Libertonia
Portada · Todo · Software Libre · Desarrolladores · Comunidad · Internet · Tecnología · Meta · Diarios
Por fin configuré samba en un ADS

emeteo's Diary
Por emeteo
departamento , Sección Diarios
Puesto a las Wed Dec 24th, 2003 at 02:18:22 PM CET

Después de mucho trabajo y pruebas, conseguí hacer que samba-3.0 trabajase casi sin problemas utilizando a un windows2000 con ADS para la autentificación de los usuarios. Aún me quedan algunas cosillas por resolver, pero ya es usable.

 


Las opciones específicas del smb.conf para conseguirlo fueron:

	netbios name= MIDOMINO
	realm =MIDOMINIO.COM
	security = ADS
	password server = servidor.midominio.com
	encrypt passwords = true
	winbind separator = +
	winbind uid=15000-20000
	winbind gid = 15000-20000
	winbind enum users = yes
	winbind enum groups = yes
	winbind cache time = 60
	winbind use default domain = yes

Es importante que el winbind separator no sea el ".", ya que da problemas. Estuve loqueando unas varias horas ya que al acceder a un directorio como un usuario que en teoría podría acceder gracias a la ACL group:migrupo:rwx, pero me denegaba el acceso. Mirando en los logs, decía que COM.usuario no existía. Probé a quitar el winbind use default domain (para que el usuario no fuese usuario sino que fuese DOMINIO.usuario) pero no conseguí efectos positivos. Sólo cuando cambié el winbind separator fue casi bien: al acceder en el log aparece como Username MAQUINA$ is invalid on this system pero todo parece funcionar bien.

En lo referente al kerberos no sé hasta que punto hay que configurarlo. Pero bueno, daño no hace, e incluso trae algunas ventajas ;-). Veamos: Se instala krb5-user (necesario para el programa kinit). El fichero /etc/krb5.conf:

[libdefaults]
        default_realm= MIDOMINIO.COM

[realms]
MIDOMINIO.LOCAL = {
         kdc = servidor.midominio.com
}

Ahora podemos iniciar sesion con :

	$ kinit usuario@MIDOMINIO.COM
	Password for usuario@MIDOMINIO.COM:
	$

Nótese que MIDOMINIO.COM está en mayúsculas. Ahora al ejecutar klist> veremos el ticket que nos dió el servidor Windows2000:

$klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: usuario@MIDOMINIO.COM

Valid starting     Expires            Service principal
12/23/03 23:13:55  12/24/03 09:13:51  krbtgt/DOMINIO.COM@DOMINIO.COM
12/23/03 23:14:20  12/24/03 09:13:51  servidor$@DOMINIO.COM


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
e incluso podemos entrar con smblcient sin que nos pida la contraseña, usando la opcíon -k para que utilice la autentificación kerberos
	$ smbclient //servidor.midominio.com/compartida -K
	smb: \>

Me queda por solucionar un tema con los usuarios. Necesito que los usuarios que tengan permiso de escritura sobre un directorio puedan añadir ACL's (en windows creo que es la opción modificar permisos), pero me da que en Linux sólo el propietario y el root puede modificar los permisos.

< El Grupo Fedora en español (5 comments) | MandrakeSoft publica sus 8 reglas de Oro (15 comments) >
Enlaces Relacionados
· More on emeteo's Diary
· Also by emeteo

Menu
· crear cuenta
· FAQ
· búsqueda
· Fuentes de Noticias

Login
Nueva cuenta
Usuario:
Contraseña:

Ver: Modo: Orden:
Por fin configuré samba en un ADS | 0 comentarios ( temáticos, editoriales, 0 ocultos)
Ver: Modo: Orden:

ecol Logo Powered by Scoop
Todas las Marcas Registradas y copyrights de esta página son propiedad de sus respectivos dueños.
Los comentarios son propiedad del que los escribe.
Los iconos de las noticias y el logotipo son propiedad de Javier Malonda.
El Resto © 2002 Escomposlinux.org y aledaños.

Puedes sindicar los contenidos de libertonia en formato RSS 1.0 y RDF 0.9. También se puede sindicar la cola de envíos pendientes de moderación.

El proyecto escomposlinux.org está dedicado a la memoria de tas

crear cuenta | faq | búsqueda