Autenticar los clientes de

Linux con Active Directory

Gil Kirkpatrick

EN RESUMEN:
Cmo funciona la autenticacin en Windows y Linux
Utilizar Samba y Winbind
Las estrategias de implementacin
Recorrido a travs de la integrationItem de Linux a Active
Directory
ApplyClick with current id Contenido
Autenticacin de Windows
Autenticacin de Linux
SAMBA y Winbind
Tres estrategias de autenticacin
Nuestro plan de implementacin
Buscar el software derecho
SAMBA de creacin
Configuracin de red Linux
Configurar la sincronizacin de hora de Linux
Configurar PAM y NSS
Instalar y configurar Samba
El problema de asignacin de ID.
Unirse el dominio y registro en
Qu ocurre si se no trabajar?
Ahora que funciona, qu tiene?
Soluciones de terceros

Autenticacin de Windows
Windows se pens durante baste tiempo como el nico sistema
de autenticacin de red integrada y de inicio de sesin hasta
ahora. Antes de Windows 2000, Windows controladores de NT
de dominio (DC) proporcionan servicios de autenticacin para
clientes de Windows mediante el protocolo de NT LAN Manager
(NTLM). Aunque NTLM no era tan seguro como se
originalmente se consider, es muy til porque se resuelve
claramente el problema de la necesidad de mantener cuentas
de usuario duplicados en mltiples servidores de la red.
A partir de Windows 2000, Microsoft migr de NTLM a Active

Directory y sus servicios integrados de autenticacin Kerberos.

Kerberos era mucho ms seguro que NTLM, y escala mejor,
demasiado. Y Kerberos era un estndar del sector ya utiliza
sistemas Linux y UNIX, que abre la puerta a integrar esas
plataformas Windows.

Autenticacin de Linux
Originalmente, Linux (y las GNU herramientas y las bibliotecas
que se ejecutarn en l) no se cre con un mecanismo de
autenticacin nico en mente. Como consecuencia de esto, los
programadores de aplicaciones de Linux suelen tard en crear
su propio esquema de autenticacin. Administra para ello por
buscar los nombres y algoritmos hash de contrasea en/etc /
passwd (las texto tradicional archivo contenedor Linux
credenciales de usuario) o proporcionar un mecanismo
totalmente diferente (e independiente).
La gran cantidad resultante de mecanismos de autenticacin
era difcil de administrar. En 1995, Sun propone un mecanismo
denominado mdulos de autenticacin conectable (PAM). PAM
proporciona un conjunto comn de autenticacin de las API que
podra utilizar todos los desarrolladores de aplicaciones, junto
con un servidor configurado por el administrador acabar que
permitido para varios esquemas de autenticacin "conectable
y". Mediante las API PAM para la autenticacin y el nombre de
servidor cambiar (NSS) las API para buscar informacin del
usuario, los programadores de aplicaciones de Linux podra
escribir menos cdigo y los administradores de Linux podra
tener un nico lugar para configurar y administrar el proceso
de autenticacin.
La mayora de los distribuciones de Linux se suministran con
varios mdulos de autenticacin PAM, incluidos los mdulos
que admiten la autenticacin a un directorio LDAP y la
autenticacin mediante Kerberos. Puede utilizar estos mdulos
para autenticarse en Active Directory, pero hay algunas
limitaciones importantes, como explicar ms adelante en este
artculo.

SAMBA y Winbind
SAMBA es un proyecto de cdigo abierto que pretende
proporcionar integracin entre entornos de Windows y Linux.
SAMBA contiene componentes que otorgan acceso de equipos

de Linux a archivos de Windows y servicios de impresin, y

tambin proporcionan servicios bsicos de Linux que emulan
los controladores de dominio de Windows NT 4.0. Mediante los
componentes de cliente Samba, los equipos Linux pueden
sacar partido de servicios de autenticacin de Windows
proporcionados por Windows NT y controladores de dominio
Active Directory.
La parte concreta de Samba que resulte ms interesante que
nos para este proyecto se denomina Winbind. Winbind es un
demonio (servicio en la terminologa de Windows) que se
ejecuta en los clientes de Samba y acta como un proxy para
la comunicacin entre PAM y NSS ejecutando en el equipo de
Linux y que se ejecutan en un controlador de dominio de Active
Directory. En concreto, Winbind utiliza Kerberos para
autenticarse con Active Directory y LDAP para recuperar
informacin de usuario y de grupo. Winbind tambin
proporciona servicios adicionales, como la capacidad de ubicar
controladores de dominio mediante un algoritmo similar a la
DCLOCATOR en Active Directory y la capacidad de restablecer
las contraseas de Active Directory con la comunicacin con un
controlador de dominio mediante RPC.
Winbind resuelve unos pocos problemas que simplemente
mediante Kerberos con PAM no. En concreto, en lugar de difcil
de codificar un controlador de dominio para autenticarse en la
forma que hace el mdulo Kerberos PAM, Winbind selecciona
un controlador de dominio al buscar los registros de localizado
DNS similar a la forma en que el mdulo de DCLOCATOR de
controlador de dominio de Microsoft.

Tres estrategias de autenticacin

Dada la disponibilidad de LDAP, Kerberos y Winbind en equipos
de Linux, hay tres estrategias de implementacin diferente que
se pueden emplear para permitir que nuestro equipo Linux
utilice Active Directory para la autenticacin.
utilizar la autenticacin LDAP La forma ms sencilla, pero menos
satisfactoria de usar Active Directory para la autenticacin es
configurar PAM va a utilizar la autenticacin LDAP, como se
muestra en la figura 1 . Aunque Active Directory es un servicio
de LDAPv3, los clientes de Windows utilice Kerberos (con la
recuperacin tras error en NTLM), no LDAP, para propsitos de
autenticacin.

La autenticacin LDAP (denominada enlace LDAP) pasa el

nombre de usuario y la contrasea en texto sin cifrar a travs
de la red. Esto es inseguro y inaceptable para la mayora de los
propsitos.

La figura 1 Authenticating a Active Directory mediante LDAP (haga

clic en la imagen de una vista ms grande)
La nica forma mitigar este riesgo de pasar las credenciales en
el cifrado es cifrar el canal de comunicacin de Active Directory
cliente con algo como SSL. Aunque esto es sin duda es factible,
impone la carga adicional de administracin de los certificados
SSL en el controlador de dominio y en el equipo de Linux.
Adems, mediante el LDAP PAM mdulo no es compatible con
cambiar restablece o haba caducado la contrasea.
con LDAP y Kerberos Otra estrategia para aprovechar Active
Directory para la autenticacin de Linux consiste en configurar
PAM para utilizar la autenticacin Kerberos y NSS utilizar LDAP
para buscar el usuario e informacin de grupo, tal como se
muestra en la figura 2 . Este esquema tiene la ventaja de ser
relativamente ms seguro, y aprovecha las funciones "en el de
cuadro" de Linux. Pero no aprovechar los registros de ubicacin
DNS de servicio (SRV) que publicar controladores de dominio
Active Directory, por lo que estn obligados a seleccionar un
conjunto especfico de controladores de dominio para
autenticar. Tambin no proporcionan una forma muy intuitiva
de administracin de caducidad de contraseas de Active
Directory o, hasta hace poco tiempo, para las bsquedas de
pertenencia al grupo adecuado.

La Figura 2 Authenticating a Active Directory mediante LDAP y

Kerberos (haga clic en la imagen de una vista ms grande)
utilizar Winbind La tercera forma de usar Active Directory para
la autenticacin de Linux consiste en configurar PAM y NSS
realizar llamadas al demonio Winbind. Winbind se traducen las
PAM diferente y NSS solicitudes en las llamadas de Active
Directory correspondientes, mediante LDAP, Kerberos o RPC,
segn con qu es ms apropiado. la figura 3 muestra esta
estrategia.

La figura 3 Authenticating a Active Directory mediante Winbind

(haga clic en la imagen de una vista ms grande)

Nuestro plan de implementacin

Causa de la integracin mejorada con Active Directory, optado
por utilizar Winbind en red Hat empresa Linux 5 (RHEL5) para
mi proyecto de integracin de Linux a Active Directory. RHEL5
es la versin actual de la distribucin Red Hat Linux comercial,
y es muy popular en centros de datos de empresa.
Obtener RHEL5 para autenticarse en Active Directory
bsicamente requiere cinco pasos independientes, los
siguientes:

Busque y descargue el Samba apropiado y otros

componentes dependientes.
2 Crear Samba.
3 Instale y configure Samba.
4 Configurar Linux, concretamente PAM y NSS.
5 Configurar Active Directory.
Las secciones de algunas siguientes en este artculo describen
estos pasos con ms detalle.

Buscar el software correcto

Una de las principales diferencias entre Windows y Linux radica
en que Linux se basa en de un kernel de sistema operativo
pequeo y una enorme coleccin de componentes descargables
por separado e instalables. Esto hace posible crear una
configuracin muy especifica de Linux optimizada para
determinadas tareas, pero tambin pueden realizar
configuracin y administracin de un servidor muy complicado.
Distintas distribuciones controlan esto de diferentes maneras.
Red Hat (y su primo no comercial Fedora) utiliza el
administrador de red de paquete Hat (RPM) para instalar y
administrar estos componentes.
Los componentes de Linux para Red Hat trabajan de dos
maneras. Archivos RPM que contienen archivos binarios que
han sido precompilados y creados para una combinacin
especfica de versin del componente, distribucin de Linux y
arquitectura de CPU. Por lo que puede descargar y instalar, por
ejemplo, la versin 1.3.8-5 del Common UNIX impresin del
sistema (CUPS) creado para Fedora versin 10 que se ejecutan
en una arquitectura de Intel x 86 CPU. Dado que hay una
docena diferentes arquitecturas de CPU, ms de 100 las
distribuciones de Linux y miles de paquetes y las versiones,
puede ver que hay un nmero increble de RPMs binarias entre
los que elegir.
Por otro lado los archivos RPM del origen, contienen el cdigo
fuente real para un determinado paquete. La expectativa es
que se descargue y instalar las fuentes, configurar las opciones
de generacin y compilar y vincular los archivos binarios. La
idea de crear sus propios componentes del sistema operativo
es complicado para un chico de Windows utilizado para instalar
lo que Microsoft proporciona en el CD de instalacin de
Windows, pero el administrador de paquete simplifica el

proceso bastante sencillo y confiable es sorprendente. El grupo

Samba libera actualizaciones y revisiones de seguridad a un
ritmo furious; en julio y agosto de 2008 por s solos, hay
cuatro versiones de Samba 3.2, con un total de ms de 100
correcciones de errores y seguridad. Para este proyecto,
descargan los orgenes de la ltima versin estable de Samba,
versin 3.0.31.
Por qu se ha descargar los orgenes de Samba en lugar de un
conjunto precompilado de archivos binarios? Ciertamente, eso
fue lo que intent hacer en primer lugar. Lo que descubren
despus de muchas horas con un depurador era que no se han
creado los archivos binarios que descargan con las opciones
correctas para admitir la autenticacin de Active Directory. En
concreto, el cdigo que admite la asignacin de ID de Linux en
Active Directory se ha desactivado en las generaciones
predeterminada; por lo que tuve que reconstruir Samba con las
opciones de generacin correspondiente. Hablar ms sobre la
asignacin de IDENTIFICADOR ms adelante en este artculo.
Aunque Linux nativa es un ncleo pequeo, la distribucin Red
Hat empresarial incluye muchos paquetes preinstalados.
Normalmente esto, vida mucho ms fcil porque empieza con
un sistema de operativo completo de trabajo, pero los
paquetes que estn preinstalados en ocasiones, en conflicto
con software que desea instalar ms tarde.
No inclua Samba cuando instal Red Hat (normalmente Samba
se instala de forma predeterminada) ya que quera utilizar una
versin ms actual. Sin embargo, la versin ms reciente de
Samba requiere nuevas versiones de varias otras bibliotecas y
utilidades que ya se han instalado. Este tipo de problemas de
dependencia es bastante molesta, pero se resuelve fcilmente
mediante el RPM.
Hay muchos sitios de Web que los paquetes RPM binario de
host. El uno que he usado (por ninguna otra razn que era el
encontr primero de ellos) se denomina PBONE, ubicado en
rpm.pbone. NET. Tiene una forma cmoda de buscar paquetes
y tena todos los archivos binarios que necesitan para la
arquitectura de CPU (i386) y distribucin de sistema operativo
(red Hat empresa Linux 5/Fedora 7 y 8).
Tuve que descargar y actualizar los paquetes listados en la
figura 4 para crear e instalar la ltima versin 3.0 de Samba
(no hay un rbol versin 3.2 incluso posterior que no ha

intentado). Tenga en cuenta que estos paquetes destino la

distribucin principales Fedora (fc). Red Hat se basa en los
orgenes mismos Fedora utiliza y completamente puede
interoperar con l. Los paquetes integrados para Fedora
principales 7 y versiones posteriores se ejecutarn en RHEL5
con ninguna modificacin. Colocar los archivos RPM
descargados en el directorio / usr/src/REDHAT/RPMS.
ApplyClick with current id La figura 4 paquetes necesarios para
crear y instalar Samba 3.0.31
SAMBA-3.031-0.fc8.s
Origen Samba 3.0.31 RPM
rc.rpm
gnutls1.6.3-3.fc7.i38 Las bibliotecas de seguridad de nivel de
6
transporte (TLS) GNU
gnutilsdevel-1.6.3-3.fc7.i38 Los archivos de desarrollo de GNU TLS
6
Argumento de lnea de comandos anlisis de
popt-1.12-3.fc8.i386
bibliotecas
poptArgumento de lnea de comandos analizar los
devel-1.12-3.fc8.i38
archivos de desarrollo
6
cupsBibliotecas de sistema de impresora de UNIX
libs-1.2.12-11.fc7.i3
comunes
86
cupsArchivos comunes de desarrollo del sistema de
devel-1.2.12-11.fc7.i
impresora de UNIX
386
cups-1.2.12.11.fc7.i3 Binarios del sistema de impresora de UNIX
86
comunes

SAMBA de creacin
El primer paso en la creacin de Samba es para descargar el
origen adecuado RPM. El origen de RPM haba descargada para
Samba 3.0.31 desde el sitio PBONE. Colocar a continuacin, el
archivo RPM de cdigo fuente descargados en / usr/src/
REDHAT/SRPMS; esto es el directorio estndar de origen RPMs
durante el proceso de generacin.
Abrir una sesin de terminal (lnea de comandos de ventana en
la terminologa de Windows) y desplazarse a la carpeta SRPMS.
Una vez hecho, instale el paquete de origen utilizando el
comando, tal como se muestra en la figura 5 .

La figura 5 instalar el origen de Samba RPM (haga clic en la imagen

de una vista ms grande)
Si aparece la advertencia de error " mockbuild de usuario no
existe, el uso de raz, " no se preocupe. Este error indica que
no estn instaladas las herramientas de generacin de
simulacro. El proceso de generacin funcionar sin ellos.
A continuacin, mueva al directorio / usr/src/REDHAT/
ESPECIFICACIONES y editar el archivo SAMBA.SPEC, que
contiene las opciones de generacin Samba. Busque la lnea
que empieza con " CFLAGS = " y asegrese de que la opcin
"--con-compartido de mdulos = idmap_ad, idmap_rid " est
presente. Esta opcin garantiza que el proceso de generacin
incluye el cdigo que traduce las UID de Linux (identificadores
nicos) correctamente en Active Directory. la figura 6 muestra
esta opcin.

Figura 6 el con-compartido de mdulos crear opcin (haga clic en la

imagen de una vista ms grande)
A continuacin, quizs tenga que actualizar algunos de las
bibliotecas en el equipo para correctamente crear e instalar
Samba; depende de qu versiones de las bibliotecas lo hizo
tener instalado. En mi caso, tuve que instalar los paquetes
listados en la figura 4 uso el rpm: comando de instalacin; en
algunos casos haba que usar la--opcin force que conseguir
pasar algunos de los problemas de dependencia.
Para generar Samba, mueva al directorio / usr/src/redhat y
ejecute el bb rpmbuild comando SPECS/samba.spec, tal como
se muestra en la figura 7 . El proceso dejar un nuevo archivo
RPM de samba-3.0.31-0.i386 en el directorio / usr/src/
REDHAT/RPMS. Se instalar este archivo RPM ms adelante en
el proyecto.

La figura 7 de crear el archivo RPM Samba binario (haga clic en la

imagen de una vista ms grande)

Configuracin de red Linux

Para autenticar con Active Directory, el equipo Linux debe ser
capaces de comunicarse con un controlador de dominio. Tiene
que configurar tres configuraciones de red para que esto
suceda.
En primer lugar, es importante para asegurarse de que la
interfaz de red para su equipo Linux est configurada
correctamente, ya sea mediante Protocolo de configuracin
dinmica de host (DHCP) o asignacin una direccin IP
adecuada y netmask mediante el comando ifconfig. Bajo
RHEL5, configurar la red seleccionando red en el sistema |
administracin de men, tal como se muestra en la figura 8 .

Figura 8 configuracin de la red (haga clic en la imagen de una vista

ms grande)
A continuacin, compruebe que la resolucin de DNS para el
equipo Linux est establecida para utilizar el mismo servidor de
nombre DNS que utilizan los controladores de dominio; en la
mayora de los casos, esto es un controlador de dominio en el
dominio al que desea unir el equipo de Linux, suponiendo que
ests utilizando DNS Active_Directory-integrated. Configurar la
resolucin de DNS en la ficha DNS de la misma utilidad de
configuracin de red que utiliza para configurar la red, como se
muestra en la figura 9 .

Figura 9 configuracin de la resolucin de DNS principal (haga clic

en la imagen de una vista ms grande)
Por ltimo, una vez que haya completado estos pasos, debe
establecer el nombre de host del equipo Linux para reflejar su
nombre en el dominio. Aunque puede establecer el nombre de
host mediante la aplicacin de configuracin de red, esto
parece no siempre funciona correctamente.
En su lugar, edite el /etc/hosts archivo directamente y agregar
una entrada por debajo de la entrada localhost.localdomain que
tiene el formato < direccin ip > < nombre de host > <fqdn>.
(Un ejemplo sera " 10.7.5.2 rhel5.linuxauth.local linuxauth ".)
Tenga en debe cuenta como que error al hacer esto se
resultado en la creacin de un objeto de equipo incorrecto en el
directorio despus de unir el equipo Linux al dominio.

Configurar la sincronizacin de hora de Linux

El protocolo Kerberos es dependiente de los sistemas de
autenticacin con los relojes que estn sincronizados dentro de
un valor relativamente pequeo. De forma predeterminada,
Active Directory permite un mximo tiempo sesgar de cinco

minutos. Para asegurarse de que los sistemas Linux y el

sistema de los controladores de su dominio los relojes no
mantenerse dentro de este valor, debe configurar sus sistemas
Linux para utilizar el servicio Protocolo de tiempo de red (NTP)
de un controlador de dominio.
A continuacin, en el servidor Linux, ejecute la utilidad de
fecha y hora desde el sistema | men de administracin y, a
continuacin, haz clic en la ficha Protocolo de tiempo de red.
Active la casilla Habilitar el protocolo de tiempo de red y, a
continuacin, agregue la direccin IP del controlador de
dominio que desea utilizar como un origen de hora de la red.
Observe que normalmente, esto debe ser el controlador de
dominio en el dominio que desempee la funcin Flexible
Single Master Operations (FSMO) de la emulador de
controlador (PDC, Primary Domain Controller) de dominio
principal. Figura 10 es un ejemplo de cmo establecer el
origen de hora de red Linux.

Figura 10 configuracin el protocolo de tiempo de red (haga clic en

la imagen de una vista ms grande)

Configurar PAM y NSS

PAM y NSS proporcionan el pegado entre una aplicacin de
Linux, como el escritorio y Winbind. Al igual que muchos

servicios de Linux, configurar PAM y la NSS a travs de

archivos de texto. Veremos configurar PAM primero.
PAM proporciona utilidades de relacionadas con autenticacin
de cuatro a aplicaciones que la utilizan. La utilidad de
autenticacin permite que una aplicacin determinar quin est
utilizando. La funcin cuenta proporciona cuenta funciones de
administracin que no estn especficamente relacionadas con
autenticacin, como restriccin de tiempo de inicio de sesin.
La utilidad de contrasea proporciona mecanismos para
solicitar y administracin de contraseas. La utilidad de sesin
realiza la configuracin del usuario de related y tareas tearabajo para la aplicacin, tales como el registro o crear archivos
en un directorio especfica del usuario.
PAM en red Hat almacena sus archivos de configuracin en el
directorio /etc/pam.d, que contendr un archivo de texto para
cada aplicacin que utiliza PAM para la autenticacin. Por
ejemplo, la /etc/pam.d/gdm archivo contiene la informacin de
configuracin de PAM para Gnome escritorio el administrador
(GDM), el entorno de ventana predeterminado de red Hat.
Cada archivo de configuracin PAM contiene varias lneas, con
cada lnea de definir algunos aspectos del proceso de
autenticacin PAM. Figura 11 muestra el contenido de la PAM
archivo de configuracin para GDM.

Figura 11 PAM archivo de configuracin para el administrador de

escritorio de Gnome (haga clic en la imagen de una vista ms grande)

Cada entrada de un archivo de configuracin PAM tiene el

formato < grupo de administracin > <control> <module>
<parameters>, donde < grupo de administracin >
corresponde a la funcin de la entrada de configuracin
pertenece a: autenticacin, cuenta, contrasea o sesin. Las
palabras clave de control, que se describen en la figura 12 ,
indican PAM cmo procesar la entrada de configuracin. La
tercera columna del archivo contiene el nombre de una
biblioteca compartida PAM en el directorio /lib/security.
Bibliotecas compartidas contienen cdigo ejecutable cargable
dinmicamente, la similar a las DLL de Windows. Trminos
adicionales despus del nombre del mdulo son parmetros
que PAM pasa a la biblioteca compartida.
ApplyClick with current id La figura 12 palabras clave de control
PAM
Palabra
Descripcin
clave
Si el mdulo se realiza correctamente, PAM contina
evaluando las entradas restantes para el grupo de
Requeri administracin, y los resultados se determinarse por los
do
resultados de los dems mdulos. Si falla el mdulo, PAM
contina evaluacin pero devolver un error a la aplicacin
que realiza la llamada.
Si se realiza correctamente el mdulo, PAM contina
Necesari evaluando las entradas de grupo de administracin. Si falla el
o
mdulo, PAM devuelve en la aplicacin realiza la llamada con
ningn procesamiento adicional.
Si el mdulo se realiza correctamente, PAM devolver xito a
Suficient la aplicacin que realiza la llamada. Si falla el mdulo, PAM
e
sigue evaluacin, pero los resultados vendr determinados
por mdulos posteriores.
Opciona A menos que sea el mdulo nico especificado para el grupo
l
de administracin, PAM omite los resultados del mdulo.
PAM incluye el contenido del archivo de configuracin PAM al
Incluir
que se hace referencia y procesa las entradas que contiene.

Puede ver que cada grupo de administracin tiene varias

entradas. PAM procesa las entradas en orden mediante una
llamada al mdulo con nombre. El mdulo, a continuacin,
devuelve xito o fracaso, y PAM contina acuerdo con la
palabra clave de control.
Observar que el archivo de configuracin de PAM de GDM
incluye autenticacin de sistema en todos sus grupos de

administracin. Se trata cmo PAM establece el

comportamiento de autenticacin predeterminado para GDM. Si
modifica la autenticacin de sistema, puede modificar el
comportamiento de autenticacin para todas las aplicaciones
que incluyen el archivo de la autenticacin de sistema en sus
configuraciones PAM. En la figura 13 se muestra el archivo de
la autenticacin de sistema predeterminado.

Figura 13 archivo de sistema de autenticacin de PAM (haga clic en

la imagen de una vista ms grande)
El mdulo de nombre de servicio de conmutador (NSS) oculta
los detalles del sistema de almacenamiento de datos desde el
desarrollador de aplicaciones, en gran parte del mismo modo
que PAM oculta los detalles de la autenticacin. NSS permite al
administrador especificar que se almacenan las bases de datos
del sistema de forma. En concreto, el administrador puede
especificar cmo se almacena informacin de nombre de
usuario y contrasea. Porque queremos que las aplicaciones
para buscar informacin de usuario en Active Directory
mediante Winbind, tenemos que modificar el archivo de
configuracin de NSS para mostrar.
Red Hat incluye un pequeo subprograma grfico para
configurar PAM y NSS haba denominado configuracin de
sistema de autenticacin. Se encarga de ms (pero no todas)
de los cambios necesita hacer en los archivos de autenticacin
de sistema y nss.conf.
Ejecutar la aplicacin de configuracin de sistema de
autenticacin y ver un cuadro de dilogo como la que se

muestra en la figura 14 . Active la opcin Winbind en tanto en

la ficha informacin del usuario (que configura el archivo
nss.conf) y en la ficha autenticacin (que modifica el archivo de
sistema de autenticacin).

Figura 14 el dilogo de autenticacin de systemconfig

Haga clic en el botn Configurar Winbind y ver el cuadro de
dilogo en la figura 15 . Especifique el nombre del dominio
que desea que los usuarios autenticar en el campo dominio
Winbind y seleccione "anuncios" como el modelo de seguridad.
Escriba el nombre de dominio DNS del dominio de Active
Directory en el campo Winbind ADS territorio. En el campo
Winbind los controladores de dominio, escriba el nombre de un
controlador de dominio desea autenticar con este sistema de

Linux o un asterisco, que indica que Winbind debe seleccionar

un controlador de dominio consultando DNS los registros SRV.

Figura 15 configurar Winbind dilogo

Seleccione el shell de comandos predeterminado adecuado que
deben tener los usuarios de Active Directory; en este caso,
selecciona Bourne-nuevo revestimientos o BASH. No intente el
botn combinacin dominio en este momento. Se unirn el
equipo en el dominio ms adelante.
Hay un cambio adicional para realizar en el archivo /etc/pam.d/
system-auth despus de que haya modificado para admitir
Winbind. Cuando un usuario de Linux inicia sesin, el sistema
requiere que el usuario tiene un directorio principal. El
directorio principal contiene muchos preferencias especficas
del usuario y elementos de configuracin, al igual que el
registro de Windows. El problema es que porque va a crear los
usuarios en Active Directory, Linux no se automticamente
Crear directorio particular del usuario. Afortunadamente, puede
configurar PAM para hacerlo como parte de su configuracin de
sesin.
Abra el archivo /etc/pam.d/system-auth, a continuacin,
desplcese hacia la parte inferior y insertar una lnea antes de
la ltima lnea en la seccin de sesin que se lee " sesin
map_mkhomedir.so opcional skel = / etc/skel umask =
0644" (consulte la figura 16 ). Esta lnea configura PAM para

crear un directorio principal para un usuario si no existe uno.

Utilizar el directorio/etc/skel como un "esquema" o la plantilla,
y asignar la mscara de permisos 0644 (lectura y escritura
para lectura para todos los dems, propietario y de lectura
para el grupo primario) a la nueva carpeta.

Figura 16 creacin de un directorio principal para los usuarios

(haga clic en la imagen de una vista ms grande)

Instalar y configurar Samba

Para instalar los archivos binarios de Samba que acaba de
crear, cambiar el directorio / usr/src/REDHAT/RPMS. Todos los
archivos RPM creados por el comando rpmbuild aparecern en
este directorio. Recuerde que Samba incluye los archivos
binarios que permiten un cliente de Linux tener acceso a un
recurso compartido de archivos Windows (o Samba), as como
cdigo que permita un sistema de Linux para actuar como un
servidor de archivos de Windows, un servidor de impresin de
Windows y un controlador de Windows NT 4.0 estilo.
No necesitamos todo eso para permitir que Linux para
autenticarse en Active Directory; todo lo que necesitamos
realmente son los archivos comunes Samba y los binarios de
cliente Samba. Estos archivos se dividirn fuera fcilmente en
archivos RPM dos: samba-cliente-3.0.31-0.i386.rpm y sambacomn de 3.0.31-0.i386.rpm. Instalar los archivos RPM
mediante la rpm: comando de instalacin. A continuacin se
muestra un ejemplo: rpm--instalar samba-comn de
3.0.31-0.i386.rpm. (Tenga en cuenta que tendr que instalar

primero el archivo RPM common.)

Una vez que ha instalado los binarios de cliente Samba, debe
modificar la configuracin de Samba predeterminada para
asegurarse de que Winbind controla la autenticacin
correctamente con Active Directory. Toda la informacin de
configuracin Samba (cliente y servidor) puede encontrarse en
el archivo de texto smb.conf, que est en el directorio/etc /
samba de manera predeterminada. Smb.conf puede contener
un nmero enorme de las opciones de configuracin, y una
explicacin completa de su contenido se sale del mbito de
este artculo. El sitio Web de samba.org y las pginas de tipo "
Man " Linux tratan smb.conf en algn detalle.
El primer paso es configurar Winbind para utilizar Active
Directory para la autenticacin. Debe establecer el modelo de
seguridad en smb.conf para "anuncios". La utilidad de
configuracin de sistema de autenticacin debe ha establecer
esto para usted ya, pero siempre es conveniente comprobar.
Editar el archivo smb.conf y busque la seccin Opciones de
miembros de dominio con la etiqueta. Busque la lnea que
comienza con "seguridad" y asegrese de que se lee "
seguridad = anuncios ". El siguiente paso de configuracin
determina cmo Winbind asignar Windows principales de
seguridad, como usuarios y grupos a los identificadores de
Linux, y requiere una pequea explicacin ms.

El problema de asignacin de ID.

Hay un gran problema que he no ha mencionado an con
autenticacin de usuarios de Linux con Active Directory y es el
problema de las UID de usuarios y grupos. Internamente, ni
Linux Windows hacer referencia a los usuarios por su nombre
de usuario; en su lugar utilizan un identificador interno nico.
Windows utiliza el identificador de seguridad o SID, que es una
estructura de longitud variable que identifica inequvocamente
cada usuario dentro de un dominio de Windows. El SID
tambin contiene un identificador nico del dominio, para que
Windows pueda distinguir entre los usuarios en diferentes
dominios.
Linux tiene una cantidad combinacin ms sencilla. Cada
usuario en un equipo Linux tiene un UID que es simplemente
un entero de 32 bits. Pero el mbito de la UID est limitado en
el equipo s mismo. No hay ninguna garanta de que el usuario

con la UID 436 en un equipo Linux es el mismo que el usuario

con la UID 436 en otro equipo de Linux. Por lo tanto, un
usuario tendr para iniciar sesin en cada equipo que necesita
para tener acceso a, claramente no una situacin deseable.
Normalmente, los administradores de red de Linux solucionan
este problema proporcionando autenticacin de red con el
sistema de informacin de red (NIS) o un directorio compartido
de LDAP. El sistema de autenticacin de red proporciona la UID
para el usuario y todos los equipos Linux que utilizan ese
sistema de autenticacin compartan el mismo usuario y los
identificadores de grupo. En este caso, VOY a utilizar Active
Directory para proporcionar el usuario nico y los
identificadores de grupo.
Hay dos estrategias que puede utilizar para solucionar este
problema. La estrategia primer (y tambin ms obvia) es crear
un UID para cada usuario y grupo y almacenar ese
identificador con el objeto correspondiente en Active Directory.
Este modo, cuando un usuario se autentica Winbind, puede
buscar la UID para el usuario y proporcionarla a Linux como el
identificador del usuario interno. Winbind hace referencia a
esta combinacin como asignacin de ID de Active Directory o
idmap_ad. la figura 17 se muestra el proceso de asignacin
de ID de Active Directory.

En la figura 17 asignacin de ID de Active Directory (haga clic en la

imagen de una vista ms grande)
La desventaja nica asignacin de ID de Active Directory es
que se tiene que proporcionar un mecanismo para garantizar
que cada usuario y grupo tiene un identificador y que estos
identificadores son todos los nicos en el bosque. Para obtener
ms informacin, consulte la barra lateral, "Configuracin de
Directory Active para Directory Active ID de asignacin,".
Afortunadamente, hay otra estrategia de asignacin de ID que
tiene mucho menos sobrecarga administrativa. Recuerde que el
SID de Windows identifica el usuario dentro de un dominio, as
como del dominio propiamente dicho. La parte de los SID que
identifica el usuario en el dominio se denomina identificador

relativo o RID y es en realidad un entero de 32 bits. Por tanto,

Winbind puede simplemente extraer el RID el SID cuando el
usuario inicie sesin en y a continuacin, utilice el RID como la
UID interna nica. Winbind hace referencia a esta estrategia
como asignacin de RID o idmap_rid. figura 18 se muestra
cmo asignacin de RID funciona realmente.

Figura 18 RID asignacin (haga clic en la imagen de una vista ms

grande)
Asignacin de RID tiene la ventaja de cero sobrecarga
administrativa, pero no puede utilizar en un entorno con varios
dominios debido a de la probabilidad de que los usuarios de
diferentes dominios tener el mismo valor RID. Pero si tiene un
nico dominio de Active Directory, asignacin de RID es la
forma.
Para configurar la estrategia de asignacin Winbind ID,
modifique el archivo de /etc/samba/smb.conf nuevo y agregue
la lnea " idmap back-end = ad " utilizar la estrategia de
asignacin de Active Directory, o " idmap back-end = eliminar "
si desea utilizar la estrategia de asignacin de RID. Compruebe
que no hay otras lneas especificar la estrategia de asignacin
en el archivo.
Hay un par de otras opciones de configuracin que tenemos
que agregar al archivo smb.conf para Winbind. Aunque se ha
configurado PAM para crear el directorio principal para cada
usuario cuando inicien sesin en, necesitamos saber Winbind lo
que es el nombre de ese directorio principal. Nos ello, agregue
la lnea " plantilla homedir = /home/%U " para smb.conf
(consulte la figura 19 ). Esto indica Winbind que el directorio
principal para cada usuario que autentica mediante Active
Directory ser /home/ < nombre de usuario >. Asegrese de
crear el /home directorio con antelacin.

Figura 19 especificar el nombre del directorio principal (haga clic en

la imagen de una vista ms grande)

Unirse el dominio y registro en

Ahora que la red, PAM, NSS y Samba Winbind estn todos
configurados correctamente, es tiempo para unir el equipo
Linux al dominio. Esto se hace mediante el comando NET
Samba. En un smbolo del sistema de shell, ejecute "NET
anuncios combinacin U < nombre del administrador >".
Reemplazar < nombre del administrador > con el nombre de
una cuenta que tiene suficientes privilegios para unir un equipo
al dominio.
El comando net le pedir la contrasea del usuario. Si todo
funciona correctamente, el comando net unir el equipo al
dominio. Puede utilizar Active usuarios y equipos de Active
para buscar la cuenta de equipo recin creado.
Puede comprobar el estado de la combinacin con la
herramienta de prueba Winbind denominada wbinfo. Ejecucin
t wbinfo probar la relacin de confianza entre el equipo y el
dominio. Ejecucin u wbinfo muestra todos los usuarios del
dominio y wbinfo g muestra todos los grupos.

Si el equipo de Linux correctamente se une al dominio, el paso

siguiente es intentar iniciar sesin con una cuenta de usuario
de Active Directory y la contrasea. Cerrar el equipo de Linux,
sesin y utilizar un nombre de usuario de Active Directory. Si
todo funciona correctamente, podr iniciar sesin.

Configurar Active Directory para la asignacin de ID de

Active Directory

Esta informacin se aplica slo si est utilizando la asignacin

de ID de Active Directory. Si se ha decidido utilizar asignacin
de RID, no dude omitir esta barra lateral.
Antes de empezar a iniciar sesin en el servidor de red Hat
utilizando una cuenta de Active Directory, tendr que realizar
algunos cambios en Active Directory. En primer lugar, el
esquema de Active Directory tiene que dar cabida a los
atributos que Winbind utiliza para almacenar informacin de
usuario. Si est ejecutando Windows Server 2003 R2, el
esquema est preparado para ir. Si tiene una versin anterior
del esquema de Active Directory, tendr que ampliar mediante
el servicios de Microsoft para UNIX (SFU) de paquete.
Puede encontrar informacin en Servicios para UNIX en
TechNet . SFU tambin incluye una pgina de propiedades
adicionales para los usuarios de Active Directory y el equipos
Microsoft Management Console (MMC) complemento que
permite administrar el IDENTIFICADOR de usuario y el
informacin de ID de grupo que precisa de Linux.
Una vez el esquema est configurado correctamente, tiene que
proporcionar los identificadores de Linux para todos los
usuarios (y los grupos a los que son miembros) que puede
iniciar sesin en el equipo de Linux. Esto significa que tendr
que definir valores para los atributos uidNumber y gidNumber
de los usuarios y grupos que pueden iniciar sesin en los
equipos de Linux. Pero debe tener en cuenta algunos requisitos
para estos atributos:
1 Linux requiere un UID para cada usuario que autentica.
Porque desea administrar la informacin de usuario en
Active Directory, cada cuenta de usuario que iniciar una
sesin en un equipo Linux debe tener un atributo
uidNumber nico. El valor especfico que utilice para un
uidNumber no es importante, pero debe ser nico entre
todos los usuarios pueden iniciar sesin en el equipo de
Linux.

Cada usuario de Linux tambin debe tener un identificador

de grupo predeterminado, para cada usuario de Active
Directory que se iniciar una sesin en un equipo Linux
requiere un valor para el atributo gidNumber as. Este
valor no tiene que ser nico entre los usuarios, pero debe
identificar el grupo.
Cada grupo en Active Directory debe tener un valor nico
para el atributo gidNumber. En realidad, es ACEPTAR para
grupos de no tiene un valor para el atributo gidNumber,
pero Winbind espera, cuando autentica un usuario, que
cada grupo al que ese usuario es miembro tendr un valor
nico gidNumber. Es probablemente fcil slo asegrese
de que cada grupo tiene un valor nico gidNumber.
Winbind espera que cada usuario busca en Active
Directory es miembro del grupo Usuarios del dominio, por
lo que tambin espera que el grupo Usuarios del dominio
tiene un valor para el atributo gidNumber.

Qu ocurre si se no trabajar?
Configurar un equipo Linux para autenticar con Active Directory
uso Winbind no es un proyecto trivial. Existen gran cantidad de
piezas para configurar y muchas cosas que pueden ir mal. El
hecho de que todas las versiones de Linux y cada versin de
Samba es un poco diferentes no ayuda temas. Pero hay unas
cuantas de lugares que puede buscar para ayudar a determinar
lo que ocurre.
En primer lugar, hay el archivo de registro de sistema Linux,
que se mantiene en var y registro y los mensajes. SAMBA
colocar los mensajes de este archivo de eventos importantes,
como los archivos que faltan o configuracin incorrecta. En
adems el archivo de registro del sistema, hay tambin los
archivos de registro para Samba y Winbind. Puede encontrar
en var y registro y samba, y se proporcionan, con cierta
informacin adicional.
Se puede aumentar el detalle (y el volumen) de los mensajes
del registro emitidos por Winbind mediante la modificacin de
su secuencia de comandos de inicio para establecer el nivel de
depuracin. Modifique la secuencia de comandos de shell /etc/
init.d/winbind y agregue "-d 5" al comando winbindd. Esto
aumentar el nivel de depuracin a 5 (valores permitidos son
de 1 a 10), que har que winbind generar mensajes de error

ms detallados.
Si se obtiene Winbind, hasta como la comunicacin con un
controlador de dominio, puede ejecutar una utilidad de captura
de paquetes de red, como Netmon 3.1. Esto le permite analizar
exactamente lo que Winbind est intentando hacer. Y tambin
puede examinar el registro de seguridad de Windows en el
controlador de dominio, que se muestran los intentos de
autenticacin.

Ahora que funciona, qu tiene?

Si se ha logrado obtener todo para trabajar, ahora tiene la
capacidad de registrar en el sistema de Linux con las
credenciales que se conservan en Active Directory. Esto es una
enorme mejora sobre administracin de identidades localmente
en el equipo de Linux o mediante un sistema no seguro como
NIS. Permite centralizar la administracin de usuario en
almacn de identidades de una: Active Directory.
Pero hay una varias cosas que faltan para hacer que esta
solucin realmente til. En primer lugar, obtener soporte
tcnico es un poco de una operacin hit-or-miss. La mayora de
las organizaciones de Linux es un poco en la oscuridad cuando
lo que respecta a Active Directory, y la compatibilidad que se
puede obtener de la comunidad de Linux depende totalmente
que ocurre leer la entrada de blog y cmo siente ese da.
Tambin no hay herramientas de migracin o implementacin
con Samba. Si tiene cuentas existentes de Linux con sus
identificadores de usuario asociada y permisos, debe
asegurarse manualmente de que mantiene su UID al migrar a
Active Directory.
No Finalmente, una de las aplicaciones ms importantes de
Active Directory, directiva de grupo, est todava disponible en
SAMBA, aunque est en el funcionamiento. Aunque puede
combinar un sistema de Linux con Active Directory con Samba,
no puede administrar mediante Directiva de grupo.

Soluciones de terceros
Autenticar equipos de Linux con Active Directory es claramente
A Thing vlida, pero distribuir su propia solucin utilizando
Samba Winbind es tedioso si no completamente dolorosa. Se
piensa algunos proveedores de software innovadores podran
paso hacia arriba con una solucin ms fcil de utilizar, y sera

derecho.
Hay cuatro proveedores de software comercial que han
desarrollado versiones fcil de instalacin de y de uso de lo que
ha demostrado en este artculo. Ofrecer el cdigo y
herramientas de migracin para prcticamente cada versin
popular de Apple Macintosh, UNIX y Linux, as como
compatibilidad para administracin de equipos de Linux
mediante la directiva de grupo.
Las compaas a las cuatro son Centrify , Software de forma
similar , Quest Software y Symark . Todos los proveedores de
cuatro proporcionan funcionalidad similar, incluidas la
administracin de directivas de grupo, a travs de una gran
variedad de las distribuciones de Linux. Software Likewise
recientemente ha originado abierto su implementacin,
denominado Abrir Asimismo, aunque su componente de
directiva de grupo sigue siendo un producto comercial. Del
mismo modo abrir estarn disponible con varias distribuciones
de Linux principales. (Total revelacin: mientras que en el
proceso de escritura Quest Software adquiri este artculo, mi
compaa, NetPro,.)
Sentido para crear su propio sistema de autenticacin
mediante Samba y Winbind cuando hay comerciales las
opciones disponibles? Si spending dinero en integracin de
software no est en la cotizacin, a continuacin, pasar la ruta
de cdigo abierto con Samba tiene la ventaja de estar
disponible. Tambin obtendr todos los el cdigo fuente, que
puede ser una ventaja atractiva. Pero migrar Linux existente
mquinas y su UID existentes es un problema muy difcil.
Por otro lado, si desea ahorrar tiempo de instalacin e
implementacin, tengan existente Linux que necesita migrar, o
en su lugar tendr alguien llama a para obtener una respuesta
autorizada a su pregunta, entonces la desproteccin de una de
las soluciones comerciales, tiene sentido. Y si necesita
administracin de directivas de grupo, a continuacin, la
alternativa comercial es la nica opcin.
Pero cualquier forma vaya, integrar la autenticacin de Linux
con Active Directory reduce el esfuerzo dedicado a administrar
varias cuentas de usuario, mejora la seguridad del sistema y le
proporcionar un almacn de identidades nico para
administrar y de auditora. Y stos son todos los motivos muy
atractivas para Anmese a intentarlo.

aa