Integrando un servidor Samba en un Dominio Windows

corte del icono de samba El punto de partida es el siguiente: en tu empresa ya se usa un dominio con directorio activo de windows para la gestión de usuarios y grupos y quieres introducir una nueva maquina que haga funciónes de servidor de ficheros pero no te hace gracia pagar una nueva licencia y, además, quieres sacarle un poco más de rendimiento a esa máquina tan bonita que se ha comprado. La solución es usar Samba que desde su versión 3 se integra perfectamente con el directorio activo de windows. La chuleta que os cuento a continuación funciona tanto con windows server 2000 como con la versión 2003.

  • Nombre de dominio: madrid.midomino.es
  • Nombre NETBIOS del dominio: MADRID
  • Nombre e IP del servidor windows: win2k / 192.168.1.2
  • Nombre e IP del servidor Debian: samba / 192.168.1.3

Nuestro servidor windows además de ser el controlador principal del dominio tiene activado el servicio de DNS y lo primero que debemos hacer es abrir manualmente un registro para nuestro servidor samba con su correspondiente IP. Los paquetes que deberíamos de tener instalados en nuestro debian son samba, winbind y krb5-user (creo que los nombres son los mismos en una Ubuntu Server).

Manos a la obra. En primer lugar nos aseguramos de que la resolución de nombres de nuestro servidor samba apunte correctamente al DNS del servidor que contiene nuestro directorio activo. Para ello editamos el fichero /etc/resolv.conf de esta forma:

search madrid.midominio.es
domain madrid.midominio.es
nameserver 192.168.1.2
nameserver 80.58.61.250
nameserver 80.58.61.254

En segundo lugar editamos el fichero /etc/krb5.conf para permitir la validación a través de kerberos con el siguiente contenido:

[libdefaults]
default_realm = MADRID.MIDOMINIO.ES

[realms]
MADRID.MIDOMINIO.ES = {
kdc = 192.168.1.2
admin_server = 192.168.1.2
}

[domain_realms]
.dominio.es = MADRID.MIDOMINIO.ES

Tres: editar el fichero /etc/nsswitch.conf que es quien regula el orden en el que se realizaran las búsquedas de usuarios, grupos, nombres de máquinas en nuestra máquina Linux. El contenido debería de ser algo así:

passwd: files winbind ldap
shadow: files winbind ldap
group: files winbind ldap

hosts: files dns wins
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files
aliases: files

Y cuatro: editamos el fichero /etc/samba/smb.conf:

[global]
unix charset = LOCALE
realm=MADRID.MIDOMINIO.ES
workgroup=MADRID
security=ADS
password server=*
winbind separator=+
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
winbind uid=10000-20000
winbind gid=10000-20000
winbind enum users=yes
winbind enum groups=yes
template homedir=/tmp
template shell=/bin/false

Y ya casi estamos. Lo primero que vamos a hacer ahora es validad nuestro fichero smb.conf mediante el comando testparm:

samba:/etc# testparm -s
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
[global]
unix charset = LOCALE
workgroup = MADRID
realm = MADRID.MIDOMINIO.ES
security = ADS
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /tmp
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
samba:/etc#

Ahora tenemos que asegurarnos de que la sincronización horaria entre nuestros dos servidores es correcta. Para ello usamos el comando net time set:

samba:/etc# net time set
mié nov 28 22:19:23 CET 2007
samba:/etc#

Puesto que es muy importante que esta sincronización sea permanente lo mejor es programar la ejecución de este comando en nuestro cron. Por ejemplo así:

samba:/etc# crontab -l
# m h dom mon dow command
0 5 * * * /usr/bin/net time set

samba:/etc#

Hora, finalmente, de añadir nuestra máquina Linux al directorio activo de windows.

samba:/etc# net ads join -UAdministrador%micontraseña
Using short domain name -- MADRID
Joined 'SAMBA' to realm 'MADRID.MIDOMINIO.ES'
samba:/etc#

Donde sustituiremos los parámetros que acompañan al comando net ads join por un usuario y su contraseña (Administrador y micontraseña respectivamente en este caso) con privilegios de administradores del dominio. Y ya debería de estar todo funcionando. Ahora podemos comprobar que la resolución es correcta y que podemos usar los usuarios y grupos de nuestro directorio activo para validar permisos en samba mediante los siguientes comandos: wbinfo nos lista los usuarios y grupos del directorio activo.

samba:/etc# wbinfo -u
MADRID+administrador
MADRID+invitado
MADRID+tsinternetuser
MADRID+krbtgt
MADRID+arturof
MADRID+josemaria
...

samba:/etc# wbinfo -g
BUILTIN+administrators
BUILTIN+users
MADRID+equipos del dominio
MADRID+controladores de dominio
MADRID+administradores de esquema
MADRID+administración de empresas
MADRID+publicadores de certificados
MADRID+admins. del dominio
MADRID+usuarios del dominio
MADRID+invitados de dominio
MADRID+propietarios del creador de directivas de grupo
MADRID+dnsupdateproxy
MADRID+administracion
MADRID+finanzas
MADRID+proyectos
MADRID+sistemas
...

Por último comprobaremos que la validación de usuarios y grupos funciona también vía NSS mediante getent:

samba:/home/josemaria# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
...
MADRID+administrador:*:10000:10000:Administrador:
/tmp:/bin/false
MADRID+invitado:*:10001:10000:Invitado:/tmp:/bin/false
MADRID+tsinternetuser:*:10002:10000:TsInternetUser:
/tmp:/bin/false
MADRID+krbtgt:*:10003:10000:krbtgt:/tmp:/bin/false
MADRID+arturof:*:10004:10000:Arturo:/tmp:/bin/false
...
samba:/home/josemaria# getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
...
MADRID+equipos del dominio:x:10001:
MADRID+controladores de dominio:x:10002:MADRID+itziarr
MADRID+administradores de esquema:x:10003:MADRID+administrador
MADRID+administración de empresas:x:10004:MADRID+administrador
MADRID+publicadores de certificados:x:10005:
...

A partir de ahora podremos usar los usuarios y grupos almacenados en el directorio activo de windows para conceder acceso a los recursos de samba de esta forma:

[sistemas]
path = /media/samba/sistemas
guest ok = no
read only = no
valid users = @MADRID+sistemas-r @MADRID+sistemas-rw @BUILTIN+administrators
read list = @MADRID+sistemas-r @BUILTIN+administrators
write list = @MADRID+sistemas-rw
force group = @MADRID+sistemas-rw
create mask = 0775
directory mask = 0775

ACTUALIZACI?N: El capítulo Active Directory Domain with Samba Domain Member Server del libro Samba 3 by example es un excelente complemento y ampliación a esta entrada.

Software Libre y ONG’s

icono sobre temas de ONG's La Iniciativa para el impulso de las tecnologías libres en el ámbito de la cooperación al desarrollo organiza en Madrid durante el jueves y el viernes de esta semana (días 29 y 30 de noviembre) las primeras Jornadas de Software libre y ONGs. La inscripción es gratuita y el programa del evento se puede consultar en la página web del grupo. Entre los ponentes del jueves se cuenta con Jesús González Barahona y con Alberto Barrionuevo.

ACTUALIZACI?N: Una de cal y otra de arena. Barahona me ha parecido un orador estupendo y su exposición muy bien orientada pero a Barrionuevo no he sido capaz de aguantarle la charla al completo… ¡pura demagogia, oigan!

Día Internacional Contra la Violencia de Género

icono para temas divulgativosMañana día 25 es el Día Internacional para la eliminación de la violencia contra la mujer. Como cuentan en la wikipedia, la elección de este día fue propuesto por la República Dominicana y conmemora el asesinato de las hermanas Mirabal por parte del infame dictador Leónidas Trujillo.

En nuestro país los intentos del gobierno por atajar este problema siguen siendo tenues y a todas vistas insuficientes. Amistía Internacional, además, alerta en un nuevo informe de que la especial indefensión de las mujeres inmigrantes las hace más vulnerables a este grave problema y está recogiendo firmas con objeto de enviar una petición a María Teresa Fernández de la Vega para que se actúe rápidamente en este sentido.

Y, ahora os dejo con “Papás y mamás”, un impactante cortometraje (que, por cierto, le he robado a Juanjo de su blog) para ilustrar este tema:

De mis “tocayos”

tag de titsSegún Google hay por ahí en estos momentos un buen número de blogs que usan este tema de wordpress. Y eso contando sólo los que hayan respetado el enlace original a los créditos. Tampoco me importa mucho que lo hagan, la verdad, pero confieso que cotillear de vez en cuando quienes son y cuales son sus temáticas se ha convertido en un pasatiempo divertido. Será mi faceta de voyeur

Hay algunos con los que comparto intereses o aficiones y que he incluido en mis lecturas habituales o esporádicas (como EnGuillem!, con 2 pedales o la bitácora de Joomra) y otros escritos en idiomas que ni siquiera puedo identificar a simple vista (moja podróż przez życie, Nuansa Dari Seorang o 東京JOYPLE, por ejemplo). Otros, incluso, ambas cosas (como the camels). Ahora, además, puedo presumir de una preciosa (sic) página dedicada a “chicas hermosas con tetas gigantes” y del blog personal de una estrella del porno francesa de origen vietnamita (si, si, me he leído su biografía si no ¿de que iba a saber yo eso?).

Seguro que cualquiera de estos dos últimos tiene, en breve, más visitas que yo. No somos nadie…

ACTUALIZACI?N: Parece que Katsuni no acaba de decidirse por la plantilla que elegirá para su blog… Lo mismo la mía no le parece lo suficientemente sexy…. Por cierto ¿Creéis que me enviaría una foto dedicada si se la pido?

Cancionero (y VII)

clave de sol

Clip de audio: Es necesario tener Adobe Flash Player (versión 9 o superior) para reproducir este clip de audio. Descargue la versión más reciente aquí. También necesita tener activado Javascript en su navegador.

Spam, spam, spam

icono para asuntos de spamNo, no es la evolución del IPC según Libertad Digital 😛 Es la gráfica de los mensajes de spam que han llegado a este blog durante, aproximadamente, el último mes ¿Habéis sufrido todos este incremento de los últimos días o es que yo le caigo mal a alguien?

gráfica de evolución del spam

El gráfico está editado a partir de los que genera automáticamente Defensio (si, vuelvo a probarlo después de que haya dejado atrás la fase beta y por el momento parece marchar bastante bien).

Dos formas de manipular ver la realidad

icono con gráfico de evolución Ninguno de los dos miente (podéis ver que los datos son idénticos) pero fijaos como las características escogidas para cada uno de los gráficos deja clara la idea que quiere transmitirnos el periódico donde se ha públicado. Elegimos adecuadamente la escala de los ejes, tocamos el origen de coordenadas y… ¡listo! ¿Quién dice aún que los números no mienten?

IPC interanual según ABC
IPC interanual según El País

¿Adivinais cual es la de El País y cual la de el ABC?

Visto en Malaprensa.

60 días en servage.net

A dos meses ya del cambio de hosting a servage.net (que, por cierto, me recomendó aquí enxebree de “deaparatos”) puedo contaros ya que tal me va y hacer una inevitable comparación con dreamhost, mi anterior servicio de hospedaje.

En primer lugar deciros lo de siempre: esto de pagar por un hosting no es necesario para escribir un blog. Hay muchos servicios gratuitos para ello y gente con mucho más tráfico que yo los usa sin problemas de ningún tipo. Ahora bien, si además quieres un servidor con acceso desde Internet para “jugar” con él y/o tienes otro tipo de proyectos y no puedes (o no quieres) montar uno en tu casa o en el trabajo se trata de una buena opción y si no se trata de una actividad crítica no necesitas para nada un servidor dedicado.

El precio mensual de contratación en servage es muy similar al de dreamhost (6,35? al mes en la modalidad anual frente a los 6,78? de los americanos con el cambio actual del dolar) y sus características básicas también muy parecidas. No merece la pena, creo, discutir las diferencias entre anchos de banda porque ni sueño con llegar a copar los 3,6 Teras que me ofrece servage, así que mucho menos con agotar los 5 Teras de dreamhost. Ahora bien, lo que si echo de menos del servicio de dreamhost es el accesso por ssh a mi cuenta, los logs separados de las instancias de apache (que me permitían, por ejemplo, instalar webalizer) y el servicio de live streaming (mediante Darwin). Hay alguna tontuna más, pero ya de menor orden.

¿En que he ganado? Sin duda en calidad de servicio, estabilidad y en transparencia. Los cortes de servicio son pocos y de escasa duración, los servidores parecen ir bastante más desahogados salvo días contados (aunque realmente eso aquí no puedo medirlo con tanta precisión en dreamhost he llegado a ver load averages que creía imposibles) y el único problema real que he tenido durante estos 120 días ha sido realmente por culpa mía (excedí con creces la cuota diaria de 120 GB de trasferencia).

Para terminar con otro punto negativo para mi “nuevo hogar”: el servicio de promociones de servage.net es mucho menos atractivo que el de dreamhost, así que sospecho que dentro de un año me tocará pagar de mi bolsillo: dreamhost te concede “cupones” de 97,00$ que tu repartes libremente entre tu cuenta y la del nuevo cliente, mientras que servage.net te concede a ti dos meses de hosting gratis (el equivalente a unos 13,00?) y 25GB de almacenamiento extra para cada uno de ambos. El “extra” aquí es para quien hace la publicidad y no para el nuevo cliente cuyo beneficio es bien escaso y no hay que tener muchas luces para darse cuenta de que, salvo que algún buen amigo esté buscando hosting, poquitos meses extras me voy a ahorrar de esta forma. Pero si estás buscando hosting y quieres probar con Servage puedes usar este cupón promocional y, oye, son 25 GB extras que te llevas por nada y yo ya te invitaré a una caña un día de estos 😉

Cine en octubre’07

icono con claqueta de cine

María llena eres de gracia La señal Paradise Now
Diario de un skin El orfanato Las 13 rosas Poltergeist

  • María llena eres de gracia. 2004. Película casi documental acerca de las “mulas”, mujeres colombianas que transportan cocaína a los EE.UU. en el interior de su cuerpo. Pelín aburrida en el tratamiento pero recomendable.
  • La señal. 2007. Buff… ¡Pero qué tostón!¡Si hasta creo que eché una cabezadita un rato y todo! Aburrida, predecible, mal interpretada… ¡Anda que se ha lucido el señor Darín en su estreno como director!
  • Paradise now. 2005. Tenía ganas de verla desde hace mucho tiempo y no me ha decepcionado en absoluto. La película narra la historia de dos jóvenes palestinos captados para cometer un atentado suicida en Israel y nos ayuda un poco más a entender que es lo que está ocurriendo allí: la brutal opresión de Israel, la forma de explotar el fanatismo en jóvenes desencantados con el mundo en que viven, la crueldad y el cinismo de los que los empujan a estas acciones. Muy, muy recomendable.
  • Diario de un skin. 2005. Mala, mala, malísima. Es tan mala que hasta te hace dudar de la veracidad de la historia en la que se basa. ¿De verdad que este tío se ha infiltrado entre los nazis? ¡anda ya! Ni ganas me han quedado de leerme el libro para ver si cambio de opinión…
  • El orfanato. 2007. El cine fantástico en general y, dentro de este género, el español en particular nos da tan pocas alegrías que cuando nos encontramos una como esta, con una buena historia detrás y, además, bien interpretada te da un verdadero subidón. No quiero contaros nada para no jodérosla. Sólo deciros que es una fabulosa película de terror clásico así que, si os gusta el género, acercaros al cine a verla cuanto antes y espero que la disfrutéis tanto como yo.
  • Las 13 rosas. 2007. Debe de ser muy difícil hacer una buena película con una historia tan lineal y en la que todo el mundo ya sabe lo que va a pasar al final. Además Jael, que ha leído el libro en el que se basa la historia se queja de la excesiva suavidad con que se ha tratado la historia. Por lo demás, está interpretada de forma correcta y explota con mucha facilidad la sensibilidad de los espectadores, así que si vais a verla (yo, a pesar de lo dicho, os la recomiendo) que no se os olvide llevaros pañuelos de sobra.
  • Poltergeist. 1982.¿La habéis vuelto a ver? La verdad es que ha envejecido fatal. Yo recuerdo haber pasado verdadero miedo en su día y ahora la historia se ve tan inocentona y los efectos especiales tan malos que… ¡Ay! Si es que con algunas pelis pasa como con las chicas que nos gustaban cuando éramos adolescentes: mejor no volver a verlas 😉

Drivers de los HP nx73000 y Compaq Presario F500 para Windows XP

icono de windowsMás de uno ya lo habréis sufrido: instalar windows XP en los nuevos ordenadores comienza a a ser problemático porque, un año después del lanzamiento de Vista, muchos fabricantes ya no ofrecen drivers para este sistema. Las empresas con grandes cuotas de facturación aún pueden negociar esto en mejores condiciones o gastarse algo más de dinero por equipos con los que no van a tener problemas. Las empresas pequeñas o usuarios particulares lo tienen bastante más difícil.

En los últimos meses me he peleado con un par de modelos de portátiles de HP de gama baja y he conseguido dejarlos plenamente operativos para funcionar con XP. La solución pasa la mayoría de las veces por buscar drivers de otros modelos más antiguos que usan el mismo hardware o, incluso, drivers de otros portátiles. Para quien los precise he dejado la recopilación de drivers para ambos en mi servidor el amule (¡gracias jose!) y en los siguientes enlaces:

Algunas notas a tener en cuenta: el instalador de windows XP no soporta el disco SATA del nx7300 y es preciso introducirle el controlador durante la instalación (pulsando F6 cuando lo pregunta y teniendo un disco preparado con los drivers) o realizar la misma desactivando el modo SATA en la BIOS del portátil. En cuanto al Presario, el instalador del driver de la gráfica de nVidia no reconocerá la tarjeta pero una vez descomprimido y realizando la instalación de forma manual (entrando en el asistente de windows, diciendo que tienes un disco con los drivers e indicando el directorio dónde hemos descomprimido los controladores) no deberíais de tener problemas.

ACTUALIZACI?N: Lo siento mucho señores pero las continuas descargas de archivos tan pesados excede, con mucho, la cuota de ancho de banda que me impone mi servicio de hosting (ayer a las 2.00 ya se habían superado los 120 GB) así que busco una forma alternativa y entonces volveré a colgar los enlaces. Si, mientras tanto, alguien los necesita de forma urgente que lo pida y le doy acceso temporal a mi ftp.

ACTUALIZACI?N y II: Ya están los enlaces para bajárselos con el amule.

ACTUALIZACI?N y III: He dejado también una copia en Deposit files en los siguientes enlaces:

ACTUALIZACI?N (y IV): Copia en RapidShare.