Re: [Gutl-l] Autentificar samba con usuarios de Active Directory
Me comentas luego Muchas gracias socio completé mi configuracion con lo que enviastes, todo funciona perfecto Saludos u Gracias Alberto -- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Autentificar samba con usuarios de Active Directory [Solucionado]
Alberto Morales Fernández escribió: "kinit: KDC reply did not match expectations while getting initial credentials" Bueno señores no era nada mas y nada menos que ejecutar "kinit usua...@casa.cult.cu" con mayúscula como lo ven, gracias de todas formas Saludos Alberto -- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba. __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
Re: [Gutl-l] Autentificar samba con usuarios de Active Directory
Esto son los pasos que yo sigo para realizar dicha tarea. 1.--> Instalar la paquetería necesaria: aptitude install samba smbclient winbind krb5-user krb5-config 2.--> Resolver equipos de la red Agregar la IP de nuestro equipo Linux y la del Server Active Directory a "/etc/hosts": 3.--> Configurar el cliente kerberos Para configurar el cliente kerberos agregamos/modificamos las siguientes lineas a "/etc/krb5.conf": [libdefaults] default_realm = PRUEBAS.LOCAL clockskew = 300 [realms] PRUEBAS.LOCAL = { kdc = IP_PDC default_domain = pruebas.local admin_server = IP_PDC } pruebas.local = { kdc = IP_PDC default_domain = pruebas.local admin_server = IP_PDC } pruebas = { kdc = IP_PDC default_domain = pruebas admin_server = IP_PDC } [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [domain_realm] .pruebas = pruebas .pruebas.local = PRUEBAS.LOCAL [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 try_first_pass = true } 3.--> Crear tickets Kerberos kinit usua...@prueba.local 4.--> Configurar samba Editamos "/etc/samba/smb.conf" quedando algo parecido a lo siguiente: [global] security = ADS netbios name = debian realm = PRUEBAS.LOCAL password server = ad.pruebas.local workgroup = PRUEBAS log level = 1 syslog = 0 idmap uid = 1-2 idmap gid = 1-2 winbind separator = + winbind enum users = yes winbind enum groups = yes winbind use default domain = yes template homedir = /home/%D/%U template shell = /bin/bash client use spnego = yes domain master = no server string = linux como cliente de AD encrypt passwords = yes 5.--> Reiniciamos samba: 6.--> Agregar Linux al dominio: net ads join -S ad.pruebas.local -U usuario Nos deberá mostrar un mensaje como el siguiente: Using short domain name -- PRUEBAS Joined 'DEBIAN' to realm 'PRUEBAS.LOCAL' Si nos llega a mostrar un error como el siguiente: usuario's password: [2007/08/25 16:58:33, 0] libsmb/cliconnect.c:cli_session_setup_spnego(785) Kinit failed: Clock skew too great Failed to join domain! El problema puede ser que la hora del equipo con Linux no este configurada correctamente. Kerberos es muy estricto con la hora. Para solucionarlo, corregimos la hora manualmente o ejecutamos el siguiente comando: # ntpdate nina.eccmg.cupet.cu Después de hacer esto ya se debería de poder unir al dominio. 7.--> Resolver nombres de usuarios y grupos de dominio Editar "/etc/nsswitch.conf" y modificar las siguientes lineas dejándolas así: passwd: files winbind group: files winbind shadow: files winbind hosts: files dns winbind Gracias a las lineas anteriores los usuarios y grupos del dominio pueden ser resueltos. 8.--> Reiniciamos winbind: # /etc/init.d/winbind restart 9.--> Hacer pruebas para ver si todo salio bien 10.--> Configurar la autenticación Para configurar el acceso a usuarios del dominio a nuestro Linux mediante el entorno gráfico hay que configurar pam. Para ello editamos los siguientes archivos y agregamos/modificamos las siguientes lineas: /etc/pam.d/common-account account sufficient pam_winbind.so account requiredpam_unix.so try_first_pass /etc/pam.d/common-auth authsufficient pam_winbind.so authrequired pam_unix.so nullok_secure try_first_pass /etc/pam.d/common-password password sufficient pam_winbind.so password requiredpam_unix.so nullok obscure min=4 max=8 md5 try_first_pass /etc/pam.d/common-session session requiredpam_mkhomedir.so skel=/etc/skel/ umask=0022 session sufficient pam_winbind.so session requiredpam_unix.so try_first_pass Me comentas luego __ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l