ISTALACION SAMBA + LDAP + GOSA

Autor: Rogelio Cores Raventós. Administrador de redes. Oficina Nacional de Informatización. Ciudad de la HabanaE-mail: rogelio@infosoc.cu

Esta instalación está basada en el Debian Lenny y los paquetes instalados son: slapd 2.4.11-1+1 samba 2:3.2.5-4l gosa 2.5.16.1-4 gosa-schema 2.5.16.1-4 php5 5.2.6.dfsg apache2 2.2.9-10+l

1. Instalar OpenLDAP# aptitude install slapd ldap-utils

Contraseña del administrador: passwd_desea_poner Verificación de contraseña: passwd_puesto_anterior

Para hacer una completa configuración del OpenLDAP.# dpkg-reconfigure slapd

Desea omitir la configuración del servidor OpenLDAP?: No DNS domain name: dominio.cu Organization name: dominio.cu Contraseña del administrador: passwd_desea_poner Verificación de contraseña: passwd_puesto_anterior Database backend to use: HDB (En mi caso escogí está porque es un nuevo tipo de

almacenamiento para OpenLDAP, que sustituye el antiguo BDB, HDB utiliza Oracle Berkeley DB para el almacenamiento y almacena las entradas de forma jerárquica).

Desea que borre la base de datos cuando se purge el paquete slapd?: No Desea mover la base de datos antigua?: Si Reintentar la configuración?: No Allow LDAPv2 protocol: No

Prueba para ver si la configuración que realizamos del OpenLDAP está bien:# ldapsearch -x -b "dc=dominio,dc=cu"# extended LDIF # # LDAPv3 # base <dc=dominio,dc=cu> with scope subtree # filter: (objectclass=*)# requesting: ALL#

# dominio.cudn: dc=dominio,dc=cuobjectClass: topobjectClass: dcObjectobjectClass: organizationo: dominio.cudc: dominio

# admin, dominio.cudn: cn=admin,dc=dominio,dc=cuobjectClass: simpleSecurityObject

objectClass: organizationalRolecn: admindescription: LDAP administrator

# search resultsearch: 2result: 0 Success

# numResponses: 3# numEntries: 2

Si sale algo similar a esto, es que todo esta funcionando correctamente.

2. Instalación del GOsa

Para la instalación del GOsa es necesario instalar los siguientes paquetes:

# aptitude install php5 php5-imagick php5-common php5-gd php5-ldap php5-mhash php5-cli php5-recode php5-odbc php5-sqlite php5-snmp php5-cgi apache2 lib-apache2-php5

Ahora se instalará los paquetes del GOsa para el manejo de cuentas y equipos en bases de datos OpenLDAP. El uso del GOsa permitirá un manejo más simple de usuarios, grupos, etc.

# aptitude install gosa gosa-schema gosa-desktop

Ya instalados estos paquetes se configurará el OpenLDAP para incluirlos los distintos schema que serán necesario para el Gosa.

Se debe copiar de /usr/share/doc/gosa/contrib/openldap/ los esquemas que sean necesarios, en este caso necesitaremos samba3.schema.gz. Se debe copiar y descomprimir en /etc/ldap/schema.

# cp /usr/share/doc/gosa/contrib/openldap/samba3.schema.gz /etc/ldap/schema# gunzip /etc/ldap/schema/samba3.schema.gz

Ahora en el fichero de configuración del OpenLDAP se le deben de añadir algunos esquemas. Lo haremos con el editor preferido de cada uno.

# nano /etc/ldap/slapd.conf (la configuración del archivo es mas grande, solo pongo lo que debe ser añadido o modificado)

include /etc/ldap/schema/core.schemainclude /etc/ldap/schema/cosine.schemainclude /etc/ldap/schema/inetorgperson.schemainclude /etc/ldap/schema/openldap.schemainclude /etc/ldap/schema/nis.schemainclude /etc/ldap/schema/misc.schemainclude /etc/ldap/schema/samba3.schemainclude /etc/ldap/schema/gosystem.schemainclude /etc/ldap/schema/gofon.schemainclude /etc/ldap/schema/goto.schemainclude /etc/ldap/schema/gofax.schemainclude /etc/ldap/schema/goserver.schemainclude /etc/ldap/schema/gosa+samba3.schema

password-hash {MD5}

El orden de estos includes es importante y la opción “password-hash {MD5}” hace que LDAP siempre almacene las contraseñas encriptadas usando MD5.Ahora se debe de reiniciar el OpenLDAP.

# invoke-rc.d slapd restart

Una vez realizado todo esto ya se puede empezar con la configuración del GOsa. Para que el GOsa funcione necesita un usuario admin, para crear este usuario se usarán varios LDIF's que se irán explicando poco a poco.

ldif: (LDAP Data Interchange Format) es un formato que se utiliza para la importación y exportación de datos independientemente del servidor LDAP que esté utilizando. El ldif es simplemente un formato de texto ASCII para entradas LDAP.

Primero se creará un ldif para crear el directorio people, groups, machines. Para mejor organización recomiendo que dentro el directorio /etc/ldap/ creen una carpeta llamada /ldif/ para que ponga adentro todos los archivos ldif creados. Luego se crearán los otros dos archivos ldif para que ya el usuario administrador del GOsa se pueda usar. Para editar estos archivos usen el editor de testo preferido de ustedes.

# mkdir /etc/ldap/ldif# touch /etc/ldap/ldif/crear_dir.ldif# nano /etc/ldap/ldif/crear_dir.ldifdn: ou=people,dc=dominio,dc=cuobjectClass: organizationalUnitobjectClass: gosaObjectgosaSubtreeACL: :allou: people

dn: ou=groups,dc=dominio,dc=cuobjectClass: organizationalUnitobjectClass: gosaObjectgosaSubtreeACL: :allou: groups

dn: ou=machines,dc=dominio,dc=cuobjectClass: organizationalUnitobjectClass: gosaObjectgosaSubtreeACL: :allou: machines

# touch /etc/ldap/ldif/systemgosa.ldif# nano /etc/ldap/ldif/systemgosa.ldifdn: ou=systems,dc=dominio, dc=cuobjectClass: organizationalUnitou: systems

dn: ou=configs,ou=systems,dc=dominio,dc=cuobjectClass: organizationalUnitou: configs

dn: ou=gosa,ou=configs,ou=systems,dc=dominio,dc=cuobjectClass: organizationalUnitou: gosa

# touch /etc/ldap/ldif/admingosa.ldif# nano /etc/ldap/ldif/admingosa.ldifdn: cn=admin,ou=people,dc=dominio,dc=cuobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonobjectClass: gosaAccountuid: admincn: admingivenName: adminsn: Administrador de GOSAsambaLMPassword: 10974C6EFC0AEE1917306D272A9441BBsambaNTPassword: 38F3951141D0F71A039CFA9D1EC06378userPassword:: dGVzdGVy

dn: cn=administrators,ou=groups,dc=dominio,dc=cuobjectClass: gosaObjectobjectClass: posixGroupgosaSubtreeACL: :allcn: administratorsgidNumber: 999memberUid: admin

Ahora llego la hora de añadir los archivos ldif creado a nuestro directorio OpenLDAP.

# invoke-rc.d slapd stop# slapadd -l /etc/ldap/ldif/crear_dir.ldif# slapadd -l /etc/ldap/ldif/systemgosa.ldif# slapadd -l /etc/ldap/ldif/admingosa.ldif# invoke-rc.d slapd start

Luego de haber realizado todo esto pueden poner en el navegador http://ip_servidor/gosa. Una vez cargada la página realizará una serie de pasos, les explicaré solo los mas importantes, en los demás será a gusto de usted.

I. Configuración LDAP en este paso debe completar con la siguiente información: Nombre de la localización: el_que_usted_desee Conectar a la URL: ldpa://ip_server_ldap Conexión TLS: No Base: dc=dominio,dc=cu DN del administrador: cn=admin,dc=dominio,dc=cu (Ojo que el usuario que va aquí es el

del administrador general del OpenLDAP, no el q se añadió del GOsa). Contraseña de administrador: passwd_admin_OpenLDAP Usar grupos conforme a rfc2307bis: No

II. Configuración GOsa 1/3 aquí hay mas opciones pero las mas importantes son las siguientes: GID / UID min id: 10000 Número base para usuarios y grupos: 10000

III. Terminar en este ultimo paso hay que hacer lo mismo que dice, luego que lo hagas todo le das continuar y ya te cargará el GOsa como es. Ya aquí si irá el usuario y la contraseña del usuario GOsa.

IV. Luego damos clic en reintentar y nos redirige a la web de inicio de sección de GOsa donde usamos el usuario “admin” con contraseña “tester”.

3. Este paso se instalarán tres paquetes que servirán para que el sistema busque también en la base de datos de OpenLDAP, osea, cuando un servicio necesite un usuario determinado primero buscará en el sistema y luego en el OpenLDAP, logrando con esto que el sistema detecte a los usuarios OpenLDAP como locales del sistema.

# aptitude install libpam-ldap libnss-ldap nscd

Identificador de recurso para el servidor LDAP: ldap://ip_server_ldap El nombre distintivo (DN) de la base de búsquedas: dc=dominio,dc=cu Versión de LDAP a utilizar: 3 Cuenta LDAP para root: cn=admin,dc=dominio,dc=cu Contraseña para la cuenta LDAP de root: passwd_admin_OpenLDAP Crear un administrador de la base de datos local: Si Hace falta un usuario para acceder a la base de datos LDAP?: No Cuenta LDAP para root: cn=admin,dc=dominio,dc=cu Contraseña para la cuenta LDAP de root: passwd_admin_OpenLDAP

Para terminar se edita el fichero /etc/nsswitch.conf y se le añade ldap, debe quedar de la siguiente forma:

# nano /etc/nsswitch.confpasswd: compat ldapgroup: compat ldapshadow: compat ldap

Ahora se comprueba si todo lo que se configuró está bien.

# getent group

Después que salgan todos los grupos del sistema debe salir algo asíadministrators:*:999:admin

4. En este paso ya se puede pasar a la instalación y configuración de Samba3 para que sea usada como PDC y tome los usuarios del servidor OpenLDAP.

# aptitude install samba smbfs smbldap-tools

Nombre del dominio o del grupo de trabajo: nombre_dominio Modificar smb.conf para usar la configuración WINS que proviene de DHCP: No

Con esto ya el Samba queda completamente instalado, ahora se configurará para que quede como un PDC master. En esta sección solo se explicará lo modificado o lo añadido nuevo (lo nuevo tendra delante el signo (+)). Para la configuración completa mirar Anexo 1.

# nano /etc/samba/smb.conf[global]# Este es el nombre del grupo en la red.workgroup = DOMINIO(+)realm = DOMINIO.CU# Nombre que se mostrará en la red(+)netbios name = NombPC# Establece un literal descriptivo para el servidor Samba. Con esto pondrá versión del samba y pc donde # está instalado.server string = Samba PDC %v en (%h)# Controla si Samba actúa como servidor WINS.wins support = no# Define si se utiliza el servidor Samba como un proxy DNS.dns proxy = no

# Su principal función es controlar como se realiza la resolución NetBIOS.name resolve order = wins lmhosts host bcast# Configuración para que la pc sea PDC master# Determina si el Samba va hacer PDC master o no.(+)os level = 65# Controla si Samba es un examinador principal para nuestro dominio o grupo de trabajo(+)preferred master = yes# Le permite al nmbd intentar y constituirse en examinador principal en una subred(+)local master = yes# Este parámetro indica a nmbd que solicite un nombre NetBIOS de dominio especial que lo identifica como # examinador principal del dominio para el grupo de trabajo dado.(+)domain master = yes# Si se pone como yes, el servidor Samba como controlador primario de dominio (PDC). Este parámetro # se debe usar conjuntamete con domain master(+)domain logons = yes# Esta opción afecta el como los clientes responden a Samba. Con el nivel de seguridad user un cliente # tiene que conectarse con un nombre de usuario y clave válidos.security = user# Esto es para negociar las claves cifradas con el clienteencrypt passwords = yes# Activa o desactiva el acceso a cuentas que tienen claves nulas. (+) null passwords = no# Aquí se pone los hosts o segmento de red a los que se le permite acceso a los servicio de Samba(+)hosts allow = 192.168.10.0/24# Permite redefinir la lista de interfaces de red predeterminada que usa Samba para examinar, registro de # nombres, y otro tráfico NBT. Los valores pueden ser nombre_interfaz (ej: eth0), pareja IP/masc (ej: # 192.168.10.0/24). intefaces = eth0 lo# El nombre de un programa que se puede usar para asignar claves de usuarios.passwd program = /usr/bin/smbldap-passwd %u# Parámetros para soporte LDAP(+)passdb backend = ldapsam:ldap://ip_server_ldap(+)ldap suffix = dc=dominio,dc=cu(+)ldap machine suffix = ou=machines(+)ldap user suffix = ou=people(+)ldap group suffix = ou=groups(+)ldap admin dn = cn=admin,dc=dominio,dc=cu(+)ldap delete dn = noenable privileges = yes# para permitir a los usuarios cambiar su clave desde Windows(+)ldap password sync = yesadd user script = /usr/sbin/smbldap-useradd -m “%u”add group script = /usr/sbin/smbldap-groupadd -p “%g”(+)delete user from group script = /usr/sbin/smbldap-groupmod -x “%u”(+)set primary group script = /usr/sbin/smbldap-usermod -g “%g” “%u”(+)add user to group script = /usr/sbin/smbldap-groupmod -m “%u” “%g”add machine script = /usr/sbin/user/add -d /dev/null -s /bin/false -d /var/lib/nobody %u(+)ldapsam:editposix = yes# Especifica el rango de uid de usuario que se reservan para asociar usuarios UNIX con SID de usarios NT.idmap uid = 10000-20000# Especifica el rango de id de grupo que se reservan para asociar grupos UNIX con SID de grupos NT.idmap gid = 20000-30000(+)case sensitive = yes[homes]# Especifica la ejecución de un comando como root cuando alguien se conecta al servicio.(+)root preexec = /bin/user.sh %U %S %I # Texto que se ve junto al recurso.comment = Directorio Usuario# Directorio al cual tendrán acceso los usuarios del serviciopath = /home/%U/datos

valid users = %Sread only = nobrowseable = nodirectory mask = 0700# Los nuevos directorios heredan los permisos del directorio padreinherit permissions = yes

En el Anexo 1 se mostrará la configuración con perfiles móviles.

Para chequear q el samba está ya configurado como un PDC master se ejecutará el comando testparam y se deberá mostrar lo siguiente:

Load smb config files from /etc/samba/smb.confProcessing section "[homes]"Processing section "[printers]"Processing section "[print$]"Loaded services file OK.Server role: ROLE_DOMAIN_PDCPress enter to see a dump of your service definitions

Ahora se creará el script user.sh

# touch /bin/user.sh# nano /bin/user.sh#! /bin/bashcd /home/if [ ! -d $1 ]then

mkdir $1mkdir $1/datosmkdir $1/profiles

fichown -R $1 /home/$1chown -R $1 /home/$1/datoschown -R $1 /home/$1/profiles

Se le cambian los permisos al archivo /bin/user.sh

# chmod 755 /bin/user.sh

Luego se le pasa a Samba la contraseña del usuario administrador se Servidor OpenLDAP ya que este necesita escribir algunos datos en el OpenLDAP, se hace de la siguiente forma:

# smbpasswd -W

Ojo la contraseña que se introduce aquí es la del administrador del OpenLDAP.

# invoke-rc.d samba restart

Ya realizado todo esto, hay que configurar los ficheros smbldap-tools y smbldap_bind, que se encuentra en /etc/smbldap-tools/ en caso que el sistema no lo haya creado en la instalación se hace lo siguiente:

# cp /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz /etc/smbldap-tools/# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/# gunzip /etc/smbldap-tools/smbldap.conf.gz

En el fichero /etc/smbldap-tools/smbldap-tools solo debe de cambiar el valor de esta opción SID=“” por el tuyo que lo obtienes mediante el comando net getlocalsid. Aquí solo se mostrará lo que ha sido cambiado. Para ver la configuración completa ver Anexo 2.

# nano /etc/smbldap-tools/smbldap-tools

SID=”al que te muestre el comando antes comentado”sambaDomain=”DOMINIO”suffix=”dc=dominio,dc=cu”userdn=”ou=people,${suffix}”computerdn=”ou=machines,${suffix}”hash_encrypt=”MD5”crypt_salt_format=”$1$%.8s”userLoginShell=”/bin/false”userSmbHome=”\\DOMINIO\%U”userProfile=”\\DOMINIO\%U\profiles”userHomeDrive=”Z:”

Este otro fichero solo contiene la información sobre el usuario y la contraseña con el que se debe conectar al servidor OpenLDAP.

# nano /etc/smbldap-tools/smbldap_bind.conf

masterDN="cn=admin,dc=dominio,dc=cu"masterPw="passwd_admin_OpenLDAP"

Una vez realizado todo esto deberemos de introducir el siguiente comado

# smbldap-populate

Si todo esta bien, nos debe salir algo similar a esto:

Populating LDAP directory for domain DOMINIO (S-1-5-21-859530851-107162760-3624729787)(using builtin directory structure)

entry dc=dominio,dc=cu already exist.entry ou=people,dc=dominio,dc=cu already exist.entry ou=groups,dc=dominio,dc=cu already exist.entry ou=machines,dc=dominio,dc=cu already exist.adding new entry: ou=idmap,dc=dominio,dc=cuadding new entry: uid=root,ou=people,dc=dominio,dc=cuadding new entry: uid=nobody,ou=people,dc=dominio,dc=cuadding new entry: cn=Domain Admins,ou=groups,dc=dominio,dc=cuadding new entry: cn=Domain Users,ou=groups,dc=dominio,dc=cuadding new entry: cn=Domain Guests,ou=groups,dc=dominio,dc=cuadding new entry: cn=Domain Computers,ou=groups,dc=dominio,dc=cuentry cn=Administrators,ou=groups,dc=dominio,dc=cu already exist.adding new entry: cn=Account Operators,ou=groups,dc=dominio,dc=cuadding new entry: cn=Print Operators,ou=groups,dc=dominio,dc=cuadding new entry: cn=Backup Operators,ou=groups,dc=dominio,dc=cuadding new entry: cn=Replicators,ou=groups,dc=dominio,dc=cuentry sambaDomainName=DOMINIO,dc=dominio,dc=cu already exist. Updating it...

Please provide a password for the domain root:Changing UNIX and samba passwords for root

New password:Retype new password:

Ahora se reinicia el Samba

# invoke-rc.d samba restart

Ahora se comprobara si el mapeo de los usuarios se ha hecho de forma automática correctamente:

# net groupmap list

Deberá mostrar algo parecido a esto:Domain Admins (S-1-5-21-859530851-107162760-3624729787-512) -> 512Domain Users (S-1-5-21-859530851-107162760-3624729787-513) -> 513Domain Guests (S-1-5-21-859530851-107162760-3624729787-514) -> 514Domain Computers (S-1-5-21-859530851-107162760-3624729787-515) -> 515Account Operators (S-1-5-32-548) -> 548Print Operators (S-1-5-32-550) -> 550Backup Operators (S-1-5-32-551) -> 551Replicators (S-1-5-32-552) -> 552

Ya solo queda crear un usuario para añadir las pc al dominio el mismo debe pertenecer al grupo de Domain Admins, y listo, crear usuarios que ya se tiene un PDC con SAMBA-GOsa-OpenLDAP.

CREACIÓN DE UN USUARIO EN SAMBA

Luego de haber introducido el usuario: admin y passwd: tester, en la sección de administración le das click donde dice usuario

luego saldrá el listado de todos los usuarios cuando los hallas creado, de ahí se le vuelve a dar click al botón Crear nuevo usuario

De ahí te saldrá para poner los datos de tus usuarios, de ahí vas a la pestaña Unix le das click al botón Crear cuenta posix y saldrá esto:

En la opción Directorio de Usuario pones /home/nomb_user de ahi seleccionas en grupo primario Domain Admins y en Miembros del grupo le das click al botón añadir y seleccionas Domain Admins [Netbios Domain Adminstrators], ahí en esa pestaña hay otras opciones que no se explicarán aquí. Luego vas a la pestaña Samba le das al botón Crear cuenta samba aquí te saldrán otras muchas mas opciones, pero estas no son necesarias ponerlas, aquí lo importante es crear la cuenta samba, realizado todo esto le das click al botón Guardar y de ahí te pondrá para que le pongas el passwd a tu usuario.

IMPORTANTE: La opción Domain Admins es solo para el administrador, para los usuarios es Domain Users.

Anexo 1:Configuración completa del archivo /etc/smb.comf

[global] workgroup = DOMINIO realm = DOMINIO.CU netbios name = pdcmaster os level = 65 preferred master = yes local master = yes domain master = yes domain logons = yes server string = %h server bind interfaces only = true hosts allow = 192.168.10.0/24 interfaces = eth0 lo wins support = no name resolve order = host lmhosts wins bcast encrypt passwords = true pam password change = no unix password sync = no passwd program = /usr/bin/smbldap-passwd %u dns proxy = no

add user script = /usr/sbin/smbldap-useradd -m "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" add machine script = /usr/sbin/useradd -d /dev/null -s /bin/false -d /var/lib/nobody %u

passdb backend = ldapsam:ldap://192.168.10.1 ldap admin dn = cn=admin,dc=oni,dc=cu ldap ssl = off ldap delete dn = Yes ldap suffix = dc=oni,dc=cu ldap user suffix = ou=people ldap group suffix = ou=groups ldap machine suffix = ou=machines ldap passwd sync = Yes logon home = \\%L\%U\profiles\.profile logon drive = Y: logon path = \\%L\%U\profiles logon script = netlogon.bat OR %U.bat ldapsam:editposix=Yes idmap uid = 10000-20000 idmap gid = 10000-20000 case sensitive = Yes log file = /var/log/samba/log.%m log level = 2 max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d

[homes]

root preexec = /bin/user.sh %U %S %I comment = Carpetas Datos %U path = /home/%U/ read only = no browseable = no writable = yes guest ok = no valid users = %S inherit permissions = yes

[profiles] comment = Perfil Usuario %U path = /home/%U/profiles writeable = yes browseable = no public = no default case = lower preserve case = no short preserve case = no case sensitive = no hide files = /desktop.ini/ntuser.ini/NTUSER.*/ create mask = 0600 directory mask = 0700 csc policy = disable

[printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes public = no writable = no create mode = 0700

[print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no

Anexo 2:Configuración completa del archivo /etc/smbldap-tools/smbldap-tools

SID="S-1-5-21-3101857334-3864452276-4195041869"sambaDomain="DOMINIO"masterLDAP="127.0.0.1"masterPort="389"ldapTLS="0"suffix="dc=dominio,dc=cu"usersdn="ou=people,${suffix}"computersdn="ou=machines,${suffix}"groupsdn="ou=groups,${suffix}"idmapdn="ou=idmap,${suffix}"scope="sub"hash_encrypt="MD5"crypt_salt_format="$1$%.8s"userLoginShell="/bin/false"userHome="/home/%U"userHomeDirectoryMode="700"userGecos="System User"defaultUserGid="513"defaultComputerGid="515"skeletonDir="/etc/skel"defaultMaxPasswordAge="45"userSmbHome="\\ONI\%U"userProfile="\\ONI\%U\profiles"userHomeDrive="Z:"userScript="logon.bat"with_smbpasswd="0"smbpasswd="/usr/bin/smbpasswd"with_slappasswd="0"slappasswd="/usr/sbin/slappasswd"

Fuenteshttp://www.arrakis.es/~pfabrega/t1.htmlhttp://dns.bdat.net/documentos/cursos/ar01s88.htmlhttp://jroliva.wordpress.com/samba-ldap-debian-40-etch/http://wiki.canaima.softwarelibre.gob.ve/wiki/index.php/GOsa2http://docs.google.com/viewer?a=v&pid=sites&srcid=ZGVmYXVsdGRvbWFpbnxlbGRlYmlhbml0b3xneDo2MDBiMGEyOGI2MDI4NDUy