CLICK HERE FOR THOUSANDS OF FREE BLOGGER TEMPLATES »

Tuesday 9 September 2008

openldap-debian

openldap-debian

#pico /etc/apt/sources.list
agregamos el repositorio
deb http://http.us.debian.org/debian etch main contrib non-free (descomentada)

exportamos el proxy
#export http_proxy="http://172.20.49.51:80"

dependencias necesarias
#apt-get install make gcc gcc++ gengetopt libpopt-dev python-crypto

instalar slapd
#apt-get install slapd ldap-utils

Contraseña del admin : 123456
Confirme la contraseña del admin : 123456

reconfigurar slapd
#dpkg-reconfigure slapd (reconfigurar)

Desea omitir la configuracion de ldap : no
Introdusca el nombre de dominio DNS : ostau.net
Instrodusca el nombre de su organizacion : ostau.net
Contraseña del administrador : 123456
Verificacion de la contraseña : 123456
Motor de base de datos a utilizar : BDB
Desea que se borre la base de datos cuando purge el paquete slapd :NO
Desea mover la base de datos antigua : SI
Permitir el protocolo LDAPV2 : si

comprobar la instalacion
#ldapsearch -x -b "dc=ostau,dc=net"

debe apereser algo asi:

# extended LDIF
#
# LDAPv3
# base <“dc=silcom,dc=com”> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 34 Invalid DN syntax
text: invalid DN

# numResponses: 1


instalar apache
#apt-get install apache

instalar smbldap-tools
#apt-get install smbldap-tools

instalar phpldapadmin
#apt-get install phpldapadmin

instalacion de mkntpwd
$ cd /opt/
$ wget http://www.silcom.com.pe/soft/mkntpwd.tar.gz
$ tar -zxf mkntpwd.tar.gz
$ cd mkntpwd
$ make
$ cp mkntpwd /usr/local/bin

verificar
#mkntpwd

instalacion de samba
#apt-get install samba samba-doc

Nombre del domonimio o grupo de trabajo :ostau
Modificar smb.conf para que use la configuración WINS proveniente de DHCP : no

creacion de carpetas para samba
#mkdir /home/samba/
#mkdir /home/samba/netlogon
#mkdir /home/samba/profiles

configuracion de ldap
#cd /usr/share/doc/samba-doc/examples/LDAP
#gunzip samba.schema.gz
#cp samba.schema /etc/ldap/schema
#pico /etc/ldap/slapd.conf

agregar el schema de samba include /etc/ldap/schema/samba.schema

reiniciar ldap
#/etc/init.d/slapd restart

creacion de arbol ldap
INGRESAR : http://tudireccionip/phpldapadmin/

Login dn : cn=admin,dc=ostau,dc=net
Password : 123456

crear contenedores bases en la raiz del arbol crear “NEW ORGANISATIONAL UNIT” lo siguiente:

users (para manejar las cuentas de los usuarios).
machines (para manejar las cuentas de máquinas)
groups (para manejar las cuentas de grupos)



configuracion de samba

# cd /etc/samba
# cp smb.conf smb.conf.bkp
# pico smb.conf

se agregan las siguientes lineas en passdb backend por algo asi

passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=ostau,dc=net
ldap machine suffix = ou=machines
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=admin,dc=ostau,dc=net
ldap delete dn = no
# ser PDC
domain logons = yes
# permitir privilegios a usuarios
enable privileges = yes

- EL ARCHIVO ESTA AJUSTADO PARA LA CONFIGURACIÓN DE ESTE CASO.
- MODIFICACIONES: chmod u-x smb.conf chmod g+r smb.conf chmod o+r smb.conf
- AJUSTAR EN EL smb.conf : hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0 a su red

probar la configuracion
#testparm

Load smb config files from /etc/samba/smb.conf
Processing section “[netlogon]“
Processing section “[homes]“
Processing section “[profiles]“
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

le damos la contraceña de LDAP a SAMBA
#smbpasswd -w 123456

reiniciar samba
#/etc/init.d/samba restart

volver a phpldapadmin y verificar la entrada

sambaDomainName=ostau

identificar el SID del dominio ejem : S-1-5-21-2942057963-2745721404-394493152

creacion de grupos de dominio

dentro de phpldapadmin en el contenedor GROUPS elegir crear NEW SAMBA3 GROUP MAPPING y crear los siguientes grupos:

Group Windows Name Gid samba sid
sambaadmins Domain Admins 20000 512
sambausers Domain Users 20001 513
sambaguests Domain Guests 20002 514
sambamachines Domain Computers 20003 515



integracion de la autentificacion y ldap

instalacion nss ldap #apt-get install libnss-ldap
#dpkg-reconfigure libnss-ldap

Servidor LDAP : 127.0.0.1
Nombre distintivo (DN) : dc=ostau,dc=net
Vercion de LDAP a utilizar : 3
Hace falta un usuario para acceder a la base de datos ldap : No
Dar privilegios especiales de ldap para root : SI
Desea hacer que la configuracion solo pueda leer o escribir el propietario : SI
Cuenta ldap para root : cn=admin,dc=ostau,dc=net
contraseña ldap para root : 123456

configuracion
#pico /etc/nsswitch.conf

conentar estas lineas

passwd: compat
group: compat
shadow: compat

agregar estas lineas

passwd: compat ldap
group: compat ldap
shadow: compat ldap

comprobar
# getent group

sambaadmins:*:20000:
sambausers:*:20001:
sambaguests:*:20002:
sambamachines:*:20003:

NOTA : SI NO MUESTRA ESTO, ALGO ESTA MAL

instalacion pam ldap #apt-get install libpam-ldap
#dpkg-reconfigure libpam-ldap

Servidor ldap : 127.0.0.1
Nombre distintivo : dc=ostau,dc=net
Vercion de ldap : 3
Make local root Database admin : si
Hace falta un usuario para la base de datos LDAP : no
Ldap account for root : cn=admin,dc=ostau,dc=net
contraseña para la cuenta ldap de root : 123456
Local crypt to use when changing passwords : md5

#pico /etc/pam.d/common-account

comentar
account required pam_unix.so

agregar
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass

#pico /etc/pam.d/common-auth

comentar
auth required pam_unix.so nullok_secure

agregar
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass

#pico /etc/pam.d/common-password

comentar
password required pam_unix.so nullok obscure min=4 max=8 md5

agregar al final
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass

instalacion de nscd
# apt-get install nscd

reiniciar samba
#/etc/init.d/samba restart

AGREGAR USUARIOS en la “UO” users crear un nuevo “Samba3 Account” se creara el usuario “administrator” que tendra permisos para ingresar maquinas al dominio
y otro usuario “juan” que pertenecera al grupo adminstradores y otro llamado “sebastian” que solo sera un usuario de dominio , esto se hara de la siguiente forma :

Fist Name : Administrator
Last Name : Global
Comon Name : administrator
User ID : administrator
UID Number : 0
Samba SID : 512
Password : 123456
Verify Password : 123456
Home Directory : /home/administrator

Fist Name : Jonathan
Last Name : User
Comon Name : jonathan
User ID : jonathan
UID Number : 10000
Samba SID : 512
Password : zaqwsx
Verify Password : zaqwsx
Home Directory : /home/jonathan



VERIFICAR LA CREACIÓN DE USUARIOS EN LINUX

# getent passwd

administrator:*:0:20000:administrator:/home/administrator:
juan:*:10000:20000:juan:/home/juan:
sebastian:*:10001:20001:sebastian:/home/sebastian:

creacion de home # mkdir /home/jonathan
# cp /etc/skel/.* /home/jonathan/
# chown -R jonathan /home/jonathan
# chgrp -R sambaadmins /home/jonathan

AUTOMATIZANDO INGRESO DE CUENTAS MAQUINA A LDAP

# cd /usr/share/doc/smbldap-tools/examples
# cp smbldap.conf.gz smbldap_bind.conf /etc/smbldap-tools
# cd /etc/smbldap-tools
# gunzip smbldap.conf.gz
# chown root:root *
# chmod 600 *

HAY QUE EDITAR 2 ARCHIVOS

#pico /etc/smbldap-tools/smbldap_bind.conf

slaveDN=”cn=admin,dc=ostau,dc=net”
slavePw=”123456″
masterDN=”cn=admin,dc=ostau,dc=net”
masterPw=”123456″
smbldap.conf

#pico /etc/smbldap-tools/smbldap.conf

hay que modificar el numero sid de su implementacion
S-1-5-21-2942057963-2745721404-394493152

y por seguridad hay que hacer esto

#chmod u-x smbldap.conf

POR ULTIMO
#cp smbldap_bind.conf /etc/
#cp smbldap.conf /etc/

AGREGANDO OBJECTCLASS

TENEMOS QUE IR AL PHPLDAPADMIN EL ATRIBUTO SAMBAUNIXIDPOOL PARA EL DOMINIO SAMBA
ASÍ QUE LE DAMOS CLICK A LA ENTRADA SAMBADOMAINNAME=SILCOM Y EN EL ESPACIO DE LA DERECHA
VAMOS A BUSCAR DONDE ESTÁ EL O LOS ATRIBUTOS TIPO OBJECTCLASS, LE DAMOS CLICK EN DONDE DICE ADD VALUE, ESCOGEMOS
SAMBAUNIXIDPOOL Y EN LA SIGUIENTE PÁGINA DIGITAMOS LOS VALORES DE UID Y GID INICIALES CON LOS QUE VAMOS A
ARRANCAR PARA NUESTROS EFECTOS.

DE LA SIGUIENTE FORMA:

EL GID 20003 CORRESPONDE AL GRUPO SAMBAMACHINES
EL UID 30000 ES EL NÚMERO INICIAL QUE YO QUISE UTILIZAR PARA LAS CUENTAS DE MÁQUINAS.

UNA VEZ ECHO ESTO YA PODEMOS REGISTRAR NUESTRAS MAQUINAS WIN$ AL DOMINIO.

ANEXO 1

CREACIÓN DE HOMES POR DEFECTO

PARA ESTO HAY QUE INSERTAR UNA LINEA DENTRO DE smb.conf EN LA SECCION [homes]

root preexec = /etc/samba/mk_sambadir “/home/%u” “%u” “%g”

Y CREAR EL ARCHIVO mk_sambadir CON LAS SIGUIENTES LINEAS

#!/bin/bash
if [ ! -d $1 ]
then
mkdir $1
fi
chmod 770 $1 -R
chown $2 $1 -R
chgrp $3 $1 -R
###############

Y REINICIAR SAMBA
#/etc/init.d/samba restart

ANEXO2

PRUEBA 1
PODER VALIDAR POR SSH AL PDC, SI BIEN ES CIERTO LOS USUARIOS DEL DOMINIO NO TIENEN SHELL DEBERIA SER POSIBLE HACER UN INICIO VIA SSH
#ssh -l administrator 192.168.1.51
#ssh -l juan 192.168.1.51

PRUEBA 2
PODER VALIDAR DESDE UN WINdows xp service pack2 AUN ASI NO SE HALLA UNIDO AL DOMINIO, SIN PERTENECER AL DOMINIO DEBERÍA PODER VALIDAR COMO UN SIMPLE SERVER DE ARCHIVOS.

\\pdc\juan

(\\direccion ip servidor ldap\)