Shell Script de instalación y configuración de un Controlador

Anuncio
Shell Script de instalación y configuración
de un Controlador de Dominio en
CentOS v5.x
Manual de instrucciones.
Ing. Luis González Fraga
25/06/2012
En este manual usted podrá instalar y configurar, un Controlador de Dominio para su red
privada, gracias al empleo de un Shell Script que automatiza el proceso de instalación y
configuración.
Índice:
Introducción ........................................................................................................................1
1 - Primeros pasos: Configuración de los parámetros de la tarjeta de Red. ............................2
1.1 -
Configuración de la dirección IP del servidor. .........................................................2
1.2 -
Configuración de los parámetros DNS por defecto en el servidor. ...........................3
1.3 -
Guardar los cambios y reiniciar el Servicio de red...................................................7
1.4 -
Prueba de conexión a Internet. .............................................................................8
2 - Acondicionando el Shell Script para su uso......................................................................8
2.1 -
Copiar el Shell Script al servidor usando interfaz gráfica. ........................................8
2.2 -
Brindando permisos de ejecución al Shell Script................................................... 13
3 - Uso del Shell Script de instalación y configuración del Controlador de Dominio en Centos.
.........................................................................................................................................13
4 - Información adicional ................................................................................................... 88
4.1 - Instalación de Apache Directory Studio. .................................................................. 88
4.2 - Agregar una estación Windows XP al dominio Samba-OpenLDAP ............................ 89
4.3 - Agregar una estación Windows 7 al dominio Samba-OpenLDAP .............................. 89
Introducción
Un Controlador de Dominio, es un equipo en la red, cuya función consiste en almacenar datos
relacionados con el inicio de sesión y la autenticación por contraseña, de usuarios y
ordenadores que acceden a los recursos de red en una entidad empresarial, educacional o
particular.
A diferencia de un dominio implementado con Windows, para un entorno de Linux, el
controlador de dominio está compuesto por la integración de dos servicios: el servicio
OpenLDAP (código abierto del protocolo: Lightweight Directory Access Protocol) y el servicio
Samba (protocolo de archivos compartidos de Microsoft Windows para sistemas de tipo UNIX),
quienes a grandes rasgos, se encargan de la autenticación de los usuarios y equipos (servicio
OpenLDAP) así como de la gestión y disponibilidad de los recursos de red (servicio Samba),
como por ejemplo: directorios de los usuarios, carpetas compartidas, directorios públicos
entre otros.
También es posible instalar un servicio de directorios que proporcione información de los
objetos y control de los mismos. Estos objetos, obedecen a una estructura jerárquica y están
contenidos en tres grandes categorías:
Recursos de red (Por ejemplo, Carpetas públicas, impresoras etc.)
Servicios (El ejemplo más común es el correo electrónico de los usuarios)
Usuarios y Grupos
Apache Directory Studio, es una herramienta para la gestión de directorios de un servidor
LDAP. Los pasos para su instalación están recogidos al final de este manual, en la sección 4.1,
sin embargo, usted debe consultar otra documentación para informarse y hacer un óptimo uso
de esta poderosa herramienta.
1
1 - Primeros pasos: Configuración de los parámetros de la tarjeta de
Red.
Para instalar un Controlador de Dominio mediante el Shell Script, en esencial tener una
correcta configuración de los parámetros de la red. De esta forma se garantiza la conectividad
a internet necesaria para el correcto funcionamiento del Script.
1.1 - Configuración de la dirección IP del servidor.
El primer paso consiste en configurar adecuadamente la dirección IP del servidor. En la
interfaz gráfica de CentOS v5.x esto se logra haciendo clic en el botón "Sistema" como se
ilustra en la Figura.1
Figura.1
A continuación se elige del menú la opción "Administración" y seguidamente la opción "Red".
Ver Figura.2
2
Figura.2
Emerge una ventana de nombre "Configuración de Red", en la cual seleccionamos el
dispositivo de red, en este caso "eth0" y hacemos clic en el botón "Modificar" cuyo icono es
una llave de herramienta. Ver Figura.3.
Se abre una nueva ventana de nombre "Dispositivo Ethernet", que por defecto trae
seleccionada la opción "Obtener las configuraciones de direcciones IP automáticamente con
DHCP". Ver Figura.4.
Seleccionar la opción "Configurar las direcciones IP de manera estática". Ver Figura.5.
Introducir los valores acorde a las necesidades de su red. Un ejemplo se muestra en la Figura.6
y aceptamos los cambios.
1.2 - Configuración de los parámetros DNS por defecto en el servidor.
De vuelta a la ventana "Configuración de Red", se selecciona la pestaña "DNS" y se introducen
el nombre del servidor en el campo "Nombre del Host", la dirección IP del servidor DNS
primario (Indicar la dirección IP del propio equipo ya que ejecutará este servicio), además de la
dirección del servidor DNS de su proveedor de Internet en el campo "DNS secundario".
3
Por último, el nombre del servidor de su proveedor de Internet, en el campo "Ruta de
búsqueda DNS" (Esto permite utilizar dicho servidor como reenviador de las consultas
generadas en la red o local). Ver ejemplo en la Figura.7 .
Al guardar los cambios aparece una ventana de información. Dar "Aceptar". Ver Figura.8
Figura.3
4
Figura.4
Figura.5
5
FiguraNo.6
FiguraNo.7
6
Figura.8
1.3 - Guardar los cambios y reiniciar el Servicio de red.
Como ya el sistema ha lo indicado mediante la última ventana de información, es necesario
reiniciar el sistema. Esto se hace por vía terminal de consola. Para ello haga clic en el botón
"Aplicaciones", seleccione del menú la opción "Accesorios" y haga clic en el programa
"Terminal". Vea esta secuencia en la Figura.9.
7
Figura.9
Una vez abierta la terminal de consola (Ver Figura.10) escribir el comando "service network
restart" y dar en la tecla Enter, para reiniciar el servicio de red. Ver Figura.11 y Figura.12.
1.4 - Prueba de conexión a Internet.
Luego es obligatorio comprobar la conectividad a Internet, por ejemplo escriba el comando
"nslookup google.com" para comprobar la respuesta de los servidores de google (Ver
Figura.13) y si hay conectividad la respuesta se correspondería a la información que se aprecia
en la Figura.14.
2-
Acondicionando el Shell Script para su uso.
2.1 - Copiar el Shell Script al servidor usando interfaz gráfica.
Puede copiar el Shell Script dc_install.sh en cualquier directorio. Ver Figuras 15, 16 y 17.
8
Figura.10
Figura.11
9
Figura.12
Figura.13
10
Figura.14
Figura.15
11
Figura.16
Figura.17
12
2.2 - Brindando permisos de ejecución al Shell Script.
Para ejecutar el Shell Script dc_install.sh, es necesario brindarle permiso de ejecución, ya que
por defecto está deshabilitado. Seleccionar el fichero, dar clic derecho y elegir propiedades.
Emerge una ventana de titulo "Propiedades de dc_install.sh - Konqueror" como se ilustra en la
Figura.18. Hacer clic en la pestaña "Permisos" (Ver Figura.19) y marcar el cuadro "es
ejecutable"
Figura.18
y hacer clic en el botón Aceptar (Ver Figura.20).
3 - Uso del Shell Script de instalación y configuración del Controlador
de Dominio en CentOS.
A través de la terminal de consola, seleccionar el directorio donde se realizó la copia del
fichero dc_install.sh con el uso del comando "cd" (Ver figura.21). Una vez dentro del directorio
escribir delante el nombre del fichero los siguientes caracteres: "./" tal como se muestra en la
Figura.22. Damos Enter y el script le recuerda que es necesario tener conexión a Internet(Ver
figuras de la 23 a la 24), (Si no existe conexión no se realizará la instalación). Seguidamente se
instalan las dependencias necesarias para brindar un mejor entorno de instalación (Figura.25).
13
Y a continuación se accede al asistente de instalación y configuración del Controlador de
Dominio para CentOS v5.x.
Figura.19
14
Figura.20
Figura.21
15
Figura.22
Figura.23
16
Figura.24
Figura.25
17
Figura.26
Figura.27
18
El asistente de instalación del Controlador de Dominio es muy simple. (Ver Figura.28) Consta
de un menú, del cual se puede seleccionar una de las siguientes opciones:
1 Etapa No.1 - Actualización del sistema y sus repositorios. (Esta opción además de realizar la
actualización del propio sistema, ejecuta una series de pasos para configurar algunos
parámetros de identidad del servidor, como por ejemplo, número IP, nombre del equipo, y
nombre de NetBIOS. Ver figuras: 29; 30; 31; 32 y 33. Posteriormente se realiza la
actualización, ver figuras: 34; 35; 36; 37; 38 y 39. Para realizar algunos cambios es necesario
reiniciar el sistema. Recuerde, si está utilizando un servidor virtual de Virtual box, debe
reinstalar nuevamente la herramienta Virtual box Guest Additions, como se especifica en la
figura 40.)
2 Etapa No.2 - Instalación y configuración de los servicios: Samba y OpenLDAP (Con esta opción
se instala los servicios Samba y OpenLDAP en el servidor. Ver figuras: 41; 42; 43; 44 y 45.
Finalizada la instalación se ejecuta la configuración de OpenLDAP, ver figuras: 46; 47; 48; 49;
50; 51; 52; 53; 54; 55; y 56, así como la configuración del servicio Samba, ver figuras: 58; 59;
60; 61 y 62. También se realiza la integración de Samba con OpenLDAP, ver figuras: 63 a la 75,
donde es necesario definir la autenticación del servidor, ver figuras 76, 77, 78, 79, 80 y 81.
Posteriormente es recomendable crear las distintas Unidades Organizativas. Estas unidades
organizativas son la estructura departamental que puede existir por ejemplo, en una empresa,
donde cada departamento es considerado como una Unidad Organizativa. Estas unidades
organizativas pueden estar subordinadas o no, a otras Unidades Organizativas, obedeciendo
así, a una estructura jerárquica, del mismo modo que un departamento puede coleccionar a su
vez a otros departamentos. Ejemplo: La Unidad Organizativa o Departamento de Finanzas de
una empresa, colecciona las Unidades Organizativas o departamentos de Economía y
Contabilidad. Para crear el árbol departamental de su entidad, es muy simple, solo debe elegir
"Si" en el cuadro de dialogo: "¿Desea crear una nueva Unidad Organizativa?" Ver Figura.88.
Entonces, emerge un menú de opciones llamado "Unidades Organizativas", ver Figura.89,
donde debe seleccionar el nivel jerárquico de la nueva Unidad Organizativa, y que en lo
adelante, llamaremos "UO". En este punto y como es la primera vez que se va agregar una
nueva UO, procure que la misma sea la UO raíz o padre, de las subsiguientes UO hijas
relacionadas con la misma. Ya que sería un error crear UO hijas sin existir previamente UO
padres a quienes relacionarlas. Elija la opción "1 Unidad Organizativa Primaria" para comenzar
a crear la estructura departamental. Seguidamente habrá que proporcionar el nombre de la
nueva UO, ver Figura.90, aceptamos y si queremos seguir agregando más UO, decimos que "Si"
en el dialogo que aparece para regresar al menú. Se pueden crear tantas UO padre como
necesite para recrear su estructura departamental, no obstante si se quieren añadir nuevas UO
hijas dentro de UO padre, puede elegir cualquiera de las restantes opciones según el nivel de
relación. Por ejemplo, si se desea crear una UO hija de alguna UO padre existente, solo debe
elegir la Opción: "2 Unidad Organizativa Secundaria", ver Figura.93. Emerge un dialogo, donde
se debe introducir el nombre de la nueva UO hija, ver Figura.94, aceptamos, y en el nuevo
dialogo, ver Figura.95, se debe indicar el nombre de la UO padre a la que pertenece la nueva
UO. Con esta misma filosofía, se debe crear una a una, las distintas UO de la estructura
departamental de una entidad. Continuar viendo las figuras: 97 a la 112 para una mayor
información.)
19
3 Gestor de Usuarios del Dominio (Ver Figura.113. Esta Opción del asistente, permite crear,
eliminar y visualizar usuarios del dominio. Al elegir esta opción, emerge el menú "Gestor de
Usuarios del Dominio." Ver Figura.114. Al elegir la opción "1 Dar alta a nuevos usuarios en el
dominio", entramos al asistente para el alta de usuarios, ver Figura.115. Al aceptar, nos
aparece un cuadro donde se visualizan los usuarios del dominio que existen en nuestro sistema
a modo de información adicional, ver Figura.116. Al salir de esta información, se debe
introducir el nombre para el nuevo usuario, ver Figura.117. Seguidamente, deberá elegir el
grupo a que pertenece el nuevo usuario, generalmente, se debe elegir el Grupo Usuarios del
dominio, ver Figura.119. Introduzca la contraseña para el nuevo usuario, ver Figura.120. Para
salir, elija "Cancelar" en el dialogo "Alta para la nueva cuenta de Usuario." Ver Figura.129, para
regresar nuevamente al menú: "Gestor de Usuarios del Dominio". La tercera opción de este
menú Gestor de Usuarios del Dominio: "Visor de usuarios del Dominio", ver Figura.130,
permite consultar de forma detallada o no, la cuenta de un usuario ó la de todos los usuarios
del sistema. Ver figuras desde la: 131 a la 145. Al salir se regresa al menú del "Gestor de
Usuarios del Dominio." La segunda opción "Dar baja a usuarios del dominio", permite acceder
al asistente para eliminar usuarios, ver Figura.147. Luego de aceptar, nos muestra información
de los diferentes usuarios que existen en nuestro sistema como se muestra en el dialogo de la
Figura.148. Al salir de esta información se procede a introducir el nombre del usuario del
sistema que se quiere eliminar, ver Figura.149. Una vez eliminado el usuario, se vuelve al
dialogo "Baja del usuario en el dominio", para repetir el anterior procedimiento. Para salir, ver
Figura.152, seleccione Cancelar y regresar nuevamente al menú "Gestor de Usuarios del
Dominio". Para salir del menú, elegir la cuarta opción "Salir del Gestor de Usuarios" o
Seleccione Cancelar, ver Figura.153. Al realizar esta última operación se regresa nuevamente al
"Menú del asistente".)
4 Información adicional (Este Script, no brinda soporte a la instalación de Apache Directory
Studio, el cual es una herramienta para gestión de directorios de un servidor LDAP, es similar a
la herramienta Active Directory para Windows Server. En esta opción, se brinda la información
que usted necesita para instalar dicha herramienta en su servidor CentOS v.5.x, ver Figura.155.
y Figura.156. Para un uso eficiente de dicha herramienta, por favor consulte otra
documentación.)
5 Salir del asistente de instalación. (Como es evidente, esta opción permite salir del asistente,
el mismo resultado se obtiene al seleccionar Cancelar. Ver Figura.157)
20
Figura.28
Figura.29
21
Figura.30
Figura.31
22
Figura.32
Figura.33
23
Figura.34
Figura.35
24
Figura.36
Figura.37
25
Figura.38
Figura.39
26
Figura.40
Figura.41
27
Figura.42
Figura.43
28
Figura.44
Figura.45
29
Figura.46
Figura.47
30
Figura.48
Figura.49
31
Figura.50
Figura.51
32
Figura.52
Figura.53
33
Figura.54
Figura.55
34
Figura.56
Figura.57
35
Figura.58
Figura.59
36
Figura.60
Figura.61
37
Figura.62
Figura.63
38
Figura.64
Figura.65
39
Figura.66
Figura.67
40
Figura.68
Figura.69
41
Figura.70
Figura.71
42
Figura.72
Figura.73
43
Figura.74
Figura.75
44
Figura.76
Figura.77
45
Figura.78
Figura.79
46
Figura.80
Figura.81
47
Figura.82
Figura.83
48
Figura.84
Figura.85
49
Figura.86
Figura.87
50
Figura.88
Figura.89
51
Figura.90
Figura.91
52
Figura.92
Figura.93
53
Figura.94
Figura.95
54
Figura.96
Figura.97
55
Figura.98
Figura.99
56
Figura.100
Figura.101
57
Figura.102
Figura.103
58
Figura.104
Figura.105
59
Figura.106
Figura.107
60
Figura.108
Figura.108
61
Figura.109
Figura.110
62
Figura.111
Figura.112
63
Figura.113
Figura.114
64
Figura.115
Figura.116
65
Figura.117
Figura.118
66
Figura.119
Figura.120
67
Figura.121
Figura.122
68
Figura.123
Figura.124
69
Figura.125
Figura.126
70
Figura.127
Figura.128
71
Figura.129
Figura.130
72
Figura.131
Figura.132
73
Figura.133
Figura.134
74
Figura.135
Figura.136
75
Figura.137
Figura.138
76
Figura.139
Figura.140
77
Figura.141
Figura.142
78
Figura.143
Figura.144
79
Figura.145
Figura.146
80
Figura.147
Figura.148
81
Figura.149
Figura.150
82
Figura.151
Figura.152
83
Figura.153
Figura.154
84
Figura.155
Figura.156
85
Figura.157
Figura.158
86
Figura.159
Figura.160
87
4 - Información adicional
4.1 - Instalación de Apache Directory Studio.
Apache Directory Studio, es una herramienta para la gestión de directorios de un servidor
LDAP. Su instalación requiere del equipamiento lógico java, si no se tiene debidamente
actualizado el sistema, este paquete se puede instalar ejecutando el siguiente mandato en la
terminal de consola:
yum install java-1.6.0-openjdk
Se procede a la descarga del archivo comprimido de Apache Directory Studio de la web del
autor o de la zona de descargas libres de esta web samvar.es y descomprimir y renombrar la
carpeta por el nombre "apacheds" (De Apache Directory Studio) o por el nombre que se
prefiera. Mover dicha carpeta al directorio: /usr/bin
Para agregar el archivo ejecutable al menú de programas, hacer clic derecho en el botón
aplicaciones de CentOS, en el menú desplegable, seleccionar editar menús, en el panel de la
izquierda seleccionar el menú que se desee para ubicar el elemento que hace referencia al
programa ejecutable Apache Directory Studio, hacer clic en "Elemento nuevo"; y poner un
nombre. Examinar la ruta del ejecutable, dar en aceptar, luego en cerrar y ya queda anclado el
ejecutable a la barra del menú.
Para ejecutar la herramienta de gestión de directorios, bastará con seleccionar del menú de
programas su ejecutable.
Una vez abierto seleccionar en la pestaña LDAP la opción Nueva Conexión.
Como se está accediendo desde el propio servidor, en el campo Nombre del equipo indicar
localhost; puerto 389, y continuar. En el campo "Bind DN or user", escribir el formato para el
nombre distinguido del servicio LDAP, este sería un ejemplo:
cn=Administrador,dc=samvar,dc=es
Y en el campo Bind password, introducir la clave del administrador del servicio LDAP;
Continuar, y finalizar el asistente de conexión.
Como se podrá observar se muestran todos los objetos y entradas que se agregaron vía
archivos .ldif los cuales se generaron automáticamente durante el proceso de creación de las
distintas Unidades Organizativas, ver figuras: 91, 96, 102, 106 y 111.
También se pueden vincular los usuarios que se crearon mediante el Script (con el uso de
smbldap-tools), a una unidad organizativa en particular y así de esta forma estructurar nuestro
sistema de directorios.
88
4.2 - Agregar una estación Windows XP al dominio Samba-OpenLDAP
Lo primero es definir los parámetros de red para la estación, para ello abrir el explorador, dar
clic derecho a redes y elegir la opción "Propiedades". Allí se configuran los parámetros de la
red acorde a las necesidades que se tengan. (No se abordará este paso en este documento.)
Lo segundo es editar las directivas locales de la estación de Windows. Ir a:
Inicio-->ejecutar y escribir: gpedit.msc para editar los registros del sistema
Emerge una nueva ventana, en la cual seleccionamos: Directiva de Equipo local->Configuración
del equipo-> Configuración de Windows-> Configuración de seguridad-> Directivas
locales->Opciones de seguridad.
Y deshabilitar la directiva de nombre:
Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro (siempre)
Esto hacerlo con cada nueva estación de Windows XP que se quiera anexar al dominio.
Por último anexar la estación como se realiza habitualmente (No se abordará este paso en este
documentos).
4.3 - Agregar una estación Windows 7 al dominio Samba-OpenLDAP
La unión de una estación Windows 7 a un controlador de dominio implementado en Linux, es
una de las situaciones más incomodas que un administrador de red debe de dar solución, y
todo gracias a la política de Microsoft. Por suerte, casi todos los problemas tienen una o varias
soluciones, este tema tampoco es la excepción.
Al igual que las estaciones Windows XP, es esencial condicionar la PC antes de agregarla al
dominio, por lo que se dividirá esta tarea en 5 paso.
Paso 1:
El primero de los pasos es configurar el estado de la red. (Por favor, siga las secuencias de las
imágenes que se brindan a continuación.)
89
90
Es recomendable definir una dirección de red estática si las condiciones lo permiten, y eso es
lo que se hará.
Configurar la red de igual manera en la que se configura para la estación con Windows XP (Que
ya es muy conocida por casi todos los usuarios de esta plataforma y por tanto, se omitió en
este documento).
91
Paso 2:
En este paso se debe dar solución a uno de los 3 principales problemas que nos se encuentra
al agregar estaciones Windows 7 a un dominio samba-opendlap, y es la negociación de
Autenticación. Para resolver esto, hacer lo siguiente:
Abrir el Panel de Control>>Sistema y Seguridad>>Herramientas administrativas>>Directiva de
seguridad local>>Directivas locales>>Opciones de seguridad.
Localizar la siguiente opción: "seguridad de red: nivel de autenticación LAN Manager"
92
Dar doble clic y elegir la opción: "Enviar LM y NTLM: usar la sesión NTLMv2 si se negocia."
Luego desactivar las opciones: Requerir cifrado de 128 bits de las 2 opciones restantes.
93
94
Paso 3:
En Inicio->Ejecutar, escribir y ejecutar regedit para editar los registros del sistema.
95
Una vez abierto seguimos la siguiente ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
96
Crear un registro, haciendo clic derecho, de formato: DWORD x 32 bits
cuyo nombre será: “DomainCompatibilityMode” cuyo valor será igual a: 00000001
97
Crear un segundo registro de igual manera que el anterior pero de nombre:
“DNSNameResolutionRequired” y de valor: 00000000
98
Luego nos dirigirse a la siguiente ruta:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters
99
Y editar los registros:
“RequireSignOnSeal” con valor igual a --> dword:00000000
“RequireStrongKey” con valor igual a --> dword:00000001
Salimos del editor de registro y continuamos con el cuarto paso.
100
Paso 4:
Ya se puede añadir la estación al dominio, solo que existe un problema a la hora de autenticar
los usuarios, no es un problema del sistema, es un impedimento de Microsoft, ya que reconoce
a los usuarios del dominio como usuarios temporales, y todo el proceso y configuraciones
realizado por estos usuarios en la estación Windows 7 desaparecerán una vez que sea
reiniciada la estación, y como es evidente, esto no es lo que se desea. Una manera muy
creativa para resolver esto es crear en la estación Windows 7 el usuario del dominio que hará
uso de la propia estación, ósea, si manolo, es un usuario del dominio, se debe crear un nuevo
usuario llamado manolo en el ordenador de Windows 7, aunque tenga distinta contraseña.
Una vez que se añada el equipo al dominio, y se autentique como el usuario manolo,
realmente está iniciando sección en la estación Windows 7 como el usuario manolo del
dominio, y así de esta forma se da por solucionado dicho problema.
Paso 5:
Una vez seguidas las recomendaciones del paso anterior, se procede a unir la estación al
dominio de modo convencional. (Por favor, seguir las secuencias de las imágenes.)
101
102
103
Para este proceso, se utiliza la cuenta manolo:
104
El usuario root permite agregar el equipo al dominio:
En los pasos finales se indica agregar el usuario manolo, elegir "No agregar ninguna cuenta de
usuario de dominio":
105
Reiniciar el sistema:
106
Y solo resta, autenticarse con el usuario del dominio, por ejemplo: manolo.
Acontinuación se muesta la sección del usuario manolo:
Con todo lo anterior, se logra instalar y configurar un potente controlador de dominio , el cual
es capaz manejar estaciones de trabajo con plataformas de Windows.
107
Descargar