Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Internet, Redes y Wireless


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Conectar suse a un dominio NT
  #1  
Antiguo 14-mar-2006, 21:25
jtejada
Invitado
 
Mensajes: n/a
Conectar suse a un dominio NT

Hola, soy nuevo en el foro y también soy nuevo en el manejo de redes. Por lo que necesito una manito para solucionar un problema.
Lo que pasa es que quiero conectar una estación de trabajo en Open Suse a un dominio NT, y que la autenticación de usuarios esté determinada por los usuarios registrados en el servidor NT.

Ya tengo configurado mi cliente de samba, ya reconoce la red e incluso puedo ver las carpetas compartidas. También le he marcado la opción de autenticar los usuariso usando Samba, y me da un listado de los usuarios del servidor, y al momento de entrar, los reconoce, pero sale un mensaje de error informando que dichos usuarios no pueden iniciar en modo gráfico. Debido a esto intente hacer log in desde una consola, y el sistema reconoce el usuario, pero la sesión expira muy rápida (unos pocos segunditos).

Alguno de ustedes se ha encontrado con un problema similar... o si ya conoce como solucionarlo le agradecería mucho su ayuda.

Julián
Responder Citando
Solución
  #2  
Antiguo 25-mar-2006, 19:32
jtejada
Invitado
 
Mensajes: n/a
Solución

La clave está en el modulo PAM que administra la autenticación... pueden encontrar más detalles en el siguiente vínculo

http://web.iesrodeira.com/index.php/...ominio_Windows
Responder Citando
  #3  
Antiguo 03-abr-2006, 10:01
Avatar de Nargothic
Nargothic Nargothic está desconectado
Miembro Junior
 
Fecha de Ingreso: 27-noviembre-2005
Mensajes: 447
Agradecimientos: 0
Agradecido 1 Vez en 1 Mensaje
Poder de Credibilidad: 14
Nargothic está en el buen camino
Tengo el mismo problema, pero la URL que me indicas no me carga (quizás por el proxy de mi empresa, quien sabe).

¿Una ayudita? El tema es que es eso, quisiera conectar mi Linux a un dominio Windows. Más o menos lo tengo hecho, pero petardea en muchas partes.
__________________
Responder Citando
  #4  
Antiguo 08-abr-2006, 20:30
Avatar de willicl
willicl willicl está desconectado
Habitual
 
Fecha de Ingreso: 22-febrero-2006
Mensajes: 314
Agradecimientos: 0
Agradecido 1 Vez en 1 Mensaje
Poder de Credibilidad: 13
willicl está en el buen camino
eso sLE EN EL LINK




INTRODUCCIÓN
O obxectivo deste tutorial é explicar como se pode configurar unha equipa Linux pra que realice a autenticación dos usuarios mediante un PDC (Primary Domain Controller), xa sexa un ordenador Windows 2000/NT ou un Linux/Unix con samba. A autenticación en rede pode realizarse de varios xeitos, como NIS, NIS+ ou Kerberos, aínda que este documento únicamente trata a autenticación mediante PDC. Nos seguintes apartados se comentará como configurar unha equipa con Linux pra que autentifique os seus usuarios mediante un PDC si o usuario non está de alta no sistema local (/etc/passwd e /etc/shadow), xa que en ese caso se realizará unha autenticación tradicional. Tamén se comentará o xeito de mapear os usuarios do PDC a usuarios locais UNIX asignándolles un UID (número de usuario) e un GID (número de grupo) e como crear automáticamente os homes dos usuarios.

WINBIND.
O demo winbindd permite a unha equipa Linux formar parte dun dominio Windows NT/2000, e como membro do dominio ver os usuarios e grupos NT/2000 como si fosen usuarios Linux. O resultado final é que cando un programa no sistema Linux (por exemplo login) necesita autenticación de usuario, o sistema operativo pode realizala mediante o PDC. Os nomes de usuario terán a forma DOMINIO/usuario e DOMINIO/grupo, sendo posible elexir o caracter pra separar o dominio do nome de usuario ou grupo (neste caso /). A equipa de programación de Samba implementou as chamadas RPC (Remote Procedure Call) de Windows necesarias pra manexo remoto, autenticación e spool de impresión, esto permite listar os usuarios e grupos, obter información detallada sobre os mesmos, autenticar usuarios contra o PDC e cambiar a password dos usuarios do PDC dende unha máquina Linux. Winbind mapea automáticamente a información das contas no NT/2000 a usuarios e grupos Linux

NSS (Name Service Switch).
NSS (Name Service Switch) é unha característica de moitos sistemas UNIX que permite obter información sobre nomes de hosts, alias de correo e información sobre os usuarios a partir de distintas fontes de información, por exemplo dende ficheiros de texto no sistema local, dun servidor NIS ou dun servidor DNS. NSS permite polo tanto a winbind actuar coma un proveedor de información NSS que resolve nomes de usuarios e grupos. Gracias a esto é posible obter os usuarios e grupos mediante chamadas UNIX estándar como si se tratara de usuarios e grupos locais. O ficheiro de configuración de NSS é /etc/nsswitch.conf. Cando un sistema UNIX fai unha petición búscase en este ficheiro unha liña que coincida co servicio solicitado, por exemplo passwd cando se buscan usuarios ou grupos. Esta liña especifica que proveedor de información vai a resolver a petición e en qué orde. Por exemplo:


passwd files example

Con esta liña se intentará a carga de /lib/libnss_files.so pra realizar a autenticación, e se falla o intentará con /lib/libnss_example.so. Winbind proporciona o módulo libnss_winbind.so que ten que estar situado no directorio /lib.

PAM (Pluggable Authenticate Modules).
Mediante os módulos PAM é posible especificar distintos métodos de autenticación pra diferentes aplicacións do sistema sen necesidade de recompilalas, ademáis da ofrecer a posibilidade de elexir entre varias políticas de autorización. Por exemplo pódese configurar o sistema pra permitir logins na consola so ós usuarios que estén en /etc/passwd, e acceder mediante telnet únicamente ós usuarios autenticados mediante NIS. Winbind utiliza o interface PAM pra integrar ós usuarios NT no sistema Linux permitindo a autenticación contra un PDC ou cambiar a password dos usuarios no PDC. Pra facer esto Winbind proporciona un módulo chamado pam_winbind.so que debe estar situado no directorio /lib/security.

MANEXO DOS UIDs e GIDs.
Os usuarios e grupos NT usan un identificador numérico chamado RID que é distinto do rango de números utilizado polos sistemas Linux/Unix para os usuarios e os grupos. É responsabilidade de winbind a conversión entre os RIDs de Windows e os UIDs e GIDs Linux. No momento da configuración é necesario especificar un conxunto de IDs numéricas entre os que escollerá winbind pra facer o mapeo de usuarios. Este mapeo de usuarios vaise facendo dun xeito secuencial según van iniciando sesión os usuarios por primeira vez, e se almacena nunha base de datos local. Pra optimizar o uso do ancho de banda da rede a información dos usuarios (como a password) almacénase nunha caché local utilizando unha clave suministrada polo PDC. Cando a información do usuario cambia o PDC incrementa esa clave. Winbind compara as claves local e a enviada polo PDC pra detectar cando expira a caché coa información dos usuarios

MANEXO DOS UIDs e GIDs.
Os usuarios e grupos NT usan un identificador numérico chamado RID que é distinto do rango de números utilizado polos sistemas Linux/Unix para os usuarios e os grupos. É responsabilidade de winbind a conversión entre os RIDs de Windows e os UIDs e GIDs Linux. No momento da configuración é necesario especificar un conxunto de IDs numéricas entre os que escollerá winbind pra facer o mapeo de usuarios. Este mapeo de usuarios vaise facendo dun xeito secuencial según van iniciando sesión os usuarios por primeira vez, e se almacena nunha base de datos local. Pra optimizar o uso do ancho de banda da rede a información dos usuarios (como a password) almacénase nunha caché local utilizando unha clave suministrada polo PDC. Cando a información do usuario cambia o PDC incrementa esa clave. Winbind compara as claves local e a enviada polo PDC pra detectar cando expira a caché coa información dos usuarios

passwd: files winbind shadow: files group: files winbind

Configuración PAM.
É necesario configurar PAM pra permitir a autenticación para os servicios de acceso (por exemplo ssh e login). Pra esto precisamos que o arquivo pam_winbind.so esté situado no directorio /lib/security e posteriormente configurar o ficheiro de /etc/pam.d axeitado para o servicio de acceso. Seguidamente veremos un exemplo de configuración pra login e pra ssh:


LOGIN
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_stack.so service=system_auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system_auth
password required /lib/security/pam_stack.so service=system_auth
session required /lib/security/pam_stack.so service=system_auth
session optional /lib/security/pam_console.so


sshd

#%PAM-1.0
auth required /lib/security/pam_stack.so service=system_auth
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system_auth
password required /lib/security/pam_stack.so service=system_auth
session required /lib/security/pam_stack.so service=system_auth
session required /lib/security/pam_limits.so
session optional /lib/security/pam_console.so

Tamén é posible configurar PAM para samba de xeito que se creen automáticamente os homes dos usuarios:

#%PAM-1.0
auth required pam_nologin.so
auth required pam_stack.so service=system_auth
account required pam_stack.so service=system_auth
session required pam_mkhomedir.so skel=/etc/sambaskel umask=0022
session required pam_stack.so service=system_auth
password required /lib/security/pam_stack.so service=system_auth

NOTAS ADICIONAIS.
Para o correcto funcionamento da autenticación hay que ter en conta os seguintes puntos:

O workgroup de samba debe ser o mesmo que o dominio do PDC
security debe ser domain
domain master debe ser no
Deberíase poñer en /etc/hosts o dominio coa IP do PDC
Conven engadir ós ficheiros pam axeitados (coma login) a liña para crear automáticamente os directorios home:
session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0022
:* Non funciona si o directorio home do usuario está dentro de outro directorio sin crear. Por exemplo si o home está en /home/dominio/usuario e non temos creado antes o directorio dominio non funciona.
Elexir / como separador no ficheiro smb.conf fai que non arranquen as X cun error de falta de permisos sobre a consola.
Ollo coas maiúsculas e minúsculas no nome de usuario. Winbind autenticará de todos modos, pero logo non funcionarán correctamente algunhas cousas como as X.

Última edición por willicl; 08-abr-2006 a las 20:33
Responder Citando
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Servidor de dominio SUSE como autentificador criosg Seguridad y Servidores 4 11-mar-2011 00:03
Mi suse en una red con dominio en Windows rpadin Internet, Redes y Wireless 13 03-nov-2008 22:40
No puedo conectar a internet con SUSE 10 Frostwarrior Internet, Redes y Wireless 2 08-feb-2006 04:42
conectar via wireless xp y suse 9.3 vhlh31 General OpenSUSE 1 24-jun-2005 12:31
Aviso de seguridad Kunael Internet, Redes y Wireless 1 05-ago-2004 23:35



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 15:57.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba