Unir Linux a Active Directory y montar perfil móvil

Más sencillo de lo que parece

 

Al igual que en cualquier unión realizada en entorno Windows, lo principal es utilizar las DNS de tu dominio, para ello configuramos la tarjeta de red con dichas DNS y dominio a utilizar en nuestro caso PRUEBAS.LOCAL e ip 192.168.10.45

Instalamos NTP y lo configuramos para que nuestro servidor de hora sea el DC

apt ntp install

nano /etc/ntp.conf

y sustituimos los pool por nuestros DC

Reiniciamos servicio ntp

service ntp restart

Y verificamos con ntpq -p que sincroniza correctamente con nuestros DC

Ahora procedemos a instalar los paquetes necesarios

apt -y install realmd sssd adcli libwbclient-sssd krb5-user sssd-tools samba-common packagekit samba-common-bin samba-libs

Nos preguntara si queremos modificar smb.conf para usar WINS, donde le indicaremos que No la opción por defecto.

A continuación nos preguntará el reino Kerberos donde pondremos nuestro dominio PRUEBAS.LOCAL, en mayúsculas, aunque lo vamos a poner en minúsculas para que observéis el error que nos dará si no es introducido en mayúsculas.

y posteriormente los servidores en nuestro caso 192.168.10.45, lo suyo es el nombre completo del server FQDN

Lo mismo para el servidor administrativo

Bien, ya tenemos instalado lo principal, ojo en versiones anteriores en alguna distribución había que parchear el packagekit como en Ubuntu 16.04 desde este repositorio

add-apt-repository ppa:xtrusia/packagekit-fix

apt update

apt upgrade packagekit

Nuestra máquina de laboratorio como vimos en un post anterior fue actualizada a Debian Buster, veremos al finalizar si nos encontramos con algún problema.

Pasamos a configurar nsswitch, editamos /etc/nsswitch.conf y añadimos sss en los siguientes apartados, en el caso de Debian Buster ya lo hace el automáticamente.

passwd: compat sss

group: compat sss

….

netgroup: nis sss

sudoers: files sss

Pero muy importante modificar la linea

hosts:          files  mdns4_minimal [NOTFOUND=return] dns

por esta otra, donde lo único que hacemos es cambiar el orden poniendo dns detrás de files, sin este cambio nos fallará la unión.

hosts:          files dns mdns4_minimal [NOTFOUND=return]

Creamos un ticket de kerberos, de la siguiente manera 

kinit -V usarioadministradordominio

OJO sin el nombre del dominio porque lo cogerá del default_realm que es el que metimos en la instalación, comprobaréis que os fallará con el mensaje 

kinit: KDC reply did not match expectations while getting initial credentials

Este es el típico error que sucede frecuentemente y hemos querido reproducir en este post, esto es debido a que cuando nos preguntó el reino lo metimos en minúsculas para reproducir este típico error, basta con editar /etc/krb5.conf y ponerlo en mayúsculas tanto en default_realm como en los reinos, ademas de añadir en la parte inferior en la sección

[domain_realm]

pruebas.local = PRUEBAS.LOCAL

.pruebas.local = PRUEBAS.LOCAL

Claro está con vuestro dominio

Una vez puesto correctamente obtendremos

Authenticated to Kerberos v5

Teniendo el ticket unimos nuestra máquina al dominio, en la OU que queramos y con vuestro dominio, en nuestro caso hemos creado una OU llamada Linux Computers

realm join pruebas.local --computer-ou="ou=Linux Computers,dc=pruebas,dc=local" -U usuarioadministradordominio

y obtendremos

* Successfully enrolled machine in realm

Ya tenemos nuestra máquina unida al dominio, ahora vamos a montar los perfiles móviles, para ello primero instalamos

apt install smbclient gvfs-fuse gvfs-backends gvfs-bin cifs-utils libpam-mount

Una vez instalado editamos /etc/sssd/sssd.conf

nano /etc/sssd/sssd.conf 

y ponemos la linea siguiente en False quedando así

use_fully_qualified_names = False

Editamos lo siguiente

nano /etc/security/pam_mount.conf.xml

y debajo de 

<!-- Volume definitions -->

Montamos el perfil poniendo la ubicación donde tengamos dichos perfiles de usuario

<volume user="*" fstype="cifs" server="servidor" path="/%(USER)" mountpoint="/home/%(USER)" options="sec=ntlm,mfsymlinks,nodev,nosuid" />

Todo el proceso de unión al dominio y montaje del perfil móvil en el /home del usuario se puede hacer mediante scripts, ya que por ejemplo es muy útil cuando tienes una plataforma de escritorios virtuales lanzando dicho script de manera automática en el último paso de la creación del escritorio desde el broker.

TL.

Gracias por leer nuestros posts.

No hay comentarios

Comenta la entrada