El punto de partida es el siguiente: en tu empresa ya se usa un dominio con directorio activo de windows para la gestión de usuarios y grupos y quieres introducir una nueva maquina que haga funciónes de servidor de ficheros pero no te hace gracia pagar una nueva licencia y, además, quieres sacarle un poco más de rendimiento a esa máquina tan bonita que se ha comprado. La solución es usar Samba que desde su versión 3 se integra perfectamente con el directorio activo de windows. La chuleta que os cuento a continuación funciona tanto con windows server 2000 como con la versión 2003.
- Nombre de dominio:
madrid.midomino.es - Nombre NETBIOS del dominio:
MADRID - Nombre e IP del servidor windows:
win2k / 192.168.1.2 - Nombre e IP del servidor Debian:
samba / 192.168.1.3
Nuestro servidor windows además de ser el controlador principal del dominio tiene activado el servicio de DNS y lo primero que debemos hacer es abrir manualmente un registro para nuestro servidor samba con su correspondiente IP. Los paquetes que deberÃamos de tener instalados en nuestro debian son samba, winbind y krb5-user (creo que los nombres son los mismos en una Ubuntu Server).
Manos a la obra. En primer lugar nos aseguramos de que la resolución de nombres de nuestro servidor samba apunte correctamente al DNS del servidor que contiene nuestro directorio activo. Para ello editamos el fichero /etc/resolv.conf de esta forma:
search madrid.midominio.es
domain madrid.midominio.es
nameserver 192.168.1.2
nameserver 80.58.61.250
nameserver 80.58.61.254
En segundo lugar editamos el fichero /etc/krb5.conf para permitir la validación a través de kerberos con el siguiente contenido:
[libdefaults]
default_realm = MADRID.MIDOMINIO.ES[realms]
MADRID.MIDOMINIO.ES = {
kdc = 192.168.1.2
admin_server = 192.168.1.2
}
[domain_realms]
.dominio.es = MADRID.MIDOMINIO.ES
Tres: editar el fichero /etc/nsswitch.conf que es quien regula el orden en el que se realizaran las búsquedas de usuarios, grupos, nombres de máquinas en nuestra máquina Linux. El contenido deberÃa de ser algo asÃ:
passwd: files winbind ldap
shadow: files winbind ldap
group: files winbind ldap
hosts: files dns wins
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files
aliases: files
Y cuatro: editamos el fichero /etc/samba/smb.conf:
[global]
unix charset = LOCALE
realm=MADRID.MIDOMINIO.ES
workgroup=MADRID
security=ADS
password server=*
winbind separator=+
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
winbind uid=10000-20000
winbind gid=10000-20000
winbind enum users=yes
winbind enum groups=yes
template homedir=/tmp
template shell=/bin/false
Y ya casi estamos. Lo primero que vamos a hacer ahora es validad nuestro fichero smb.conf mediante el comando testparm:
samba:/etc# testparm -s
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
[global]
unix charset = LOCALE
workgroup = MADRID
realm = MADRID.MIDOMINIO.ES
security = ADS
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /tmp
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
samba:/etc#
Ahora tenemos que asegurarnos de que la sincronización horaria entre nuestros dos servidores es correcta. Para ello usamos el comando net time set:
samba:/etc# net time set
mié nov 28 22:19:23 CET 2007
samba:/etc#
Puesto que es muy importante que esta sincronización sea permanente lo mejor es programar la ejecución de este comando en nuestro cron. Por ejemplo asÃ:
samba:/etc# crontab -l
# m h dom mon dow command
0 5 * * * /usr/bin/net time set
samba:/etc#
Hora, finalmente, de añadir nuestra máquina Linux al directorio activo de windows.
samba:/etc# net ads join -UAdministrador%micontraseña
Using short domain name -- MADRID
Joined 'SAMBA' to realm 'MADRID.MIDOMINIO.ES'
samba:/etc#
Donde sustituiremos los parámetros que acompañan al comando net ads join por un usuario y su contraseña (Administrador y micontraseña respectivamente en este caso) con privilegios de administradores del dominio. Y ya deberÃa de estar todo funcionando. Ahora podemos comprobar que la resolución es correcta y que podemos usar los usuarios y grupos de nuestro directorio activo para validar permisos en samba mediante los siguientes comandos: wbinfo nos lista los usuarios y grupos del directorio activo.
samba:/etc# wbinfo -u
MADRID+administrador
MADRID+invitado
MADRID+tsinternetuser
MADRID+krbtgt
MADRID+arturof
MADRID+josemaria
...
samba:/etc# wbinfo -g
BUILTIN+administrators
BUILTIN+users
MADRID+equipos del dominio
MADRID+controladores de dominio
MADRID+administradores de esquema
MADRID+administración de empresas
MADRID+publicadores de certificados
MADRID+admins. del dominio
MADRID+usuarios del dominio
MADRID+invitados de dominio
MADRID+propietarios del creador de directivas de grupo
MADRID+dnsupdateproxy
MADRID+administracion
MADRID+finanzas
MADRID+proyectos
MADRID+sistemas
...
Por último comprobaremos que la validación de usuarios y grupos funciona también vÃa NSS mediante getent:
samba:/home/josemaria# getent passwd
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
...
MADRID+administrador:*:10000:10000:Administrador:
/tmp:/bin/false
MADRID+invitado:*:10001:10000:Invitado:/tmp:/bin/false
MADRID+tsinternetuser:*:10002:10000:TsInternetUser:
/tmp:/bin/false
MADRID+krbtgt:*:10003:10000:krbtgt:/tmp:/bin/false
MADRID+arturof:*:10004:10000:Arturo:/tmp:/bin/false
...
samba:/home/josemaria# getent group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:
...
MADRID+equipos del dominio:x:10001:
MADRID+controladores de dominio:x:10002:MADRID+itziarr
MADRID+administradores de esquema:x:10003:MADRID+administrador
MADRID+administración de empresas:x:10004:MADRID+administrador
MADRID+publicadores de certificados:x:10005:
...
A partir de ahora podremos usar los usuarios y grupos almacenados en el directorio activo de windows para conceder acceso a los recursos de samba de esta forma:
[sistemas]
path = /media/samba/sistemas
guest ok = no
read only = no
valid users = @MADRID+sistemas-r @MADRID+sistemas-rw @BUILTIN+administrators
read list = @MADRID+sistemas-r @BUILTIN+administrators
write list = @MADRID+sistemas-rw
force group = @MADRID+sistemas-rw
create mask = 0775
directory mask = 0775
ACTUALIZACIÃ?N: El capÃtulo Active Directory Domain with Samba Domain Member Server del libro Samba 3 by example es un excelente complemento y ampliación a esta entrada.
Gracias!! Exelente
Hola.
quiero comentar que he logrado hacer el net ads join de mi maquina linux ubuntu hacia mi servidor controlador de dominio windows server 2008 con AD.
De hecho puedo acceder desde un cliente auntenticado en windows por entorno de Red sin problema.
sin embargo al momento de ejecutar el comando
net ads join -U administrador
me sale el siguiente mensaje
No DNS domain configured for miserverlinux . Unable to perform DNS Update.
DNS update failed!
Creo que tiene que ver con algo del archivo etc/hosts
el mio tiene lo siguiente.
127.0.0.1 localhost
127.0.1.1 miserverlinux
192.168.20.53 miserverlinux.midominio.local proxy
192.168.20.3 serverwindowsad.midominio.local
Existe algún error en esa configuración de mi archivo hosts ?
En espera de su aporte!
Buen dia (tarde o noche, segun aplique) =)
Aqui va mi inquietud, hay algun manual como este para crear en dominio windows con el servidor principal con samba ? (me dicen donde por favor?)
Atte. Angel (drklght)
Buenas…
Les comento estoy realizando esta implementacion en un Fedora 13, y tengo este error:
=============================================================
# net ads join -UAdministrador%123miclave
Using short domain name — PRUEBA
Joined ‘FEDORA’ to realm ‘prueba.net’
No DNS domain configured for fedora. Unable to perform DNS Update.
DNS update failed!
==============================================================
En el DNS del Win2003 eh creado el registro A apuntado al Server Linux, y en el Linux tengo el DNS del Server Active Directory.
Saludos.
vale destacar que el nombre del netbios es SR23SSV01 , en el archivo de configuracion coloque que tambien el es workgroup= SR23SSV01, pero en realidad no tengo grupo de trabajo solo el dominio
Buenas,saludos amigos, super interesante el tutorial, justamente debo hacer lo que dice el enunciado delproblema:[b]en mi empresa ya se usa un dominio con directorio activo de windows para la gestión de usuarios y grupos y quieres introducir una nueva maquina que haga funciónes de servidor de ficheros pero de verdad que no me hace gracia pagar una nueva licencia[/b] …
les coloco a continuacion los codigos correspondientes a ver si me logran ayudar a visualizar el error, saludos !!!
————————————————————
#/etc/resolv.conf
search MASCOTAS.NET
domain MASCOTAS.NET
nameserver 192.168.1.2
nameserver 192.168.1.3
————————————————————
—-
—
# krb5.conf
# KERBEROS CONFIG FILE
# SADMS
# 2005-07-10 07:47:33
[libdefaults]
ticket_lifetime = 24000
default_realm = MASCOTAS.NET
default_tgs_entypes = rc4-hmac des-cbc-md5
default_tkt__enctypes = rc4-hmac des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-md5
# dns_lookup_realm = true
# dns_lookup_kdc = true
dns_fallback = yes
[realms]
MASCOTAS.NET = {
kdc = 192.168.1.2
admin_server = 192.168.1.2
default_domain = 192.168.1.2
}
[domain_realm]
.192.168.1.2 = MASCOTAS.NET
192.168.1.2 = MASCOTAS.NET
.MASCOTAS.net = MASCOTAS.NET
MASCOTAS.net = MASCOTAS.NET
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
#[kdc]
# profile = /var/kerberos/krb5kdc/kdc.conf
——————————————————–
———————————————————
————————————————————————
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference’ and `info’ packages installed, try:
# `info libc «Name Service Switch»‘ for information about this file.
passwd: files winbind ldap
shadow: files winbind ldap
group: files winbind ldap
hosts: files dns wins
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files
aliases: files
#passwd: compat
#group: compat
#shadow: compat
#hosts: files dns
#networks: files
#protocols: db files
#services: db files
#ethers: db files
#rpc: db files
#netgroup: nis
—————————————————-
————————————————————————-
# smb.conf
# SAMBA CONFIG FILE
# SADMS
# 2007-06-21
[global]
# netbios name
netbios name = sr23ssv01
# server string is the equivalent of the NT Description field
server string = Samba Server ubuntuserver
# realm = Kerberos realm
realm = MASCOTAS.NET
# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = sr23ssv01
# Security mode.
security = ADS
# Use password server option only with security = server
password server = *
# Password encryption
encrypt passwords = yes
# This option is important for security. It allows you to restrict
# connections to machines which are on your local network.
hosts allow = 192.168.1.0/255.255.255.0 127.
hosts deny = 0.0.0.0/0.0.0.0
# Uncomment this if you want a guest account, you must add this to /etc/passwd
# otherwise the user «nobody» is used
guest account = nobody
# this tells Samba to use a separate log file for each machine
# that connects
; log file = /var/log/samba/%m.log;
log file = /var/log/samba/samba.log
# The following are needed to allow password changing from Windows to
# update the Linux system password also.
# noTE: Use these with ‘encrypt passwords’ and ‘smb passwd file’ above.
# noTE2: You do noT need these to allow workstations to change only
# the encrypted SMB passwords. They allow the Unix password
# to be kept in sync with the SMB password.
; unix password sync = yes
; passwd program = /usr/bin/passwd %u
; passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*
# Unix users can map to different SMB User names
username map = /etc/samba/user.map
# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting
; include = /etc/samba/smb.conf.%m
# Most people will find that this option gives better performance.
# See speed.txt and the manual pages for details
socket options = TCP_noDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
# All NetBIOS names must be resolved to IP Addresses
# ‘Name Resolve Order’ allows the named resolution mechanism to be specified
# the default order is «host lmhosts wins bcast». «host» means use the unix
# system gethostbyname() function call that will use either /etc/hosts OR
# DNS or NIS depending on the settings of /etc/host.config, /etc/nsswitch.conf
# and the /etc/resolv.conf file. «host» therefore is system configuration
# dependant. This parameter is most often of use to prevent DNS lookups
# in order to resolve NetBIOS names to IP Addresses. Use with care!
# The example below excludes use of name resolution for machines that are noT
# on the local network segment
# – OR – are not deliberately to be known via lmhosts or via WINS.
; name resolve order = wins lmhosts bcast
# Windows Internet Name Serving Support Section:
# WINS Support – Tells the NMBD component of Samba to enable it’s WINS Server
; wins support = yes
# WINS Server – Tells the NMBD components of Samba to be a WINS Client
# note: Samba can be either a WINS Server, or a WINS Client, but noT both
; wins server =
# if you want to automatically load your printer list rather
# than setting them up individually then you’ll need this
printcap name = /etc/printcap
load printers = yes
# It should not be necessary to spell out the print system type unless
# yours is non-standard. Currently supported print systems include:
# bsd, sysv, plp, lprng, aix, hpux, qnx
; printing = lprng
# DNS Proxy – tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups. The built-in default for versions 1.9.17 is yes,
# this has been changed in version 1.9.18 to no.
dns proxy = no
# PAM-related
obey pam restrictions = yes
pam password change = yes
# Winbind separator
winbind separator = +
# Winbind use default domain
# This parameter specifies whether the winbindd daemon should
# operate on users without domain component in their username.
# Users without a domain component are treated as is part of
# the winbindd server’s own domain. While this does not benefit
# Windows users, it makes SSH, FTP and e-mail function in a way
# much closer to the way they would in a native unix system.
# Default: winbind use default domain = no
winbind use default domain = yes
# RID to UID map
idmap backend = rid:»BUILTIN=1000-9999,sr23ssv01=10000-60000″
; idmap domains = sr23ssv01
; idmap config sr23ssv01:backend = rid
; idmap config sr23ssv01:range = 10000-60000
; idmap config BUILTIN:backend = rid
; idmap config BUILTIN:range = 1000-9999
# RID idmap does not work with trusted domains
allow trusted domains = no
# Domain user id range
idmap uid = 1000-60000
# Domain group id range
idmap gid = 1000-60000
# Allow enumeration of domain users and groups
winbind enum users = yes
winbind enum groups = yes
# Allow nested groups
; winbind nested groups = yes
# Winbind templates
# This parameter is designed to control how Winbind retrieves
# Name Service Information to construct a user’s home directory
# and login shell. Currently the following settings are available:
# – template – The default, using the parameters of template shell
# and template homedir)
# – sfu – When Samba is running in security = ads and your Active
# Directory Domain Controller does support the Microsoft «Services
# for Unix» (SFU) LDAP schema, winbind can retrieve the login shell
# and the home directory attributes directly from your Directory
# Server. Note that retrieving UID and GID from your ADS-Server
# requires to use idmap backend = idmap_ad as well.
; winbind nss info = template
# When filling out the user information for a Windows NT user, the
# winbindd(8) daemon uses this parameter to fill in the home
# directory for that user. If the string %D is present it is sub-
# stituted with the userâ??s Windows NT domain name. If the string
# %U is present it is substituted with the userâ??s Windows NT user
# name.
template homedir = /home/%U
# When filling out the user information for a Windows NT user, the
# winbindd(8) daemon uses this parameter to fill in the login
# shell for that user.
template shell = /bin/bash
# This option defines the default primary group for each user cre-
# ated by winbindd(8)â??s local account management functions (simi-
# lar to the â??add user scriptâ??).
; template primary group = «sr23ssv01/MASCOTAS»
; template primary group = «MASCOTAS»
# Services
default service = homes
preload = global homes printers
# Default share values
valid users = @»sr23ssv01/MASCOTAS»
admin users = «sr23ssv01/administrador»
#==================
[homes]
comment = Home Directory
browseable = no
writable = yes
valid users = @»sr23ssv01/MASCOTAS»
; read only = No
; create mask = 0664
; directory mask = 0775
[users]
path = /home
comment = All Home Directories
browseable = yes
writable = yes
valid users = @»sr23ssv01/MASCOTAS»
admin users = «sr23ssv01/administrador»
read list = @»sr23ssv01/MASCOTAS»
write list = @»sr23ssv01/MASCOTAS»
[data]
path = /data
comment = Data
browseable = yes
writable = yes
valid users = @»sr23ssv01/MASCOTAS»
admin users = «sr23ssv01/administrador»
read list = @»sr23ssv01/MASCOTAS»
write list = @»sr23ssv01/MASCOTAS»
;[tmp]
; comment = Temporary file space
; path = /tmp
; read only = no
; public = yes
# NOTE: If you have a BSD-style print system there is no need to
# specifically define each individual printer
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes
;public = yes
;to allow user ‘guest account’ to print
———————————————————-
RESULTADO DEL TEST
miguelrojas@ubuntuserver:~$ sudo testparm -s
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Processing section «[homes]»
Processing section «[users]»
Processing section «[data]»
Processing section «[printers]»
Loaded services file OK.
‘winbind separator = +’ might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
[global]
workgroup = SR23SSV01
realm = MASCOTAS.NET
netbios name = SR23SSV01
server string = Samba Server ubuntuserver
security = ADS
allow trusted domains = No
obey pam restrictions = Yes
pam password change = Yes
username map = /etc/samba/user.map
log file = /var/log/samba/samba.log
socket options = TCP_noDELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
dns proxy = No
preload = global homes printers
default service = homes
idmap backend = rid:»BUILTIN=1000-9999,sr23ssv01=10000-60000″
idmap uid = 1000-60000
idmap gid = 1000-60000
template homedir = /home/%U
template shell = /bin/bash
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
valid users = @sr23ssv01/MASCOTAS
admin users = sr23ssv01/administrador
hosts allow = 192.168.1.0/255.255.255.0, 127.
hosts deny = 0.0.0.0/0.0.0.0
[homes]
comment = Home Directory
read only = No
browseable = No
browsable = No
[users]
comment = All Home Directories
path = /home
read list = @sr23ssv01/MASCOTAS
write list = @sr23ssv01/MASCOTAS
read only = No
[data]
comment = Data
path = /data
read list = @sr23ssv01/MASCOTAS
write list = @sr23ssv01/MASCOTAS
read only = No
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
browsable = No
miguelrojas@ubuntuserver:~$
———————————————————
RESULTADO DEL CRONTAB
miguelrojas@ubuntuserver:~$ sudo crontab -l
no crontab for root
miguelrojas@ubuntuserver:~$ # m h dom mon dow command
miguelrojas@ubuntuserver:~$ 0 5 * * * /usr/bin/net time set
——————————————————
resultado de de añadir nuestra máquina Linux al directorio activo de windows.
miguelrojas@ubuntuserver:~$ sudo net ads join -U administrador%clave2010
Failed to join domain: failed to find DC for domain MASCOTAS.NET
miguelrojas@ubuntuserver:~$
———————————————–
miguelrojas@ubuntuserver:/etc/samba$ wbinfo -u
Error looking up domain users
————————————————-
miguelrojas@ubuntuserver:/etc/samba$ wbinfo -g
Error looking up domain groups
—————————————————-
estare agradecido de su ayuda
Bien ya vi donde estaba el problema. No se pueden usar espacios en blanco en los grupos para restringir el acceso. aunque el grupo en Windows contenga espciaos no peude ser introducido en el smb.conf como
@GRUPO CON ESPACIOS. Será necesario entrecomillar o algo similar para poder usar esos grupos.
No sé que pasará con el entorno pero después de tener todo el entorno configurado, de que los comandos wbinfo y getent respondan bien, pueda usar los grupos y usuarios para asignar permisos en el Linux cuando configuro samba con valid users e intento acceder desde Windows (desde el propio controlador de domino) siempre me dice:
«No tiene acces a \\ruta-del-samba. Puede que no tenga permiso para utilizar este recurso de red….»
En el smb.conf he probado con un grupo que se llama pruebas:
valid users: @NOMBRE-DOMINIO+pruebas
también con
valid users: @NOMBRE-DOMINIO+pruebas-rw
Pruebo para acceder desde Windows con DOMINIO\usuario, usuario@dominio.com, usuario a secas… y nunca me deja acceder.
No sé donde puede estar el problema.
Lo siento por haber posteado el mensaje sin hacer todas las comprobaciones. SÃ tenÃa configurada la entrada en el DNS de Windows, pero estaba mal la IP.
Sorry.
Nacho: te lo está diciendo clarito, clarito y lo remarco en los primeros párrafos de la chuleta ¿no?¿Tienes correctamente configurado el servicio DNS tanto en el servidor de dominio windows como en la máquina Linux donde estás instalando Samba? Revisa ambas cosas, anda…
He seguido todos los pasos en un Ubuntu 10.04 para unirlo a un dominio Windows 2003 y cuando ejecuto net ads join -UAdminsitrador% me dice:
Using short domain name — NOMBRE-DOMINIO
Joines ‘SAMBA’to realm ‘nombre-dominio.com’
No DNS domain configured for samba. Unable to perform DNS Update.
DNS update failed!
Y los comandos wbinfo etc no recuepran usuariso del directorio activo ni nada.
Gracias.
Juancar: con el w2008 server ocurre lo mismo. Si el servidor de dominio windows no es capaz de resolver el nombre de la máquina a través del DNS no la integrará en el dominio. De hecho, este es uno de los problemas más frecuentes incluso en dominios donde todas las máquinas son windows.
Que significa este parrafo?
«Nuestro servidor windows además de ser el controlador principal del dominio tiene activado el servicio de DNS y lo primero que debemos hacer es abrir manualmente un registro para nuestro servidor samba con su correspondiente IP»
Que tienes que dar la maquina de alta en Active directory en el apartado «computers» antes de nada? Que la debes meter en hosts del central Windows?
Es necesario? ¿alguien ha probado a dar de alta con un Servidor Windows 2008 como servidor de dominio?
Hola, he seguido paso a paso este post… pero se me presenta el siguiente error a la hora de agregar la máquina SAMBA al dominio:
«Failed to join domain: failed to find DC for domain NET.XXXXX.XXX»
Alguna sugerencia?
Gracias!
che, configure todo como indicas y tambien desde otro manuales, pero no verifica bien los grupos, los puse de todas las formas posibles y no funciona, pero cuando verifico con «getent group» si me aparecen los grupos
nose si te daras alguna idea
gracias
Hola que tal ps voy al pie de la letra con el tuto yo lo estoy aplicando a la version 9.04 de ubuntu pero tengo un problema a la hora de testear los parametros me sale el siguiente error
‘winbind separator = +’ might cause problems with group membership.
Alguna sugerencia??? prk deberas que ya llevo varios tutoriales y no he podido agregar mi equipo linux en el dominio de windows:S
Te comento cual es el problema, estube chequeando un poco en google y resulta que el problema esta en kerberos, cuando intento ejecutar kinit me arroja el error: «krb5 error code 68 while getting initial credentials», cuando ejecuto «kinit -v» arroja «No credentials cache found while validating credentials» y cuando ejecuto «kinit -4 user» me arroja «Can’t send request (send_to_kdc)», el problema que antes tenia era que desde windows cuando intentaba ingresar al server mapeando la unidad no me podia conectar con ninguna usuario, y la configuracion de samba estaba correcta, despues de varios arreglos que hice en kerberos llegue a este punto pero ahora cuando escribo «getent passwd» o «getent group» solo me salen los user locales.
mi krb5.conf es el siguiente:
—————————-
[libdefaults]
default_realm = HIDALGO01.LABHIDALGO.NET
[realms]
HIDALGO01.LABHIDALGO.NET = {
default_domain = LABHIDALGO.NET
kdc = hidalgo01.labhidalgo.net
admin_server = hidalgo01.labhidalgo.net
}
[domain_realm]
HIDALGO = HIDALGO01.LABHIDALGO.NET
[logging]
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default = FILE:/var/log/kerberos/krb5lib.log
——————————
cualquier dato que necesites decime
desde ya muchas gracias
No te entiendo juan. Si te muestra los grupos y usuarios del dominio desde samba es que la autenticación con el dominio se está realizando correctamente. ¿A qué te refieres exactamente con «cuando ingreso al server desde samba»? El objetivo de todo esto es conectar con samba desde una máquina cliente windows y que la autenticación se realice por medio de una cuenta del directorio activo con la que se ha hecho login previamente en el inicio de dicho windows. ¿Es eso lo que no te funciona?
che tengo una pregunta, configure todo como vos lo mostras, obviamente modificando el nombre de dominio y la ip, cuando utilizo el comando «getent passwd», «getent group», «wbinfo -u» y «wbinfo -g», me muestra todos los grupos u usuarios del dominio depende que corresponda, el tema es que cuando ingreso al server desde samba, me pide una clave, pero nadie puede entrar, es como si no pudiera cotejar las claves con el servidor de domino de windows.
cualquier dato que necesites decime y te lo paso.
espero me puedas ayudar
gracias
Hola, tengo una duda, ya pude unir mi equipo al Active Directory, de hecho si le doy un nombre de usuario que no existe en el archivo passwd y me firma en linux, el unico detalle es que tarda muchismo en en entrar el equipo, me puedes sugerir algo para buscar y corregir este detalle, tambien quiero dicir que esta bastante bien explicado la manera en como unir un servidor de linux a un dominio con Active Directory, gracias por todo el apoyo que me brindan, saludos.