autenticacion windows+linux

7/24/2019 Autenticacion windows+linux

1/29

Autenticar los clientes de

Linux con Active DirectoryGil Kirkpatrick

EN RESUMEN: Cmo funciona la autenticacin en Windows y Linux Utilizar Samba y Winbind Las estrategias de implementacin Recorrido a travs de la integrationItem de Linux a Active

Directory

ApplyClick with current id ContenidoAutenticacin de WindowsAutenticacin de LinuxSAMBA y WinbindTres estrategias de autenticacinNuestro plan de implementacinBuscar el software derechoSAMBA de creacinConfiguracin de red Linux

Configurar la sincronizacin de hora de LinuxConfigurar PAM y NSSInstalar y configurar SambaEl problema de asignacin de ID.Unirse el dominio y registro enQu ocurre si se no trabajar?Ahora que funciona, qu tiene?Soluciones de terceros

Autenticacin de WindowsWindows se pens durante baste tiempo como el nico sistemade autenticacin de red integrada y de inicio de sesin hastaahora. Antes de Windows 2000, Windows controladores de NTde dominio (DC) proporcionan servicios de autenticacin paraclientes de Windows mediante el protocolo de NT LAN Manager(NTLM). Aunque NTLM no era tan seguro como seoriginalmente se consider, es muy til porque se resuelveclaramente el problema de la necesidad de mantener cuentas

de usuario duplicados en mltiples servidores de la red.A partir de Windows 2000, Microsoft migr de NTLM a Active


2/29

Directory y sus servicios integrados de autenticacin Kerberos.Kerberos era mucho ms seguro que NTLM, y escala mejor,demasiado. Y Kerberos era un estndar del sector ya utilizasistemas Linux y UNIX, que abre la puerta a integrar esas

plataformas Windows.

Autenticacin de LinuxOriginalmente, Linux (y las GNU herramientas y las bibliotecasque se ejecutarn en l) no se cre con un mecanismo deautenticacin nico en mente. Como consecuencia de esto, losprogramadores de aplicaciones de Linux suelen tard en crearsu propio esquema de autenticacin. Administra para ello porbuscar los nombres y algoritmos hash de contrasea en/etc /

passwd (las texto tradicional archivo contenedor Linuxcredenciales de usuario) o proporcionar un mecanismototalmente diferente (e independiente).La gran cantidad resultante de mecanismos de autenticacinera difcil de administrar. En 1995, Sun propone un mecanismodenominado mdulos de autenticacin conectable (PAM). PAMproporciona un conjunto comn de autenticacin de las API quepodra utilizar todos los desarrolladores de aplicaciones, juntocon un servidor configurado por el administrador acabar que

permitido para varios esquemas de autenticacin "conectabley". Mediante las API PAM para la autenticacin y el nombre deservidor cambiar (NSS) las API para buscar informacin delusuario, los programadores de aplicaciones de Linux podraescribir menos cdigo y los administradores de Linux podratener un nico lugar para configurar y administrar el procesode autenticacin.La mayora de los distribuciones de Linux se suministran convarios mdulos de autenticacin PAM, incluidos los mdulos

que admiten la autenticacin a un directorio LDAP y laautenticacin mediante Kerberos. Puede utilizar estos mdulospara autenticarse en Active Directory, pero hay algunaslimitaciones importantes, como explicar ms adelante en esteartculo.

SAMBA y WinbindSAMBA es un proyecto de cdigo abierto que pretendeproporcionar integracin entre entornos de Windows y Linux.

SAMBA contiene componentes que otorgan acceso de equipos
http://samba.org/


3/29

de Linux a archivos de Windows y servicios de impresin, ytambin proporcionan servicios bsicos de Linux que emulanlos controladores de dominio de Windows NT 4.0. Mediante loscomponentes de cliente Samba, los equipos Linux pueden

sacar partido de servicios de autenticacin de Windowsproporcionados por Windows NT y controladores de dominioActive Directory.La parte concreta de Samba que resulte ms interesante quenos para este proyecto se denomina Winbind. Winbind es undemonio (servicio en la terminologa de Windows) que seejecuta en los clientes de Samba y acta como un proxy parala comunicacin entre PAM y NSS ejecutando en el equipo deLinux y que se ejecutan en un controlador de dominio de Active

Directory. En concreto, Winbind utiliza Kerberos paraautenticarse con Active Directory y LDAP para recuperarinformacin de usuario y de grupo. Winbind tambinproporciona servicios adicionales, como la capacidad de ubicarcontroladores de dominio mediante un algoritmo similar a laDCLOCATOR en Active Directory y la capacidad de restablecerlas contraseas de Active Directory con la comunicacin con uncontrolador de dominio mediante RPC.Winbind resuelve unos pocos problemas que simplemente

mediante Kerberos con PAM no. En concreto, en lugar de difcilde codificar un controlador de dominio para autenticarse en laforma que hace el mdulo Kerberos PAM, Winbind seleccionaun controlador de dominio al buscar los registros de localizadoDNS similar a la forma en que el mdulo de DCLOCATOR decontrolador de dominio de Microsoft.

Tres estrategias de autenticacinDada la disponibilidad de LDAP, Kerberos y Winbind en equipos

de Linux, hay tres estrategias de implementacin diferente quese pueden emplear para permitir que nuestro equipo Linuxutilice Active Directory para la autenticacin.utilizar la autenticacin LDAP La forma ms sencilla, pero menossatisfactoria de usar Active Directory para la autenticacin esconfigurar PAM va a utilizar la autenticacin LDAP, como semuestra en la figura 1 . Aunque Active Directory es un serviciode LDAPv3, los clientes de Windows utilice Kerberos (con larecuperacin tras error en NTLM), no LDAP, para propsitos de

autenticacin.


4/29

La autenticacin LDAP (denominada enlace LDAP) pasa elnombre de usuario y la contrasea en texto sin cifrar a travsde la red. Esto es inseguro y inaceptable para la mayora de lospropsitos.

La figura 1 Authenticating a Active Directory mediante LDAP (hagaclic en la imagen de una vista ms grande)

La nica forma mitigar este riesgo de pasar las credenciales enel cifrado es cifrar el canal de comunicacin de Active Directorycliente con algo como SSL. Aunque esto es sin duda es factible,impone la carga adicional de administracin de los certificadosSSL en el controlador de dominio y en el equipo de Linux.Adems, mediante el LDAP PAM mdulo no es compatible concambiar restablece o haba caducado la contrasea.con LDAP y Kerberos Otra estrategia para aprovechar ActiveDirectory para la autenticacin de Linux consiste en configurarPAM para utilizar la autenticacin Kerberos y NSS utilizar LDAPpara buscar el usuario e informacin de grupo, tal como semuestra en la figura 2 . Este esquema tiene la ventaja de serrelativamente ms seguro, y aprovecha las funciones "en el decuadro" de Linux. Pero no aprovechar los registros de ubicacinDNS de servicio (SRV) que publicar controladores de dominioActive Directory, por lo que estn obligados a seleccionar unconjunto especfico de controladores de dominio paraautenticar. Tambin no proporcionan una forma muy intuitivade administracin de caducidad de contraseas de ActiveDirectory o, hasta hace poco tiempo, para las bsquedas depertenencia al grupo adecuado.


5/29

La Figura 2 Authenticating a Active Directory mediante LDAP yKerberos (haga clic en la imagen de una vista ms grande)

utilizar Winbind La tercera forma de usar Active Directory parala autenticacin de Linux consiste en configurar PAM y NSSrealizar llamadas al demonio Winbind. Winbind se traducen lasPAM diferente y NSS solicitudes en las llamadas de ActiveDirectory correspondientes, mediante LDAP, Kerberos o RPC,segn con qu es ms apropiado. la figura 3 muestra estaestrategia.

La figura 3 Authenticating a Active Directory mediante Winbind(haga clic en la imagen de una vista ms grande)

Nuestro plan de implementacinCausa de la integracin mejorada con Active Directory, optadopor utilizar Winbind en red Hat empresa Linux 5 (RHEL5) parami proyecto de integracin de Linux a Active Directory. RHEL5es la versin actual de la distribucin Red Hat Linux comercial,y es muy popular en centros de datos de empresa.Obtener RHEL5 para autenticarse en Active Directory

bsicamente requiere cinco pasos independientes, lossiguientes:


6/29

1 Busque y descargue el Samba apropiado y otroscomponentes dependientes.

2 Crear Samba.3 Instale y configure Samba.

4 Configurar Linux, concretamente PAM y NSS.5 Configurar Active Directory.

Las secciones de algunas siguientes en este artculo describenestos pasos con ms detalle.

Buscar el software correctoUna de las principales diferencias entre Windows y Linux radicaen que Linux se basa en de un kernel de sistema operativopequeo y una enorme coleccin de componentes descargables

por separado e instalables. Esto hace posible crear unaconfiguracin muy especifica de Linux optimizada paradeterminadas tareas, pero tambin pueden realizarconfiguracin y administracin de un servidor muy complicado.Distintas distribuciones controlan esto de diferentes maneras.Red Hat (y su primo no comercial Fedora) utiliza eladministrador de red de paquete Hat (RPM) para instalar yadministrar estos componentes.Los componentes de Linux para Red Hat trabajan de dos

maneras. Archivos RPM que contienen archivos binarios quehan sido precompilados y creados para una combinacinespecfica de versin del componente, distribucin de Linux yarquitectura de CPU. Por lo que puede descargar y instalar, porejemplo, la versin 1.3.8-5 del Common UNIX impresin delsistema (CUPS) creado para Fedora versin 10 que se ejecutanen una arquitectura de Intel x 86 CPU. Dado que hay unadocena diferentes arquitecturas de CPU, ms de 100 lasdistribuciones de Linux y miles de paquetes y las versiones,

puede ver que hay un nmero increble de RPMs binarias entrelos que elegir.Por otro lado los archivos RPM del origen, contienen el cdigofuente real para un determinado paquete. La expectativa esque se descargue y instalar las fuentes, configurar las opcionesde generacin y compilar y vincular los archivos binarios. Laidea de crear sus propios componentes del sistema operativoes complicado para un chico de Windows utilizado para instalarlo que Microsoft proporciona en el CD de instalacin de

Windows, pero el administrador de paquete simplifica el


7/29

proceso bastante sencillo y confiable es sorprendente. El grupoSamba libera actualizaciones y revisiones de seguridad a unritmo furious; en julio y agosto de 2008 por s solos, haycuatro versiones de Samba 3.2, con un total de ms de 100

correcciones de errores y seguridad. Para este proyecto,descargan los orgenes de la ltima versin estable de Samba,versin 3.0.31.Por qu se ha descargar los orgenes de Samba en lugar de unconjunto precompilado de archivos binarios? Ciertamente, esofue lo que intent hacer en primer lugar. Lo que descubrendespus de muchas horas con un depurador era que no se hancreado los archivos binarios que descargan con las opcionescorrectas para admitir la autenticacin de Active Directory. En

concreto, el cdigo que admite la asignacin de ID de Linux enActive Directory se ha desactivado en las generacionespredeterminada; por lo que tuve que reconstruir Samba con lasopciones de generacin correspondiente. Hablar ms sobre laasignacin de IDENTIFICADOR ms adelante en este artculo.Aunque Linux nativa es un ncleo pequeo, la distribucin RedHat empresarial incluye muchos paquetes preinstalados.Normalmente esto, vida mucho ms fcil porque empieza conun sistema de operativo completo de trabajo, pero los

paquetes que estn preinstalados en ocasiones, en conflictocon software que desea instalar ms tarde.No inclua Samba cuando instal Red Hat (normalmente Sambase instala de forma predeterminada) ya que quera utilizar unaversin ms actual. Sin embargo, la versin ms reciente deSamba requiere nuevas versiones de varias otras bibliotecas yutilidades que ya se han instalado. Este tipo de problemas dedependencia es bastante molesta, pero se resuelve fcilmentemediante el RPM.

Hay muchos sitios de Web que los paquetes RPM binario dehost. El uno que he usado (por ninguna otra razn que era elencontr primero de ellos) se denomina PBONE, ubicado enrpm.pbone. NET. Tiene una forma cmoda de buscar paquetesy tena todos los archivos binarios que necesitan para laarquitectura de CPU (i386) y distribucin de sistema operativo(red Hat empresa Linux 5/Fedora 7 y 8).Tuve que descargar y actualizar los paquetes listados en lafigura 4 para crear e instalar la ltima versin 3.0 de Samba

(no hay un rbol versin 3.2 incluso posterior que no ha


8/29

intentado). Tenga en cuenta que estos paquetes destino ladistribucin principales Fedora (fc). Red Hat se basa en losorgenes mismos Fedora utiliza y completamente puedeinteroperar con l. Los paquetes integrados para Fedora

principales 7 y versiones posteriores se ejecutarn en RHEL5con ninguna modificacin. Colocar los archivos RPMdescargados en el directorio / usr/src/REDHAT/RPMS.ApplyClick with current id La figura 4 paquetes necesarios paracrear y instalar Samba 3.0.31

SAMBA-3.031-0.fc8.src.rpm

Origen Samba 3.0.31 RPM

gnutls1.6.3-3.fc7.i386

Las bibliotecas de seguridad de nivel detransporte (TLS) GNU

gnutils-devel-1.6.3-3.fc7.i386

Los archivos de desarrollo de GNU TLS

popt-1.12-3.fc8.i386Argumento de lnea de comandos anlisis debibliotecas

popt-devel-1.12-3.fc8.i386

Argumento de lnea de comandos analizar losarchivos de desarrollo

cups-

libs-1.2.12-11.fc7.i386

Bibliotecas de sistema de impresora de UNIX

comunes

cups-devel-1.2.12-11.fc7.i386

Archivos comunes de desarrollo del sistema deimpresora de UNIX

cups-1.2.12.11.fc7.i386

Binarios del sistema de impresora de UNIXcomunes

SAMBA de creacin

El primer paso en la creacin de Samba es para descargar elorigen adecuado RPM. El origen de RPM haba descargada paraSamba 3.0.31 desde el sitio PBONE. Colocar a continuacin, elarchivo RPM de cdigo fuente descargados en / usr/src/REDHAT/SRPMS; esto es el directorio estndar de origen RPMsdurante el proceso de generacin.Abrir una sesin de terminal (lnea de comandos de ventana enla terminologa de Windows) y desplazarse a la carpeta SRPMS.Una vez hecho, instale el paquete de origen utilizando el

comando, tal como se muestra en la figura 5 .


9/29

La figura 5 instalar el origen de Samba RPM (haga clic en la imagende una vista ms grande)

Si aparece la advertencia de error " mockbuild de usuario noexiste, el uso de raz, " no se preocupe. Este error indica queno estn instaladas las herramientas de generacin desimulacro. El proceso de generacin funcionar sin ellos.

A continuacin, mueva al directorio / usr/src/REDHAT/ESPECIFICACIONES y editar el archivo SAMBA.SPEC, quecontiene las opciones de generacin Samba. Busque la lneaque empieza con " CFLAGS = " y asegrese de que la opcin"--con-compartido de mdulos = idmap_ad, idmap_rid " estpresente. Esta opcin garantiza que el proceso de generacinincluye el cdigo que traduce las UID de Linux (identificadoresnicos) correctamente en Active Directory. la figura 6 muestraesta opcin.


10/29

Figura 6 el con-compartido de mdulos crear opcin (haga clic en laimagen de una vista ms grande)

A continuacin, quizs tenga que actualizar algunos de lasbibliotecas en el equipo para correctamente crear e instalarSamba; depende de qu versiones de las bibliotecas lo hizotener instalado. En mi caso, tuve que instalar los paqueteslistados en la figura 4 uso el rpm: comando de instalacin; enalgunos casos haba que usar la--opcin force que conseguirpasar algunos de los problemas de dependencia.Para generar Samba, mueva al directorio / usr/src/redhat yejecute el bb rpmbuild comando SPECS/samba.spec, tal comose muestra en la figura 7 . El proceso dejar un nuevo archivoRPM de samba-3.0.31-0.i386 en el directorio / usr/src/REDHAT/RPMS. Se instalar este archivo RPM ms adelante enel proyecto.


11/29

La figura 7 de crear el archivo RPM Samba binario (haga clic en laimagen de una vista ms grande)

Configuracin de red LinuxPara autenticar con Active Directory, el equipo Linux debe sercapaces de comunicarse con un controlador de dominio. Tiene

que configurar tres configuraciones de red para que estosuceda.En primer lugar, es importante para asegurarse de que lainterfaz de red para su equipo Linux est configuradacorrectamente, ya sea mediante Protocolo de configuracindinmica de host (DHCP) o asignacin una direccin IPadecuada y netmask mediante el comando ifconfig. BajoRHEL5, configurar la red seleccionando red en el sistema |administracin de men, tal como se muestra en la figura 8 .


12/29

Figura 8 configuracin de la red (haga clic en la imagen de una vistams grande)

A continuacin, compruebe que la resolucin de DNS para elequipo Linux est establecida para utilizar el mismo servidor denombre DNS que utilizan los controladores de dominio; en lamayora de los casos, esto es un controlador de dominio en eldominio al que desea unir el equipo de Linux, suponiendo queests utilizando DNS Active_Directory-integrated. Configurar laresolucin de DNS en la ficha DNS de la misma utilidad de

configuracin de red que utiliza para configurar la red, como semuestra en la figura 9 .


13/29

Figura 9 configuracin de la resolucin de DNS principal (haga clic

en la imagen de una vista ms grande)Por ltimo, una vez que haya completado estos pasos, debeestablecer el nombre de host del equipo Linux para reflejar sunombre en el dominio. Aunque puede establecer el nombre dehost mediante la aplicacin de configuracin de red, estoparece no siempre funciona correctamente.En su lugar, edite el /etc/hosts archivo directamente y agregaruna entrada por debajo de la entrada localhost.localdomain quetiene el formato < direccin ip > < nombre de host > .

(Un ejemplo sera " 10.7.5.2 rhel5.linuxauth.local linuxauth ".)Tenga en debe cuenta como que error al hacer esto seresultado en la creacin de un objeto de equipo incorrecto en eldirectorio despus de unir el equipo Linux al dominio.

Configurar la sincronizacin de hora de LinuxEl protocolo Kerberos es dependiente de los sistemas deautenticacin con los relojes que estn sincronizados dentro deun valor relativamente pequeo. De forma predeterminada,Active Directory permite un mximo tiempo sesgar de cinco


14/29

minutos. Para asegurarse de que los sistemas Linux y elsistema de los controladores de su dominio los relojes nomantenerse dentro de este valor, debe configurar sus sistemasLinux para utilizar el servicio Protocolo de tiempo de red (NTP)

de un controlador de dominio.A continuacin, en el servidor Linux, ejecute la utilidad defecha y hora desde el sistema | men de administracin y, acontinuacin, haz clic en la ficha Protocolo de tiempo de red.Active la casilla Habilitar el protocolo de tiempo de red y, acontinuacin, agregue la direccin IP del controlador dedominio que desea utilizar como un origen de hora de la red.Observe que normalmente, esto debe ser el controlador dedominio en el dominio que desempee la funcin Flexible

Single Master Operations (FSMO) de la emulador decontrolador (PDC, Primary Domain Controller) de dominioprincipal. Figura 10 es un ejemplo de cmo establecer elorigen de hora de red Linux.

Figura 10 configuracin el protocolo de tiempo de red (haga clic enla imagen de una vista ms grande)

Configurar PAM y NSS

PAM y NSS proporcionan el pegado entre una aplicacin deLinux, como el escritorio y Winbind. Al igual que muchos


15/29

servicios de Linux, configurar PAM y la NSS a travs dearchivos de texto. Veremos configurar PAM primero.PAM proporciona utilidades de relacionadas con autenticacinde cuatro a aplicaciones que la utilizan. La utilidad de

autenticacin permite que una aplicacin determinar quin estutilizando. La funcin cuenta proporciona cuenta funciones deadministracin que no estn especficamente relacionadas conautenticacin, como restriccin de tiempo de inicio de sesin.La utilidad de contrasea proporciona mecanismos parasolicitar y administracin de contraseas. La utilidad de sesinrealiza la configuracin del usuario de related y tareas tear-abajo para la aplicacin, tales como el registro o crear archivosen un directorio especfica del usuario.

PAM en red Hat almacena sus archivos de configuracin en eldirectorio /etc/pam.d, que contendr un archivo de texto paracada aplicacin que utiliza PAM para la autenticacin. Porejemplo, la /etc/pam.d/gdm archivo contiene la informacin deconfiguracin de PAM para Gnome escritorio el administrador(GDM), el entorno de ventana predeterminado de red Hat.Cada archivo de configuracin PAM contiene varias lneas, concada lnea de definir algunos aspectos del proceso deautenticacin PAM. Figura 11 muestra el contenido de la PAM

archivo de configuracin para GDM.

Figura 11 PAM archivo de configuracin para el administrador deescritorio de Gnome (haga clic en la imagen de una vista ms grande)


16/29

Cada entrada de un archivo de configuracin PAM tiene elformato < grupo de administracin > , donde < grupo de administracin >corresponde a la funcin de la entrada de configuracin

pertenece a: autenticacin, cuenta, contrasea o sesin. Laspalabras clave de control, que se describen en la figura 12 ,indican PAM cmo procesar la entrada de configuracin. Latercera columna del archivo contiene el nombre de unabiblioteca compartida PAM en el directorio /lib/security.Bibliotecas compartidas contienen cdigo ejecutable cargabledinmicamente, la similar a las DLL de Windows. Trminosadicionales despus del nombre del mdulo son parmetrosque PAM pasa a la biblioteca compartida.

ApplyClick with current id La figura 12 palabras clave de controlPAM

Palabraclave

Descripcin

Requerido

Si el mdulo se realiza correctamente, PAM continaevaluando las entradas restantes para el grupo deadministracin, y los resultados se determinarse por losresultados de los dems mdulos. Si falla el mdulo, PAMcontina evaluacin pero devolver un error a la aplicacin

que realiza la llamada.

Necesario

Si se realiza correctamente el mdulo, PAM continaevaluando las entradas de grupo de administracin. Si falla elmdulo, PAM devuelve en la aplicacin realiza la llamada conningn procesamiento adicional.

Suficiente

Si el mdulo se realiza correctamente, PAM devolver xito ala aplicacin que realiza la llamada. Si falla el mdulo, PAMsigue evaluacin, pero los resultados vendr determinadospor mdulos posteriores.

Opcional

A menos que sea el mdulo nico especificado para el grupode administracin, PAM omite los resultados del mdulo.

IncluirPAM incluye el contenido del archivo de configuracin PAM alque se hace referencia y procesa las entradas que contiene.

Puede ver que cada grupo de administracin tiene variasentradas. PAM procesa las entradas en orden mediante unallamada al mdulo con nombre. El mdulo, a continuacin,devuelve xito o fracaso, y PAM contina acuerdo con lapalabra clave de control.

Observar que el archivo de configuracin de PAM de GDMincluye autenticacin de sistema en todos sus grupos de


17/29

administracin. Se trata cmo PAM establece elcomportamiento de autenticacin predeterminado para GDM. Simodifica la autenticacin de sistema, puede modificar elcomportamiento de autenticacin para todas las aplicaciones

que incluyen el archivo de la autenticacin de sistema en susconfiguraciones PAM. En la figura 13 se muestra el archivo dela autenticacin de sistema predeterminado.

Figura 13 archivo de sistema de autenticacin de PAM (haga clic en

la imagen de una vista ms grande)El mdulo de nombre de servicio de conmutador (NSS) ocultalos detalles del sistema de almacenamiento de datos desde eldesarrollador de aplicaciones, en gran parte del mismo modoque PAM oculta los detalles de la autenticacin. NSS permite aladministrador especificar que se almacenan las bases de datosdel sistema de forma. En concreto, el administrador puedeespecificar cmo se almacena informacin de nombre deusuario y contrasea. Porque queremos que las aplicaciones

para buscar informacin de usuario en Active Directorymediante Winbind, tenemos que modificar el archivo deconfiguracin de NSS para mostrar.Red Hat incluye un pequeo subprograma grfico paraconfigurar PAM y NSS haba denominado configuracin desistema de autenticacin. Se encarga de ms (pero no todas)de los cambios necesita hacer en los archivos de autenticacinde sistema y nss.conf.Ejecutar la aplicacin de configuracin de sistema de

autenticacin y ver un cuadro de dilogo como la que se


18/29

muestra en la figura 14 . Active la opcin Winbind en tanto enla ficha informacin del usuario (que configura el archivonss.conf) y en la ficha autenticacin (que modifica el archivo desistema de autenticacin).

Figura 14 el dilogo de autenticacin de systemconfig

Haga clic en el botn Configurar Winbind y ver el cuadro dedilogo en la figura 15 . Especifique el nombre del dominioque desea que los usuarios autenticar en el campo dominioWinbind y seleccione "anuncios" como el modelo de seguridad.Escriba el nombre de dominio DNS del dominio de ActiveDirectory en el campo Winbind ADS territorio. En el campoWinbind los controladores de dominio, escriba el nombre de un

controlador de dominio desea autenticar con este sistema de


19/29

Linux o un asterisco, que indica que Winbind debe seleccionarun controlador de dominio consultando DNS los registros SRV.

Figura 15 configurar Winbind dilogo

Seleccione el shell de comandos predeterminado adecuado quedeben tener los usuarios de Active Directory; en este caso,

selecciona Bourne-nuevo revestimientos o BASH. No intente elbotn combinacin dominio en este momento. Se unirn elequipo en el dominio ms adelante.Hay un cambio adicional para realizar en el archivo /etc/pam.d/system-auth despus de que haya modificado para admitirWinbind. Cuando un usuario de Linux inicia sesin, el sistemarequiere que el usuario tiene un directorio principal. Eldirectorio principal contiene muchos preferencias especficasdel usuario y elementos de configuracin, al igual que el

registro de Windows. El problema es que porque va a crear losusuarios en Active Directory, Linux no se automticamenteCrear directorio particular del usuario. Afortunadamente, puedeconfigurar PAM para hacerlo como parte de su configuracin desesin.Abra el archivo /etc/pam.d/system-auth, a continuacin,desplcese hacia la parte inferior y insertar una lnea antes dela ltima lnea en la seccin de sesin que se lee " sesinmap_mkhomedir.so opcional skel = / etc/skel umask =

0644" (consulte la figura 16 ). Esta lnea configura PAM para


20/29

crear un directorio principal para un usuario si no existe uno.Utilizar el directorio/etc/skel como un "esquema" o la plantilla,y asignar la mscara de permisos 0644 (lectura y escriturapara lectura para todos los dems, propietario y de lectura

para el grupo primario) a la nueva carpeta.

Figura 16 creacin de un directorio principal para los usuarios(haga clic en la imagen de una vista ms grande)

Instalar y configurar SambaPara instalar los archivos binarios de Samba que acaba decrear, cambiar el directorio / usr/src/REDHAT/RPMS. Todos losarchivos RPM creados por el comando rpmbuild aparecern eneste directorio. Recuerde que Samba incluye los archivosbinarios que permiten un cliente de Linux tener acceso a unrecurso compartido de archivos Windows (o Samba), as comocdigo que permita un sistema de Linux para actuar como unservidor de archivos de Windows, un servidor de impresin de

Windows y un controlador de Windows NT 4.0 estilo.No necesitamos todo eso para permitir que Linux paraautenticarse en Active Directory; todo lo que necesitamosrealmente son los archivos comunes Samba y los binarios decliente Samba. Estos archivos se dividirn fuera fcilmente enarchivos RPM dos: samba-cliente-3.0.31-0.i386.rpm y samba-comn de 3.0.31-0.i386.rpm. Instalar los archivos RPMmediante la rpm: comando de instalacin. A continuacin semuestra un ejemplo: rpm--instalar samba-comn de

3.0.31-0.i386.rpm. (Tenga en cuenta que tendr que instalar


21/29

primero el archivo RPM common.)Una vez que ha instalado los binarios de cliente Samba, debemodificar la configuracin de Samba predeterminada paraasegurarse de que Winbind controla la autenticacin

correctamente con Active Directory. Toda la informacin deconfiguracin Samba (cliente y servidor) puede encontrarse enel archivo de texto smb.conf, que est en el directorio/etc /samba de manera predeterminada. Smb.conf puede contenerun nmero enorme de las opciones de configuracin, y unaexplicacin completa de su contenido se sale del mbito deeste artculo. El sitio Web de samba.org y las pginas de tipo "Man " Linux tratan smb.conf en algn detalle.El primer paso es configurar Winbind para utilizar Active

Directory para la autenticacin. Debe establecer el modelo deseguridad en smb.conf para "anuncios". La utilidad deconfiguracin de sistema de autenticacin debe ha estableceresto para usted ya, pero siempre es conveniente comprobar.Editar el archivo smb.conf y busque la seccin Opciones demiembros de dominio con la etiqueta. Busque la lnea quecomienza con "seguridad" y asegrese de que se lee "seguridad = anuncios ". El siguiente paso de configuracindetermina cmo Winbind asignar Windows principales de

seguridad, como usuarios y grupos a los identificadores deLinux, y requiere una pequea explicacin ms.

El problema de asignacin de ID.Hay un gran problema que he no ha mencionado an conautenticacin de usuarios de Linux con Active Directory y es elproblema de las UID de usuarios y grupos. Internamente, niLinux Windows hacer referencia a los usuarios por su nombrede usuario; en su lugar utilizan un identificador interno nico.

Windows utiliza el identificador de seguridad o SID, que es unaestructura de longitud variable que identifica inequvocamentecada usuario dentro de un dominio de Windows. El SIDtambin contiene un identificador nico del dominio, para queWindows pueda distinguir entre los usuarios en diferentesdominios.Linux tiene una cantidad combinacin ms sencilla. Cadausuario en un equipo Linux tiene un UID que es simplementeun entero de 32 bits. Pero el mbito de la UID est limitado en

el equipo s mismo. No hay ninguna garanta de que el usuario


22/29

con la UID 436 en un equipo Linux es el mismo que el usuariocon la UID 436 en otro equipo de Linux. Por lo tanto, unusuario tendr para iniciar sesin en cada equipo que necesitapara tener acceso a, claramente no una situacin deseable.

Normalmente, los administradores de red de Linux solucionaneste problema proporcionando autenticacin de red con elsistema de informacin de red (NIS) o un directorio compartidode LDAP. El sistema de autenticacin de red proporciona la UIDpara el usuario y todos los equipos Linux que utilizan esesistema de autenticacin compartan el mismo usuario y losidentificadores de grupo. En este caso, VOY a utilizar ActiveDirectory para proporcionar el usuario nico y losidentificadores de grupo.

Hay dos estrategias que puede utilizar para solucionar esteproblema. La estrategia primer (y tambin ms obvia) es crearun UID para cada usuario y grupo y almacenar eseidentificador con el objeto correspondiente en Active Directory.Este modo, cuando un usuario se autentica Winbind, puedebuscar la UID para el usuario y proporcionarla a Linux como elidentificador del usuario interno. Winbind hace referencia aesta combinacin como asignacin de ID de Active Directory oidmap_ad. la figura 17 se muestra el proceso de asignacin

de ID de Active Directory.

En la figura 17 asignacin de ID de Active Directory (haga clic en laimagen de una vista ms grande)

La desventaja nica asignacin de ID de Active Directory es

que se tiene que proporcionar un mecanismo para garantizarque cada usuario y grupo tiene un identificador y que estosidentificadores son todos los nicos en el bosque. Para obtenerms informacin, consulte la barra lateral, "Configuracin deDirectory Active para Directory Active ID de asignacin,".Afortunadamente, hay otra estrategia de asignacin de ID quetiene mucho menos sobrecarga administrativa. Recuerde que elSID de Windows identifica el usuario dentro de un dominio, ascomo del dominio propiamente dicho. La parte de los SID queidentifica el usuario en el dominio se denomina identificador


23/29

relativo o RID y es en realidad un entero de 32 bits. Por tanto,Winbind puede simplemente extraer el RID el SID cuando elusuario inicie sesin en y a continuacin, utilice el RID como laUID interna nica. Winbind hace referencia a esta estrategia

como asignacin de RID o idmap_rid. figura 18 se muestracmo asignacin de RID funciona realmente.

Figura 18 RID asignacin (haga clic en la imagen de una vista msgrande)

Asignacin de RID tiene la ventaja de cero sobrecargaadministrativa, pero no puede utilizar en un entorno con variosdominios debido a de la probabilidad de que los usuarios dediferentes dominios tener el mismo valor RID. Pero si tiene unnico dominio de Active Directory, asignacin de RID es laforma.Para configurar la estrategia de asignacin Winbind ID,modifique el archivo de /etc/samba/smb.conf nuevo y agreguela lnea " idmap back-end = ad " utilizar la estrategia de

asignacin de Active Directory, o " idmap back-end = eliminar "si desea utilizar la estrategia de asignacin de RID. Compruebeque no hay otras lneas especificar la estrategia de asignacinen el archivo.Hay un par de otras opciones de configuracin que tenemosque agregar al archivo smb.conf para Winbind. Aunque se haconfigurado PAM para crear el directorio principal para cadausuario cuando inicien sesin en, necesitamos saber Winbind loque es el nombre de ese directorio principal. Nos ello, agregue

la lnea " plantilla homedir = /home/%U " para smb.conf(consulte la figura 19 ). Esto indica Winbind que el directorioprincipal para cada usuario que autentica mediante ActiveDirectory ser /home/ < nombre de usuario >. Asegrese decrear el /home directorio con antelacin.


24/29

Figura 19 especificar el nombre del directorio principal (haga clic en

la imagen de una vista ms grande)

Unirse el dominio y registro enAhora que la red, PAM, NSS y Samba Winbind estn todosconfigurados correctamente, es tiempo para unir el equipoLinux al dominio. Esto se hace mediante el comando NETSamba. En un smbolo del sistema de shell, ejecute "NETanuncios combinacin U < nombre del administrador >".Reemplazar < nombre del administrador > con el nombre de

una cuenta que tiene suficientes privilegios para unir un equipoal dominio.El comando net le pedir la contrasea del usuario. Si todofunciona correctamente, el comando net unir el equipo aldominio. Puede utilizar Active usuarios y equipos de Activepara buscar la cuenta de equipo recin creado.Puede comprobar el estado de la combinacin con laherramienta de prueba Winbind denominada wbinfo. Ejecucint wbinfo probar la relacin de confianza entre el equipo y el

dominio. Ejecucin u wbinfo muestra todos los usuarios deldominio y wbinfo g muestra todos los grupos.


25/29

Si el equipo de Linux correctamente se une al dominio, el pasosiguiente es intentar iniciar sesin con una cuenta de usuariode Active Directory y la contrasea. Cerrar el equipo de Linux,sesin y utilizar un nombre de usuario de Active Directory. Si

todo funciona correctamente, podr iniciar sesin.Configurar Active Directory para la asignacin de ID deActive DirectoryEsta informacin se aplica slo si est utilizando la asignacinde ID de Active Directory. Si se ha decidido utilizar asignacinde RID, no dude omitir esta barra lateral.Antes de empezar a iniciar sesin en el servidor de red Hatutilizando una cuenta de Active Directory, tendr que realizaralgunos cambios en Active Directory. En primer lugar, elesquema de Active Directory tiene que dar cabida a losatributos que Winbind utiliza para almacenar informacin deusuario. Si est ejecutando Windows Server 2003 R2, elesquema est preparado para ir. Si tiene una versin anteriordel esquema de Active Directory, tendr que ampliar medianteel servicios de Microsoft para UNIX (SFU) de paquete.Puede encontrar informacin en Servicios para UNIX enTechNet . SFU tambin incluye una pgina de propiedadesadicionales para los usuarios de Active Directory y el equiposMicrosoft Management Console (MMC) complemento quepermite administrar el IDENTIFICADOR de usuario y elinformacin de ID de grupo que precisa de Linux.Una vez el esquema est configurado correctamente, tiene queproporcionar los identificadores de Linux para todos losusuarios (y los grupos a los que son miembros) que puedeiniciar sesin en el equipo de Linux. Esto significa que tendrque definir valores para los atributos uidNumber y gidNumber

de los usuarios y grupos que pueden iniciar sesin en losequipos de Linux. Pero debe tener en cuenta algunos requisitospara estos atributos:

1 Linux requiere un UID para cada usuario que autentica.Porque desea administrar la informacin de usuario enActive Directory, cada cuenta de usuario que iniciar unasesin en un equipo Linux debe tener un atributouidNumber nico. El valor especfico que utilice para unuidNumber no es importante, pero debe ser nico entre

todos los usuarios pueden iniciar sesin en el equipo deLinux.
http://technet.microsoft.com/interopmigration/bb380242.aspxhttp://technet.microsoft.com/interopmigration/bb380242.aspx


26/29

2 Cada usuario de Linux tambin debe tener un identificadorde grupo predeterminado, para cada usuario de ActiveDirectory que se iniciar una sesin en un equipo Linuxrequiere un valor para el atributo gidNumber as. Este

valor no tiene que ser nico entre los usuarios, pero debeidentificar el grupo.

3 Cada grupo en Active Directory debe tener un valor nicopara el atributo gidNumber. En realidad, es ACEPTAR paragrupos de no tiene un valor para el atributo gidNumber,pero Winbind espera, cuando autentica un usuario, quecada grupo al que ese usuario es miembro tendr un valornico gidNumber. Es probablemente fcil slo asegresede que cada grupo tiene un valor nico gidNumber.

4 Winbind espera que cada usuario busca en ActiveDirectory es miembro del grupo Usuarios del dominio, porlo que tambin espera que el grupo Usuarios del dominiotiene un valor para el atributo gidNumber.

Qu ocurre si se no trabajar?Configurar un equipo Linux para autenticar con Active Directoryuso Winbind no es un proyecto trivial. Existen gran cantidad depiezas para configurar y muchas cosas que pueden ir mal. El

hecho de que todas las versiones de Linux y cada versin deSamba es un poco diferentes no ayuda temas. Pero hay unascuantas de lugares que puede buscar para ayudar a determinarlo que ocurre.En primer lugar, hay el archivo de registro de sistema Linux,que se mantiene en var y registro y los mensajes. SAMBAcolocar los mensajes de este archivo de eventos importantes,como los archivos que faltan o configuracin incorrecta. Enadems el archivo de registro del sistema, hay tambin los

archivos de registro para Samba y Winbind. Puede encontraren var y registro y samba, y se proporcionan, con ciertainformacin adicional.Se puede aumentar el detalle (y el volumen) de los mensajesdel registro emitidos por Winbind mediante la modificacin desu secuencia de comandos de inicio para establecer el nivel dedepuracin. Modifique la secuencia de comandos de shell /etc/init.d/winbind y agregue "-d 5" al comando winbindd. Estoaumentar el nivel de depuracin a 5 (valores permitidos son

de 1 a 10), que har que winbind generar mensajes de error


27/29

ms detallados.Si se obtiene Winbind, hasta como la comunicacin con uncontrolador de dominio, puede ejecutar una utilidad de capturade paquetes de red, como Netmon 3.1. Esto le permite analizar

exactamente lo que Winbind est intentando hacer. Y tambinpuede examinar el registro de seguridad de Windows en elcontrolador de dominio, que se muestran los intentos deautenticacin.

Ahora que funciona, qu tiene?Si se ha logrado obtener todo para trabajar, ahora tiene lacapacidad de registrar en el sistema de Linux con lascredenciales que se conservan en Active Directory. Esto es una

enorme mejora sobre administracin de identidades localmenteen el equipo de Linux o mediante un sistema no seguro comoNIS. Permite centralizar la administracin de usuario enalmacn de identidades de una: Active Directory.Pero hay una varias cosas que faltan para hacer que estasolucin realmente til. En primer lugar, obtener soportetcnico es un poco de una operacin hit-or-miss. La mayora delas organizaciones de Linux es un poco en la oscuridad cuandolo que respecta a Active Directory, y la compatibilidad que se

puede obtener de la comunidad de Linux depende totalmenteque ocurre leer la entrada de blog y cmo siente ese da.Tambin no hay herramientas de migracin o implementacincon Samba. Si tiene cuentas existentes de Linux con susidentificadores de usuario asociada y permisos, debeasegurarse manualmente de que mantiene su UID al migrar aActive Directory.No Finalmente, una de las aplicaciones ms importantes deActive Directory, directiva de grupo, est todava disponible en

SAMBA, aunque est en el funcionamiento. Aunque puedecombinar un sistema de Linux con Active Directory con Samba,no puede administrar mediante Directiva de grupo.

Soluciones de tercerosAutenticar equipos de Linux con Active Directory es claramenteA Thing vlida, pero distribuir su propia solucin utilizandoSamba Winbind es tedioso si no completamente dolorosa. Sepiensa algunos proveedores de software innovadores podran

paso hacia arriba con una solucin ms fcil de utilizar, y sera


28/29

derecho.Hay cuatro proveedores de software comercial que handesarrollado versiones fcil de instalacin de y de uso de lo queha demostrado en este artculo. Ofrecer el cdigo y

herramientas de migracin para prcticamente cada versinpopular de Apple Macintosh, UNIX y Linux, as comocompatibilidad para administracin de equipos de Linuxmediante la directiva de grupo.Las compaas a las cuatro son Centrify , Software de formasimilar , Quest Software y Symark . Todos los proveedores decuatro proporcionan funcionalidad similar, incluidas laadministracin de directivas de grupo, a travs de una granvariedad de las distribuciones de Linux. Software Likewise

recientemente ha originado abierto su implementacin,denominado Abrir Asimismo, aunque su componente dedirectiva de grupo sigue siendo un producto comercial. Delmismo modo abrir estarn disponible con varias distribucionesde Linux principales. (Total revelacin: mientras que en elproceso de escritura Quest Software adquiri este artculo, micompaa, NetPro,.)Sentido para crear su propio sistema de autenticacinmediante Samba y Winbind cuando hay comerciales las

opciones disponibles? Si spending dinero en integracin desoftware no est en la cotizacin, a continuacin, pasar la rutade cdigo abierto con Samba tiene la ventaja de estardisponible. Tambin obtendr todos los el cdigo fuente, quepuede ser una ventaja atractiva. Pero migrar Linux existentemquinas y su UID existentes es un problema muy difcil.Por otro lado, si desea ahorrar tiempo de instalacin eimplementacin, tengan existente Linux que necesita migrar, oen su lugar tendr alguien llama a para obtener una respuesta

autorizada a su pregunta, entonces la desproteccin de una delas soluciones comerciales, tiene sentido. Y si necesitaadministracin de directivas de grupo, a continuacin, laalternativa comercial es la nica opcin.Pero cualquier forma vaya, integrar la autenticacin de Linuxcon Active Directory reduce el esfuerzo dedicado a administrarvarias cuentas de usuario, mejora la seguridad del sistema y leproporcionar un almacn de identidades nico paraadministrar y de auditora. Y stos son todos los motivos muy

atractivas para Anmese a intentarlo.
http://symark.com/http://quest.com/http://likewisesoftware.com/http://likewisesoftware.com/http://centrify.com/


29/29

aa

autenticacion windows+linux

Documents