Integración de Molinux 4.2 con Directorio Activo de Microsoft

De Comunidad MoLinux, la enciclopedia libre.

Tabla de contenidos

1 Integración de Molinux 4.2 con Directorio Activo de Microsoft 1.1 1.INTRODUCCIÓN 1.1.1 1.1.Escenario 1.1.2 1.2.Objetivo 1.2 2.PROCEDIMIENTO (sin entorno gráfico) 1.2.1 2.1. Instalación 1.2.2 2.1.Sincronización de tiempo 1.2.3 2.2.Configuración de likewise 1.3 3.PROCEDIMIENTO (con entorno gráfico) 1.3.1 3.1.Instalación 1.3.2 3.2.Configuración de likewise 1.4 4.FALLOS CONOCIDOS 1.5 5.RESOLUCIÓN DE PROBLEMAS 1.5.1 5.1.Nombre de host mayor de 15 caracteres. 1.5.2 5.2.Añadir servidor de AD como servidor de nombres 1.6 6.REFERENCIAS.

Integración de Molinux 4.2 con Directorio Activo de Microsoft

1.INTRODUCCIÓN

1.1.Escenario

Este manual presupone un escenario concreto para la realización de la tarea. Se entiende que quien lo realiza tiene permisos de administrador a nivel local sobre la máquina cliente, así como permisos de unión al dominio activo dentro del servidor. Por ello entendemos por un lado que va dirigido al Administrador de la red y ello implica la existencia tanto de un cliente con Molinux 4.2 Toboso instalado y un servidor de dominio Windows 2000 Server (o versión superior), ambos conectados entre si.

Como requisito imprescindible es necesario que el cliente tenga configurado el servidor de dominio como servidor DNS, y disponga de acceso a los repositorios oficiales de Molinux en http://repositorios.molinux.info/molinux/ .

1.2.Objetivo

El presente documento es el procedimiento a seguir para realizar las modificaciones pertinentes de forma manual sobre la estación de trabajo Molinux 4.2 Toboso consiguiendo fusionar la base de datos de usuarios existente tanto en local como en el árbol del Directorio Activo.

El sistema de autenticación en Molinux es PAM (Pluggable Authentication Modules) y en versiones anteriores se utilizaba una engorrosa configuración del módulo de kerberos y samba para realizar esta autenticación. Para esta versión se ha incluido la aplicación likewise que integra estos módulos y facilita su configuración de forma sencilla y rápida. Esta aplicación es óptima en la gran mayoría de los escenarios que se describen en el escenario.

2.PROCEDIMIENTO (sin entorno gráfico)

2.1. Instalación

Una vez instalada la estación de trabajo Molinux 4.2 Toboso y configurada la red de forma que exista acceso al servidor de dominio y a los repositorios oficiales de Molinux, procederemos a realizar la instalación. Hay que tener en cuenta que el paquete y sus dependencias, realizarán modificaciones sobre los módulos de gdm y por ello es recomendable realizar estas modificaciones en una consola de texto sin entorno gráfico. Para ello presionaremos Control + Alt + F1 al mismo tiempo y accederemos al terminal con un usuario con privilegios de administrador. Seguidamente realizaremos la instalación con el siguiente código:

molinux@molinux-desktop:~$ sudo apt-get install likewise-open

La paquetería necesaria no realiza ningún proceso de configuración donde la instalación.

2.1.Sincronización de tiempo

Para una correcta integración, es necesario que exista una buena sincronización de tiempo entre el cliente y el servidor. Existe un margen entre uno y dos minutos en el cual se acepta una autenticación válida, pero si se supera este margen, es posible (dependiendo de la configuración del servidor) que los tickets enviados para autenticar, se invaliden por no coincidir correctamente con la hora del servidor.

No siempre es necesario sincronizar la hora con el servidor, generalmente funcionará correctamente. En caso de que no sea posible conectar será necesario configurar la estación de trabajo Molinux para que se sincronice con el servidor o uno de sus pares con los cuales el servidor esté sincronizado.

Instalamos la paquetería necesaria para sincronizar Molinux:

molinux@molinux-desktop:~$ sudo apt-get install ntp

Procederemos editando el fichero existente en /etc/ntp.conf para configurarlo:

molinux@molinux-desktop:~$ sudo editor /etc/ntp.conf

En este fichero buscaremos la línea que comience por la palabra server y en nuestro caso cambiaremos el valor de esta línea por host.dominio, donde host es el nombre del servidor de directorio y dominio es el dominio completo al que pertenece :

# You do need to talk to an NTP server or two (or three).
server host.dominio

Una vez realizado este cambio, reiniciamos el demonio ntp:

molinux@molinux-desktop:~$ sudo /etc/init.d/ntp restart
* Stopping NTP server ntpd						[ OK ]
* Starting NTP server ntpd						[ OK ]

2.2.Configuración de likewise

Para realizar la configuración necesitaremos los siguientes datos:

• Nombre del dominio (En nuestro caso, host.dominio)
• Usuario en el dominio con privilegios para añadir equipos al dominio. (En nuestro caso Administrador)

Realizaremos este paso con el siguiente comando sustituyendo los datos oportunos:

molinux@molinux-desktop:~$ sudo domainjoin-cli join host.dominio Administrador 
Joining to AD Domain: host.dominio 
With Computer DNS Name: molinux-desktop.host.dominio

Administrador@host.dominio password: 
SUCCESS

La aplicación nos solicitará la contraseña del usuario Administrador en el dominio y seguidamente añadirá el equipo en el árbol del equipo. Una vez realizado este paso, el equipo ya estará integrado dentro del dominio.

Activamos el demonio likewise para que aplique y mantenga esta configuración:

molinux@molinux-desktop:~$ sudo /etc/init.d/likewise-open restart 
* Stopping Centeris Authentication Services   				[ OK ]                                       
* Starting Centeris Authentication Services likewise-winbindd		[ OK ]

Una vez realizado estos pasos, tendremos que reiniciar gdm para que refresque las referencias en los módulos de autenticación con el siguiente comando:

molinux@molinux-desktop:~$ sudo /etc/init.d/gdm restart 
* Stopping GNOME Display Manager...					[ OK ]
* Starting GNOME Display Manager...					[ OK ]

Realizado todo este proceso ya podremos iniciar sesión en Molinux con los usuarios de nuestro dominio y el sistema de ficheros reconocerá el propietario y grupo de estos usuarios. El nombre de usuario con el que se ha de acceder deberá ser en la forma 'dominio\usuario'.

Así mismo, likewise nos ofrece las siguientes aplicaciones que nos permiten interactuar con el dominio.

• /usr/centeris/bin/lwinet: Nos permite recibir información detallada acerca de la red y del dominio.
• /usr/centeris/bin/lwimsg: Permite la interacción con el demonio likewise-winbindd.
• /usr/centeris/bin/lwiinfo: Permite sustraer información del dominio.
• /usr/centeris/bin/lwismbclient: Permite navegar e interactuar con los recursos disponibles dentro del dominio.

3.PROCEDIMIENTO (con entorno gráfico)

3.1.Instalación

Evidentemente, para realizar la instalación necesitaremos iniciar sesión sobre la máquina local con un usuario con privilegios para realizar modificaciones administrativas.

Para realizar la instalación utilizando el entorno gráfico de Molinux utilizaremos el gestor de paquetes integrado en la distribución. Normalmente estos paquetes pueden venir integrados ya desde la propia instalación, pero de no ser así, habrá que marcarlos para instalar y realizar la operación. Para abrir la aplicación nos iremos al menú Sistema -> Administración -> Gestor de paquetes Synaptic.

Una vez abierta la aplicación, utilizaremos la opción Buscar para encontrar el paquete likewise-open-gui. Previamente se deberá tener activado el repositorio de «Software libre mantenido por la comunidad (universe)».

Presionando con el segundo botón sobre el nombre del paquete, utilizaremos la opción Marcar para instalar. Seguidamente nos pedirá que marquemos sus dependencias, lo cual marcaremos consecuentemente y por último, aplicaremos los cambios.

Una vez realizado esto, la aplicación ya estará instalada.

3.2.Configuración de likewise

No es recomendable realizar este proceso con el servidor gráfico abierto y teniendo iniciada la sesión, ya que se realizan cambios sobre los módulos de autenticación y algunas aplicaciones pueden cerrarse y volver a abrirse. Aún así, esto no impide realizar la configuración.

Para realizar la configuración utilizaremos la aplicación gráfica que estará disponible en Sistema -> Administración -> Active Directory Membership . Una vez autenticado nuestras credenciales de administración tan solo tendremos que rellenar el formulario que nos propone y unirnos al dominio.

Para unirnos al dominio nos solicitará que nos autentiquemos contra él con un usuario válido para agregar la máquina al árbol.

Una vez realizado todo este proceso, ya tendremos el equipo configurado para autenticar contra el dominio y navegar por sus recursos.

4.FALLOS CONOCIDOS

• Cuando se navega por la red con nautilus (navegador de archivos de Gnome) y se intenta acceder a un recurso, este pide autenticación a pesar de estar ya autenticados en el dominio. Aún así, cancelando la autenticación, se puede entrar de forma autenticada al recurso en cuestión.

• Los módulos cachean las credenciales una vez que se entra al dominio y si en un futuro, el usuario intenta entrar no teniendo conexión con el servidor de dominio, puede hacerlo con las credenciales cacheadas. Esto puede suponer un problema de seguridad, ya que si un usuario malicioso al que se le borra el usuario, simplemente desconecta físicamente el equipo y utiliza su usuario y clave válidos puede tener acceso a la máquina local. La solución es borrar manualmente o en un proceso programado las caches.

• La opción de remover del dominio la máquina local, deja en árbol del directorio la entrada correspondiente al equipo sin dar opción a dejarlo o quitarlo. La solución hasta ahora, es quitarlo a mano.

5.RESOLUCIÓN DE PROBLEMAS

5.1.Nombre de host mayor de 15 caracteres.

Si el nombre del equipo es mayor de 15 caracteres, la conexión con el servidor AD devolverá un error (si no se ha modificado el valor máximo permitido para nombres, en el servidor de dominio). Para cambiarlo se ha de hacer lo siguiente. En el menú: «Sistema -> Administración -> Red». En la solapa de General, se cambia el nombre del host (o anfitrión) por uno menor de 15 caracteres. Después hay que reiniciar el equipo.

5.2.Añadir servidor de AD como servidor de nombres

Para conectar con el servidor AD es necesario que figure como servidor de nombres en el equipo que se quiere conectar. Para ello, hay que editar el fichero /etc/resolv.conf y añadir las siguiente lineas:

nameserver <ip o nombre_host> search <nombre_dominio>

donde: «ip o nombre_host» es la dirección IP o el nombre de host del servidor de dominio. y «nombre_dominio» es el nombre completo del dominio de windows.

Otra forma de añadir el servidor de nombre, si se está utilizando Network-Manager, que por defecto viene instalado en Molinux 4.2, es hacerlo a través del interfaz de usuario, accediendo desde la barra de tareas en el panel superior.

O también desde el menú Sistema > Preferencias > Network Configuration.

Una vez cargado, se selecciona el interfaz de red que se vaya a utilizar y se hace click en el botón de Editar.

Una vez abierta la ventana de edición, se selecciona la solapa de Ajustes de Ipv4,

Y en los campos de Servidores DNS y Dominios de búsqueda se añaden los nombres de host o dirección IP, y el dominio de búsqueda.

Por otro lado, el servidor AD debe tener el servicio DNS activado.

6.REFERENCIAS.

[1] http://anothersysadmin.wordpress.com/2008/04/06/howto-active-directory-authentication-in-ubuntu-804/

[2] http://www.likewisesoftware.com/products/likewise_open/

[3] http://www.likewisesoftware.com/resources/user_documentation/Likewise-Open-Guide.pdf

[4] http://packages.ubuntu.com/hardy/i386/likewise-open-gui/download