Configuración de Samba
Otra de las piezas fundamentales es el servicio de samba para validación y compartir recursos en la red local. Vamos a preparar Samba para que mantenga su base de datos de usuarios en el directorio LDAP.
smb.conf para PDC con ldap
Primero necesitamos un controlador primario de dominio. Esta máquina será la que va a permitir iniciar sesiones de trabajo tanto en máquinas Linux como en máquinas Windows.
El primer paso para crear un PDC funcional en Samba es entender qué parámetros son necesarios en el fichero smb.conf. En el siguiente ejemplo podemos encontrar un caso de smb.conf para actuar como PDC. Lo ponemos primero para los impacientes y más tarde se describen algunos los parámetros. Puede encotrar detalles adicionales sobre la configuración de Samba como PDC (Controlador Primario de Dominio) en http://dns.bdat.net/documentos/samba/samba_pdc/.
[global] unix charset = LOCALE workgroup = BEZMILIANA netbios name = SAMBA1 interfaces = eth1, lo bind interfaces only = Yes # passdb backend = ldapsam:ldap://samba1.bez.ies passdb backend = ldapsam:ldap://localhost username map = /etc/samba/smbusers |
log level = 1 syslog = 0 log file = /var/log/samba/%m max log size = 50 |
smb ports = 139 445 name resolve order = wins bcast hosts time server = Yes printcap name = CUPS printing = cups show add printer wizard = No lpq command = lpstat -o %p lprm command = cancel %p-%j printer admin = Administrador, root, jose |
add user script = /usr/sbin/smbldap-useradd.pl -a -m '%u' delete user script = /usr/sbin/smbldap-userdel.pl '%u' add group script = /usr/sbin/smbldap-groupadd.pl -p '%g' delete group script = /usr/sbin/smbldap-groupdel.pl '%g' add user to group script = /usr/sbin/smbldap-groupmod.pl -m '%u' '%g' delete user from group script = /usr/sbin/smbldap-groupmod.pl -x '%u' '%g' set primary group script = /usr/sbin/smbldap-usermod.pl -g '%g' '%u' add machine script = /usr/sbin/smbldap-useradd.pl -w '%u' |
logon script = scripts\%u.bat logon drive = X: logon home = \\%N\%U\profile logon path = |
security = user
domain logons = Yes
preferred master = Yes |
domain master = Yes
os level =33
wins support = Yes |
ldap suffix = dc=bezmi,dc=es ldap machine suffix = ou=People ldap user suffix = ou=People ldap group suffix = ou=Groups ldap idmap suffix = ou=Idmap ldap admin dn = cn=rootr,dc=bezmi,dc=es ldap filter = (&(uid=%u)(objectclass=sambaSamAccount)) ldap ssl = off ldap passwd sync = Yes |
idmap backend = ldap:ldap://samba1.bez.ies idmap uid = 10000-20000 idmap gid = 10000-20000 |
map acl inherit = Yes [netlogon] path = /var/samba/netlogon read only = yes write list = root browseable=no [profiles] path = /home/%U/profile read only = no create mask = 0600 directory mask = 0700 |
El resto sería la descripción de los servicios que queremos que comparta el servidor.
A continuación vamos a describir las opciones fundamentales mostradas en este ejemplo:
passdb backend
passdb backend = ldapsam:ldap://localhost |
Aquí indicamos que tipo de base de datos tiene que usar Samba para guardar las datos de los usuarios y los grupos. Hemos puesto ldapsam y la dirección donde se encuentran el servidor para tener los datos en un directorio LDAP. Si vamos a usar Contoladores Secundarios de Dominio (BDC), la única elección lógica es usar LDAP para que el passdb backend se pueda distribuir.
Es posible indicar una lista de valores para este parámetro, por ejemplo:
passdb backend = tdbsam:/etc/samba/private/passdb.tdb smbpasswd:/etc/samba/smbpasswd |
Si ponemos varias bases de datos, estas se consultan en el mismo orden en el que se especifican, pero tenemos que tener en cuenta que los nuevos usuarios siempre se añaden a la primera base de datos especificada.
Parámetros de control del dominio
Los parámetros os level, preferred master, domain master, security, encrypt passwords y domain logons juegan un papel central para asegurar el control del dominio y las sesiones de red.
El parámetro os level tiene que tomar un valor superior a 32. Un controlador de dominio tiene que ser el examinador principal. El valor de parámetro controla el nivel en que se anuncia samba a si mismo para la elección de examinador.
Un controlador de dominio tiene que tener el modo de seguridad como user, tiene que admitir contraseñas cifradas compatibles con Microsoft y tiene que proporcionar el servicio de sesiones del dominio (domain logons). La contraseñas cifradas tienen que estar activadas.
Parámetros de entorno
Los parámetros logon path, logon home, logon drive y logon script definen los valores que determinan el entorno que ayudan a facilitar las operaciones de sesión y de control automático y de red.
logon path indica el directorio home donde se guardan los ficheros de perfiles (NTuser.dat para windows NT). A diferencia de versiones previas, no influye en los perfiels de W9X. Para gestionar los perfieles en Win 9X tenemos que usar logon home.
Esta opción toma las sustituciones estándar, por ejemplo %u para el nombe de usuari o %m para el nambre de máquina cliente, lo que permite tener script de conexión para cada usuario o máquina. También especifica el directorio desde el cual se cargan los contenidos de las carpetas "escritorio", "menú inicio", "programas" y "entorno de red" tal y como queremos que se muestren en los clientes Windows NT.
El usuario debe poder leer el servicio y la ruta para que las preferencias y los directorios se carguen en los clientes Windows NT. El recurso tiene que tener permiso de escritura, al menos la primera vez que el usuario se conecta, para que los clientes Windows NT puedan crear el fichero user.dat y otros directorios. Los directorio y cualquiera de los contenidos, pueden, si es necesario en nuestro caso, ponerse como sólo lectura. No es conveniente que el fichero NTuser.dat se haga de sólo lectura, renómbrelo como NTuser.man para llevar a cabo los efectos deseados ( MANdatory profile que impide su escritura).
logon home especifica la ubicación del directorio home cuando se conectan estaciones Win95/98 a un PDC Samba. Esto le permite hacer:
C:\>NET USE H: /HOME |
desde la línea de órdenes, o desde un script albergado en el servidor para poder montar en la máquina cliente el directorio personal que tiene el usuario en el servidor, por ejemplo.
Esta opción, al igual que vimos en el anterior parámetro, toma las sustituciones normales, permitiendole tener scripts distintos por usuario o máquina.
Este parámetro se puede usar con Win9X para asegurarse que los perfiles se almacenan en un subdirectorio del directorio personal del usuario. Esto se hace de la siguiente forma:
logon home = \\servidor\%u\perfil |
Tenga en cuenta que esta opción sólo es válida si Samba está configurado como logon server.
logon drive especifica la ruta local al cual se conectarán los directorios home las estaciones de trabajo NT. Tenga en cuenta que esta opción sólo es válida si Samba está configurado como logon server.
logon script especifica el fichero de lotes (.bat) o fichero de comandos NT (.cmd) que el cliente tiene que cargar y ejecutar cuando se conecta correctamente al dominio. El fichero debe tener el estilo de fin de línea de DOS (cr/lf). Se recomienda usar un editor estilo DOS para crear este fichero. El script debe ser relativo al path del servicio [netlogon]. Si el servicio [netlogon] especifica un path de /var/samba/netlogon y logon script = CONEX.BAT, entonces el fichero que se carga será:
/var/samba/netlogon/CONEX.BAT |
El contenido del fichero está enteramente a disposición del administrador. Se puede poner NET TIME \\SERVIDOR /SET /YES, para forzar a cada máquina que sincronice su reloj con el del servidor. Otro que se podría añadir sería NET USE U: \\SERVER\PROGRAMAS para las utilidades de uso común. Observe que es particularmente importante no permitir acceso de escritura al servicio [netlogon] o de escritura sobre los ficheros de lotes, o le permite a los usuarios modificar arbitrariamente los ficheros batch y comprometer la seguridad. Esta opción también toma las sustitucions estándar, permitiéndole tener scritps de logon separados para cada usuario o máquina.
Gestión de cuentas
Parte de la gestión del controlador del dominio se puede realizar de forma remota. Hay situaciones en las que el PDC tiene que añadir una cuenta de usuario grupo nueva y tenemos que enseñarle a hacerlo. Por ejemplo, cada máquina que se agrega al dominio necesita una cuenta de máquina en el servidor y lo ideal es que se cree automáticamente. También es posible, desde un cliente NT, añadir o eliminar grupos o usuarios. Los siguientes parámetros facilitan el desarrollo de todas estas acciones indicando el script que realiza la tarea.
add user script: Esta opción permite a Samba crear los usuarios UNIX requeridos bajo demanda cuando, porejemlo, un usuario del dominio que no está dado de alta en el servidor SAMBA accede al servidor Samba. Por ejemplo, podríamos poner:
add user script = /usr/sbin/smbldap-useradd.pl -a -m '%u' |
add machine script: Esta opción se ejecutará cuando agregue una máquina a su dominio. Los nombres de máquina terminan en "$". Por ejemplo, nos podría servir:
dd machine script = /usr/sbin/smbldap-useradd.pl -w '%u'
El resto de los parámetros tienen una características similares:
delete user script = /usr/sbin/smbldap-userdel.pl '%u' add group script = /usr/sbin/smbldap-groupadd.pl -p '%g' delete group script = /usr/sbin/smbldap-groupdel.pl '%g' add user to group script = /usr/sbin/smbldap-groupmod.pl -m '%u' '%g' delete user from group script = /usr/sbin/smbldap-groupmod.pl -x '%u' '%g' set primary group script = /usr/sbin/smbldap-usermod.pl -g '%g' '%u' |
El recurso NETLOGON
El recurso NETLOGON, como ya hemos visto en la descripción de los parámetros de configuración del PDC. Juega un papel central en las sesiones de dominio y en el soporte de la pertenencia al dominio. Este recurso está presente en todos los controladores de dominio Microsof. Se usa para proporcionar guiones o scripts de conexión, almacenar ficheros de políticas de grupo (NTConfig.POL) y otras herramientas que pueden ser necesarias para procesar las sesiones. Es un recuros esencial en un controlador de dominio.
Recurso PROFILES
Este recurso se usa para guardar los periles del escritorio. Cada usuario tiene que tener un directorio en la raíz de este recurso. Este directorio tiene que tener permiso de escritura para el usuario y tiene que tener permiso de lectura global.
Acceso a ldap
Samba tiene que comunicarse con el servidor LDAP con privilegios administrativos, pero como el fichero smb.conf tiene permoso de lectura es necesario guardar la clave de acceso en un fichero alternativo y accesible por samba, secrets.tdb. Para suministrar esta clave ejecutanmos:
smbpasswd -w clave |
y nos debe responder
Setting stored password for "cn=root,dc=bezmi,dc=es" in secrets.tdb |
Gestión de los usuarios del dominio
Podemos obtener información más detallada sobre gestión de usuarios en http://dns.bdat.net/documentos/usuarios/. Prácticamente todo lo que indica ese documento es aplicable cuando utilizamos LDAP como base de datos de usuarios.
Añadir un grupo
Para crear un grupo Samba utilizamos la interfaz de smbldaptools:
smbldap-groupadd samba |
Esta orden dispone de las mismas opciones que la orden groupadd y alguna adicional para utilzar con samba.
Añadir un grupo a Samba
Para crear un grupo Samba utilizamos la interfaz de smbldaptools:
smbldap-groupadd -a samba |
Con esto hemos creado un grupo llamado samba. La opción -a le añade al grupo creado las características de una cuenta de grupo Samba.
Añadir un usuario
Para añadir un usuario ejecutamos:
smbldap-useradd usuario |
Igual que antes con los grupos, conviene consultar el uso de useradd.
Añadir un usuario a Samba
Ahora tenemos que agregar los usuarios al dominio en la máquina con samba. En primer lugar, para Samba es necesario que cada usuario tenga una correspondencia con un usuario Unix, pero no tenemos de qué preocuparnos, nuestro script se encarga de ello:
smbldap-useradd -s /bin/false -g samba -a usuario |
La opción -a al igual que ocurría con los grupos significa que el usuario también incorpora las características de una cuenta samba de usuario. Si el usuario tuviera que hacer ciertas operaciones con el servidor podríamos asignarle otra shell, es decir cambiamos /bin/false por /bin/bash o indicar cual es el directorio personal, etc. Todos estos valores predeterminados que se asignan a los nuevos usuarios se definen al configurar smbldap-tools.
El resto de las operaciones se efectuarían de la misma forma con el script correspondiente.