Servicios de Red

LABORATORIO N° 11

Servidor Samba como AD DC

CÓDIGO DEL CURSO: II4030

Alumno(s) Nota
 Nro. DD-106
Servidor Samba como AD DC Página 2/12

I.OBJETIVOS

● Instalar y configurar Samba como un Controlador de dominio

● Conocer las herramientas para verificar el servidor Samba AC DC
● Configurar Cliente Windows en el servidor Samba AD DC
● Configurar un equipo Windows para la administración remota del servidor Samba AD DC

II.SEGURIDAD

Advertencia:
En este laboratorio está prohibida la manipulación del hardware,
conexiones eléctricas o de red; así como la ingestión de alimentos o
bebidas.

III.FUNDAMENTO TEÓRICO

El laboratorio está detallado paso a paso. Es importante que revise su texto para poder responder
algunas de las preguntas planteadas.

IV.NORMAS EMPLEADAS

No aplica

V.RECURSOS

● En este laboratorio cada alumno trabajará con un equipo con Windows 10..
● Este equipo debe tener instalado el programa VMware Workstation para la definición y
administración de los equipos virtuales..
● Cada equipo debe contar con una plantilla de Ubuntu Server 20.04 y Windows 10 para la
clonación de los equipos solicitados.

VI.METODOLOGÍA PARA EL DESARROLLO DE LA TAREA

● El desarrollo del laboratorio es personal.

 Nro. DD-106
Servidor Samba como AD DC Página 3/12

VII.PROCEDIMIENTO

A. Creación de los Equipos Virtuales

1. Clonar las siguientes máquinas virtuales brindadas por el docente (enlaces en Canvas).
Configurar de la siguiente manera los equipos:

NOTA
Al cambiar el hostname en Ubuntu Server no modificar el archivo hosts, ya que ello será
configurado más adelante en conjunto con el servicio.

Opción Valor

Clon de Ubuntu Server 20.04

Usuario tecsupadm

Contraseña ARCTecsup2

Hostname 1° letra de su nombre + Apellido paterno + -dc1 Ej. jdiaz-dc1

Opción Valor

Clon de Windows 10

Usuario Virtual

Contraseña

Hostname CliWin + número_asignado + -01 Ej. CliWin00-01

Opción Valor

Clon de Windows 10

Usuario Virtual

Contraseña

Hostname CliWin + número_asignado + -02 Ej. CliWin00-02

2. Haciendo uso de los comandos de verificación de red en Ubuntu Server, complete la siguiente
tabla:
Dirección IP ???.???.???.???

Prefijo ??

Puerta de enlace ???.???.???.???

3. Deberá configurar la interfaz ethernet de Ubuntu Server mediante su archivo de configuración con
los siguientes parámetros:
Opción Valor
Equipo Ubuntu Server 20.04
Dirección IP ???.???.???.19
Prefijo ??
Puerta de enlace ???.???.???.???
 Nro. DD-106
Servidor Samba como AD DC Página 4/12
Servidor DNS 8.8.8.8, 8.8.4.4

Opción Valor

Equipo Windows 10 (CliWinXX-01)

Dirección IP ???.???.???.101

Máscara de ???.???.???.???
subred
Puerta de enlace ???.???.???.???

Servidor DNS 8.8.8.8 / 8.8.4.4

Opción Valor

Equipo Windows 10 (CliWinXX-02)

Dirección IP ???.???.???.102

Máscara de ???.???.???.???
subred
Puerta de enlace ???.???.???.???

Servidor DNS 8.8.8.8 / 8.8.4.4

NOTA
No olvide siempre probar la conectividad a internet y la resolución de nombres de dominio al
establecer la nueva configuración estática de red

4. Verificar la conectividad entre las máquinas virtuales.

 Nro. DD-106
Servidor Samba como AD DC Página 5/12

B. Preparación del Servidor e Instalación de Samba

A partir de la versión 4 de Samba se tiene la opción de ejecutarlo como un Controlador de

dominio de directorio activo (Active Directory Domain Controller). Por ello instalaremos esta
versión de samba en la instancia de Ubuntu Server y será gestionado desde uno de los clientes
Windows. La instalación que realizaremos es la de implementar Samba como el primer
controlador que va a crear un nuevo árbol DC.

1. Se debe definir el nombre del equipo y el dominio con el que trabajaremos: redesXX.xyz
Completar:
Hostname
Dominio

2. Abra el archivo /etc/hosts con el editor de texto de su preferencia y agregue la siguiente línea
al final:
ip_ubuntu hostname_ubuntu.redesXX.xyz hostname_ubuntu

3. En el caso de que vaya a realizar las siguientes actividades en un sistema operativo que ya tiene
samba instalado y configurado, revise los siguientes requerimientos para evitar problemas y
errores.

4. Instalar todos los paquetes necesarios haciendo uso de apt:

$ sudo apt install -y acl attr samba samba-dsdb-modules samba-vfs-
modules winbind krb5-config krb5-user dnsutils

5. Durante la instalación se le consultará respecto a la soberanía de Kerberos. En las tres preguntas

dejar el valor por defecto y seleccionar <Ok> ya que después se realizará la configuración de
ello.

C. Configurando Samba como AD DC

1. Lo primero a realizar será mover las configuraciones por defecto de Samba y Kerberos. Ejecute
lo siguiente:
$ sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
$ sudo mv /etc/krb5.conf /etc/krb5.conf.bak

2. Samba viene con un asistente el cual configura el controlador de Active Directory. Para ejecutar
el asistente ejecute lo siguiente:
$ sudo samba-tool domain provision --use-rfc2307 --interactive

3. El asistente solicitará varios datos, responda según lo siguiente:

○ Realm [REDESXX.XYZ]: dejar vacío y presionar enter
○ Domain [REDESXX]: dejar vacío y presionar enter
○ Server Role (dc, member, standalone) [dc]: dejar vacío y presionar enter
○ DNS backend: dejar vacío y presionar enter
○ DNS forwarder IP address: 8.8.8.8
○ Administrator password: elegir contraseña para admin de AD
○ Retype password: confirmar contraseña

NOTA
 Nro. DD-106
Servidor Samba como AD DC Página 6/12

Respecto a los parámetros y valores empleados, puede consultar la siguiente sección para
conocer más respecto a ello.

4. Luego se deberá crear una copia del archivo de configuración de Kerberos:

$ sudo cp /var/lib/samba/private/krb5.conf /etc

5. Respecto a los puertos empleados, basándose en la información de la siguiente tabla genere las
reglas en el cortafuegos de todos los servicios mencionados
Servicio Puerto Protocolo

DNS 53 tcp/udp

Kerberos 88 tcp/udp

End Point Mapper (DCE/RPC Locator Service) 135 tcp

NetBIOS Name Service 137 udp

NetBIOS Datagram 138 udp

NetBIOS Session 139 tcp

LDAP 389 tcp/udp

SMB over TCP 445 tcp

Kerberos kpasswd 464 tcp/udp

LDAPS 636 tcp

Global Catalog 3268 tcp

Global Catalog SSL 3269 tcp

Dynamic RPC Ports 49152-65535 tcp

6. Ejecute el siguiente comando y adjunte la salida devuelta:

$ sudo ufw status verbose

7. Finalmente se debe deshabilitar los servicios tradicionales de Samba e iniciar el servicio de

Samba AD DC:
$ sudo systemctl mask smbd nmbd winbind
$ sudo systemctl disable smbd nmbd winbind
$ sudo systemctl stop smbd nmbd winbind
$ sudo systemctl unmask samba-ad-dc
$ sudo systemctl start samba-ad-dc
$ sudo systemctl enable samba-ad-dc

D. Pruebas y Creación de Usuarios en el Servidor Samba AD DC

1. Para poder comprobar el servidor DNS se debe deshabilitar systemd-resolvd, para evitar que el
sistema use dicha característica:
 Nro. DD-106
Servidor Samba como AD DC Página 7/12

$ sudo systemctl stop systemd-resolved

$ sudo systemctl disable systemd-resolved

2. Quitamos el enlace del archivo /etc/resolv.conf

$ sudo unlink /etc/resolv.conf

3. Con un editor de texto añada el siguiente contenido al archivo /etc/resolv.conf

nameserver ip_ubuntu_server
search REDESXX.XYZ

4. Reinicie Ubuntu Server.

5. Ejecute los siguientes comandos y adjunte la salida devuelta:

$ host -t SRV _ldap._tcp.redesXX.xyz.
$ host -t SRV _kerberos._udp.redesXX.xyz.
$ host -t A hostname_ubuntu_server.redesXX.xyz.

6. Para verificar el servidor de archivos realizar los siguientes pasos:

● Revisar los compartidos por defecto del servidor Samba
$ smbclient -L localhost -N

● Acceder a la carpeta compartida netlogon con el usuario Administrator:

$ smbclient //localhost/netlogon -U Administrator -c 'ls'

7. Para verificar Kerberos (protocolo de autenticación) realizar los siguientes pasos:

● Solicitar un ticket Kerberos a la cuenta administrator

$ kinit administrator@REDESXX.XYZ

NOTA
El nombre del dominio debe ir en MAYÚSCULAS.

● Verificar el ticket generado para el usuario administrator:

$ klist

8. Crear un usuario con el que haremos las pruebas más adelante. El usuario se va a llamar
userXX y tendrá la contraseña de Tecsup2. [@]
 Nro. DD-106
Servidor Samba como AD DC Página 8/12

$ sudo samba-tool \
user create userXX Tecsup2 \
--nis-domain=redesXX \
--unix-home=/home/userXX \
--uid-number=10000 \
--login-shell=/bin/bash \
--gid-number=10000

9. Crear otro usuario con el que haremos las pruebas más adelante. Este usuario se va a llamar
clienteXX y tendrá la contraseña de Virtu4l.

NOTA
Puede borrar un usuario con el comando:
$ sudo samba-tool user delete nombre_usuario

E. Uniendo Equipos Clientes a Dominio

1. Inicie el equipo CliWinXX-01 y realice los siguientes pasos:

● Presione la combinación de teclas Win + I

● En la ventana Configuración seleccione Aplicaciones

● Seleccione la opción Características opcionales

● En la ventana Características opcionales seleccione Agregar una

característica
● Busque las siguientes características y de clic en Instalar por cada una de ellas:
○ RSAT: Herramientas de Active Directory Domain Services y Lightweight Directory
Services
○ RSAT: Herramientas de administración de directivas de grupo
○ RSAT: Herramientas de Servicios de Escritorio remoto
○ RSAT: Herramientas de servidor DNS

NOTA
En caso de no encontrar estas características, ingresar al siguiente enlace para la instalación
de RSAT en clientes Windows: [1]

● Clic en la fecha hacia atrás (←) para ver el progreso de la instalación

 Nro. DD-106
Servidor Samba como AD DC Página 9/12

2. Luego de instalar las herramientas RSAT para la administración remota del servidor, vamos a
agregar CliWinXX-01 al dominio vamos a realizar los siguientes pasos:

● Configurar como servidor DNS preferido el servidor Samba AD DC

● Abrir el Panel de control > Sistema y seguridad > Sistema

● En la ventana Sistema clic en Cambiar el nombre a este equipo (Avanzado)

● En la ventana Propiedades del sistema dar clic en Cambiar

● Seleccionar Dominio y colocar redesXX.xyz

● Clic en Aceptar y usar las credenciales del usuario Administrator (del servidor Samba).
 Nro. DD-106
Servidor Samba como AD DC Página 10/12

● Deberá obtener una ventana similar a la imagen siguiente con su nombre de dominio. Clic en
Aceptar:

● En los equipos Windows versión clientes (7, 8.1, 10) obtendrá el siguiente mensaje del cual se
puede prescindir. Clic en Aceptar:

NOTA
Este error viene desde Windows 7, existía un hotfix de Windows pero lo ha sido retirado para
su descargar desde la página oficial [1][2]

● En la siguiente ventana dar clic en Aceptar.

● En la ventana Propiedades del sistema clic en Cerrar.

● En la ventana siguiente clic en Reiniciar ahora.

3. En el equipo CliWinXX-01, inicie sesión con Otro usuario y en la ventana que aparece
coloque el usuario userXX y la contraseña Tecsup2.

4. En el equipo CliWinXX-02.

● Siguiendo los mismos pasos anteriores unir el equipo al dominio redesXX.xyz. No instale
RSAT en este equipo.
● Iniciar sesión con el usuario clienteXX y contraseña Virtu4l.

F. Administrando Remotamente Samba AD DC

1. En el punto anterior ya se instalaron las herramientas que usaremos para administrar

remotamente el servidor. En CliWinXX-01 iniciar sesión con el usuario Administrator del
dominio.
2. Clic en el botón Windows, busque el término Usuarios y Equipos de Active Directory
y seleccionar el resultado de la búsqueda.
 Nro. DD-106
Servidor Samba como AD DC Página 11/12

3. Le aparecerá una nueva ventana con el dominio redesXX.xyz. Despliegue la opción

redesXX.xyz y seleccione el contenedor Computers. Tomar una captura de los equipos que se
encuentran registrados en el dominio

4. En la misma ventana seleccione el contenedor Users. Ordenar por Type y tomar una captura de
los usuarios y grupos creados por defecto y los que creó con los comandos smb-tools.

5. Investigar: ¿Cómo agregar un equipo Linux al Servidor de Dominio redesXX.xyz? (Indicar los
comandos a ejecutar en el cliente Linux para unir a dominio, los resultados desde la Usuarios y
equipos de Active Directory en imágenes, etc)
 Nro. DD-106
Servidor Samba como AD DC Página 12/12

VIII.OBSERVACIONES

●
●
●
●
●

IX.CONCLUSIONES

●
●
●
●
●