“Año de la Integración Nacional y el Reconocimiento de Nuestra Diversidad“

Universidad Nacional de la Amazonia

Peruana

Asignatura : Ingeniería de software II

Trabajo : Servidores de 3 Capas

Docente : Ing.Carlos Avalos Ruiz

Alumno : Garcia Panduro Ricardo Valentin

Guarniz Tuanama Adrian David
Liclan Reategui Carlos Alberto
Tamani Huanuyri Marlo Miguel
Del Aguila Julon Jualiana
Rodriguez Rios Charles Darwin

IQUITOS – PERU
2012
Lo primero es instalar los programas necesarios:

sudo apt-get install winbind samba krb5-user libpam-mount

Durante la configuración postinstalación se pide el nombre del reino predeterminado. Se introducirá

en mayúsculas el nombre del dominio. Según versión también preguntará el servidor de kerberos y
el servidor administrativo, que corresponden a la máquina del servidor de dominio Windows
servidor.MIDOMINIO.COM.

Los datos anteriores se guardan en el archivo /etc/krb5.cnf. En caso de que no se pregunten en la

postinstalación, habrá que editar dicho archivo e introducirlo manualmente en cada una de las
secciones siguientes. En cualquier caso, puede confirmarse que los datos son correctos:
[libdefaults]
default_realm =PERIKITOZ.NET

[realms]
PERIKITOZ.NET = {
kdc = servidor.PERIKITOZ.NET
admin_server = servidor.PERIKITOZ.NET
default_domain = PERIKITOZ.NET
}

[domain_realm]
.perikitoz.net = PERIKITOZ.NET
perikitoz.net = PERIKITOZ.NET

En la configuración de la interfaz de red hay que indicar el dominio de búsqueda. Si se usa

NetworkManager se indicará gráficamente en la pestaña Ajustes de IPV4, pero si se trata de un
servidor sin entorno de escritorio instalado, se editará /etc/resolv.conf y se añadirá la IP del servidor
DNS si no estuviera ya indicado (puede ser distinto al servidor Windows), y el dominio de
búsqueda:
domain perikitoz.net
search perikitoz.net
nameserver 192.168.1.2

Se indica también el nombre y dirección IP en la red de la máquina propia en /etc/hosts:

127.0.1.1 ubuntu
192.168.1.29 ubuntu ubuntu.midominio.com

En un directorio Windows es muy importante la sincronización horaria debido a la autenticación por

kerberos, por lo que hay que configurar como servidor horario el mismo servidor que tenga el
servidor de dominio, o al propio servidor de dominio. Se edita /etc/default/ntpdate:
NTPSERVERS="servidor.perikitoz.net"
NTPOPTIONS="-u"

La segunda opción evita usar puertos privilegiados.

Ya está preparada la configuración básica. Vamos a empezar a tocar la de Samba, que se ha de

configurar como cliente de ADS.
Primero es recomendable hacer un respaldo del archivo original para evitar problemas y como
referencia, ya que es una buena fuente de información sobre los parámetros existentes:
cd /etc/samba
mv smb.conf smb.conf.orig
He preparado un archivo funcional smb.conf que puede usarse como base. Atención a workgroup,
que ha de llevar guión, y a las mayúsculas:
[global]
workgroup = PERIKITOZ-NET
realm = PERIKITOZ.NET
server string = Servidor %h (Samba, Ubuntu)
security = ADS
map to guest = Bad User
obey pam restrictions = Yes
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Introduzca\snueva\s*\sclave:* %n\n *Repita\snueva\s*\sclave:*
%n\n *clave\sactualizada\scorrectamente* .
unix password sync = Yes
restrict anonymous = 2
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
announce version = 4
announce as = NT Workstation
os level = 0
local master = No
domain master = No
dns proxy = No
usershare allow guests = Yes
panic action = /usr/share/samba/panic-action %d
template shell = /bin/bash
winbind cache time = 10
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
winbind offline logon = Yes
invalid users = root

A continuación, según versión, se añadirá también:

- En Ubuntu 10.04
idmap uid = 167771-335549
idmap gid = 167771-335549
passdb backend = tdbsam

- En Ubuntu 12.04:
idmap config * : range = 167771-335549
idmap config * : backend = tdb

Lo siguiente viene por defecto en el original y se añadirá al final:

[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
print ok = Yes
browseable = No

[print$]
comment = Printer Drivers
 path = /var/lib/samba/printers

Si se configura una copia del original o se realiza cualquier otro cambio, es recomendable, por no
decir imprescindible, utilizar la utilidad de verificación de samba:

testparm
Lo que devuelve será la configuración corregida en su caso y podrá sustituirse el actual smb.conf
por lo que devuelva.

Vamos a empezar a probar lo que hemos configurado. Probemos Kerberos:

sudo kinit Administrador@PERIKITOZ.NET

Para lo anterior y para los casos siguientes puede usarse cualquier otra cuenta con permisos de
administración del dominio en lugar de Administrador.

Si todo va bien, no debe mostrar ningún mensaje. Para visualizar los tiques kerberos almacenados:
sudo klist
Y ahora vamos a meter de una vez la máquina en el dominio:
en el dominio:
sudo net ads join -U administrador

Para los dominios NT en lugar de ads se hubiera usado domain. Introducido esto, el sistema
contestará:
Using short domain name -- MIDOMINIO-COM
Joined 'UBUNTU' to realm 'midominio.com'
DNS Update for ubuntu.midominio.com failed: ERROR_DNS_GSS_ERROR
DNS update failed!

El error DNS es normal si el servidor de dominio no es servidor DNS, ya que lógicamente no ha

podido actualizar el registro DNS de la máquina.

Para el caso de querer abandonar el dominio se introduciría algo muy similar a lo anterior:
net ads leave -U Administrador
Una vez introducida la máquina en el dominio, se puede probar la conexión con el directorio activo:
sudo net ads testjoin

Desde el servidor Windows ya constará la máquina como miembro y podrá organizarse en el grupo
que convenga. En la segunda parte del artículo se indicará cómo configurar la máquina Linux para
que valide usuarios contra el dominio.