Mostrando resultados del 1 al 4 de 4

Tema: Conectar suse a un dominio NT

  1. #1
    jtejada Invitado

    Conectar suse a un dominio NT

    Hola, soy nuevo en el foro y también soy nuevo en el manejo de redes. Por lo que necesito una manito para solucionar un problema.
    Lo que pasa es que quiero conectar una estación de trabajo en Open Suse a un dominio NT, y que la autenticación de usuarios esté determinada por los usuarios registrados en el servidor NT.

    Ya tengo configurado mi cliente de samba, ya reconoce la red e incluso puedo ver las carpetas compartidas. También le he marcado la opción de autenticar los usuariso usando Samba, y me da un listado de los usuarios del servidor, y al momento de entrar, los reconoce, pero sale un mensaje de error informando que dichos usuarios no pueden iniciar en modo gráfico. Debido a esto intente hacer log in desde una consola, y el sistema reconoce el usuario, pero la sesión expira muy rápida (unos pocos segunditos).

    Alguno de ustedes se ha encontrado con un problema similar... o si ya conoce como solucionarlo le agradecería mucho su ayuda.

    Julián

  2. #2
    jtejada Invitado

    Solución

    La clave está en el modulo PAM que administra la autenticación... pueden encontrar más detalles en el siguiente vínculo

    http://web.iesrodeira.com/index.php/...ominio_Windows

  3. #3
    Fecha de Ingreso
    27-noviembre-2005
    Mensajes
    447
    Poder de Credibilidad
    14
    Tengo el mismo problema, pero la URL que me indicas no me carga (quizás por el proxy de mi empresa, quien sabe).

    ¿Una ayudita? El tema es que es eso, quisiera conectar mi Linux a un dominio Windows. Más o menos lo tengo hecho, pero petardea en muchas partes.

  4. #4
    Fecha de Ingreso
    22-febrero-2006
    Mensajes
    314
    Poder de Credibilidad
    14
    eso sLE EN EL LINK




    INTRODUCCIÓN
    O obxectivo deste tutorial é explicar como se pode configurar unha equipa Linux pra que realice a autenticación dos usuarios mediante un PDC (Primary Domain Controller), xa sexa un ordenador Windows 2000/NT ou un Linux/Unix con samba. A autenticación en rede pode realizarse de varios xeitos, como NIS, NIS+ ou Kerberos, aínda que este documento únicamente trata a autenticación mediante PDC. Nos seguintes apartados se comentará como configurar unha equipa con Linux pra que autentifique os seus usuarios mediante un PDC si o usuario non está de alta no sistema local (/etc/passwd e /etc/shadow), xa que en ese caso se realizará unha autenticación tradicional. Tamén se comentará o xeito de mapear os usuarios do PDC a usuarios locais UNIX asignándolles un UID (número de usuario) e un GID (número de grupo) e como crear automáticamente os homes dos usuarios.

    WINBIND.
    O demo winbindd permite a unha equipa Linux formar parte dun dominio Windows NT/2000, e como membro do dominio ver os usuarios e grupos NT/2000 como si fosen usuarios Linux. O resultado final é que cando un programa no sistema Linux (por exemplo login) necesita autenticación de usuario, o sistema operativo pode realizala mediante o PDC. Os nomes de usuario terán a forma DOMINIO/usuario e DOMINIO/grupo, sendo posible elexir o caracter pra separar o dominio do nome de usuario ou grupo (neste caso /). A equipa de programación de Samba implementou as chamadas RPC (Remote Procedure Call) de Windows necesarias pra manexo remoto, autenticación e spool de impresión, esto permite listar os usuarios e grupos, obter información detallada sobre os mesmos, autenticar usuarios contra o PDC e cambiar a password dos usuarios do PDC dende unha máquina Linux. Winbind mapea automáticamente a información das contas no NT/2000 a usuarios e grupos Linux

    NSS (Name Service Switch).
    NSS (Name Service Switch) é unha característica de moitos sistemas UNIX que permite obter información sobre nomes de hosts, alias de correo e información sobre os usuarios a partir de distintas fontes de información, por exemplo dende ficheiros de texto no sistema local, dun servidor NIS ou dun servidor DNS. NSS permite polo tanto a winbind actuar coma un proveedor de información NSS que resolve nomes de usuarios e grupos. Gracias a esto é posible obter os usuarios e grupos mediante chamadas UNIX estándar como si se tratara de usuarios e grupos locais. O ficheiro de configuración de NSS é /etc/nsswitch.conf. Cando un sistema UNIX fai unha petición búscase en este ficheiro unha liña que coincida co servicio solicitado, por exemplo passwd cando se buscan usuarios ou grupos. Esta liña especifica que proveedor de información vai a resolver a petición e en qué orde. Por exemplo:


    passwd files example

    Con esta liña se intentará a carga de /lib/libnss_files.so pra realizar a autenticación, e se falla o intentará con /lib/libnss_example.so. Winbind proporciona o módulo libnss_winbind.so que ten que estar situado no directorio /lib.

    PAM (Pluggable Authenticate Modules).
    Mediante os módulos PAM é posible especificar distintos métodos de autenticación pra diferentes aplicacións do sistema sen necesidade de recompilalas, ademáis da ofrecer a posibilidade de elexir entre varias políticas de autorización. Por exemplo pódese configurar o sistema pra permitir logins na consola so ós usuarios que estén en /etc/passwd, e acceder mediante telnet únicamente ós usuarios autenticados mediante NIS. Winbind utiliza o interface PAM pra integrar ós usuarios NT no sistema Linux permitindo a autenticación contra un PDC ou cambiar a password dos usuarios no PDC. Pra facer esto Winbind proporciona un módulo chamado pam_winbind.so que debe estar situado no directorio /lib/security.

    MANEXO DOS UIDs e GIDs.
    Os usuarios e grupos NT usan un identificador numérico chamado RID que é distinto do rango de números utilizado polos sistemas Linux/Unix para os usuarios e os grupos. É responsabilidade de winbind a conversión entre os RIDs de Windows e os UIDs e GIDs Linux. No momento da configuración é necesario especificar un conxunto de IDs numéricas entre os que escollerá winbind pra facer o mapeo de usuarios. Este mapeo de usuarios vaise facendo dun xeito secuencial según van iniciando sesión os usuarios por primeira vez, e se almacena nunha base de datos local. Pra optimizar o uso do ancho de banda da rede a información dos usuarios (como a password) almacénase nunha caché local utilizando unha clave suministrada polo PDC. Cando a información do usuario cambia o PDC incrementa esa clave. Winbind compara as claves local e a enviada polo PDC pra detectar cando expira a caché coa información dos usuarios

    MANEXO DOS UIDs e GIDs.
    Os usuarios e grupos NT usan un identificador numérico chamado RID que é distinto do rango de números utilizado polos sistemas Linux/Unix para os usuarios e os grupos. É responsabilidade de winbind a conversión entre os RIDs de Windows e os UIDs e GIDs Linux. No momento da configuración é necesario especificar un conxunto de IDs numéricas entre os que escollerá winbind pra facer o mapeo de usuarios. Este mapeo de usuarios vaise facendo dun xeito secuencial según van iniciando sesión os usuarios por primeira vez, e se almacena nunha base de datos local. Pra optimizar o uso do ancho de banda da rede a información dos usuarios (como a password) almacénase nunha caché local utilizando unha clave suministrada polo PDC. Cando a información do usuario cambia o PDC incrementa esa clave. Winbind compara as claves local e a enviada polo PDC pra detectar cando expira a caché coa información dos usuarios

    passwd: files winbind shadow: files group: files winbind

    Configuración PAM.
    É necesario configurar PAM pra permitir a autenticación para os servicios de acceso (por exemplo ssh e login). Pra esto precisamos que o arquivo pam_winbind.so esté situado no directorio /lib/security e posteriormente configurar o ficheiro de /etc/pam.d axeitado para o servicio de acceso. Seguidamente veremos un exemplo de configuración pra login e pra ssh:


    LOGIN
    #%PAM-1.0
    auth required /lib/security/pam_securetty.so
    auth sufficient /lib/security/pam_winbind.so
    auth required /lib/security/pam_stack.so service=system_auth
    auth required /lib/security/pam_nologin.so
    account sufficient /lib/security/pam_winbind.so
    account required /lib/security/pam_stack.so service=system_auth
    password required /lib/security/pam_stack.so service=system_auth
    session required /lib/security/pam_stack.so service=system_auth
    session optional /lib/security/pam_console.so


    sshd

    #%PAM-1.0
    auth required /lib/security/pam_stack.so service=system_auth
    auth sufficient /lib/security/pam_winbind.so
    auth required /lib/security/pam_nologin.so
    account sufficient /lib/security/pam_winbind.so
    account required /lib/security/pam_stack.so service=system_auth
    password required /lib/security/pam_stack.so service=system_auth
    session required /lib/security/pam_stack.so service=system_auth
    session required /lib/security/pam_limits.so
    session optional /lib/security/pam_console.so

    Tamén é posible configurar PAM para samba de xeito que se creen automáticamente os homes dos usuarios:

    #%PAM-1.0
    auth required pam_nologin.so
    auth required pam_stack.so service=system_auth
    account required pam_stack.so service=system_auth
    session required pam_mkhomedir.so skel=/etc/sambaskel umask=0022
    session required pam_stack.so service=system_auth
    password required /lib/security/pam_stack.so service=system_auth

    NOTAS ADICIONAIS.
    Para o correcto funcionamento da autenticación hay que ter en conta os seguintes puntos:

    O workgroup de samba debe ser o mesmo que o dominio do PDC
    security debe ser domain
    domain master debe ser no
    Deberíase poñer en /etc/hosts o dominio coa IP do PDC
    Conven engadir ós ficheiros pam axeitados (coma login) a liña para crear automáticamente os directorios home:
    session required /lib/security/pam_mkhomedir.so skel=/etc/skel umask=0022
    :* Non funciona si o directorio home do usuario está dentro de outro directorio sin crear. Por exemplo si o home está en /home/dominio/usuario e non temos creado antes o directorio dominio non funciona.
    Elexir / como separador no ficheiro smb.conf fai que non arranquen as X cun error de falta de permisos sobre a consola.
    Ollo coas maiúsculas e minúsculas no nome de usuario. Winbind autenticará de todos modos, pero logo non funcionarán correctamente algunhas cousas como as X.
    Última edición por willicl; 08-abr-2006 a las 19:33

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Servidor de dominio SUSE como autentificador
    By criosg in forum Seguridad y Servidores
    Respuestas: 4
    Último mensaje: 11-mar-2011, 00:03
  2. Mi suse en una red con dominio en Windows
    By rpadin in forum Internet, Redes y Wireless
    Respuestas: 13
    Último mensaje: 03-nov-2008, 22:40
  3. No puedo conectar a internet con SUSE 10
    By Frostwarrior in forum Internet, Redes y Wireless
    Respuestas: 2
    Último mensaje: 08-feb-2006, 04:42
  4. conectar via wireless xp y suse 9.3
    By vhlh31 in forum General OpenSUSE
    Respuestas: 1
    Último mensaje: 24-jun-2005, 11:31
  5. Aviso de seguridad
    By Kunael in forum Internet, Redes y Wireless
    Respuestas: 1
    Último mensaje: 05-ago-2004, 22:35

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •