Las opciones específicas del smb.conf para conseguirlo fueron:
netbios name= MIDOMINO
realm =MIDOMINIO.COM
security = ADS
password server = servidor.midominio.com
encrypt passwords = true
winbind separator = +
winbind uid=15000-20000
winbind gid = 15000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 60
winbind use default domain = yes
Es importante que el winbind separator no sea el ".", ya que da problemas. Estuve loqueando unas varias horas ya que al acceder a un
directorio como un usuario que en teoría podría acceder gracias a
la ACL group:migrupo:rwx
, pero me denegaba el acceso. Mirando en los logs, decía que COM.usuario
no existía. Probé a quitar el winbind use default domain
(para que el usuario no fuese usuario
sino que fuese DOMINIO.usuario
) pero no conseguí efectos positivos. Sólo cuando cambié el winbind separator
fue casi bien: al acceder en el log aparece como Username MAQUINA$ is invalid on this system
pero todo parece funcionar bien.
En lo referente al kerberos no sé hasta que punto hay que configurarlo. Pero bueno, daño no hace, e incluso trae algunas ventajas ;-). Veamos: Se instala krb5-user (necesario para el programa kinit). El fichero
/etc/krb5.conf:
[libdefaults]
default_realm= MIDOMINIO.COM
[realms]
MIDOMINIO.LOCAL = {
kdc = servidor.midominio.com
}
Ahora podemos iniciar sesion con :
$ kinit usuario@MIDOMINIO.COM
Password for usuario@MIDOMINIO.COM:
$
Nótese que MIDOMINIO.COM está en mayúsculas. Ahora al ejecutar klist> veremos el ticket que nos dió el servidor Windows2000:
$klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: usuario@MIDOMINIO.COM
Valid starting Expires Service principal
12/23/03 23:13:55 12/24/03 09:13:51 krbtgt/DOMINIO.COM@DOMINIO.COM
12/23/03 23:14:20 12/24/03 09:13:51 servidor$@DOMINIO.COM
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
e incluso podemos entrar con smblcient sin que nos pida la contraseña, usando
la opcíon -k para que utilice la autentificación kerberos
$ smbclient //servidor.midominio.com/compartida -K
smb: \>
Me queda por solucionar un tema con los usuarios. Necesito que los usuarios que tengan permiso de escritura sobre un directorio puedan añadir ACL's (en windows creo que es la opción modificar permisos), pero me da que en
Linux sólo el propietario y el root puede modificar los permisos.