SUSE Linux Enterprise Server 10 en un domino de Windows

Hoy me ha dado por instalar una SUSE Linux Enterprise Server para jugar con ella. Se me ocurrió unirla a un dominio que tengo en pruebas.

Lo primero que hice fue configurar los DNS, evidentemente, ya que los dominios de Directorio Activo de Windows 2000 en adelante funcionan bajo DNS. Lo configuré en Servicios de red > DNS y nombre de host del siguiente modo:

Nombre de host: nodo2
Nombre de dominio: guranet.local
Servidor de nombres 1: 192.168.0.10
Dominio de búsqueda: guranet.local

Como quería ver qué me ofrecía YaST en lo que a configuración se refiere, lo hice todo desde él. Hacía mucho que no lo utilizaba y he comprobado que los asistentes han mejorado notablemente.

Despues de utilizar el comando host para comprobar que la resolución de la zona era satisfactoria utilicé el asistente Servicios de red > Pertenencia a dominio de Windows.

Una vez se abra veremos que por defecto tiene un grupo de trabajo llamado TUX-NET (Que originales).

Escribiremos como nombre de dominio guranet.local y marcaremos dos casillas:

  • Usar también la información SMB para la autentificación de Linux
  • Crear directorio personal al iniciar sesión

La otra casilla, Autenticación sin conexión doy por hecho que cacheará los usuarios y contraseñas para poder iniciar sesión aunque el DC no esté disponible. Por mi parte lo desmarco.

Por último pinchamos en Finalizar. Tras hacer unas comprobaciones nos dice que esta máquina no pertenece al dominio, y si deseamos unirla al mismo. Le responderemos que Si, obviamente.

En este momento aparecerá la ventana donde introduciremos el usuario y contraseña de un usuario con permisos para añadir máquinas al dominio. En mi caso no tengo ninguna delegación, por lo que usaré la cuenta de Administrador. Tras unos segundos recibiremos el mensaje de que Se ha accesdido correctamente al dominio GURANET.

Ahora nos advertirá de que dos paquetes (samba-winbind y krb5-client) deberán ser instalados (Si nos lo están ya). Pinchamos en Continuar y introducimos los CDs que nos solicite, y a esperar se ha dicho.

Tras esperar un buen rato, podemos comprobar que ya ha creado una cuenta de equipo en el contenedor Computers del DC, pero aún no ha hecho la actualización dinámica en el DNS, y parece que no tiene intención de hacerlo.

Reiniciaremos la máquina. Con esto nos aseguramos de que todos los servicios necesarios sean reiniciados. Una vez el sistema arranque deberíamos poder iniciar sesión en SUSE con cualquier usuario del dominio.

Como comprobaréis, ahora al más puro estilo Windows, GDM en este caso, proporciona un inicio de sesión en local o en el dominio GURANET. Yo he iniciado sesión con un usuario que he creado anteriormeente en el dominio. Al iniciar sesión en Gnome aparece un error/warning algo feo informándonos de que se crearon determinados directorios y ficheros de configuración. Lo ingnoraremos. Una vez carge el escritorio abrimos un terminal, los logueamos como root y revisaremos un par de cosas.

# su –
# cd /home
# ls -la

Como podemos comprobar, el directorio personal de los usuarios locales lo crea directamente en /home, pero para los directorios personales (Léase perfiles) de los usuarios del dominio crea un directorio con el nombre del dominio NetBIOS (Al promocionar el DC podemos dejarlo por defecto o establecer uno).

# cd GURANET
# ls -la

En mi caso aparece el directorio linux que tiene como propietario a GURANET\linux y como grupo a GURANET\domain users.

Para establecer permisos, como siempre, o UGO o ACLs. Un ejemplo de permisos con los usuarios del dominio:

# cd /home/GURANET
# mkdir prueba
# chown “GURANET\administrator” prueba

Ya está. Para ver la lista de usuarios completa (Puede servir para comporbar id de usuario y de grupo, por ejemplo) podéis utilizar la siguiente orden:

# getent passwd

Ya visto el tema de los permsisos a nivel de sistema de ficheros, podemos comprobar que la política de contraseñas funciona correctamente. Por ejemplo, obligar al usuario a cambiar la contraseña en el próximo inicio de sesión. Que el usuario cumpla los requisitos de complejidad de la contraseña, el número de contraseñas recordadas (No volver a poner la misma contraseña que teníamos antes), etc. En lo referente a la política de bloqueo de cuenta tampoco se queda atrás y funciona a la perfección. No se me ocurre nada más que probar ahora mismo, y tampoco tengo muchas ganas, la verdad.

Queda un tema pendiente: Las actualizaciones dinámicas. Las actualizaciones dinámicas del DNS tienen un RFC, el RFC2136, y existe una utilidad en linux para hacer dicha actualización. Veamos…

# nsupdate
> update add nodo2.guranet.local 86400 A 192.168.0.5
> send

Es probable que a la primera no os funcione, ni a la segunda ni al tercer intento (Con un precioso REFUSED como respuesta). El problema está en las actualizaciones seguras. Por defecto, cuando una zona está integrada en Active Directory las actualizaciones son seguras en su totalidad, pero podemos degradar la seguridad temporalmente para probar, configurando la zona para que acepte actualizaciones dinámicas seguras y no seguras (Esto es una cagada, porque cualquiera podría manipular los registros DNS de la zona, con lo que ello implica). No se me ocurre a voz de pronto como solucionarlo, porque aunque hay mucha información acerca de como hacerlo con BIND generando claves y demás, no he encontrado nada para el DNS de Windows. Pero bueno, ahí os queda eso, para que penséis algo al respecto.

Anuncios

2 Responses to “SUSE Linux Enterprise Server 10 en un domino de Windows”


  1. 1 Rastreador 13 junio 2007 en 20:51

    Hace tiempo que tengo ganas de ponerme a jugar un poco con el RFC 2136 ya que el pfsense permite utilizarlo.
    Me dio por buscar en google por “RFC 2136” y sorpresa sorpresa quien está entre los enlaces a microsoft. =;-)

    Saludos.

  2. 2 stycaleee 21 noviembre 2008 en 13:10

    Os expongo un caso, a ver si podéis echarme un cable Dominio en 2003 server con su active directory con usuarios y grupos.

    SUSE 10 server en dominio 2003 server.

    Como podría dar los permisos a carpetas a distintos niveles.

    DATOS ->Carpeta compartida a sólo 1 persona con control total, persona del grupo 1. Y dentro de esta carpeta otras llamadas:
    – UNO (unos r sólo y otros rwx )ambos pertenecen al mismo grupo 1.
    – DOS (sólo r)
    – TRES

    Que será mejor usar acl ? o que tipo de permisos uso ?

    Gracias


Comments are currently closed.



Las opiniones reflejadas en este blog son personales o ni siquiera son opiniones, y bajo ningún concepto representan las estrategias, opiniones o posturas de mi empresa actual, ni de ninguna en las que he trabajado, así como tampoco de ninguno de los clientes o proveedores de todas ellas.
La información se proporciona como está, sin garantías de ninguna clase, y no otorga ningún derecho. Los comentarios pertenecen a sus autores y bajo ningún concepto el autor del blog se hará responsable de los mismos.

Categorías

Archivos


A %d blogueros les gusta esto: