Si estamos aquí es porque tenemos instalado un servidor Linux con CentOS 5.

4 o
superior, lo hemos actualizado, desactivado el SeLinux y el cortafuegos. Vamos a
realizar los pasos con el entorno gráfico activo para facilitar la administración del
servidor, pero desde entorno de comandos modificando los archivos de configuración
correspondientes, iniciando los servicios y agregándolos al inicio del sistema para
futuros reinicios del mismo, no deberíamos tener tampoco mayores problemas.

Antes de empezar con la integración en LDAP, debemos indicarle al ordenador como

puede localizar los servidores PDC de nuestra red, para ello vamos a modificar el
archivo de configuración de DNS interno del equipo, es decir /etc/hosts, aquí
agregamos las direcciones Ip y los nombres equivalentes de los servidores controladores
de dominio. Otra cosa que debemos tener en cuenta es que la hora del ordenador y la de
los servidores controladores del dominio es la misma, porque sino puede dar problemas.

• Con todo esto resuelto, accedemos a nuestro servidor con el usuario

administrador root

, una vez estamos en la consola de administración introducimos la palabra startx

y esperamos a que el entorno gráfico nos aparezca.
• Con el entorno gráfico iniciado vamos a Sistema->Administración-
>Autenticación para configurar los parametros de acceso al dominio.

• En la primera pestaña Información del usuario habilitamos la opción de

Winbind y presionamos sobre el botón Configurar Winbind.
• En la siguiente ventana tenemos que agregar los datos del dominio.

Importante un par de detalles.

o En dominio Winbind indicamos el nombre del dominio en mayúsculas
en Entorno Winbind ADS indicamos el nombre cualificado del
dominio en mayúsculas también.
o Los servidores que pongamos en el apartado de Controladores de
dominio Winbind deben ser los mismos que hemos añadido al archivo
/etc/hosts porque sino no encontrara los servidores para unirse al
dominio.
o Tipo de shell debe ser la de /bin/bash para poder usar comandos al
acceder con el usuario Windows en el servidor Linux.
o Marcar la opción de Permitir ingreso (logging) fuera de línea para
poder seguir accediendo aunque no tengamos red.
• Una vez configurada la integración, solo debemos presionar el botón de Unir
dominio para poder agregar el equipo al dominio Windows. Importante estar
atento al usuario que nos pone por defecto para unir el equipo al dominio,
normalmente pone Administrator, en nuestro caso cambiarlo por
Administrador o alguno de los usuarios administradores del dominio.
• Una vez finalizado el proceso podemos ir al administrador de Usuarios y
equipos de Active Directory y verificar que aparece el equipo, moverlo al grupo
que nos interese y configurarle los datos correspondientes a la pestaña UNIX. Lo
siguiente que hay que hacer es en la pantalla de Configuración de la
 autenticación vamos a la pestaña de Autenticación y activamos también la
pestaña de Habilitar el soporte de Winbind.
• Luego vamos a la pestaña de Opciones y marcamos las opciones de: Crear los
directorios (home) de inicio al ingresar la primera vez y La autorización
local es suficiente para los usuarios locales. Por cualquier duda dejar como en
la imagen:

• Con todo esto realizado, toca ir ahora al entorno de comandos para asegurarnos
que algunos archivos de configuración quedan como necesitamos para ello
podemos ir al terminal, visualizar y modificar los archivos necesarios.
o Configuración Samba: /etc/samba/smb.conf. El fichero para la
integración podría estar en blanco y tener unicamente las siguientes
opciones:

workgroup: donde ponemos el nombre del dominio (en
mayusculas).

password server: donde indicamos los servidores que son
controladores de dominio (recordar dar de alta estos servidores en
/etc/hosts para poder tener la ip correspondiente)

realm:donde indicamos toda la nomenclatura del dominio (por
ejemplo midominio.ptd)

security:aquí indicamos el valor ads

idmap uid:aquí indicamos el intervalo númerico de los posibles
valores que tendrán los identificadores de los objetos LDAP
(normalmente 10000-20000)

idmap gid: lo mismo que el anterior pero para los grupos

template shell: indicamos /bin/bash para asegurar una completa
integración de los usuarios.

winbind use default domain: con valor true le indicamos que sí.

winbind offline logon:con el valor true le indicamos que sí.

winbind enum users: con el valor true le indicamos que sí.

winbind enum groups:con el valor true le indicamos que sí.

idmap backend:indicamos que
idmap_rid:MIDOMINIO=RANGOPERMITIDOIDENTIFICADO
RES (ejemplo idmap_rid:PEPE=10000-20000)
o El siguiente fichero a modificar es /etc/krb5.conf: aquí intentaremos que
quede como lo siguiente:

[loggin] en este apartado deberíamos tener algo así:

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/krb5kdc.log

admin_server = FILE:/var/log/kadmin.log

[libdefaults] este apartado debería quedar así:

default_realm = MIDOMINIO (cambiamos MIDOMINIO
por el nombre en mayúsculas del dominio.)

dns_lookup_realm = false

dns_lookup_kdc = false

[realms] este apartado debería quedar así:

MIDOMINIO.PRT = { (cambiamos el MIDOMINIO.PRT
por nuestro nombre de dominio)

kdc = servidorcontroladordominio (cambiamos
servidorcontroladordominio por el nombre del servidor,
podemos poner tantas líneas de este tipo como servidores
tengamos)

admin_server = servidorcontroladordominio:749
(cambiamos el servidorcontroladordominio por el nombre
del servidor)

default_domain = midominio.prt} (cambiamos el
mimodinio.prt por el nombre cualificado de nuestro
dominio)

[domain_realm] esta sección queda así:

.midominio.prt = MIDOMINIO.PRT (cambiamos
midominio.prt por el nombre cualificado del dominio)

midominio.prt = MIDOMINIO.PRT (lo mismo que el
anterior)

[appdefaults] esta sección quedaría así:

pam = {

debug = false

ticket_lifetime = 36000

renew_lifetime = 36000

forwardable = true

krb4_convert = false}
o El siguiente fichero a modificar es /etc/nsswitch.com donde nos
aseguraremos que en apartado passwd y group además de compat ponga
winbind (ejemplo passwd:compat winbind)
 o El último fichero que deberíamos modificar es el que indica que el
sistema debe crear el directorio del usuario al iniciar el sistema.Para ello
editamos el fichero /etc/pam.d/system-auth y agregamos a la última línea
lo siguiente: session required pamoddjob_mkhomedir.so skel=/etc/skel
umask=0022, creamos el directorio /home/MIDOMINIO cambiando
MIDOMINIO por el nombre del dominio en mayusculas.

Una vez hemos hecho esto nos aseguramos que los siguientes servicios estén activos
(iniciamos los que no estén ya iniciados) y además nos aseguramos que en los
siguientes reinicios estarán activos tras el inicio del sistema.

• smb:para iniciarlo ponemos service smb start, para reiniciarlo service smb
restart, para pararlo service smb stop normalmente estará parado así que service
smb start este servicio es el de samba
• winbind: lo mismo que pasaba con samba para iniciar, parar o reiniciar el
servicio usamos service winbind +start o stop o restart
• oddjobd: lo mismo con samba usamos service oddjobd+start o stop o restart

Con el comando chkconfig --level 35 smb on nos aseguramos que para los siguientes
inicios de sistema el servicio de samba vuelva a iniciarse, con chkconfig --level 35
winbind on nos aseguramos que para los siguientes inicios de sistema el servicio se
inicie y también para oddjobd con chkconfig --level 35 oddjobd on.

Mandamos reiniciar winbind e iniciar samba y oddjobd y cuando estamos seguros que
están activos probamos a ejecutar lo siguiente wbinfo -u tras esto nos debería salir un
listado de los usuarios del dominio.
Si tecleamos wbinfo -g debería salirnos un listado de los grupos del dominio.
Y si presionamos kinit nombreusuariodominio cambiando nombreusuariodominio por
un usuario valido en el dominio debería pedirnos su clave.