openldap-debian
#pico /etc/apt/sources.list
agregamos el repositorio
deb http://http.us.debian.org/debian etch main contrib non-free (descomentada)
exportamos el proxy
#export http_proxy="http://172.20.49.51:80"
dependencias necesarias
#apt-get install make gcc gcc++ gengetopt libpopt-dev python-crypto
instalar slapd
#apt-get install slapd ldap-utils
Contraseña del admin : 123456
Confirme la contraseña del admin : 123456
reconfigurar slapd
#dpkg-reconfigure slapd (reconfigurar)
Desea omitir la configuracion de ldap : no
Introdusca el nombre de dominio DNS : ostau.net
Instrodusca el nombre de su organizacion : ostau.net
Contraseña del administrador : 123456
Verificacion de la contraseña : 123456
Motor de base de datos a utilizar : BDB
Desea que se borre la base de datos cuando purge el paquete slapd :NO
Desea mover la base de datos antigua : SI
Permitir el protocolo LDAPV2 : si
comprobar la instalacion
#ldapsearch -x -b "dc=ostau,dc=net"
debe apereser algo asi:
# extended LDIF
#
# LDAPv3
# base <“dc=silcom,dc=com”> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# search result
search: 2
result: 34 Invalid DN syntax
text: invalid DN
# numResponses: 1
instalar apache
#apt-get install apache
instalar smbldap-tools
#apt-get install smbldap-tools
instalar phpldapadmin
#apt-get install phpldapadmin
instalacion de mkntpwd
$ cd /opt/
$ wget http://www.silcom.com.pe/soft/mkntpwd.tar.gz
$ tar -zxf mkntpwd.tar.gz
$ cd mkntpwd
$ make
$ cp mkntpwd /usr/local/bin
verificar
#mkntpwd
instalacion de samba
#apt-get install samba samba-doc
Nombre del domonimio o grupo de trabajo :ostau
Modificar smb.conf para que use la configuración WINS proveniente de DHCP : no
creacion de carpetas para samba
#mkdir /home/samba/
#mkdir /home/samba/netlogon
#mkdir /home/samba/profiles
configuracion de ldap
#cd /usr/share/doc/samba-doc/examples/LDAP
#gunzip samba.schema.gz
#cp samba.schema /etc/ldap/schema
#pico /etc/ldap/slapd.conf
agregar el schema de samba include /etc/ldap/schema/samba.schema
reiniciar ldap
#/etc/init.d/slapd restart
creacion de arbol ldap
INGRESAR : http://tudireccionip/phpldapadmin/
Login dn : cn=admin,dc=ostau,dc=net
Password : 123456
crear contenedores bases en la raiz del arbol crear “NEW ORGANISATIONAL UNIT” lo siguiente:
users (para manejar las cuentas de los usuarios).
machines (para manejar las cuentas de máquinas)
groups (para manejar las cuentas de grupos)
configuracion de samba
# cd /etc/samba
# cp smb.conf smb.conf.bkp
# pico smb.conf
se agregan las siguientes lineas en passdb backend por algo asi
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=ostau,dc=net
ldap machine suffix = ou=machines
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=admin,dc=ostau,dc=net
ldap delete dn = no
# ser PDC
domain logons = yes
# permitir privilegios a usuarios
enable privileges = yes
- EL ARCHIVO ESTA AJUSTADO PARA LA CONFIGURACIÓN DE ESTE CASO.
- MODIFICACIONES: chmod u-x smb.conf chmod g+r smb.conf chmod o+r smb.conf
- AJUSTAR EN EL smb.conf : hosts allow = 127.0.0.1 192.168.1.0/255.255.255.0 a su red
probar la configuracion
#testparm
Load smb config files from /etc/samba/smb.conf
Processing section “[netlogon]“
Processing section “[homes]“
Processing section “[profiles]“
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
le damos la contraceña de LDAP a SAMBA
#smbpasswd -w 123456
reiniciar samba
#/etc/init.d/samba restart
volver a phpldapadmin y verificar la entrada
sambaDomainName=ostau
identificar el SID del dominio ejem : S-1-5-21-2942057963-2745721404-394493152
creacion de grupos de dominio
dentro de phpldapadmin en el contenedor GROUPS elegir crear NEW SAMBA3 GROUP MAPPING y crear los siguientes grupos:
Group Windows Name Gid samba sid
sambaadmins Domain Admins 20000 512
sambausers Domain Users 20001 513
sambaguests Domain Guests 20002 514
sambamachines Domain Computers 20003 515
integracion de la autentificacion y ldap
instalacion nss ldap #apt-get install libnss-ldap
#dpkg-reconfigure libnss-ldap
Servidor LDAP : 127.0.0.1
Nombre distintivo (DN) : dc=ostau,dc=net
Vercion de LDAP a utilizar : 3
Hace falta un usuario para acceder a la base de datos ldap : No
Dar privilegios especiales de ldap para root : SI
Desea hacer que la configuracion solo pueda leer o escribir el propietario : SI
Cuenta ldap para root : cn=admin,dc=ostau,dc=net
contraseña ldap para root : 123456
configuracion
#pico /etc/nsswitch.conf
conentar estas lineas
passwd: compat
group: compat
shadow: compat
agregar estas lineas
passwd: compat ldap
group: compat ldap
shadow: compat ldap
comprobar
# getent group
sambaadmins:*:20000:
sambausers:*:20001:
sambaguests:*:20002:
sambamachines:*:20003:
NOTA : SI NO MUESTRA ESTO, ALGO ESTA MAL
instalacion pam ldap #apt-get install libpam-ldap
#dpkg-reconfigure libpam-ldap
Servidor ldap : 127.0.0.1
Nombre distintivo : dc=ostau,dc=net
Vercion de ldap : 3
Make local root Database admin : si
Hace falta un usuario para la base de datos LDAP : no
Ldap account for root : cn=admin,dc=ostau,dc=net
contraseña para la cuenta ldap de root : 123456
Local crypt to use when changing passwords : md5
#pico /etc/pam.d/common-account
comentar
account required pam_unix.so
agregar
account sufficient pam_ldap.so
account required pam_unix.so try_first_pass
#pico /etc/pam.d/common-auth
comentar
auth required pam_unix.so nullok_secure
agregar
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass
#pico /etc/pam.d/common-password
comentar
password required pam_unix.so nullok obscure min=4 max=8 md5
agregar al final
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5 use_first_pass
instalacion de nscd
# apt-get install nscd
reiniciar samba
#/etc/init.d/samba restart
AGREGAR USUARIOS en la “UO” users crear un nuevo “Samba3 Account” se creara el usuario “administrator” que tendra permisos para ingresar maquinas al dominio
y otro usuario “juan” que pertenecera al grupo adminstradores y otro llamado “sebastian” que solo sera un usuario de dominio , esto se hara de la siguiente forma :
Fist Name : Administrator
Last Name : Global
Comon Name : administrator
User ID : administrator
UID Number : 0
Samba SID : 512
Password : 123456
Verify Password : 123456
Home Directory : /home/administrator
Fist Name : Jonathan
Last Name : User
Comon Name : jonathan
User ID : jonathan
UID Number : 10000
Samba SID : 512
Password : zaqwsx
Verify Password : zaqwsx
Home Directory : /home/jonathan
VERIFICAR LA CREACIÓN DE USUARIOS EN LINUX
# getent passwd
administrator:*:0:20000:administrator:/home/administrator:
juan:*:10000:20000:juan:/home/juan:
sebastian:*:10001:20001:sebastian:/home/sebastian:
creacion de home # mkdir /home/jonathan
# cp /etc/skel/.* /home/jonathan/
# chown -R jonathan /home/jonathan
# chgrp -R sambaadmins /home/jonathan
AUTOMATIZANDO INGRESO DE CUENTAS MAQUINA A LDAP
# cd /usr/share/doc/smbldap-tools/examples
# cp smbldap.conf.gz smbldap_bind.conf /etc/smbldap-tools
# cd /etc/smbldap-tools
# gunzip smbldap.conf.gz
# chown root:root *
# chmod 600 *
HAY QUE EDITAR 2 ARCHIVOS
#pico /etc/smbldap-tools/smbldap_bind.conf
slaveDN=”cn=admin,dc=ostau,dc=net”
slavePw=”123456″
masterDN=”cn=admin,dc=ostau,dc=net”
masterPw=”123456″
smbldap.conf
#pico /etc/smbldap-tools/smbldap.conf
hay que modificar el numero sid de su implementacionS-1-5-21-2942057963-2745721404-394493152
y por seguridad hay que hacer esto
#chmod u-x smbldap.conf
POR ULTIMO
#cp smbldap_bind.conf /etc/
#cp smbldap.conf /etc/
AGREGANDO OBJECTCLASS
TENEMOS QUE IR AL PHPLDAPADMIN EL ATRIBUTO SAMBAUNIXIDPOOL PARA EL DOMINIO SAMBA
ASÍ QUE LE DAMOS CLICK A LA ENTRADA SAMBADOMAINNAME=SILCOM Y EN EL ESPACIO DE LA DERECHA
VAMOS A BUSCAR DONDE ESTÁ EL O LOS ATRIBUTOS TIPO OBJECTCLASS, LE DAMOS CLICK EN DONDE DICE ADD VALUE, ESCOGEMOS
SAMBAUNIXIDPOOL Y EN LA SIGUIENTE PÁGINA DIGITAMOS LOS VALORES DE UID Y GID INICIALES CON LOS QUE VAMOS A
ARRANCAR PARA NUESTROS EFECTOS.
DE LA SIGUIENTE FORMA:
EL GID 20003 CORRESPONDE AL GRUPO SAMBAMACHINES
EL UID 30000 ES EL NÚMERO INICIAL QUE YO QUISE UTILIZAR PARA LAS CUENTAS DE MÁQUINAS.
UNA VEZ ECHO ESTO YA PODEMOS REGISTRAR NUESTRAS MAQUINAS WIN$ AL DOMINIO.
ANEXO 1
CREACIÓN DE HOMES POR DEFECTO
PARA ESTO HAY QUE INSERTAR UNA LINEA DENTRO DE smb.conf EN LA SECCION [homes]
root preexec = /etc/samba/mk_sambadir “/home/%u” “%u” “%g”
Y CREAR EL ARCHIVO mk_sambadir CON LAS SIGUIENTES LINEAS
#!/bin/bash
if [ ! -d $1 ]
then
mkdir $1
fi
chmod 770 $1 -R
chown $2 $1 -R
chgrp $3 $1 -R
###############
Y REINICIAR SAMBA
#/etc/init.d/samba restart
ANEXO2
PRUEBA 1
PODER VALIDAR POR SSH AL PDC, SI BIEN ES CIERTO LOS USUARIOS DEL DOMINIO NO TIENEN SHELL DEBERIA SER POSIBLE HACER UN INICIO VIA SSH
#ssh -l administrator 192.168.1.51
#ssh -l juan 192.168.1.51
PRUEBA 2
PODER VALIDAR DESDE UN WINdows xp service pack2 AUN ASI NO SE HALLA UNIDO AL DOMINIO, SIN PERTENECER AL DOMINIO DEBERÍA PODER VALIDAR COMO UN SIMPLE SERVER DE ARCHIVOS.
\\pdc\juan
(\\direccion ip servidor ldap\)