Vous êtes sur la page 1sur 2

Servidor miembro de dominio Active Directory

El archivo siguiente smb.conf muestra una configuracin de ejemplo necesaria


para implementar un servidor miembro de dominio Active Directory. En este
ejemplo, Samba autentifica usuarios para servicios que se ejecutan localmente
pero tambin es un cliente del Active Directory. Asegrese de que su
parmetro realm se muestra en maysculas (por ejemplo realm = EXAMPLE.COM).
Puesto que Windows 2000/2003 requiere de Kerberos para la autenticacin de
Active Directory, se requiere de la directriz realm. Si Active Directory y Kerberos se
estn ejecutando en servidores diferentes, se puede necesitar la directriz password
server para ayudar a diferenciar.
[global]
realm = EXAMPLE.COM
security = ADS
encrypt passwords = yes
# Optional. Use only if Samba cannot determine the Kerberos
server automatically.
password server = kerberos.example.com
Para poder unir un servidor miembro a un dominio de Active Directory, se deben
completar los pasos siguientes:

Configuracin del archivo smb.conf en el servidor miembro

Configuracin de Kerberos, incluyendo el archivo /etc/krb5.conf file, en el


servidor miembro

Creacin de la cuenta de la mquina en el servidor de dominio Active


Directory

Asociacin del servidor miembro al dominio Active Directory

Para la cuenta de la mquina y unirse al Active Directory de Windows 2000/2003,


primero Kerberos se debe inicializar para el servidor miembro que desea unirse al
dominio Active Directory. Para crear un tquet administrativo Kerberos, escriba el
comando siguiente como root en el servidor miembro:
root# kinit administrator@EXAMPLE.COM
El comando kinit es un script de inicializacin que hace referencia a la cuenta
administrativa del Active Directory y el reino Kerberos. Puesto que Active Directory
requiere de los tquets Kerberos, kinit obtiene y coloca en cach los tquets de
Kerberos para la autenticacin cliente/servidor. Para ms informacin sobre
Kerberos, sobre el archivo /etc/krb5.conf y sobre el comando kinit, consulte
el Captulo 19.
Para unir un servidor Active Directory (windows1.example.com), escriba el
comando siguiente como root en el servidor miembro:
root# net ads join -S windows1.example.com -U

administrator%password
Puesto que la mquina windows1 se encontr automticamente en el reino
Kerberos correspondiente (el comando kinit fue exitoso), el comando net se
conecta al servidor Active Directory usando su cuenta administrativa y contrasea
rerquerida. Esto crea la cuenta de la mquina en el Active Directory y otorga los
permisos para que el servidor miembro Samba se una al dominio.
Nota
Puesto que se utiliza security = ads y no security = user, no se
necesita un motor de contraseas tal como smbpasswd. Los clientes ms
viejos que no soportan security = ads son autentificados como
si security = domain estuviese configurado. Este cambio no afecta la
funcionalidad y permite a los usuarios locales que no se encontraban
previamente en el dominio.

Vous aimerez peut-être aussi