn namingContexts dc esdebian dc org search result search 2 result 0 Success numResponses 2 numEntries 1 Ahora haremos una busqueda en el directorio LDAP autenticado como el usuario admin del LDAP y haremos la buqueda usando como base dc esdebian dc org esto es para comprobar que la autenticaci n y nuestras ACLs funcionen correctamente adem s de comprobar que el directorio se haya incializado con la estrucutra b sica ldapsearch x D cn admin dc esdebian dc 0rg b dc esdebian dc org W Enter LD
44. nivel que puede implementarse sobre diversos protocolos como TCP IP NetBEUI y IPX SPX junto con la ubicaci n de dichos protocolos en los niveles OSI y en la pila TCP IP Entre todas esas alternativas tanto en el caso de Samba como de Windows 2000 XP SMB se implementa habitualmente encima de NetBIOS sobre TCP IP Niveles de Seguridad Una de las consideraciones m s importantes a la hora de configurar Samba es la selecci n del nivel de seguridad Desde la perspectiva de un cliente Samba ofrece dos modos de seguridad denominados share y user Modo Share En modo share cada vez que un cliente quiere utilizar un recurso ofrecido por Samba debe suministrar una contrasefia de acceso asociada a dicho recurso Una de las consideraciones mas importantes a la hora de configurar Samba es la selecci n del nivel de seguridad Modo User En modo user el cliente debe establecer en primer lugar una sesi n con el servidor Samba para lo cual le suministra un nombre de usuario y una contrase a Una vez Samba valida al usuario el cliente obtiene permiso para acceder a los recursos ofrecidos por Samba En cualquiera de ambos Samba tiene que asociar un usuario del sistema Unix en el que se ejecuta Samba con la conexi n realizada por el cliente Este usuario es el utilizado a la hora de comprobar los permisos de acceso a los archivos y directorios que el sistema Unix Samba comparte en la red La selecci n del nivel de seguridad se realiza con la opci
45. ntar la linea Los archivos de configuraci n de PAM y NSS PAM y NSS utilizar n la misma base de datos ldap por la tanto su configuraci n es igual Editar los archivos etc libnss ldap conf y etc pam ldap conf y reemplazar con lo siguiente la configuraci n es muy similar a la del servidor DN base base dc esdebian dc org URI del servidor ldap en nuestro caso es 192 168 1 200 uri Idap 192 168 1 200 Version de ldap a utilizar Idap_ version 3 Cuenta de root ldap Esta linea no es necesaria la comentamos o borramos rootbinddn cn admin dc esdebian dc org bind_policy soft pam_password crypt nss_base_passwd dc esdebian dc org sub nss_base_shadow dc esdebian dc org sub nss_base_group ou group dc esdebian dc org one Modificar etc nsswitch conf agregando ldap para las b squedas y wins para resolver nombres passwd files ldap group files ldap shadow files ldap hosts files wins dns Hacer un backup de la configuraci n de PAM cp a etc pam d ORIGINAL Modificar los archivos de configuraci n de PAM etc pam d common auth auth success 2 default ignore pam_unix so nullok_secure auth success I default ignore pam _Idap so use_first_pass auth requisite pam_deny so auth required pam_permit so etc pam d common account account success 2 new_authtok_reqd done default ignore pam_unix so account success 1 default ignore pam_ldap so account requisite pam_deny so account required pam_permit so
46. o cat etc pam_Idap secret Idapadmin El archivo etc nsswitch conf etc nsswitch conf es el archivo de configuraci n del servicio NSS l determina cuales son los or genes que se utilizar n para obtener la informaci n Teniendo ya configurado libnss ldap solo modificar las siguientes lineas agregando el origen Idap passwd files ldap group files ldap shadow files ldap Esto le indica al servicio NSS que debe utilizar el origen files etc passwd etc group y etc shadow respectivamente y el origen Idap mediante el modulo libnss ldap Ya teniendo samba configurado como servidor de nombres wins podemos agregar tambi n el soporte para resolucion de nombres de hosts mediante ese servicio hosts files wins dns Aqui el orden es mas importante esto indica que deben resolverse nombre de host mediante files etc hosts luego se utilizar wins samba y finalmente mediante el DNS resolver Con esta configuraci n ya debe estar en condiciones de obtener informaci n de los usuarios desde todos los or genes configurados no est de mas recordar que se debe detener o al menos reiniciar el servicio nscd Comprobar que el usuario root pertenece al grupo Domain Admins id root uid 0 root gid 0 root grupos 0 root 512 Domain Admins Comprobar las dos entradas para el usuario root la de etc passwd y la de Idap getent passwd grep root root x 0 0 root root bin bash root x 0 0 Netbios Domain Administrator home roo
47. p userdel smbldap userdel pc win Notas para equipos con Windows 7 Para unir equipos con windows 7 al dominio hay que hacer unos cambios en el registro de los clientes as como actualizar samba a la versi n 3 4 de Debian backports Para ello a adir la siguiente linea al archivo sources list deb http backports debian org debian backports lenny backports main Hacer un update e instalar samba aptitude t lenny backports install samba Instalara los paquetes actualizados y desinstalara smbfs no problem A continuaci n se debe crear dos claves de registro en las m quinas con Windows 7 que se unir n al dominio HKLM System CCS Services LanmanWorkstation Parameters DWORD DomainCompatibilityMode 1 DWORD DNSNameResolutionRequired 0 Ahora ya se puede unir las m quinas al dominio y abrir sesi n en el mismo Configurando PAM NSS de clientes Linux Unix para que utilicen la Autenticaci n centralizada Una vez que se hace login en el equipo cliente Linux Unix se esta listo para configurar PAM NSS para hacer que dicho equipo utilice el servidor PDC para la autenticaci n y manejo de permisos Para el ejemplo utilizar Debian GNU Linux 5 0 como Sistema Operativo para el equipo cliente pero cualquier cliente Linux Unix debe porder ser configurado La nica diferencia destacable en la configuracion es que en sistemas no Debian el archivo etc libnss ldap conf suele llamarse simplemente etc Idap conf Instalar en el cliente el so
48. s el ltimo UID se almacenar en sambaUnixIdPooldn como lo establece el archivo etc smbldap tools smbldap conf y el siguiente UID libre se determinar en base a eso Cuando se agrege el primer grupo suceder lo mismo Se puede verificar que el usuario se ha creado pero no existe localmente cat etc passwd grep pepe getent passwd grep pepe pepe x 1003 513 System User home pepe bin bash H El paquete libpam dotfile nos provee la herramienta pamtest que nos permite verificar el funcionamiento de los mecanismos de autenticaci n Probar con el usuario pepe pamtest passwd pepe Trying to authenticate lt pepe gt for service lt passwd gt Password 123456 Authentication successful Los mecanismos de autenticaci n funcionan correctamente accedamos al sistema con el usuario pepe debian pdc login pepe Password 123456 Linux debian pdc 2 6 26 2 686 1 SMP Wed Nov 4 20 45 37 UTC 2009 i686 The programs included with the Debian GNU Linux system are free software the exact distribution terms for each program are described in the individual files in usr share doc copyright Debian GNU Linux comes with ABSOLUTELY NO WARRANTY to the extent permitted by applicable law I have no name debian pdc Y se logra acceder al equipo mediante una cuenta Idap Llama la atencion ese I have no name en el prompt si se hace whoami whoami cannot find name for user ID 1001 Por alg n motivo y a n con el demonio ns
49. t bin bash Comprobar los grupos del dominio getent group grep E root Domain root x 0 Domain Admins 512 root Domain Users 513 Domain Guests 514 Domain Computers 515 Una cosa interesante que pasa cuando el servidor tiene mas servicios que prestar como bases de datos web etc es que cuando se reinicia la PC sale un error como el siguiente nss_ldap failed to bind to LDAP server ldap 127 0 0 1 Can t contact LDAP server Ese es uno de los muchos errores que apareceran pero no afecta en nada el funcionamiento del PDC aunque para solucionar esto y todo se vea bien durante el reinicio del servidor se deben agregar los siguietes grupos y usarios en la consola addgroup system nvram addgroup system rdma addgroup system fuse addgroup system kvm addgroup system scanner adduser system group shell usr sbin nologin home var lib tpm tss Configurando PAM Ahora configuremos el m dulo PAM para poder acceder localmente con usuarios del Dominio Antes de modificar nada seria buena idea respaldar la configuraci n de pam cp a etc pam d etc pam d ORIGINAL El archivo etc pam d common auth Lo que denominar as el bloque primario si cualquiera de los dos m dulos tiene exito se salta la ejecucion del modulo pam_deny so auth success 2 default ignore pam_unix so nullok secure auth success 1 default ignore pam _ldap so use first_pass Si no se salta este punto la autenti
50. terms for each program are described in the individual files in usr share doc copyright Debian GNU Linux comes with ABSOLUTELY NO WARRANTY to the extent permitted by applicable law Creating directory home adminnuevo adminnuevo debian cli Y se ha logrado hacer login con un usuario del dominio Ver tambi n como el m dulo pam_mkhomedir so definido en etc pam d common session ha creado el home del usuario en el equipo local Esto solo sucede para el primer login Referencias 1 Presentaci n Curso Idap samba del Centro de Estudios Tecnol gicos Avanzados CENTEC 2 http www esdebian org wiki controlador primario dominio pdc debian lenny 50 mediante samba pamnss openldap 1 1 3 http amd co at adminwiki PAM NSS
51. tions TCP NODELAY SO RCVBUF 8192 SO_SNDBUF 8192 interfaces eth0 lo hosts allow 127 0 0 1 192 168 1 0 24 hosts deny 0 0 0 0 smb ports 139 445 bind interfaces only Yes name resolve order wins hosts Imhosts bcast remote announce 192 168 1 255 Cambio de contrase as y otras opciones de PDC pam password change Yes passwd program usr sbin smbldap passwd u u passwd chat New password n n Retype new password n n all authentication tokens updated Script de inicio de sesion logon script logon bat U Esto hace que los usuarios posean perfiles movibles Un perfil movil implica que gran volumen de informacion se transmite a trav s de la red cada vez que un usuario inicia sesion Para desactivar los perfiles moviles se debe dejar el parametro con un valor vacio como sigue logon path En este ejemplo se permiten perfiles moviles logon path N profiles U logon drive U domain logons Yes os level 65 preferred master Yes domain master Yes dns proxy No wins support Yes panic action usr share samba panic action d map acl inherit Yes case sensitive No hide unreadable Yes nn Sincronizar password UNIX con passwords del dominio unix password sync Yes Loggiging syslog 0 log file var log samba log m max log size 1000 Sincroonizar la hora con el servidor PDC time server Yes Mapear atributos de archivo d
52. tir la transferencia de contrase as sin cifrar por la red El segundo m todo obliga a utilizar una tabla de contrase as adicional en el sistema Unix en la cual se almacenan las contrase as cifradas de los usuarios Windows En el nivel server Samba delega la validaci n del usuario en otro computador normalmente un sistema Windows 2000 Cuando un cliente intenta iniciar una sesi n con Samba ste ltimo intenta iniciar una sesi n en el computador en el cual ha delegado la validaci n con la misma acreditaci n usuario contrase a recibidos del cliente Si la sesi n realizada por Samba es satisfactoria entonces la solicitud del cliente es aceptada Este m todo aporta la ventaja de no necesitar que las contrase as se mantengan sincronizadas entre los sistemas Windows y Unix ya que la contrase a Unix no es utilizada en el proceso de validaci n Adicionalmente no hay inconveniente en utilizar contrase as cifradas ya que la validaci n la realiza un sistema Windows 2000 Por ltimo el nivel domain Este nivel es similar al nivel server aunque en este caso el computador en el que se delega la validaci n debe ser un DC o una lista de Des La ventaja de este m todo estriba en que el computador Samba pasa a ser un verdadero miembro del dominio W2000 lo que implica por ejemplo que puedan utilizarse las relaciones de confianza en las que participa el dominio W2000 Esto significa en pocas palabras que usuarios pertenecientes a otros
53. tlocalsid SID for domain DEBIAN PDC is S 1 5 21 3991131808 1853181808 1058153799 Guardar el SID ya que se necesitara cuando se configura etc smbldap tools smbldap conf NOTA Probablemente se muestren algunos mensajes de error cuando se ejecuta net getlocalsid eso se debe a que el paquete smbldap tools a n no esta configurado Sin embargo el SID nos ser mostrado correctamente El archivo etc smbldap tools smbldap conf Antes de modificar el archivo original se hace una copia de respaldo mismo cp etc smbldap tools smbldap conf original Ahora modificar los siquientes parametros no olvidar reemplazar el SID por el obtenido con net getlocalsid El sid obtenido mediante net getlocalsid SID S 1 5 21 669132894 2586221759 3914214969 Nuestro dominio netBIOS sambaDomain ESDEBIAN Informacion del servidor LDAP primario y esclavo slaveLDAP 127 0 0 1 slavePort 389 masterLDAP 127 0 0 1 masterPort 389 No utilizar conexion cifrada IdapTLS 0 Sin importancia ya que no se utiliza TLS verify require cafile etc smbldap tools ca pem clientcert etc smbldap tools smbldap tools pem clientkey etc smbldap tools smbldap tools key Sufijo LDAP suffix dc esdebian dc org Donde se almacenan los usuarios grupos computadoras y idmapdn usersdn ou people suffix computersdn ou computer suffix groupsdn ou group suffix idmapdn ou idmap suffix sambaUnixIdPooldn sambaDomainNam
54. tos pueden recibir miles de inserci n modificaci n o borrado por segundo Un servidor LDAP es usado para procesar peticiones queries a un directorio LDAP Pero LDAP procesa las rdenes de borrado y actualizaci n de un modo muy lento En otras palabras LDAP es un tipo de base de datos pero no es una base de datos relacional No est dise ada para procesar miles de cambios por minuto como los sistemas relacionales sino para realizar lecturas de datos de forma muy eficiente Funcionamiento de LDAP e El servicio de directorio LDAP se basa en un modelo cliente servidor Uno o m s servidores LDAP contienen los datos que conforman el rbol de directorio LDAP o base de datos troncal el cliente LDAP se conecta con el servidor LDAP y le hace una consulta El servidor contesta con la respuesta correspondiente o bien con una indicaci n de donde puede el cliente hallar m s informaci n No importa con que servidor LDAP se conecte el cliente ya que siempre observar la misma vista del directorio el nombre que se le presenta a un servidor LDAP hace referencia a la misma entrada a la que har a referencia en otro servidor LDAP e Directorios de informaci n Por ejemplo bases de datos de empleados organizados por departamentos siguiendo la estructura organizativa de la empresa cualquier tipo de p ginas amarilla e Sistemas de autenticaci n autorizaci n centralizada o Active Directory Server para gestionar todas las cuentas de acceso a
55. uci n de nombres propios de Windows lo cual incluye el anuncio en el grupo de trabajo la gesti n de la lista de computadores del grupo de trabajo la contestaci n a peticiones de resoluci n de nombres y el anuncio de los recursos compartidos De esta forma el sistema Unix aparece en el Entorno de Red como cualquier otro sistema Windows publicando la lista de recursos que ofrece al resto de la red Adicionalmente a los dos programas anteriores Samba ofrece varias utilidades Algunas de las m s relevantes son las siguientes e smbclient Una interfaz similar a la utilidad ftp que permite a un usuario de un sistema Unix conectarse a recursos SMB y listar transferir y enviar archivos e swat Samba Web Administration Tool Esta utilidad permite configurar Samba de forma local o remota utilizando un navegador de web e smbfs Sistema de archivos SMB para Linux Linux puede montar recursos SMB en su jerarqu a al igual que sucede con directorios compartidos v a NES e winbind Permite integrar un servidor Samba en un dominio Windows sin necesidad de crear usuarios Unix en el servidor Samba que correspondan con los usuarios del dominio Windows simplificando as la labor de administraci n Que es SMB Puesto que Samba es fundamentalmente una implementaci n para Unix del protocolo SMB quiz s la mejor forma de entender Samba es comenzar por describir SMB con un poco m s de detalle SMB es un protocolo de comunicaci n de alto
56. ver argsfile var run slapd slapd args Read slapd conf 3 for possible values loglevel none Where the dynamically loaded modules are stored modulepath usr lib ldap moduleload back_hdb The maximum number of entries that is returned for a search operation sizelimit 500 The tool threads parameter sets the actual amount of cpu s that is used for indexing tool threads 1 EEE on ee A Laa a ee IEEE a eee Specific Backend Directives for hdb Backend specific directives apply to this backend until another backend directive occurs backend hdb PEPE EEE EE PE EEPE TE EETE AARAA EE EPP HEN TER eh ieee Specific Backend Directives for other Backend specific directives apply to this backend until another backend directive occurs backend lt other gt HEE Eon ee Ea Se DEA aaa ibid DERE ee eee Specific Directives for database 1 of type hdb Database specific directives apply to this databasse until another database directive occurs database hdb The base of your directory in database 1 suffix dc esdebian dc org rootdn directive for specifying a superuser on the database This is needed for syncrepl rootdn cn admin dc esdebian dc org rootpw MD5 TmZgZ01 Z0 29bOPByMr4A Where the database file are physically stored for database 1 directory var lib ldap The dbconfig settings are used to generate a DB_ CONFIG file the first time slapd starts They
57. webmail No obstante el n mero de modificaciones diarias es muy bajo ya que solo se puede cambiar la contrase a o dar de baja al usuario operaciones ambas que no se realizan de forma frecuente Sistema de autenticaci n a una red Cada usuario se identifica por un nombre de usuario y los atributos asignados son la contrase a los permisos de acceso los grupos de trabajo a los que pertenece la fecha de caducidad de la contrase a Este sistema recibir una consulta cada vez que el usuario acceda a la red y una m s cada vez que acceda a los recursos del grupo de trabajo directorios compartidos impresoras para comprobar los permisos del usuario Frente a estos cientos de consultas solo unas pocas veces se cambia la contrase a de un usuario o se le incluye en un nuevo grupo de trabajo Administraci n de Sistemas LDAP Arquitectura de Funcionamiento Backends Vision General Hist ricamente la arquitectura del servidor OpenLDAP slapd Standalone LDAP Daemon fue dividida entre una secci n frontal que maneja las conexiones de redes y el procesamiento del protocolo y un base de datos dorsal o de segundo plano backend que trata nicamente con el almacenamiento de datos La arquitectura es modular y una variedad de backends est disponible para interactuar con otras tecnolog as no s lo bases de datos tradicionales Actualmente 16 diferentes backends son proporcionados en la distribuci n de OpenLDAP y varios proporciona

Manual de Instalación y Configuración de un Servidor de

Contents

Download Pdf Manuals

Related Search

Related Contents

Manual de Instalaci&oacute;n y Configuraci&oacute;n de un Servidor de

Contents

Download Pdf Manuals

Related Search

Related Contents

Manual de Instalación y Configuración de un Servidor de