Configurar Un Servidor Samba y Openldap

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard... http://tuxjm.
net/docs/samba+ldap-como/html-onechunk/
Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en

Ubuntu Server Hardy 8.04
Jorge Armando Medina
Computación Gráfica de México.

Documentación Técnica
<[email protected]>
Alejandro Gabriel Sánchez Martínez
Computación Gráfica de México.

Documentación Técnica
<[email protected]>
Copyright © 2007-2008 Jorge Armando Medina, Alejandro Sánchez Martínez
Se otorga permiso para copiar, distribuir y/o modificar éste documento bajo los términos de la Licencia de Documentación Libre GNU GFDL, Versión 1.2 o cualquier otra posterior publicada por
la Fundación de Software Libre; sin secciones invariantes, sin textos en portada y contraportada. Una copia de la licencia en ingles la puede encontrar en los apendices al final del ibro, tambien
una traducción libre no oficial al español de la licencia GFDL y referencias de como utilizarla en sus proyectos, si por alguna razón se tuviera que utilizar por cuestiones legales la licencia GFDL la
unica valida es la versión en inlges de ella.
2010/06/12
Historial de revisiones
Revisión 0.70 2007-09-12 jam
Documento Inicial
Revisión 0.80 2008-07-17 jam
Revisión para Ubuntu Hardy Server 8.04
Revisión 0.81 2008-08-02 jam
Terminado el capitulo: Administración de cuentas Unix y Samba vía smbldap-tools
Revisión 0.82 2008-08-16 jam
Sección de clientes de dominio windows terminada.
Revisión 0.83 2009-01-12 jam
Sección describiendo modulos de PAMi, diagrama del DIT hecho en kivio y actualización caracteristicas implementación.
Revisión 0.84 2009-01-22 jam
Se agregaron los comandos para que un cliente linux se utilice LDAP y PAM para la autenticación, y también se agregó la información para unirlo al dominio samba. Se agregaron ejemplos para
utilizar las listas de control de acceso (ACLs) y dar permisos avanzados utiilizando usuarios y grupos de dominio. Se agrego un ejemplo para montaje automatico de volumens samba por medio
de PAM MOUNT
Revisión 0.85 2009-01-31 jam
1 de 115 05/10/2010 06:42 p.m.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard... http://tuxjm.net/docs/samba+ldap-como/html-onechunk/
Se agregaron las opciones para poner nombre canonico (GivenName) y Apellido (sn) el cual automáticamente forma el atributo 'gecos' con ambos atributos. Se agregaron ligas a proximos
capitulos sobre privilegios Se agregó información básica del logon script
Revisión 0.86 2009-04-09 jam
- Se cambio para usar como por default el tipo de de HDB segun recomendaciones de OpenLDAP y Debian/Ubuntu - Se agrego información para configurar los logs de LDAP usando sysklogd -
Se agrego información para configurar los logs de LDAP usando syslog-n
Revisión 0.87 2009-06-22 jam
- Se organizaron las secciones - Se amplio la informacion para unir un cliente linux - Se agrego informacion para montaje automatico mediante pam_mount - Se agrego ejemplo de carpeta
compartida con ACLs
Revisión 0.88 2010-02-07 jam
- Correji varios errores de en las sintaxis de comandos y configuraciones, revise el proceso de instalacion ya que habia un problema para seguir el asistente, varias mejoras en secciones de indices
y acls. - Correji el orden de configuracion de los logon scripts
Revisión 0.89 2010-02-22 jam
Actualización del capitulo de instalación openldap - Cambios en el DIT para reflejar ou=Computers Actualización del capitulo de mantenimiento con secciones: - Asignar contraseña a rootdn -
Respaldar y restaurar archivos de configuración y bases de datos OpenLDAP - Agregar nuevos indices de atributos en OpenLDAP - Ligar sección de atributos en capitulo de instalación
Resumen
Este libro decribre la implementación de un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server 8.04
Tabla de contenidos
1. Introducción
2. Caracteristicas de la Implementación
Caracteristicas para Entornos Unix/Linux
Caracteristicas para Entornos Windows
Estructura del Arbol de Directorio (DIT)
Información General de Implementación para Entornos Unix/Windows
3. Requerimientos de Software
4. Instalación y Configuración del servidor OpenLDAP
Configuración Inicial del servicio slapd
Agregando los esquemas (schemas) necesarios
Configurando las Listas de Control de Acceso (ACLs)
Configurando los Indices de atributos más usados
Configuración de los Registros de Eventos (logs) del servidor Slapd
Configuracion de los logs en OpenLDAP
Configuraciones para sysklogd
Configuraciones para syslog-ng
Configuración de los limites de consulta y conexión
Revisión de permisos en archivos y directorios de Configuración
Ejecutando una revisión sintactica del archivo de configuración slapd.conf
Iniciando el servidor slapd y haciendo Pruebas Preliminares
Controlando el servicio Slapd
5. Configuración del Cliente LDAP
6. Configuración de Samba y las herramientas smbldap-tools
Intalación y configuración del servidor Samba
Instalando el servidor y cliente Samba
Configuraciónes de Samba para Controlador de Dominio
2 de 115 05/10/2010 06:42 p.m.

Parametros Globales del servidor Samba

Configuraciónes del registro de eventos (logs) del servidor Samba
Configuraciones de Red para el servidor Samba
Configurando los Parametros para Controlador de Dominio
Parametros para interacción con el servidor LDAP
Configuraciones de Codificación y Charset
El recurso compartido especial [homes]
El recurso compartido especial [netlogon]
El recurso compartido especial [profiles]
Realizando una Revisión Sintactica del archivo de configuración smb.conf
Especificando la contraseña del ldap admin dn
Instalación y Configuración de las smbldap-tools
Llenando el Directorio LDAP con smbldap-populate
Verificando la instalación y configuración de Samba y LDAP
Probando Samba con Cuentas en el Directorio LDAP
Verificando el mapeo del grupos unix a grupos Samba
Probando conexiones al servidor Samba usando cuentas en LDAP
7. Configuración de la resolución de Identidades con NSS_LDAP
8. Configuración de la Autenticación con PAM_LDAP
Introducción a los Modulos de Autenticación PAM
Respaldando la configuración de PAM
Configurando los modulos de autenticación de PAM
Configuración del modulo auth
Configuración del modulo account
Configuración del modulo session
Configuración del modulo password
Instalando el modulo Cracklib de PAM
Probando la autenticación de usuarios de sistema vía PAM_LDAP
9. Migración de usuarios y grupos Unix/Posix al directorio LDAP
Migración de Usuarios (/etc/passwd y /etc/shadow)
Migración de Grupos (/etc/group)
10. Administración de cuentas Unix y Samba vía smbldap-tools
Introducción
Atributos predenidos para la creación de usuarios
Creación de cuentas de usuario
Eliminación de cuentas de usuarios
Cambiando la contraseña de un usuario
Modificación de cuentas de usuario
Administración de Grupos de Sistema y Grupos Samba
Agregando Grupos
Eliminando Grupos
Agregando usuarios a Grupos
Eliminando Usuarios de Grupos
11. Tareas de Mantenimiento de OpenLDAP y Samba
Cambiar o asignar contraseña al Root DN de OpenLDAP
Agregar nuevos indices de atributos en OpenLDAP
Respaldar los archivos de configuración de OpenLDAP
Respaldar y Restaurar una base de datos de OpenLDAP
Respaldando archivos importante de Samba
Respaldando el SID del Dominio Samba
3 de 115 05/10/2010 06:42 p.m.

12. Integrando Clientes Windows al Dominio Samba

Requerimientos del Sistema
Configuración de los parámetros de red en el equipo Windows
Información necesaria para configurar los parámetros de red
Configurando correctamente los parámetros de red
Verificación de los Parámetros de Red
Configuración del nombre de equipo Windows
Uniendo el equipo Windows al Dominio Samba
Como Iniciar Sesión el Dominio Samba
Información extra para equipos Windows participantes de dominios Samba
Cuenta de equipo creada en el Servidor de Dominio
Viendo los equipos en la red de dominio
Mapeo de Recurso Compartido HOMES en el equipo local
Como compartir una carpeta a usuarios y grupos de red
13. Integrando Clientes Linux/Unix al Dominio Samba
Información preliminar del equipo cliente Linux
Instalando el software necesario para unir cliente Linux a Dominio LDAP
Configurando la resolución de cuentas de usuario y grupos mediante LDAP en clientes Linux
Configurando la Autorización de cuentas de usuario y grupos mediante LDAP en clientes Linux con PAM
Probando la autorización mediante PAM LDAP en cliente Linux
Configurando resolución de cuentas de dominio mediante Samba
Autenticación de usuarios y grupos de dominio Samba en clientes Linux
Montaje automático de carpetas compartidas mediante pam_mount
Carpetas compartidas con ACL a usuarios y grupos de dominio
Autenticando cuentas de usuario de dominio de forma desconectada
14. Resolución de Problemas
15. Referencias adicionales
16. Apendices
El archivo de configuración /etc/ldap/slapd.conf (Servidor slapd)
El archivo de configuración /etc/default/slapd
El archivo de configuración /etc/ldap/ldap.conf (Cliente LDAP)
El archivo de configuración /etc/smbldap-tools/smbldap_bind.conf
El archivo de configuración /etc/smbldap-tools/smbldap.conf
El archivo de configuración smb.conf
El archivo de configuración /etc/ldap.conf (NSS_LDAP y PAM_LDAP)
A. Licencia de Documentación Libre de GNU
PREÁMBULO
APLICABILIDAD Y DEFINICIONES
COPIA LITERAL
COPIADO EN CANTIDAD
MODIFICACIONES
COMBINACIÓN DE DOCUMENTOS
COLECCIONES DE DOCUMENTOS
AGREGACIÓN CON TRABAJOS INDEPENDIENTES
TRADUCCIÓN
TERMINACIÓN
4 de 115 05/10/2010 06:42 p.m.

REVISIONES FUTURAS DE ESTA LICENCIA

ADENDA: Cómo usar esta Licencia en sus documentos
B. GNU Free Documentation License
Lista de figuras
2.1. Diagrama DIT

12.1. Propiedades de Protocolo Internet (TCP/IP) General
12.2. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS
12.3. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS - Agregar
12.4. Viendo los detalles de la conexión de red
12.5. Propiedades del sistema, Nombre de Equipo
12.6. Propiedades del sistema, Cambios en el nombre de equipo
12.7. Usando el Asistente de Identificación de red
12.8. Asistente de identificación de red, paso 1
12.17. Asistente de identificación de red, Ultimo Paso
12.18. Asistente de identificación de red, Re iniciar el equipo
12.19. Asistente de identificación de red, Alerta de re iniciar el equipo
12.20. Inicio de sesión de Windows - Pantalla inicial
12.21. Inicio de sesión de Windows - Pantalla predeterminada de login
12.22. Inicio de sesión de Windows - Pantalla con opciones activa
12.23. Inicio de sesión - Menú inicio
12.24. Mapeo de $HOME en Servidor al unidad H: Local
12.25. Listado Carpeta a compartir
12.26. Parametros de carpeta compartida
12.27. Permisos de carpeta compartida
12.28. Seleccionar Usuarios o Grupos
12.29. Permisos por usuario y gruipo
12.30. Permisos para grupo MIDOMINIO\contabilidad
12.31. Permisos para MIDOMINIO\directora
Lista de tablas
4.1. Niveles severidad logs slapd

10.1. Tabla de opciones disponibles para el comando smbldap-useradd
10.2. Tabla de opciones disponibles para el comando smbldap-userdel
10.3. Tabla de opciones disponibles para el comando smbldap-usermod
10.4. Tabla de opciones disponibles para el comando smbldap-userinfo
10.5. Tabla de opciones disponibles para el comando smbldap-groupadd
11.1. Directorios de configuración a respaldar
Capítulo 1. Introducción
5 de 115 05/10/2010 06:42 p.m.

Como se vio antes, nuestra implementación servirá para almacenar de forma centralizada cuentas de usuario y grupo para sistemas Unix, además almacenará la información para un Dominio NT
usando samba.
Parrafo.
Capítulo 2. Caracteristicas de la Implementación

Tabla de contenidos

En este capitulo se describen las caracterisitcas principales de nuestra implementación. Se describen las funcionalidades que se implementarán para entornos Unix/Linux y las funcionalidades
propias para entornos con sistemas Windows.

En esta sección se describen las funcionalidades que podremos obtener al implementar un servidor Centralizado de Autenticación para redes Unix/Linux.
Para entornos basados en sistemas Unix como GNU/Linux tendremos las siguientes funcionalidades:
Servidor de Autenticación Centralizada, la base de datos de usuarios, contraseñas y grupos estará almacenada en un directorio LDAP remoto.
Este tipo de implementación permite reemplazar servidores NIS para antenticación centralizada tanto para sistemas Unix y Linux.
En los equpos clientes no se crearan cuentas locales, ya que estan en el servidor LDAP, la resolución de nombres de usuarios (UID->Usernames), grupos (GID->Grupos) será manejada por
las herramientas NSS_LDAP, NSS_LDAP buscará los usuarios y grupos en el servidor LDAP central.
La autorización a los diferentes servicios locales (login, KDM, su, sudo, ssh, samba, cron, cups) será manejada por los modulos de autenticación PAM_LDAP, mediante estos modulos
PAM decidirá si se autoriza el acceso al usuario de acuerdo a sus credenciales, si son validas se le autoriza el servicio, si no, entonces se deniega el servicio.
La pertenencía a grupos para manejar los permisos y accesos se hará centralizado en el servidor LDAP. Mediante PAM se podrá otorgar privilegios a algunos servicios de acuerdo al grupo
que pertenece el usuario, estos permisos se reflejaran de forma transparente para los usuarios locales.
La misma base de usuarios centralizada podrá servico para autenticar otro tipo de aplicaciones: Squid, Apache, Correo Electronico, Mensajería Instantanea, etc.
Soporte para netgroups de NIS, mediante netgroups usted podrá crear diferentes restricciones de acceso sobre los equipos, basados en dirección IP, usuario, grupo.
Facíl integración con servicios de compartición de archivos como NFS para centralizar el amacenamiento de los directorios $HOME de los usuarios.
Se usará un mismo usuario y grupo para autenticarse a los diferente servicios de red y no se tendrán que tener cuentas repetidas en varios servidores, esto conlleva a una administración
centralizada.
Soporte para replicación de la base de datos de usuarios mediante replicación LDAP, se pueden poner más de un servidor esclavo en la red para balancear las cargas y tener alta
disponibilidad.
6 de 115 05/10/2010 06:42 p.m.

En esta sección describiremos que funcionalidades obtendremos al configurar un servidor Samba como Controlador de Dominio para Redes MS Windows. La mayoría de las funcionalidades
descritas a continuación solo podrán ser implementadas en Sistemas Operativos MS WIndows XP Pro.
Para entornos basados en Sistemas Clientes Windows tendremos las siguientes funcionalidades:
Servidor Centralizado para cuentas de red (Controlador Primario de Dominio - PDC)
Servidor de archivos
Servidor de Impresoras (Integrado con CUPS)
Soporte para Politicas de Sistema al estilo NT usando poledit (el editor de politicas de sistema)
Esta característica permite controlar los permisos que el usuario tiene sobre un equipo Windows, entre las caracterísitcas principales se encuentran:
Permite/restringe que los usuarios de Dominio puedan cambiar las configuraciones del Escritorio de Windows.
Permite/restrige que los usuarios puedan cambiar las configuraciones de red de Windows
Permite/restringe que los usuarios puedan entrar al Panel de Control de Windows
Se pueden definir que aplicaciones puede usar el usuario en su estación de trabajo.
Nota
Este tipo de políticas pueden ser aplicadas de forma global, (para todos los usuarios del dominio) por usuario ó por grupo de Domino.
Soporte para ejecución de scripts de inicio de sesión (Logon Scripts)
Esta característica permite que cada que vez que un usuario inicie sesión en el Dominio pueda ejecutar un scripts de inicio (.bat, .vbs) donde se pueden hacer varias tareas, entre ellas:
Sincronizar el reloj del sistema con el reloj del servidor de dominio (net time)
Instalar aplicaciones de forma desatendida (usando WKPG)
Mapear unidades de red automaticamente
Instalar Impresoras en red de forma desatendida en el equpo local
Nota
Estas opciones se pueden aplicar a nivel global, por usuario o por grupo.
Restricción por usuario o grupo a carpetas compartidas en red.
Con esta funcionalidad se pueden crear listas de control de acceso (ACL por sus siglas en Ingés) para permitir ó no el acceso a ciertas carpetas compartidas en red, esta restricción se
puede aplicar por usuario o por grupo, así, por ejemplo, solo los usuarios del grupo Contabilidad y la directora podrán entrar a la carpeta compartida "contabilidad" y podrán: crear,
modificar, borrar archivos o directorios dentro de dicha carpeta compartida.
Además se pueden tener permisos más granulares en cuanto a los accesos de los archivos y directorios dentro de las carpetas compartidas, por medio de ACLs.
7 de 115 05/10/2010 06:42 p.m.

Soporte para Perfiles Móviles (Roaming Profiles) para clientes Windows.
Con esta caracterisitca se puede almacenar el perfil del usuario en un servidor de red, y así, cada vez que un usuario de dominio inicia sesión en un equpo podrá tener sincronizado su perfil
disponible en cualquier equpo en el que inicie sesión.
Soporte para tener más de un servidor Controlador de Dominio de Respaldo (BDC) por lo obtendrá replicación de la SAM y alta disponibilidad. En caso de que el servidor PDC no este
disponible el servidor BDC se encargará de las tareas de autenticación y compartición de archivos.

En la jerga LDAP, la estructura del arbol de directorio se define utilizando el termino DIT (Directory Information Tree) ó Arbol de Información del Directorio.
El DIT en un servidor LDAP normalmente se esquematiza utilizando la estrucura de Arbol, donde las ramas del arbol pueden ser contenedores de información, por ejemplo una rama para
almacenar cuentas de usuario, otra rama para almacenar grupos, etc.
El primer paso para diseñar el DIT es definir el Base DN, el Base DN es el nivel más alto en el arbol de directorio, es decir, la base o raíz del directorio.
En nuestro caso el Base DN será definido utilizando los llamados DC ó Domain Components, similar a la estrucura del Sistema de Nombres de Dominio (DNS).
A grandes razgos nuestro DIT quedará como se muestra en la siguiente figura:
Figura 2.1. Diagrama DIT
En la figura de arriba de define:
dc=midominio,dc=com: Sufijo del directorio
ou=Users: Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y Windows
ou=Computers: Contenedor para las cuentas de Computadoras (Trusted Machine Accounts) para sistemas Windows
ou=Groups: Contenedor para alamacenar Grupos de sistema para sistemas Unix y Windows
Este DIT sigue las recomendaciones de el RFC 2307bis. No usamos ou=Hosts para almacenar cuentas de computadoras ya que hay una diferencia entre hosts TCP/IP y cuentas de computadoras
Microsoft Windows. Usamos el contenedor ou=DSA para almacenar cuentas de seguridad especificas para clientes LDAP).
No es obligatorio utilzar este DIT para tu propia implementación, más sin embargo, se recomienda seguir estas recomendaciones para la configuración inicial, en instalaciones posteriores podrás
8 de 115 05/10/2010 06:42 p.m.

adaptar el DIT y las configuraciones a tu gusto.
Para más información acerca del diseño del DIT ver el documento Diseñando un árbol de Directorio LDAP.

Es escencial tener a la mano la información de nuestra implementación ya que será utilizada en capitulos/secciones posteriores, la siguiente información se utilizara:
Se configurará un servidor PDC para la empresa: MIEMPRESA
MIEMPRESA posee el Nombre de Dominio DNS: midominio.com
El nombre DNS del servidor será: ushldap.midominio.com
Se configurará el Nombre de Dominio Samba/NT: MIDOMINIO
Nombre NetBIOS del servidor Samba: PDC-SRV
La Dirección de RED de MIEMPRESA es: 192.168.1.0/24
La Dirección IP del servidor PDC-SRV es: 192.168.1.10
Capítulo 3. Requerimientos de Software

La implementación de este documento será hecha en la distribución Ubuntu Server Hardy 8.04, la mayoría de los pasos podrán implementarse en Ubuntu Gutsy, a excepción de las
configuraciónes de NSS_LDAP y PAM_LDAP ya que en Hardy se consolido el archivo de configuración de ambos.
Instalaremos el siguiente software:
OpenLDAP 2.4.9-0ubuntu0.8.04.1
OpenLDAP es una implementación libre de los protocolos LDAP.
Samba 3.0.28a-1ubuntu4.7
Samba es la implementación libre de los protocolos SMB/CIFS el cual funcionará como servidor Controlador de Dominio usando como base de información un directorio LDAP, además
servirá como servidor de impresoras y archivos.
smbldap-tools 0.9.4-1
Herramientas para administrar cuentas Unix/Posix y Samba almacenadas en un servidor OpenLDAP
libnss-ldap 258-1ubuntu3
NSS son las bibliotecas de resolución de entidades, servirán para resolver nombres de usuarios a UID y viceversa, así como nombres de grupos a GID y viceversa usando como fuente de
información el directorio LDAP.
libpam-ldap 184-2ubuntu2
PAM son los modulos de autenticación/autorización para otorgar permisos de acceso a diferentes servicios locales (login, KDM, su, sudo, ssh, samba, cron, cups, etc.) usando como fuente
de información el servidor LDAP.
9 de 115 05/10/2010 06:42 p.m.

Capítulo 4. Instalación y Configuración del servidor OpenLDAP

Tabla de contenidos

En esta sección instalaremos y configuraremos un servidor OpenLDAP junto con las herramientas de administración y cliente.
root@ushldap:~# apt-get install slapd ldap-utils

(...)
(...)
(...)
Setting up slapd (2.4.9-0ubuntu0.8.04.1) ...
Creating initial slapd configuration... done.
Creating initial LDAP directory... done.
Starting OpenLDAP: slapd.
Setting up ldap-utils (2.4.9-0ubuntu0.8.04.1) ...

Processing triggers for libc6 ...
ldconfig deferred processing now taking place
Cuando se instala el paquete slapd al final nos lanzará un asistente de configuración del servicio slapd, ser verá como en la siguiente pantalla:
10 de 115 05/10/2010 06:42 p.m.

Aunque despues vamos a reconifgurar el servidor OpenLDAP (slapd), ingresaremos una contraseña para el usuario administrador del servidor LDAP:
Administrator passwd: ldapadmin
Confirm passwd: ldapadmin
El asistente post instalación automáticamente nos configurará un directorio usando el Base DN en base al nombre de dominio que tenga configurado nuestro servidor.
Se recomienda reconfigurar el paquete slapd para una configuración más personalizada, para reconfigurar el paquete slapd usamos el comando:
root@ushldap:~# dpkg-reconfigure -plow slapd
Al reconfigurar el paquete slapd se lanzará el mismo asistente que vimos atras, pero en este caso será reconfigurado desde cero.
La primer pantalla nos pregunta si queremos omitir la configuración inicial del servidor slapd, contestaremos: NO
11 de 115 05/10/2010 06:42 p.m.

Despues, nos pregunta el nombre de dominio con el que queremos configurar nuestro arbol de directorio, este nombre de dominio será configurado con la base de nuestro directorio (Base DN) o la
base de busqueda de nuestro directorio (Search Base).
Si ingresamos el nombre de dominio midominio.com entonces en formato Domain Component (DC por sus siglas en Inglés) nos pondrá nuestra base así: dc=midominio,dc=com.
12 de 115 05/10/2010 06:42 p.m.

A continuación nos pregunta el nombre de la organización para la que configuraremos el directorio LDAP. Ingresaremos: midominio
13 de 115 05/10/2010 06:42 p.m.

Despues de configurar el nombre de dominio y la organización nos pide ingresar una contraseña para el usuario Administrador del directorio LDAP, en este caso el Distinguished Name (DN por
sus siglas en Inglés) de la cuenta será: cn=admin,dc=midominio,dc=com, usaremos la contraseña: ldapadmin
14 de 115 05/10/2010 06:42 p.m.

Ahora confirmaremos la contraseña para el Administrador del servidor LDAP, usaremos la misma que se ingreso arriba: ldapadmin
15 de 115 05/10/2010 06:42 p.m.

En este paso seleccionaremos el tipo de base de datos (data store) en el que almacenaremos la información de nuestro directorio, utilizaremos el tipo HDB la cual es la opción recomendada por
Ubuntu y por el equipo de desarrollo de OpenLDAP, anteriormente se recomendaba el tipo BDB pero se han encontrado razones por las cuales no se recomienda BDB y esas mismas razones son
las que han convencido de considerar como pastura el BDB Data Store para OpenLDAP, podemos encontrar la referencía sobre los problemas presentados en BDB en la siguiente articulo The
King is Dead, Long Live the King.
16 de 115 05/10/2010 06:42 p.m.

En el siguiente paso nos pregunta si deseamos eliminar la base de datos del directorio cuando purguemos el paquete slapd, contestaremos: No
17 de 115 05/10/2010 06:42 p.m.

Importante
No seleccione la opción Yes ya que si por error desinstalamos el paquete slapd no perderemos la base de datos del directorio /var/lib/ldap y podremos recuperar nuestra
instalación usando dichos archivos.
Si por alguna razón ya existia una base de datos de una instalación anterior (como en nuestro caso de re instalación) el asistente nos pregunta si deseamos mover la base de datos vieja a un
directorio de respaldo (/var/backups/), elejimos la opción Yes.
18 de 115 05/10/2010 06:42 p.m.

Y por ultimo nos pregunta si deseamos permitir conexiones al servidor LDAP usando la version obsoleta del protocolo LDAP 2, por defecto esta desactivado, se recomienda no activarlo ya que
las todas aplicaciones que usaremos usan la versión 3 del protocolo LDAP, así que contestaremos: No
19 de 115 05/10/2010 06:42 p.m.

Cuando el asistente termina de configurar los parametros especificados veremos en la salida de la consola un mensaje como el siguiente:
Stopping OpenLDAP: slapd.

Moving old database directory to /var/backups:
- directory unknown... done.
Creating initial slapd configuration... done.
Creating initial LDAP directory... done.
Reloading AppArmor profiles : done.
La salida anterior nos dice que detuvo el servicio slapd, hizo un respaldo de la base de datos anterior en el directorio /var/backups, regeneró un archivo de conifguración en base a nuestras
respuestas, inicializa un directorio basico e inicia el servidor slapd con la nueva configuración y el nuevo directorio.
En la siguiente sección veremos como configurar el servidor slapd para nuestros propositos.

Cuando instalamos el paquete slapd se creó un grupo y un usuario de nombre openldap, con los privilegios de este usuario y grupo será con los que se ejecutará el demonio slapd, así mismo, los
archivos y directorios que utilicemos en nuestra instalación deberán de pertenecer a este usuario y grupo.
20 de 115 05/10/2010 06:42 p.m.

Verificaremos que se creo un grupo de nombre openldap:
root@ushldap:~# grep ldap /etc/group

openldap:x:108:
Como vemos, nos creo el grupo openldap y tiene el GID: 108
Ahora confirmaremos que el usuario openldap fue creado:
root@ushldap:~# grep ldap /etc/passwd

openldap:x:105:108:OpenLDAP Server Account,,,:/var/lib/ldap:/bin/false
Como vemos nos creo el usaurio openldap, con el ID de Usuario (UID): 105, su grupo primario es el grupo de ID 108 (openldap), su directorio $HOME es /var/lib/ldap, y esta cuenta no tiene un
shell válido: /bin/false.
También verificaremos que los permisos del directorio /var/lib/ldap sean los correctos y nos aseguraremos que el usuario openldap tenga permiso de lectura, escritura y acceso al directorio:
root@ushldap:~# ls -ld /var/lib/ldap

drwx------ 2 openldap openldap 4096 2009-01-11 23:20 /var/lib/ldap
Verificaremos que el demonio slapd sea ejecutado con el usaurio y grupo openldap, esto esta definido en el archivo /etc/default/slapd, y por defecto está así:
root@ushldap:~# vim /etc/default/slapd
Este es el contenido del archivo:
# System account to run the slapd server under. If empty the server
# will run as root.
SLAPD_USER="openldap"
# System group to run the slapd server under. If empty the server will
# run in the primary group of its user.
SLAPD_GROUP="openldap"
# Path to the pid file of the slapd server. If not set the init.d script
# will try to figure it out from $SLAPD_CONF (/etc/ldap/slapd.conf)
SLAPD_PIDFILE=
Antes de modificar el archivo principal de configuración del demonio slapd, nos aseguraremos de que el demonio no este corriendo, lo verificamos así:
root@ushldap:~# ps aux | grep slapd

openldap 9495 0.0 2.7 22124 3560 ? Ssl 23:20 0:00 /usr/sbin/slapd -g openldap
-u openldap -f /etc/ldap/slapd.conf
Si el servicio esta en ejecución, entonces lo detendremos así:
root@ushldap:~# /etc/init.d/slapd stop

Más adelante veremos como controlar el servicio slapd.

Los esquemas (schemas) definen el tipo de objectos (objectClass) que podemos manejar en nuestro arbol de directorio, además definen el tipo de atributos que podemos usar así como las reglas
de sintaxis para cada uno de estos atributos.
21 de 115 05/10/2010 06:42 p.m.

Los esquemas que vienen por defecto en la configuración de slapd son los necesarios para poder almacenar información de cuentas Unix/POSIX, almacenar información para crear un tipo de
Directorio Amarillo, o una agenda de contactos. Estos esquemas predeterminados no nos permiten almacenar atributos para cuentas de usuario y dominios Samba/Windows, sin embargo,
OpenLDAP permite la carga de esquemas externos para almacenar diferente tipo de información, el esquema LDAP Samba permite almacenar la siguiente información:
El Nombre de Dominio Samba: sambaDomainName
El SID del Dominio Samba: SambaSID
Ruta al directorio del perfil del usaurio Samba: sambaProfilePath
Letra de unidad de red asignada al HOME del usuario Samba: sambaHomeDrive
La contraseña NT (MD4 hash) del usuario Samba: sambaNTPassword
La contraseña LanManager del usuario Samba: sambaLMPassword
La ruta del script de inicio de sesión (Logon Script) del usuario Samba: sambaLogonScript
La Ruta al directorio HOME del usuario Samba: sambaHomePath
El ID del grupo primario al que pertenece el usuario Samba: sambaPrimaryGroupID
El esquema samba define más atributos, pero los principales son estos que se mencionaron arriba, para conocer los demas atributos ver el archivo /etc/ldap/schemas/samba.schema.
Los esquemas estan definidos en archivos dentro del directorio /etc/ldap/schema/, el esquema para samba no viene incluido dentro de la instalación de slapd, así que tendremos que instalar el
paquete samba-doc, el cual contiene el archivo samba.schema:
# apt-get install samba-doc
El archivo del esquema de samba se encuentra en el archivo /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz en formato comprimido, lo descomprimiremos al vuelo y lo
copiaremos al directorio /etc/ldap/schema/:
root@ushldap:~# zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
Revisamos que tenga los permisos adecuados.
root@ushldap:~# ls -l /etc/ldap/schema/samba.schema
-rw-r--r-- 1 root root 19424 2009-01-11 23:41 /etc/ldap/schema/samba.schema
Ahora que ya tenemos el archivo del esquema de samba instalado necesitamos decirle al servidor slapd que lo utilize, para hacer esto modificaremos el archivo /etc/ldap/slapd.conf.
Antes de modificar el archivo de configuración de slapd haremos una copia de seguridad:
root@ushldap:~# cp /etc/ldap/slapd.conf{,.orig}
Ahora modificaremos el archivo /etc/ldap/slapd.conf.
root@ushldap:~# vim /etc/ldap/slapd.conf
En la sección donde se incluyen los esquemas:
# Schema and objectClass definitions

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
22 de 115 05/10/2010 06:42 p.m.

include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
Despues del esquema inetorgperson agregar:
include /etc/ldap/schema/samba.schema
De manera que quede así:
# Schema and objectClass definitions

include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
No cerraremos este archivo ya que lo seguiremos utilzando en las siguientes secciones.

El archivo slapd.conf(5) ya viene preconfigurado con algunas reglas de acceso, entre ellas una donde permite cambiar la contraseña a los usuarios Unix debidamente autenticados. Ya que nuestro
directorio también almacenará información de cuentas Samba, debemos permitir que los usuarios Samba plenamente autenticados puedan cambiar su contraseña desde el mismo cliente Windows.
Las contraseñas de cuentas Samba estan almacenadas en los atributos sambaLMPassword y SambaNTPassword, por lo tanto permitiremos a los usuarios autenticados poder cambiar su
contraseña.
En la sección de los ACLs,
Cambiar:
access to attrs=userPassword,shadowLastChange
by dn="cn=admin,dc=midominio,dc=com" write
by anonymous auth
by self write
by * none
Por:
access to attrs=userPassword,shadowLastChange,sambaLMPassword,sambaNTPassword
by dn="cn=admin,dc=midominio,dc=com" write
by anonymous auth
by self write
by * none

Es importante que los atributos más consultados por los clientes y aplicaciones LDAP esten debidamente indexados en la base de datos del directorio LDAP, de no ser así podríamos sufrir de
penalizaciones en el rendimiento del directorio, en especial en el tiempo de respuesta en las consultas, para optimizar el rendimiento del directorio agregaremos una lista de atributos a la lista de
atributos a indexar.
En la sección de Indice de atributos,
Cambiar:
23 de 115 05/10/2010 06:42 p.m.

# Indexing options for database #1

index objectClass eq
Por:
# Indexing options for database #1

index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
Si en un futuro desea agregar más atributos a la lista de indices vea la sección Agregar nuevos indices de atributos en OpenLDAP.

En esta sección se verán los parametros requeridos para configurar el servicio slapd para el resgistro de eventos, los cuales nos ayudarán a analizar la información provista por el directorio LDAP,
disgnosticar problemas o simplemente para verificar que todo este funcionando correctamente. Veremos las configuraciones requeridas para el legendario syslogd o sysklogd y syslog-ng.
Ya que esta es nuestra primer instalación de un servidor OpenLDAP, es aconsejable que se incremente el nivel de severidad del registro de eventos del servidor slapd. el parametro loglevel definie
la prioridad de los mensajes registrados, la siguiente tabla muestra los niveles de log soportados de acuerdo a la página del manual de slapd.conf(5):
Tabla 4.1. Niveles severidad logs slapd
Nivel Descripción
1 (0x1 trace) trace function calls
2 (0x2 packets) debug packet handling
4 (0x4 args) heavy trace debugging (function args)
16 (0x10 BER) print out packets sent and received
32 (0x20 filter) search filter processing 64 (0x40 config) configuration file processin
64 (0x40 config) configuration file processing
128 (0x80 acl) access control list processing
256 (0x100 stats) connections, LDAP operations, results (recommended)
512 (0x200 stats2) stats log entries sent
1024 (0x400 shell) print communication with shell backends
2048 (0x800 parse) entry parsing
16384 (0x4000 sync) LDAPSync replication
32768 (0x8000 none) only messages that get logged whatever log level is set
En el valor del parametro loglevel podemos usar tanto el valor númerico o su equivalente en inglés, para desactivar el registro de eventos de slapd use el valor none.
Para nuestro caso usaremos el nivel stats (256) el cual nos mostrará información sobre el servicio slapd, conexiones, y accesos al servidor.
En la sección de logs cambiaremos:
24 de 115 05/10/2010 06:42 p.m.

# Read slapd.conf(5) for possible values

loglevel none
Por:
# Read slapd.conf(5) for possible values

loglevel stats
En la mayoría de distribuciones Linux el sistema de logs esta controlado por el demonio syslog, en Ubuntu el paquete sysklogd provee el demonio de logs predeterminado. En la configuración
predeterminada de syslog en Ubuntu, los logs del servidor slapd son enviados con un facility local4.*, y por default todos los mensajes del servidor slapd son enviados a los archivos /var/log
/debug y /var/log/syslog, esta configuración hace que los mesajes de ldap se mezclen con mensajes de sistema generales.
Configuraremos el demonio sysklogd para que los logs referentes a OpenLDAP sean enviados a un archivo de logs independiente, por ejemplo, al archivo /var/log/ldap.log.
El archivo de configuración del demonio syslog es /etc/syslog.conf, haremos una copia de respaldo antes de hacer cambios.
root@ushldap:~# cp /etc/syslog.conf{,.orig}
Al final del archivo /etc/syslog.conf y agregamos lo siguiente:
local4.* -/var/log/ldap.log
Y también agregaremos unas exclusiones a los logs debug y syslog para que no se registren logs de ldap en ellos.
Cambiando configuracion para los /var/log/syslog
Cambie:
*.*;auth,authpriv.none -/var/log/syslog
Por
*.*;auth,authpriv.none;local4.none -/var/log/syslog
Ahora cambiamos la configuración para el log /var/log/debug:
Cambie:
*.=debug;\
auth,authpriv.none;\
news.none;mail.none.none -/var/log/debug
Por:
*.=debug;\
auth,authpriv.none;\
news.none;mail.none;local4.none -/var/log/debug
Creamos el archivo vacio para los de ldap:
25 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# touch /var/log/ldap.log
Ahora reiniciamos el servidor syslog para que los cambios tomen efecto:
root@ushldap:~# /etc/init.d/sysklogd restart

* Restarting system log daemon... [ OK ]
Ahora pruebe hacer un tail -f /var/log/debug y a /var/log/syslog, reinicie el servidor slapd y vea que no se registre ningun evento relacionado al demonio slapd, si no aparece nada en dichos logs
confirme que todos los logs se estan enviando a /var/log/ldap.conf.
En esta sección veremos como configurar el servidor log logs syslog-ng para almacenar los logs de OpenLDAP en un archivo independiente.
El archivo de configuración del demonio syslog es /etc/syslog-ng/syslog-ng.conf, haremos una copia de respaldo antes de hacer cambios.
root@ushldap:~# cp /etc/syslog-ng/syslog-ng.conf{,.orig}
Ahora agregaremos la definición del destino de los logs originados por el proceso slapd, al final de la sección de los destinos agregue algo así:
# Destino para logs de proceso slapd(8).

destination d_ldap { file("/var/log/ldap.log"); };
Al final de la sección donde se definen los filtros, agregamos esto:
# Filtro para logs del proceso slapd(8).

filter f_ldap { program("slapd"); };
Al final de la sección donde se definen la definición de el log, principalmente conformada por el origen source(src);, el filtro filter(f_ldap);, el destino destination(d_ldap);.
# Deinición de logs para el proceso slapd(8).

log { source(s_all); filter(f_ldap); destination(d_ldap); flags(final); };
Ahora agregaremos unas exclusiones para que no se registren eventos de slapd en los logs /var/log/debug y /var/log/syslog, modificando los filtros haremos los siguientes cambios.
Remplazamos:
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };
Con :
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail) and not filter(f_ldap); };
Y también remplazamos:
filter f_syslog { not facility(auth, authpriv); };
Con:
filter f_syslog { not facility(auth, authpriv) and not filter(f_ldap); };
Ahora reiniciamos el servicio syslog-ng para que los cambios tomen efecto:
26 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# invoke-rc.d syslog-ng restart

* Stopping system logging syslog-ng [ OK ]
* Starting system logging syslog-ng [ OK ]
Ahora verá que todos los logs referentes a slapd solo serán enviados al archivo /var/log/ldap.log.
Nota
Si usted utiliza logrotate para rotar sus logs es aconsejable agregar el archivo /var/log/ldap.log al archivo /etc/logrotate.d/syslog-ng, por ejemplo:
/var/log/ldap.log {
rotate 4
weekly
missingok
notifempty
compress
}
Y listo, ahora sus logs se rotarán semanalmente y serán mantenidos durante 4 semanas, al cumplir la 5a semana los logs serán rotados automáticamente.

Existe un limite de cuantas entradas serán devueltas en las operaciones de busqueda de los clientes LDAP, este limite por defecto esta configurado a 500 lo que significa que solo serán devueltas
500 entradas a los clientes LDAP aun cuando la consulta no tenga limite.
# The maximum number of entries that is returned for a search operation

sizelimit 500
Nota
Este valor será incrementado en configuraciones posteriores, en especifico cuando se haga una replicación/sincronización del DIT.

Antes de reiniciar nuestro servidor para que nuestros cambios tomen efecto, verificaremos que los permisos sean los adecuados:
Verificando que los permisos del archivo /etc/ldap/slapd.conf esten como se muestra aquí:
root@ushldap:~# ls -l /etc/ldap/slapd.conf
-rw-r----- 1 root openldap 5079 2009-01-11 23:45 /etc/ldap/slapd.conf
Si no estan así, entonces cambiarlos con los comandos:
root@ushldap:~# chown root:openldap /etc/ldap/slapd.conf
root@ushldap:~# chmod 640 /etc/ldap/slapd.conf
En la siguiente sección veremos como realizar una revisión sintactica del arcihvo de configuración del demonio slapd.
27 de 115 05/10/2010 06:42 p.m.


Antes de reiniciar nuestro servidor slapd realizaremos una comprobación de que nuestras configuraciones esten correctas, el comando slaptest nos hará una revisión sintactica de nuestro archivo
de configuración /etc/ldap/slapd.conf.
root@ushldap:~# slaptest -v -u
config file testing succeeded
Con la opción -v habilitamos el modo verbose, esto es para que muestre detalles sobre posibles errores encontrados en la configuración.
La opción -u permite que solo se ejeucta la revisión sintactica aun cuando no se puedan abrir los archivos de bases de datos del directorio (/var/lib/ldap/).
Si el comando slaptest nos muestra algun error, posiblemente nos dirá en que parte del archivo se encuentra el error.
Si no nos es posible diagnosticar el error se recomienda ver el archivo de log /var/log/ldap.log ó correr el deminio slapd con el nivel de severidad mayor, por ejemplo:
root@ushldap:~# slapd -d 16383
Esto nos mostrará todos los mensajes en la terminal y no en los logs.

Ahora que ya tenemos nuestro servidor correctamente configurado y todas los permisos estan correctos podremos iniciar nuestro servidor de forma ordinaria usando el script de inicio, para iniciar
el servidor slapd usamos el comando:
root@ushldap:~# /etc/init.d/slapd start

Si el servidor slapd se inicia correctamente, este registrará en el log /var/log/syslog el siguiente mensaje:
Jan 11 23:51:06 ushldap slapd[9753]: @(#) $OpenLDAP: slapd 2.4.9 (Aug 1 2008 01:08:50) $
Îbuildd@terranova:/build/buildd/openldap2.3-2.4.9/debian/build/servers/slapd
Jan 11 23:51:06 ushldap slapd[9755]: slapd starting
En el mensaje anterior nos muestra que el proceso slapd con el identificador de proceso (PID) 15795 se inicio correctamente.
Ahora revisaremos que el servidor slapd haya abierto el socket TCP/IP, en especifico veremos que nos abra el puerto TCP/389.
Con el comando netstat veremos si el proceso slapd con PID 15795 abre el puerto TCP/389.
root@ushldap:~# netstat -pltn | grep slapd

tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 9755/slapd
tcp6 0 0 :::389 :::* LISTEN 9755/slapd
Ahora haremos una consulta al servidor LDAP para ver si responde con lo más básico. Usaremos el comando ldapsearch para buscar el namingContexts del DIT.
root@ushldap:~# ldapsearch -x -b '' -s base '(objectclass=*)' namingContexts

# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectclass=*)
# requesting: namingContexts
#
28 de 115 05/10/2010 06:42 p.m.

#
dn:
namingContexts: dc=midominio,dc=com
# search result
search: 2
result: 0 Success
# numResponses: 2
# numEntries: 1
SI el comando ldapsearch nos muestra algo similar a lo que se muestra arriba significa que nuestro servidor LDAP esta funcionando correctamente.
Ahora haremos una busqueda en el directorio LDAP autenticado como el usuario admin del LDAP y haremos la buqueda usando como base dc=midominio,dc=com, esto es para comprobar que
la autenticación y nuestras ACLs funcionen correctamente, además, de comprobar que el directorio se haya incializado con la estrucutra básica..
root@ushldap:~# ldapsearch -x -D "cn=admin,dc=midominio,dc=com" -b "dc=midominio,dc=com" -W

Enter LDAP Password:ldapadmin
# extended LDIF
#
# LDAPv3
# base <dc=midominio,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#
# midominio.com
dn: dc=midominio,dc=com
objectClass: top
objectClass: dcObject
objectClass: organization
o: midominio
dc: midominio
# admin, midominio.com
dn: cn=admin,dc=midominio,dc=com
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
description: LDAP administrator
userPassword:: e2NyeXB0fWUwTng4TmRUZk54Wm8=
# search result
search: 2
result: 0 Success
# numResponses: 3
# numEntries: 2

En esta sección veremos como controla el servicio slapd, al controlar el servicio nos referimos a iniciar, detener, reiniciiar el proceso slapd.
Para iniciar el servidor slapd usando los scripts de inicio, usaremos el siguiente comando:
root@ushldap:~# invoke-rc.d slapd start

29 de 115 05/10/2010 06:42 p.m.

Para detener el servidor slapd usando los scripts de inicio, usaremos:
root@ushldap:~# invoke-rc.d slapd stop

Si deseamos que el servidor slapd sea iniciado automáticamente al arranque del sistema, usaremos el comando:
root@ushldap:~# update-rc.d slapd defaults

Adding system startup for /etc/init.d/slapd ...
/etc/rc0.d/K20slapd -> ../init.d/slapd
/etc/rc2.d/S20slapd -> ../init.d/slapd
Cuando se instala el paquete slapd, este agregará el servicio slapd para que sea iniciado automaticamente al arranque del sistema, por lo que es posible que reciba un mensaje como el siguiente:
root@ushldap:~# update-rc.d slapd defaults

System startup links for /etc/init.d/slapd already exist.
Si deseamos que el servidor slapd NO sea iniciado al arranque del sistema usaremos el comando:
root@ushldap:~# update-rc.d -f slapd remove

Removing any system startup links for /etc/init.d/slapd ...
/etc/rc0.d/K20slapd
/etc/rc1.d/K20slapd
/etc/rc2.d/S20slapd
/etc/rc3.d/S20slapd
/etc/rc4.d/S20slapd
/etc/rc5.d/S20slapd
/etc/rc6.d/K20slapd
Con el comando anterior slapd ya no será iniciado al arranque del sistema, para controlarlo se tendrá que hacer con los comandos antes mencionados.
Capítulo 5. Configuración del Cliente LDAP

Las herramientas cliente LDAP como: ldapsearch, ldapmodify, ldapadd y otras usan los parametros de configuración definidos en el archivo /etc/ldap/ldap.conf, básicamente en este
archivo se pueden definir los siguientes parametros:
URI - Dirección del servidor o servidores LDAP predeterminados
BASE - Sufijo de la base de busqueda ó Base DN
SIZELIMIT - Tamaño máximo de las busquedas
TIMELIMIT - Limite de tiempo para las consultas
BINDDN - DN de la cuenta con la que se efectuarán las operaciones
Por ahora solo configuraremos los primeros dos parametros, editemos el archivo de configuración del cliente LDAP /etc/ldap/ldap.conf:
root@ushldap:~# vim /etc/ldap/ldap.conf
30 de 115 05/10/2010 06:42 p.m.

Definimos el la dirección del servidor LDAP y la base de busqueda:
BASE dc=midominio,dc=com
URI ldap://127.0.0.1
Los parametros antes definidos son de uso general, si desea usar parametros diferentes para un usuario de sistema en particular cree un archivo .ldaprc dentro del directorio home del usuario, por
ejemplo:
$ vim ~/.ldaprc
Con el contenido:
BASE dc=midominio,dc=com
URI ldap://127.0.0.1
BINDDN cn=admin,dc=midominio,dc=com
Para más información sobre el archivo /etc/ldap/ldap.conf y ~/.ldaprc ver la página del manual ldap.conf(5).
Capítulo 6. Configuración de Samba y las herramientas smbldap-tools

Tabla de contenidos

En este capitulo se explicará como configurar el servidor Samba y las herramientas smbldap-tools para configurar Samba como Controlador de Dominio usando como un directorio OpenLDAP
como fuente de información centralizada para cuentas Unix y Samba.

En esta sección configuraremos el servidor Samba como un Controlador de Dominio Primario (PDC) Windows NT con la base de datos SAM almacenada en nuestro directorio LDAP.
Los parametros Generales que configuraremos son:
31 de 115 05/10/2010 06:42 p.m.

Parametros de identificación de red como: Dominio, Nombre Servidor.
Configuración para registro de eventos (logs)
Interfaces y direcciones de red a las que esta conectado el servidor
Configuración de parametros para Controlador de Dominio
Informacion del servidor LDAP y como utilizarlo
Definición de script para automatizar la administración de las cuentas samba/ldap.
Directorios compartidos especiales como homes, netlogon y profiles.
La configuración la realizaremos paso por paso tratando de explicara cada cambio.
En esta sección instalaremos el servidor samba que en Debian/Ubuntu esta conformado principalmente por los paquetes: samba y smbclient, el primero contiene los programas para servidor y el
segundo las herramientas de cliente y diagnostico.
Primero instalaremos los paquetes tanto de servidor y clientes.
# apt-get install samba smbclient
El paquete de instalación del servidor samba es pre configurado con algunos parametros y también importan los usuarios en /etc/passwd, en nuestro caso esta configuración no nos sirve por lo
que eliminaremos la configuración creada y los archivos de configuración que se inicializaron, detenemos los servicios samba para iniciar con la configuración en limpio.
root@ushldap:~# /etc/init.d/samba stop

* Stopping Samba daemons [ OK ]
Ahora eliminamos los archivos .tdb y .dat en /var/lib/samba:
root@ushldap:~# rm -rfv /var/lib/samba/*.{tdb,dat}
Nota
Todavía no iniciaremos el servidor samba hasta que este nuevamente configurado.
Continuaremos con la configuracón de samba.
El archivo de configuración principal de Samba es /etc/samba/smb.conf, ya que iniciaremos con una configuración nueva, haremos un respaldo de este archivo antes de iniciar con las
modificaciones.
Creamos el respaldo del archivo /etc/samba/smb.conf:
root@ushldap:~# mv /etc/samba/smb.conf{,.orig}
En la siguiente sección podemos continuar con los parametros que nos intersan.
32 de 115 05/10/2010 06:42 p.m.

El archivo de conifguración de samba define la sección [global], en esta sección especificaremos parametros globales que afectarán el comportamiento del servidor Samba, los parametros
principales son::
El nombre del Grupo de Trabajo/Dominio al que pertenecemos: MIDOMINIO
Nombre NetBIOS del Servidor Samba: PDC-SRV
Descripción del servidor Samba: Servidor PDC
Además configuraremos los siguientes parametros extras:
Soporte para habilitar privilegios de Grupos de Dominio Samba: enable privileges = yes, este parametro es útil por ejemplo para dar privilegios a los usuarios miembros del grupo Domain Admins
para unir equpos Windows a un Dominio NT.
Crearemos un archivo /etc/samba/smb.conf nuevo con los siguientes parametros:
El inicio de la sección global quedará así:
[global]
workgroup = MIDOMINIO
netbios name = PDC-SRV
server string = Servidor PDC
enable privileges = yes
map to guest = Bad User

username map = /etc/samba/smbusers
El parametro map to guest = Bad User define que cuando un usuario no existente (en el dominio) se conecte al servidor, el servidor smbd mapeará esa conexión al usuario anonimo, pero las
conexiónes de usuarios que se autentiquen con una contraseña invalida serán rechazadas.
La ultima opción que especificamos es username map apuntando al archivo /etc/samba/smbusers, este archivo sirve para mapear nombres de usuarios (alias), por ejemplo en este archivo
podemos crear un mapeo de usuario para que la cuenta root sea mapeada a Administrator que es comunmente usada en entornos de red Windows para la cuenta de administrador. Para hacer
esto, creamos el archivo /etc/samba/smbusers con el siguiente contenido:
####
# User mapping file
#####
# File Format
# -----------
# Unix_ID = Windows_ID
#
# Examples:
# root = Administrator
# janes = "Jane Smith"
# jimbo = Jim Bones
#
# Note: If the name contains a space it must be double quoted.
# In the example above the name 'jimbo' will be mapped to Windows
# user names 'Jim' and 'Bones' because the space was not quoted.
#######################################################################
root = Administrator
####
# End of File
####
33 de 115 05/10/2010 06:42 p.m.

No cerraremos el archivo ya que agregaremos más información en la sección [global] en las siguientes secciones
Ahora configuraremos algunos parametros para la generación de logs.
; logging
syslog = 0
log level = 0
max log size = 50
log file = /var/log/samba/%m.log
TODO: Explicar aquí que significa cada parametro o meter liga a man 5 smb.conf.
En esta sección configuraremos los parametros de red y algunas configuraciones de seguridad recomendadas.
;networking
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = eth0 lo
hosts allow = 127.0.0.1, 192.168.1.0/24
hosts deny = 0.0.0.0
smb ports = 139 445
bind interfaces only = Yes
name resolve order = wins hosts lmhosts bcast

remote announce = 192.168.1.255
Ahora configuraremos los parametros relacionados con la configuración de un servidor Controlador de Dominio.
; PDC Options
time server = Yes
wins support = Yes
os level = 33
domain logons = Yes

preferred master = Yes
logon path =
logon home =
logon drive =
logon script =
case sensitive = No
utmp = Yes
unix password sync = Yes

passwd program = /usr/sbin/smbldap-passwd -u %u
passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n"
34 de 115 05/10/2010 06:42 p.m.

ldap passwd sync = Yes
Ahora definiremos los parametros necesarios para que samba utilice el directorio LDAP.
; SAMBA-LDAP declarations
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=admin,dc=midominio,dc=com
ldap suffix = dc=midominio,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
idmap backend = ldap:ldap://127.0.0.1
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind trusted domains only = Yes
#ldap ssl = start_tls
add machine script = /usr/sbin/smbldap-useradd -w "%u"

add user script = /usr/sbin/smbldap-useradd -m "%u"
ldap delete dn = No
#delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
Ahora configuraremos los parametros para especificar el juego de caracteres predeterminado para archivos dos y unix.
; Configuración de juego de caracteres

dos charset = 850
Unix charset = ISO8859-1
Hasta aquí termina la sección Global de smb.conf, en las siguientes secciones configuraremos secciones especiales para nuestro Controlador de Dominio.
El recurso compartido [homes] es un recurso compartido especial que es usado para compartir el directorio $HOME de cada usuario, por ejemplo, tenemos un usuario unix/windows de nombre
jmedina, este usuario tiene un directorio $HOME en la ruta /home/jmedina, con este recurso compartido, cada vez que el usuario jmedina inicia sesión por Samba, tendrá disponible un recurso
compartido en el servidor con el nombre "jmedina" y por medio de él podrá entrar a sus archivos privados en el servidor.
; Configuraciones de recursos compartidos

[homes]
comment = Home Directories
valid users = %U
read only = No
create mask = 0664
35 de 115 05/10/2010 06:42 p.m.

directory mask = 0775

browseable = No
La linea valid users = %U indica que este recurso compartido solo esta disponible para los usuarios Samba autenticados.
En este recurso compartido no se especifica un path ya que podrá variar dependiendo del usuario que haga login.
Este es otro recurso compartido especial, el recurso [netlogon] solo es utilizado cuando Samba actua como un Controlador de Dominio, el proposito de este recurso compartido es almacenar los
scripts de inico (logon scripts), estos scripts son ejecutados cada vez que un usuario inicia sesión en el dominio.
[netlogon]
path = /home/samba/netlogon/
browseable = No
read only = yes
La opción browseable = No especifica que este recurso compartido no será visible en la lista de shares disponibles en el servidor, más sin embargo, si podrá ser accesado para los usuarios que
hacen login en el dominio, el acceso será de solo lectura.
TODO: Meter opción para que los usuarios miembros del grupo "Domain Admins" tengan permiso de escritura a este recurso compartido, así, estos usuarios podrán crear los logon scripts.
Ahora creamos el directorio base en el cual almacenaremos los logon scripts:
root@ushldap:~# mkdir -vp --mode 755 /home/samba/netlogon

mkdir: se ha creado el directorio `/home/samba/netlogon'
TODO: Cambiar los permisos a root:"Domain Admins" con permisos 775???????????
Ahora crearemos un logon script bastante simple que hará las siguientes operaciones
Sincronizar el reloj del servidor con el del equipo local
Mapear el recurso de red \\PDC-SRV\homes a la unidad H:
Mapear el recurso de red \\PDC-SRV\publico a la unidad P:
Creamos el archivo /home/samba/netlogon/logon.bat:
# vim /home/samba/netlogon/logon.bat
Y agregue el siguiente contenido:
net time \\PDC-SRV /set /yes

net use h: \\PDC-SRV\homes
net use p: \\PDC-SRV\publico
Ahora convertimos el archivo a formato DOS con CR/LF
root@ushldap:~# sed -i 's/$/\r/' /home/samba/netlogon/logon.bat
TODO: Verificar si el script requiere permisos de ejecución
36 de 115 05/10/2010 06:42 p.m.

TODO: Meter sección sobre ntlogon.pl o ntlogon.py
El recurso compartido [profiles] también es de uso especial y solo es necesario cuando Samba se configura como Controlador de Dominio, el proposito de este recurso compartido es almacenar
los Perfiles de Usuarios, en especifico es usado cuando se configura que los usuarios de dominio utilizen los Perfiles Móviles (Roaming Profiles).
[profiles]
path = /home/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = Yes
csc policy = disable
# next line is a great way to secure the profiles
force user = %U
# next line allows administrator to access all profiles
valid users = %U @"Domain Admins"
La ruta de este recurso compartido será usado con el atributo ProfilePath para indicar la ruta en donde esta almacenado el Perfil del Usuario, por ejemplo, la entrada en la SAM del dominio para
el usuario jmedina especifica: ProfilePath=\\PDC-SRV\profiles\jmedina, lo cual indica que el perfil del usuario jmedina estará en el directorio local /home/samba/profiles/jmedina.
Creamos el directorio para el recurso compartido profiles:
root@ushldap:~# mkdir -vp --mode 1777 /home/samba/profiles

mkdir: se ha creado el directorio `/home/samba/profiles'
En este momento ya podemos guardar el archivo smb.conf.
Despues de haber editado el archivo de conifguración smb.conf ejecutaremos el comando testparm para realizar un revisión sintactica del archivo smb.conf, este comando nos dirá si hay algún
error de configuración, o si algun parametro esta mal escrito.
Para correr la revisón ejecutamos:
root@ushldap:~# testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Si le aparece el mensaje "ERROR: the 'unix password sync' parameter is set and the 'passwd program' (/usr/sbin/smbldap-passwd) cannot be executed (error was No such file or directory)."
ignorelo, en la siguiente sección instalaremos el paquete smbldap-tools.
Si hubiera algun error en la sintaxis el comando testparm no lo reportará y nos dirá en que linea se encuentra el error y alguna descripción corta sobre el error.
Nota
Todavía no es momento de iniciar el servidor samba.
37 de 115 05/10/2010 06:42 p.m.

Para más información acerca de los parametros en el archivo de configuración /etc/samba/smb.conf ver la página del manual smb.conf(5).
Para que Samba pueda agregar/modificar cuentas almacenadas en el directorio LDAP es necesario que sepa la contraseña del usuario ldap admin dn especificada en el archivo smb.conf. La
cuenta del ldap admin dn debe de tener los suficientes permisos para leer, agregar y modificar entradas en el directorio LDAP.
Para especificar la contraseña del admin dn, usamos el comando:
root@ushldap:~# smbpasswd -W
Setting stored password for "cn=admin,dc=midominio,dc=com" in secrets.tdb
New SMB password:ldapadmin
Retype new SMB password:ldapadmin
La contraseña será almacenada en el archivo /var/lib/samba/secrets.tdb. Se almacena aquí para no tener que espcificarla cada vez que se vaya a ejecutar alguna operación relacionada a
cuentas Samba en el directorio LDAP.
El archivo secrets.tdb debe de tener los permisos así:
root@ushldap:~# ls -l /var/lib/samba/secrets.tdb
-rw------- 1 root root 8192 2008-06-18 23:29 /var/lib/samba/secrets.tdb
Nota
Para poder manipular los archivos tdb podemos utilizar las herramientas del paquete tdb-tools.
Ahora si podemos iniciar el servidor samba
root@ushldap:/etc/samba# /etc/init.d/samba start

* Starting Samba daemons [ OK ]

Ahora configuraremos las herramientas smbldap-tools para predefinir los parametros de configuración para la administración de cuentas Unix y Samba.
Primero instalaremos el paquete smbldap-tools así:
root@ushldap:~# apt-get install smbldap-tools
Los archivos de configuración de las herramientas smbldap-tools se encuentran en el directorio /etc/smbldap-tools, en este directorio deben de existir dos archivos de configuración, el archivo
smbldap.conf contiene directivas de configuración tanto para la creación y modificación de cuentas Unix y Samba y el archivo smbldap_bind.conf contiene el usuario y la contraseña del
usuario con el que nos conectaremos al servidor LDAP para efectura las operaciones de administración de usuarios y grupos Unix/Samba.
Ya que el archivo /etc/smbldap-tools/smbldap.conf no existe, usaremos un archivo de ejemplo que se instala junto con el paquete smbldap-tools, lo copiamos así:
root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
El archivo smbldap_bind.conf tampoco existe por lo que utilizaremos el archivo de ejemplo:
root@ushldap:~# cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/
38 de 115 05/10/2010 06:42 p.m.

Antes de empezar a configurar estas herramientas cambiaremos los permisos de acceso para estos archivos,
Entramos al directorio /etc/smbldap-tools:
root@ushldap:~# cd /etc/smbldap-tools
Cambiamos el usuario y grupo propietarios para los archivos, el usaurio dueño debe de ser root y el grupo dueño debe de ser openldap.
root@ushldap:~# chown root:openldap smbldap*
Nadie más a exepcion del usuario root tendrá permiso de lecutra y escritura sobre los archivos, el grupo openldap solo tendrá permisos de lectura.
root@ushldap:~# chmod 640 smbldap*
Editaremos el archivo de configuración smbldap_bind.conf para especificar el usuario con con el que haremos las operaciones de administracion de usurios y grupos en el servidor LDAP.
root@ushldap:~# vim smbldap_bind.conf
Cambiar:
slaveDN="cn=Manager,dc=company,dc=com"
slavePw="secret"
masterDN="cn=Manager,dc=company,dc=com"
masterPw="secret"
Por:
slaveDN="cn=admin,dc=midominio,dc=com"
slavePw="ldapadmin"
masterDN="cn=admin,dc=midominio,dc=com"
masterPw="ldapadmin"
Nota
Aunque aun no tengamos configurado un servidor LDAP esclavo usaremos el mismo cn=admin que en nuestro servidor Maestro.
En el archvo smbldap.conf se debe de especificar el SID del dominio Samba con el que estaremos trabajando, para obtener el SID de nuestro servidor utilizaremos el comando net.
Obteniendo el SID local:
root@ushldap:~# net getlocalsid

SID for domain PDC-SRV is: S-1-5-21-2911508632-2405292923-4115677068
El SID resultante lo copiaremos, en este caso el SID es: S-1-5-21-2911508632-2405292923-4115677068
Como minimo debemos de configurar los parametros que estan marcados en negritas.
Ahora editamos el archivo principal de configuración de smbldap-tools /etc/smbldap-tools/smbldap.conf:
# vim /etc/smbldap-tools/smbldap.conf
TODO: Dividir los parametros globales para el dominio Samba y los parametros para especificar en que servidor LDAP almacenaremos la información de cuentas Unix/Samba.
39 de 115 05/10/2010 06:42 p.m.

Primero editaremos los parametros referentes al dominio Samba:
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2911508632-2405292923-4115677068"
# Domain name the Samba server is in charged.

# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="MIDOMINIO"
# Slave LDAP server

# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"
# Slave LDAP port

# If not defined, parameter is set to "389"
slavePort="389"
# Master LDAP server: needed for write operations

# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"
# Master LDAP port

masterPort="389"
Conifguraciones de TLS/SSL:
Ya que en esta instalación inicial no usaremos comunicacione seguras por SSL/TLS desactivaremos el uso de TLS en nuestra configuración.
# Use TLS for LDAP

# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
ldapTLS="0"
Ahora especificaremos el Base DN de nuestro directorio LDAP, esta configuración servirá como variable para otras configuraciones, todos los contenedores para almacenar cuentas y grupos
estarán bajo este Base DN.
# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=midominio,dc=com"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)

hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.

# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
# Domain appended to the users "mail"-attribute
40 de 115 05/10/2010 06:42 p.m.

# when smbldap-useradd -M is used

# Ex: mailDomain="idealx.com"
mailDomain="midominio.com"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="99999"

Ahora que ya hemos editado los archivos de configuración de las herramientas smbldap-tools, inicializaremos nuestro directorio LDAP con la información para el dominio NT: MIDOMINIO.
El comando smbldap-populate inicializará nuestro directorio LDAP con la siguiente información:
Base DN: dc=midominio,dc=com
Contenedor (OU= Unidad Organizativa ) para las cuentas Unix/Samba: ou=Users
En el contenedor para los Usuarios, se crearán por defecto los usuarios: root y nobody los cuales serán mapeados al usuarios Administrador y Guest Samba respectivamente.
Contenedor (OU= Unidad Organizativa ) para los Grupos Unix/Samba: ou=Groups
En el contenedor de los Grupos, se crearán por defecto los Grupos Predeterminados de un dominio Samba: Domain Admins, Domain Users, Domain Guests, Domain Computers.
Contenedor (OU= Unidad Organizativa ) para las cuentas de Computadoras Windows: ou=Computers
Contenedor (OU= Unidad Organizativa ) para los mapeos de Cuentas Unix a Cuentas Samba/Windows (SID): ou=Idmap
Para inicializar nuestro directorio LDAP con la información de arriba usaremos el comando smbldap-populate de la siguiente manera:
root@ushldap:~# smbldap-populate
Populating LDAP directory for domain MIDOMINIO (S-1-5-21-2911508632-2405292923-4115677068)
(using builtin directory structure)
entry dc=midominio,dc=com already exist.

adding new entry: ou=Users,dc=midominio,dc=com
adding new entry: ou=Groups,dc=midominio,dc=com
adding new entry: ou=Computers,dc=midominio,dc=com
adding new entry: ou=Idmap,dc=midominio,dc=com
adding new entry: uid=root,ou=Users,dc=midominio,dc=com
adding new entry: uid=nobody,ou=Users,dc=midominio,dc=com
adding new entry: cn=Domain Admins,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Domain Users,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Domain Guests,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Domain Computers,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Administrators,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Account Operators,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Print Operators,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Backup Operators,ou=Groups,dc=midominio,dc=com
adding new entry: cn=Replicators,ou=Groups,dc=midominio,dc=com
entry sambaDomainName=MIDOMINIO,dc=midominio,dc=com already exist. Updating it...
Please provide a password for the domain root:

Changing UNIX and samba passwords for root
New password:dominioadmin
Retype new password:dominioadmin
41 de 115 05/10/2010 06:42 p.m.

Al final se nos solicita que asignemos una contraseña para el usuario root del dominio, utilizaremos la contraseña: dominioadmin
Si al llenar el directorio LDAP no se presenta error alguno, entonces al final tendremos nuestro arbol de directorio con la siguiente estructura.
dc=MIDOMINIO,dc=COM
|
,___ ou=Users Contenedor para almacenar cuentas de usuario para sistemas Linux/Unix y Windows
| |
| ,_______uid=root Usuario Unix/Samba root (Administrador Unix y Administrador de Dominio Samba)
| |
| ,_______uid=nobody Usuario Unix/Samba nobody (Cuenta anonima para entornos Unix y Dominio Samba)
|
,___ ou=Computers Contenedor para las cuentas de Computadoras (Trusted Machine Accounts) para sistemas Windows
|
,___ ou=Groups Contenedor para alamacenar Grupos de sistema para sistemas Unix y Windows
| ( o para cualquier otro sistema LDAP-aware).
|
,_______cn=Domain Admins Grupo Global para los Administradores del Dominio NT: MIDOMINIO
|
,_______cn=Domain Users Grupo Global para los Usuarios de Dominio NT: MIDOMINIO
|
,_______cn=Domain Computers Grupo Global para las Cuentas de Computadoras del Dominio NT: MIDOMINIO
Es importante que se tenga en consideración la estrucutra de nuestro arbol de Directorio, ya que esta misma estrucutra podrá ser utilizada al configurar otras aplicaciones para que interactuen con
el directorio LDAP.
Las herramientas smbldap-populate crean 5 grupos locales (built-in): Account Operators, Administrators, Backup Operators, Print Operators, Replicators. A estos grupos les agrega el
atributo sambaGroupType con el valor 5, el tipo de grupo samba 5 es usado para grupos de dominio y no para grupos locales, para los grupos samba locales debe usar el tipo 4, más información
sobre el bug ver el bug 5551 de samba y el bug td18119198 de smbldap-tools.
Use el comando ldapmodify para cambiar los atributos en los dn de los grupos, cree el archivo /tmp/samba-builtin-changetype.ldif con el siguiente contenido:
dn: cn=Account Operators,ou=Groups,dc=midominio,dc=com

changetype: modify
replace: sambaGroupType
sambaGroupType: 4
dn: cn=Administrators,ou=Groups,dc=midominio,dc=com
changetype: modify
sambaGroupType: 4
dn: cn=Backup Operators,ou=Groups,dc=midominio,dc=com

changetype: modify
sambaGroupType: 4
dn: cn=Print Operators,ou=Groups,dc=midominio,dc=com

changetype: modify
sambaGroupType: 4
Ahora realizamos la modificación con el comando ldapmodify usando el DN cn=admin.
# ldapmodify -h localhost -x -D "cn=admin,dc=midominio,dc=com" -W -f /tmp/samba-builtin-changetype.ldif

Enter LDAP Password:ldapadmin
modifying entry "cn=Account Operators,ou=Groups,dc=midominio,dc=com"
modifying entry "cn=Administrators,ou=Groups,dc=midominio,dc=com"
42 de 115 05/10/2010 06:42 p.m.

modifying entry "cn=Backup Operators,ou=Groups,dc=midominio,dc=com"
modifying entry "cn=Print Operators,ou=Groups,dc=midominio,dc=com"
Despues de haber llenado el directorio con los usuarios y grupos de dominio predeterminados, es necesario reiniciar samba para que tenga conocimiento de la nueva información.
root@ushldap:~# /etc/init.d/samba restart


En esta sección veremos algunos comandos que nos podrán servir para verificar que las cuentas de samba sean las almacenadas en el directorio ldap, y también se hace una prueba de conexión al
servidor samba.
El comando pdbedit nos servirá para hacer un listado de usuarios Samba, el comando pdbedit se conectará al servidor LDAP para obtener la información, si todo fue configurado correctamente
nos deberá de mostrar los siguiente:
root@ushldap:~# pdbedit -L
root:0:root
nobody:65534:nobody
Como se vio antes, los usuarios samba deben de estar mapeados al UID de un usuario Unix, en este caso el usuario root Samba esta mapeado al usuario root Unix con UID 0 y el usuario nobody
Samba esta mapeado al usuario nobody Unix con UID 65534.
Si deseamos mostrar los detalles de información de un usuario samba usamos el comando pdbedit de la siguiente manera:
root@ushldap:~# pdbedit -Lv root

Unix username: root
NT username: root
Account Flags: [U ]
User SID: S-1-5-21-2911508632-2405292923-4115677068-500
Primary Group SID: S-1-5-21-2911508632-2405292923-4115677068-513
Full Name: root
Home Directory: \\PDC-SRV\root
HomeDir Drive: H:
Logon Script:
Profile Path: \\PDC-SRV\profiles\root
Domain: MIDOMINIO
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: never
Kickoff time: never
Password last set: Wed, 14 Jan 2009 10:50:24 CST
Password can change: Wed, 14 Jan 2009 10:50:24 CST
Password must change: never
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Este comando nos muestra a detalle la información/atributos de una cuenta Samba
43 de 115 05/10/2010 06:42 p.m.

La cuenta root que se creo en el directorio LDAP, es la que se usará como usuario root local y como administrador de dominio, se debe de cambiar la ruta al $HOME de root y asignarle el shell
/bin/bash.
root@ushldap:~# smbldap-usermod -d /root -s /bin/bash root
Listo, podemos continuar.
En un sistema controlador de dominio con samba las cuentas de usuario samba deben ser mapeadas a una cuenta unix por cuesetiones de permisos, la configuración anterior ya preparo el mapeo
para los grupos de dominio y locales samba, podemos validarlos con el comando net, por ejemplo:
# net groupmap list

Domain Admins (S-1-5-21-2911508632-2405292923-4115677068-512) -> Domain Admins
Domain Users (S-1-5-21-2911508632-2405292923-4115677068-513) -> Domain Users
Domain Guests (S-1-5-21-2911508632-2405292923-4115677068-514) -> Domain Guests
Domain Computers (S-1-5-21-2911508632-2405292923-4115677068-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
Note que las cuentas de dominio usan el SID del dominio que se configuro en smbldap-tools, las cuentas locales no tienen asignado el SID.
Cuando realizamos el llenado el directorio con smbldap-populate se creo la cuenta root mapeada al administrador del dominio, realicemos una prueba de conexión utilizando la cuenta root del
dominio, deberemos de utilizar la contraseña que se asigno al llenar el directorio con el comando smbldap-populate y no la contraseña del usuario root local.
root@ushldap:~# smbclient //localhost/netlogon -U root

Password:dominioadmin
Domain=[MIDOMINIO] OS=[Unix] Server=[Samba 3.0.28a]
smb: \> quit
root@ushldap:~#
Ya que configuramos el uso del archivo /etc/samba/smbusers para el mapeo de usuarios, podremos hacer una prueba utilizando la cuenta Administrator, deberemos de utilizar la misma
contraseña del usuario root.
root@ushldap:~# smbclient //localhost/netlogon -U Administrator

Domain=[MIDOMINIO] OS=[Unix] Server=[Samba 3.0.28a]
smb: \> quit
root@ushldap:~#
Si las ultimas dos pruebas no funcionan entonces debe de revisar su configuración y probablemente volver a empezar verificando que todo se haya seguido al pie de la letra.
NOTA: Meter referencia a sección de empezando desde ceros.
Capítulo 7. Configuración de la resolución de Identidades con NSS_LDAP

En los sistemas Unix las cuentas de usuario y grupo son mapeadas a un identificador númerico llamado UID (User ID) y GID (Group ID) respectivamente, esta resolución es llevada a cabo por la
biblioteca del sistema NSS (Name Service Switch), la cual es invocada cada vez que algún comando o aplicación tratan con alguna cuestion de permisos o autenticación.
44 de 115 05/10/2010 06:42 p.m.

Por default la bibliteca de sistema NSS realiza la consulta de usuarios, grupos y shadow usando archivos locales, es decir, /etc/passwd, /etc/group y /etc/shadow, ya que nuestro sistema usará un
directorio LDAP para almacenar la información de los usurios y grupos será necesario indicarle a la biblioteca NSS que debe usar un directorio LDAP para obtener información sobre dichas
identidades, es aquí donde entra el paquete nss_ldap, el paquete nss_ldap es un plugin para la biblioteca del sistema NSS para podere realizar la resolución de identidades usando como fuente de
origen un directorio LDAP.
En Debian/Ubuntu el plugin LDAP para la biblioteca NSS es provisto por el paquete libnss-ldap, lo instalaremos en el sistema vía apt:
Para instalar el paquete libnss-ldap, usamos el comando:
root@ushldap:~# apt-get install libnss-ldap
Al instalar el paquete libnss-ldap se instalarán otros paquetes como libpam-ldap que lo utilizaremos en la siguiente sección para configurar la autorización a los servicios del sistema.
El sistema de administración de paquetes apt nos lanzará un asistente para configuración, la configuración del asistente no es exactamente como nosotros la necesitamos, por lo que solo
contestaremos las preguntas con cualquier cosa para despues reconfigurar libnss-ldap manualmente.
Deberemos de contestar lo siguiente:
LDAP server Uniform Resource Identifier: ldapi://127.0.0.1
Distinguished name of the search base: dc=midominio,dc=com
LDAP version to use: 3
Make local root Database admin: No
Does the LDAP database require login?: No
Este asistente genero un archivo de configuración /etc/ldap.conf, ya que nosotros crearemos una configuración nueva este archivo lo podemos renombrar.
root@ushldap:~# mv /etc/ldap.conf{,.orig}
Importante
No confundir con el archivo de los clientes LDAP /etc/ldap/ldap.conf.
Despues de respaldar el archivo ldap.conf lo editaremos
root@ushldap:~# vim /etc/ldap.conf
Debera de quedar así:
# Config file for libnss-ldap and libpam-ldap
uri ldap://127.0.0.1/
ldap_version 3
base dc=midominio,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
pam_password exop
45 de 115 05/10/2010 06:42 p.m.

nss_base_passwd ou=Users,dc=midominio,dc=com?one
nss_base_passwd ou=Computers,dc=midominio,dc=com?one
nss_base_shadow ou=Users,dc=midominio,dc=com?one
nss_base_group ou=Groups,dc=midominio,dc=com?one
bind_policy soft
nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,sshd,sync,sys,syslog,uucp,www-data
Los permisos del archivo /etc/ldap.conf deben de ser 644, como se muestra a continuación:
root@ushldap:~# ls -l /etc/ldap.conf
-rw-r--r-- 1 root root 467 2008-06-18 23:37 /etc/ldap.conf
Para que el servicio de resolución de entidades en realidad pueda obtener la información del directorio LDAP, deberemos de modificar el archivo /etc/nsswitch.conf y modificar las entradas
para las entidades: passwd, group y shadow.
Antes de modificar el archivo de configuración de resolución de entidades haremos una copia de seguridad:
root@ushldap:~# cp /etc/nsswitch.conf{,.FILES}
Ahora editamos el archivo para decirle que para obtener la información de usuarios, grupos también consulte el directorio LDAP especificado en el archivo /etc/ldap.conf.
root@ushldap:~# vim /etc/nsswitch.conf
Cambiar:
passwd: compat
group: compat
shadow: compat
Por:
passwd: compat ldap

group: compat ldap
shadow: compat ldap
hosts: files wins dns
Nota
También aprovechamos para que la resolución de nombres de hosts incluya al servidor WINS incorporado con Samba para resolver nombres netbios.
Despues de guardar los cambios haremos unas pruebas con el comando getent para verificar que si este haciendo las consultas al directorio LDAP.
Verificando la resolución de usuarios:
root@ushldap:~# getent passwd | grep root

root:x:0:0:root:/root:/bin/bash
root:x:0:0:Netbios Domain Administrator:/root:/bin/bash
En la salida del comando anterior deberemos de ver dos resultados para root, una fue obtenida del archivo /etc/passwd y otra del directorio LDAP.
Ahora haremos una prueba para que podamos obtener la lista de grupos tanto del archivo /etc/group como del directorio LDAP.
46 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# getent group | grep -E 'root|Domain'

root:x:0:
Domain Admins:*:512:root
Domain Users:*:513:
Domain Guests:*:514:
Domain Computers:*:515:
En la salida del comando anterior la entrada para el grupo root fue obtenida del archivo /etc/group y las entradas de los grupos Domain XXXX fueron obtenidas del directorio LDAP.
Podemos utilizar el comando id para verificar que la resolución de entidades muestre a que grupos pertenece el usuario root.
Inicie una nueva sesión como root en el equipo ya sea por ssh o localmente en una TTY, y despues ejecute lo siguiente:
root@ushldap:~# id root
uid=0(root) gid=0(root) groups=0(root),512(Domain Admins)
En este caso, el usuario root pertenece al grupo 512 (Domain Admins) que esta en el directorio LDAP.
Capítulo 8. Configuración de la Autenticación con PAM_LDAP

Tabla de contenidos


Que es PAM?
PAM son las siglas de Plugable Authentication Modules que basicamente es un mecanismo flexible para autenticar usuarios.
Cada linea de los archivos de configuración de PAM contiene tres columnas más argumentos opcionales, a continuación se muestra un ejemplo:
password requisite pam_unix.so nullok obscure md5
A continuación se explica que es cada elemento:
password
La primer columna sirve para indicar el tipo de modulo de autenticación
requisite
La segunda columna (Control Flag) sirve para indicarle a PAM como es que debe de actuar d
47 de 115 05/10/2010 06:42 p.m.

pam_unix.so
La tercer columna se usa para especificar el nombre del modulo a usar
nullok obscure md5
La cuarta columna (opcional) sirve para especificar argumentos a los modulos.
La siguiente tabla muestra los la estrucutra de de una configuración de PAM
METER OTRA TABLA con la misma info, igual en diagrama.
A continuación se describe cada una de las columnas involucradas en las configuraciones de PAM:
Tipos de Modulos
Hay cuatro tipos de modulos PAM que a continuación se describen.
authentication (autenticaciń)
Tareas encaminadas a comprobar que, efectivamente, o el usuario es realmente quien dice ser. A menudo, cuando se habla de PAM, s´lo o se tiene en cuenta esta tarea, ignorando las
dem´s. Estas tareas ofrecen incluso un a sistema de credenciales que permiten al usuario ganar ciertos privilegios —jados por el administrador—.
Estos modulos proveen dos formas de autenticar el usuario.
Primero, los modulos establecen que el usuario es quien dice ser instruyendo la aplicacion (servicio) que le pregunte al usuario una contraseña u otro mecanismo de identificación.
Segundo, el modulo puede otorgar membrecia a un grupo u otros privilegios a traves de las propiedades de las credenciales del usaurio.
account (cuenta)
En este grupo se engloban tareas que no estń relacionadas a directamente con la autenticaciń. Algunos ejemplos son permitir/denegar el acceso o en funciń de la hora, los recursos
disponibles o, incluso, la localizaciń. Ofrece o o vericaciń de cuentas de usuario. Por ejemplo, se encarga de determinar si el usuario o tiene o no acceso al servicio, si su contraseã
ha caducado, etc. n
Estos modulos realizan nonauthentication based account management.
Estos modulos son tipicamente usados para restringuir o permitir el acceso a un servicio basado en la hora del día, los recursos del sistemas actualmente disponibles (máximo número
de usuarios) o quizaso quizas la localización de el usuario ( por ejemplo, para limitar el login al usuario root en la consola).
password (contraseña)
Se encarga de mantener actualizado el elemento de autenti- n caciń asociado a cada usuario —por ejemplo, su contraseã—. Acciones como o n comprobar la fortaleza de una clave
son t´ ıpicas de este grupo.
Este último tipo de modulo es requerido para actualizar el token de autenticación asociado a un usuario.
session (sesión)
En este grupo se engloban tareas que se deben llevar a cabo antes o de iniciarse el servicio y despu´s de que este nalice. Es especialmente util para e ´ mantener registros de acceso o
hacer accesible el directorio home del usuario.
Estos modulos estan asociados a las realización de tareas que necesitas que sean hechas para el usuario antes de que se le pueda dar acceso a un servicio o despues de que el servicio
ha sido provisto.
48 de 115 05/10/2010 06:42 p.m.

Tales tareas incluyen registrar (logging) información correspondiente al usuario, montar directorios, and the opening and closing o f some data exchange with another user.
Banderas de Control (Control Flags)
Modulo
Argumentos (opcional)

Ya que la configuración de PAM y sus modulos es muy importante, y cualquier configuración mal hecha podría causar que ya no podamos iniciar sesión localmente ( ni como root), haremos un
respaldo antes de realizar nuestras modificaciones:
Todas las configuraciones de PAM estan en el directorio /etc/pam.d/, respaldaremos todo el directorio
root@ushldap:~# cp -va /etc/pam.d{,.FILES}
Nuestro respaldo tendrá el sufijo .FILES para indicar que son las configuraciones que usan los archivos /etc/passwd, /etc/group y /etc/shadow.

Configurar los archivos de acuerdo a:
root@ushldap:~# cat /etc/pam.d/common-auth

auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
config de
root@ushldap:~# cat /etc/pam.d/common-account

account required pam_unix.so
account sufficient pam_ldap.so
Connfigurando la Autorización (Authz) con PAM LDAP:
root@ushldap:~# cat /etc/pam.d/common-session

session required pam_unix.so
session optional pam_ldap.so
root@ushldap:~# cat /etc/pam.d/common-password

password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow
49 de 115 05/10/2010 06:42 p.m.

password sufficient pam_ldap.so use_authtok

password required pam_deny.so
En el modulo de autenticación password especificamos que es requerido el uso de pam_cracklib, cracklib es un conjunto de bibliotecas que nos servirán para verificar que las contraseñas
suministradas por usuarios unix sean lo suficientemente fuertes, el chequeo lo hace contra un diccionario de palabras, así, si un usuario ingresa una contraseña basada en alguna palabra del
diccionario cracklib nos alertará. Por medio del modulo pam_cracklib tambien podemos especificar el tamaño minimo de una contraseña.
Para instalar el modulo pam_cracklib, instalaremos el paquete libpam-cracklib, así:
root@ushldap:~# apt-get install libpam-cracklib

Crear usuario con smbldap-useradd
root@ushldap:~# smbldap-useradd -m -P jmedina

Changing UNIX password for jmedina
New password:123456
Retype new password:123456
Nota
Para más información de como crear cuentas unix con las herramientas smbldapt-tools ver la Sección Administración de cuentas Unix y Samba vía smbldap-tools.
Mostrando la información del nuevo usuario:
root@ushldap:~# smbldap-usershow jmedina

dn: uid=jmedina,ou=Users,dc=midominio,dc=com
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount
cn: jmedina
sn: jmedina
givenName: jmedina
uid: jmedina
uidNumber: 1008
gidNumber: 513
homeDirectory: /home/jmedina
loginShell: /bin/bash
gecos: System User
shadowLastChange: 14049
userPassword: {SSHA}dFAiW/BAWzSnLVuQXfrtN3Ne/RxHSlgz
Verificando resolución de identidades:
root@ushldap:~# id jmedina
uid=1002(jmedina) gid=513(Domain Users) groups=513(Domain Users)
Verificando que no existe localmente (archivos)
root@ushldap:~# grep jmedina /etc/passwd
Probando la autenticación pam con pamtest
50 de 115 05/10/2010 06:42 p.m.

Instalando
root@ushldap:~# apt-get install libpam-dotfile
Progando
root@ushldap:~# pamtest passwd jmedina

Trying to authenticate <jmedina> for service <passwd>.
Password:123456
Authentication successful.
hacer prueba de ssh
root@ushldap:~# ssh jmedina@localhost

jmedina@localhost's password:
Linux ushldap 2.6.24-16-server #1 SMP Thu Apr 10 13:58:00 UTC 2008 i686
The programs included with the Ubuntu system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Ubuntu comes with ABSOLUTELY NO WARRANTY, to the extent permitted by

applicable law.
To access official Ubuntu documentation, please visit:

http://help.ubuntu.com/
Last login: Thu Jun 19 18:16:12 2008 from localhost
jmedina@ushldap:~$ pwd
/home/jmedina
Verificando que los UID y GID sean consistentes con los del LDAP:
jmedina@ushldap:~$ id
uid=1008(jmedina) gid=513(Domain Users) groups=513(Domain Users)
Probando crear archivos y directorios y ver que reporte los UID y GID en los archivos y dirs creados:
jmedina@ushldap:~$ mkdir DirPrueba

jmedina@ushldap:~$ touch ArchivoPrueba
jmedina@ushldap:~$ ls -l
total 4
-rw-r--r-- 1 jmedina Domain Users 0 2008-07-17 21:24 ArchivoPrueba
drwxr-xr-x 2 jmedina Domain Users 4096 2008-07-17 21:24 DirPrueba
El usuario puede cambiar su propia contraseña desde un shell usando el comando passwd.
jmedina@ushldap:~$ passwd
Enter login(LDAP) password:123456
New UNIX password:NuevaContraseñA
Retype new UNIX password:NuevaContraseñA
LDAP password information changed for jmedina
passwd: password updated successfully
jmedina@ushldap:~$
Nota
Recuerde que el comando passwd esta ligado a la bilioteca NSS y NSS a su vez con LDAP y realizará una operación de cambio de contraseña en el directorio LDAP.
51 de 115 05/10/2010 06:42 p.m.

Si utiliza una nueva contraseña debil el sistema (con ayuda de pam_cracklib) le notificará, por ejemplo:
$ passwd
Enter login(LDAP) password:
New UNIX password:
BAD PASSWORD: it is based on your username
New UNIX password:
BAD PASSWORD: it is too simplistic/systematic
New UNIX password:
BAD PASSWORD: it is based on a dictionary word
passwd: Authentication token manipulation error
passwd: password unchanged
Capítulo 9. Migración de usuarios y grupos Unix/Posix al directorio LDAP

Tabla de contenidos

En este cápitulo explicaremos como migrar las cuentas locales de sistema (/etc/passwd) y los grupos locales (/etc/group) a nuestro directorio LDAP.
En Ubuntu no se incluyen las herramientas necesarias para migrar cuentas Unix a LDAP, sin embargo, estas herramientas estan como ejemplos en el directorio /usr/share/doc/smbldap-
tools/examples/migration_scripts/, necesitaremos copiar estas herramientas a /usr/sbin/, lo haremos así:
Instalando el script para migrar cuentas unix:
root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/migration_scripts/smbldap-migrate-unix-accounts.gz > \

/usr/sbin/smbldap-migrate-unix-accounts
Instalando el script para migrar grupos Unix:
root@ushldap:~# zcat /usr/share/doc/smbldap-tools/examples/migration_scripts/smbldap-migrate-unix-groups.gz > \

/usr/sbin/smbldap-migrate-unix-groups
Ahora le configuraemos los permisos a estos dos scripts para que puedan ser ejecutados sin probleas:
root@ushldap:~# chmod 755 /usr/sbin/smbldap-migrate-unix-*
Y por último verificamos que los permisos se hayan puesto correctamente:
root@ushldap:~# ls -l /usr/sbin/smbldap-migrate-unix-*
-rwxr-xr-x 1 root root 11640 2008-07-18 00:49 /usr/sbin/smbldap-migrate-unix-accounts
-rwxr-xr-x 1 root root 5533 2008-07-18 00:50 /usr/sbin/smbldap-migrate-unix-groups
Ahora que ya tenemos los scripts para migrar cuentas locales al directorio LDAP seguiremos con las secciones para migrar cuentas y grupos.

La información de cuentas de usuario estan almacenadas en el archivo /etc/passwd, y en el archivo /etc/shadow principalmente esta almacenado el hash de la contraseña del usuario. Migraremos
la información de ambos archivos siguiendo el siguiente procedimiento:
1. Hacer una copia de los archivos /etc/passwd y /etc/shadow en un directorio temporal:
52 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# cp /etc/passwd /etc/shadow /tmp/
2. Eliminar de ambos archivos todas las cuentas que no quieras importar en el directorio LDAP
root@ushldap:~# for user in root nobody bin daemon

do
export user
perl -i -pe’s@^$ENV{user}:(.*)\n@@’ /tmp/passwd
perl -i -pe’s@^$ENV{user}:(.*)\n@@’ /tmp/shadow
done
3. Ahora migramos las cuentas de /tmp/passwd y /tmp/shadow a nuestro directorio:
root@ushldap:~# smbldap-migrate-accounts -a -P /tmp/passwd -S /tmp/shadow
Nota
Con la opción -a de smbldap-migrate-accounts, el atributo sambaSAMAccount será agregado a los usuarios importados. Todos los usuarios que previamente tenían
definido un shell valido en /etc/passwd entonces serán capaces de conectarse a el servidor y actualizar su contraseña Windows usando el script /usr/sbin/smbldap-
passwd ó el comando passwd.
4. Eliminando los archivos temporales
root@ushldap:~# rm -i /tmp/passwd /tmp/shadow

rm: remove regular file `/tmp/passwd'? y
rm: remove regular file `/tmp/shadow'? y
En la siguiente sección veremos como migrar los grupos.

Ahora migraremos los grupos de el archivo /etc/group. El proceso de Migración deberá de hacerse como sigue:
1. Hacer una copia del archivo /etc/grooup a un directorio temporal:
root@ushldap:~# cp /etc/group /tmp/
2. Elimina todos los grupos que no quieres que se importen al directorio LDAP
root@ushldap:~# for group in root bin daemon

do
export group
perl -i -pe’s@^$ENV{group}:(.*)\n@@’ /tmp/group
done
3. Ahora si migramos los grupos al directorio LDAP
root@ushldap:~# smbldap-migrate-groups -a -G /tmp/group
4. Eliminando el archivo temporal
root@ushldap:~# rm -i /tmp/group
rm: remove regular file `/tmp/group'? y
53 de 115 05/10/2010 06:42 p.m.

Nota
Con la opción -a de smbldap-migrate-groups, el atributo sambaGroupMapping será agregado a los grupos de manera que ellos podrán ser usados como grupos
Windows (entonces Samba mapeara los grupos Unix a los grupos Windows). Deberías de eliminar esta opción si no deseas hacer el mape de grupos unix a windows.
Podemos usar el comando getent para verificar que los usuarios y grupos migrados esten en el directorio LDAP.
Capítulo 10. Administración de cuentas Unix y Samba vía smbldap-tools

Tabla de contenidos
Introducción
Agregando Grupos
Eliminando Grupos
En este capitulo veremos los comandos y archivos involucrados en la administración de usuarios y grupos tanto unix como samba, para cada comando veremos las opciones disponibles con su
descripción y ejemplos de como utilizarlos para casos reales.
Introducción
Normalmente la información de las cuentas de usuario y grupos de sistema (Posix) y Samba están almacenadas en una serie de archivos comunes, como /etc/passwd, /etc/group, /etc/shadow
y /etc/samba/smbpasswd, pero en esta instalación toda esta información esta almacenada en una base de datos de usuarios y grupos centralizada, es decir, en un directorio LDAP.
Para administrar los usuarios y grupos ya no podremos utilizar las herramientas ordinarias como: useradd, passwd, groupadd, etc, en su lugar usaremos las herramientas smbldap-tools, estas
herramientas están especialmente diseñadas para administrar usuarios y grupos de sistema y samba almacenados en un directorio LDAP.
A continuación se describirán estas herramientas para realizar las tareas comunes de administración de usuarios y grupos.

Las herramientas smbldap-tools tienen algunos archivos de conguración que son usados para congurar las cuentas en el directorio LDAP, además se pueden establecer valores predenidos para
algunos atributos de cuentas y grupos, tanto Posix como Samba. El archivo principal de conguración de las smbldap-tools es: /etc/smbldap-tools/smbldap.conf. Este archivo fue generado
en el cápitulo Configuración de Samba y las herramientas smbldap-tools en la sección Instalación y Configuración de las smbldap-tools.

Para la administración de usuarios, en especico agregar usuarios, usaremos el comando smbldap-useradd. Una lista de las opciones que podemos usar a la hora de crear usuarios se muestran en
la siguiente tabla. Como ya vimos arriba, muchas opciones las podemos predeterminar en el archivo /etc/smbldap-tools/smbldap.conf, algunas cadenas que inician con $ se reeren a
parámetros ó variables denidas en archivo de conguración /etc/smbldap-tools/smbldap.conf.
54 de 115 05/10/2010 06:42 p.m.

Tabla 10.1. Tabla de opciones disponibles para el comando smbldap-useradd
Opción Descripción Ejemplo Valor Predeterminado

-a Crea una cuenta Windows, si no se especifica esta opción el comando smbldap-useradd solo creará una cuenta Unix/POSIX
-w Crea una cuenta de Computadora Windows (Windows Workstation)
Primer ó siguiente UID
-u Establece el valor del User ID (UID) del usuario -u 1003
disponible
Primero ó siguiente GID
-g Estable el valor para el Group ID (GID). Este será el grupo primario del usuario -g 1003
disponible
Agrega la cuenta a uno o más grupos suplementarios (Secundarios), si se van a establecer varios grupos suplementarios, cada
-G -G 512,550
nombre de grupo va seprado por coma.
-d Establece la ruta del directorio $HOME del usuario -d /var/usuario $userHomePrefix/usuario
-s Estable el shell de login para el usuario -s /bin/ksh $userLoginShell
-c "Usuario
-c Establece el campo gecos del la cuenta de usuario, preferiblemente usar -N y -S para asignar Nombre y Apellido $userGecos
Administrador"
-m Crea el directorio $HOME para el nuevo usuario y copia el contenido de /etc/skel dentro del directorio.
-P Al terminar el comando smbldap-useradd, smbldap-passwd es invocado para establecer la contraseña del usuario
-A El usuario puede cambiar su contraseña: 0 = No, 1 = Sí -A 1
-B El usuario debe cambiar su contraseña la primer vez que inicia sesión: 0 = No, 1 = Sí -B 1
-C Establece la ruta para el recurso compartido homes en el servidor Samba, usado por la opción -D -C \\PDC\homes $userSmbHome
NOTA: Si se desea desactivar el mapeo del directorio home en el servidor al usuario, se asigna un valor vacío: -C ""
Estable la letra de la unidad de red con la que se mapeará el $HOME del usuario en el servidor (-C) al usuario cuando inicie
-D -D H: $userHomeDrive
sesión en el dominio. NOTA: Hay que agregar los ":" (dos puntos) al final de la letra.
NOTA: Si no se desea mapear el home del usaurio, debemos de asignar un valor vacío. -D ""
-F \\PDC\profiles
-F Establece la ruta al directorio (el el servidor) del perfil de Windows para uso con perfiles móviles (Roaming Profiles) $userProfile
\usuario
NOTA: Si no se desea activar el uso de roaming profiles para el usuario se debe de asignar un valor vacio. -F ""
-N Establece el nombre canónico del usuario -N Juan
-S Establece el surname (apellido) del usuario -S Perez
Por ejemplo, Agregaremos uno usuario a Usuario Red 1 con el login usuariored1 el cual:
Es un usuario de Windows (-a)
El grupo primario del usuario será el grupo con el GID 512 (Domain Users) (-g)
Tiene un directorio home en /home/usuariored1 (-d)
No tiene un login shell (-s)
La cuenta NO tendrá soporte para perles móviles (roaming proles) (-F "")
Y al nal del comando se preguntará la contraseña del usuario (-P)
El nombre canónico es Juan (-N)
55 de 115 05/10/2010 06:42 p.m.

El apellido es Red 1 (-S)
Lo hacemos con el siguiente comando:
root@ushldap:~# smbldap-useradd -a -g 512 -m -N "Usuario" -S "Red 1" -s /bin/false -d /home/usuariored1 -F "" -P usuariored1
Changing UNIX and samba passwords for usuariored1
New password:CONTRASEÑADEUSUARIORED1
Retype new password:CONTRASEÑADEUSUARIORED1
Ya que algunos atributos ya los predenimos, entonces podemos obviarlos y ejecutar:
root@ushldap:~# smbldap-useradd -a -m -P usuariored1

New password:CONTRASEÑADEUSUARIORED1
Retype new password:CONTRASEÑADEUSUARIORED1
Digamos que para agregar un usuario que solo sera usado para ejecutar comandos administrativos y agregar maquinas al dominio, entonces deberá de pertenecer al grupo Domain Admins:
Ejecutamos:
root@ushldap:~# smbldap-useradd -a -m -G 512 -s /bin/bash -P usuarioadmin

Changing UNIX and samba passwords for usuarioadmin
New password:CONTRASEÑADEUSUARIOADMIN
Retype new password:CONTRASEÑADEUSUARIOADMIN
Nota
Para conocer acerca de las demás opciones del comando smbldap-useradd ver la página del manual del comand smbldap-useradd(8).
Hay opciones como -C, -D, -E y -F que sería mejor desactivarlas de forma global en el archivo /etc/smbldap-tools/smbldap.conf.
Para ver como configurar los privilegios para que usuarioadmin pueda unir maquinas al dominio ver la sección Delegando tareas y privilegios a los miembros del dominio.

Para eliminar una cuenta de usuario, se usa el comando smbldap-userdel. Una lista de opciones disponibles son:
Tabla 10.2. Tabla de opciones disponibles para el comando smbldap-userdel
Opción Descripción
-r Elimina el directorio $HOME del usuario
-R Elimina el directorio $HOME del usuario de forma interactiva
Si deseas eliminar la cuenta usuariored1 del directorio LDAP, y si también deseas eliminar el directorio $HOME, usa el siguiente comando:
root@ushldap:~# smbldap-userdel usuariored1
Aviso
El usar la opción -r es peligroso ya que puede eliminar datos importantes del usaurio, usalo con cuidado.
56 de 115 05/10/2010 06:42 p.m.


Para cambiar la contraseña de un usuario usamos el comando smbldap-passwd como se muestra en el siguiente ejemplo:
root@ushldap:~# smbldap-passwd usuariored1

New password:NUEVACONTRASEÑADEUSUARIORED1
Retype new password:NUEVACONTRASEÑADEUSUARIORED1
Si desea permitir que los usuarios Windows puedan cambiar su contraseña desde el mismo Windows vea la sección Permitiendo que usuarios Windows cambien su contraseña de dominio.

Para modicar una cuenta de usuario, usamos el comando smbldap-usermod. Las opciones disponibles están listadas en la siguiente tabla:
Tabla 10.3. Tabla de opciones disponibles para el comando smbldap-usermod
Opción Descricpción Ejemplo

-c "Usuario
-c Establece el campo gecos del la cuenta de usuario
Administrador"
-d Establece la ruta del directorio $HOME del usuario -d /var/user
-u Estable el valor del User ID (UD) del usuario -u 1003
-g Estable el valor para el Group ID (GID). Este será el grupo primario del usuario -g 1003
Agrega la cuenta a uno o más grupos suplementarios (Secundarios), si se van a establecer varios grupos suplementarios, cada nombre de grupo va seprado por
-G -G 512, 550
coma.
-s Estable el shell de login para el usuario -s /bin/ksh
-N Estable el nombre canónico del usaurio
-S Estable el surname (apellido) del usaurio
-P Al terminar el comando smbldap-useradd, smbldap-passwd es invocado para establecer la contraseña del usuario
Agrega el objectClass sambaSAMAccount a la cuenta, es decir, le agrega los atributos necesarios para que el usuario pueda conectarse a recursos compartidos
-a
en red (SMB/CIFS) y pueda hacer login en el dominio NT/Samba.
-e Establece la fecha de expiración para la contraseña del usuario, (Formato: YYYY-MM-DD HH:MM:SS)
-A El usuario puede cambiar su contraseña: 0 = No, 1 = Sí -A 1
-B El usuario debe cambiar su contraseña la primer vez que inicia sesión: 0 = No, 1 = Sí -B 1
-C Establece la ruta para el recurso compartido homes en el servidor Samba, usado por la opción -D -C \\PDC\homes
NOTA: Se se desea desactivar el mapeo del directorio home en el servidor al usuario, se asigna un valor vacío: -C ""
Estable la letra de la unidad de red con la que se mapeará el $HOME del usuario en el servidor (-C) al usuario cuando inicie sesión en el dominio. NOTA: Hay
-D -D H:
que agregar los ":" (dos puntos) al final de la letra.
NOTA: Si no se desea mapear el home del usaurio, debemos de asignar un valor vacío. -D ""
Nombre del script batch (DOS) para ejecutarse al inicio de sesión del usuario. NOTA: La ruta al logon script debe de ser relativa a la ruta del recurso
-E -E common.bat
[netlogon]
NOTA: Si no se desea ejecutar un logon script para el usuario se debe de especificar un valor vacío. -E ""
-F \\PDC\profiles
-F Establece la ruta al directorio (el el servidor) del perfil de Windows para uso con perfiles móviles (Roaming Profiles)
\usuario
57 de 115 05/10/2010 06:42 p.m.

Opción Descricpción Ejemplo

NOTA: Si no se desea activar el uso de roaming profiles para el usuario se debe de asignar un valor vacio. -F ""
-I Desabilita (desactiva) la cuenta de usuario -I 1
-J Habilita (despues de haber sido desactivada) la cuenta de usaurio -J 1
También puedes usar el comando smbldap-userinfo para actualizar la información del usuario. Este comando también puede ser usado por los usuarios para actualizar su propia información, la
información que pueden cambiar los usaurios esta listada en la siguiente tabla:
Nota
Si se permite que los usuarios modifiquen su propia información, entonces se deberán de configurar los ACL (Listas de Control de Acceso) apropiadamente en el servidor
LDAP.
TODO: POner una nota de que atributos se deben de permitr y alguna otra recomendación.
Tabla 10.4. Tabla de opciones disponibles para el comando smbldap-userinfo
Opción Descipción Ejemplo

-f Estable el nombre completo del usuario -f Mi Nombre con Apellidos
-w Establece el número telefónico del Trabajo -w 55 44 33 22 11
-h Establece el número telefónico de Casa -h 22 11 22 33 44
-s Establee el login shell predeterminado del usuario -s /bin/bash
Hay opciones como -C, -D, -E y -F que sería mejor desactivarlas de forma global en el archivo /etc/smbldap-tools/smbldap.conf.

Para la administración de grupos se usarán diferentes comandos que se explican a continuación.
Agregando Grupos
Para agregar un nuevo grupo usaremos el comando smbldap-groupadd. Una lista de opciones disponibles se encuentran en la siguiente tabla:
Tabla 10.5. Tabla de opciones disponibles para el comando smbldap-groupadd

-a El grupo será automaticamente mapeado a un grupo de Dominio (Windows). El mapeo de GID a SID es automatico.
-g gid Establece el Group ID (GID) del grupo -g 1002
-o El GID del grupo no es único.
-r
Establece el ID Relativo (RID) para el grupo Samba -r 1002
RID-GRUPO
-s -s S-1-5-21-3703471949-
Establece el SID del grupo a SID-GRUPO
SID-GRUPO 3718591838-2324585696-1002
58 de 115 05/10/2010 06:42 p.m.


Establece el tipo de grupo (solo grupos samba), Los valores disponibles son: 2 (domain group), 4 (local group) y 5 (builtin
-t -t 4
group). El tipo de grupo predeterminado es el tipo 2 (grupo de dominio).
-p Imprime el GID a la salida estandar (stdout)
Por ejemplo, si queremos agregar un grupo llamado contabilidad, el cual:
Automaticamente se mapeara a un grupo de Samba (Windows) (-a)
Se le asignará el ID de Grupo (GID) 3000 (-g 3000)
Y le agregaremos el RID 300, al igual que el GID (-r 3000)
Ejecutamos el siguiente comando:
root@ushldap:~# smbldap-groupadd -a -g 3000 -r 3000 contabilidad
Normalmente no es necesario especificar el gid ni el rid manualmente, ya que dejaremos que elija el siguiente disponible, por lo que solamente podemos ejecutar:
root@ushldap:~# smbldap-groupadd -a contabilidad
Para visualizar la información del nuevo grupo podemos usar el comando smbldap-groupshow, por ejemplo:
root@ushldap:~# smbldap-groupshow contabilidad

dn: cn=contabilidad,ou=Groups,dc=midominio,dc=com
objectClass: top,posixGroup,sambaGroupMapping
cn: contabilidad
gidNumber: 1001
sambaSID: S-1-5-21-1482872308-118742792-2317756604-3003
sambaGroupType: 2
displayName: contabilidad
TODO: ????
Eliminando Grupos
Para eliminar grupos, usaremos el comando smbldap-groupdel, por ejemplo, para eliminar el grupo contabilidad usaremos el siguiente comando:
root@ushldap:~# smbldap-groupdel contabilidad
Este comando no requiere de opción alguna.
Para agregar un usuario a un grupo usamos el comando smbldap-groupmod, por ejemplo, queremos agregar el usuario jmedina al grupo recién creado contabilidad, usaremos el comando:
root@ushldap:~# smbldap-groupmod -m jmedina contabilidad

adding user jmedina to group contabilidad
Si queremos agregar más de un usuario a un grupo deberemos de separar cada nombre de usuario por coma, por ejemplo:
Queremos agregar el usuario miguel, carlos y sara al grupo contabilidad
59 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# smbldap-groupmod -m miguel,carlos,sara contabilidad

adding user miguel to group contabilidad
adding user carlos to group contabilidad
adding user sara to group contabilidad
Para eliminar algún usuario mienbro de un grupo usamos el comando:
root@ushldap:~# smbldap-groupmod -x miguel contabilidad

deleting user miguel from group contabilidad
Si queremos eliminar más de un usuario a la vez separamos cada nombre de usuario por coma, como en el siguiente ejemplo:
root@ushldap:~# smbldap-groupmod -x carlos,sara contabilidad

deleting user carlos from group contabilidad
deleting user sara from group contabilidad
Capítulo 11. Tareas de Mantenimiento de OpenLDAP y Samba

Tabla de contenidos

En esta sección se describen algunas de las tareas de mantenimiento básicas para el servidor OpenLDAP y Samba.

En OpenLDAP el DN definido en la directiva rootdn del archivo slapd.conf(5) no es sujeto a las restricciones impuestas por las ACLs, ya que esta es una cuenta privilegiada se recomienda que
se asigne una contraseña fuerte y que dicha cuenta solo se use para tareas que requieran privilegios elevados.
En nuestro ejemplo en el archivo slapd.conf(5) tenemos nuestra definición de base de datos tenemos las siguientes directivas:
rootdn cn=Manager,dc=example,dc=com
rootpw secret
En este ejemplo la contraseña del rootdn esta en texto plano, para cambiarla y protegerla usando un hash criptográfico siga los siguientes pasos:
1. Genere el hash de la contraseña usando slappasswd:
# slappasswd
New password:
Re-enter new password:
{SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6
60 de 115 05/10/2010 06:42 p.m.

Nota
El hash predefinido es SSHA, si desea cambiar el tipo de hash use la opción -h para definir un hash diferente, por ejemplo: -h {CRYPT}, para más información vea la
pagina del manual de slappasswd(8).
2. Copie el HASH {SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6 y cambielo en el valor rootpw del archivo slapd.conf(5), por ejemplo:
...
rootdn cn=Manager,dc=example,dc=com
rootpw {SSHA}VanYekdrphCkbjDffLCXbBsxsg3QJBI6
Importante
Asegurese de que el archivo slapd.conf(5) tenga los permisos adecuados, por ejemplo en Debian/Ubuntu se recomiendan los permisos: root:openldap / 640.
Para que el cambio tome efecto reinicie el servicio LDAP:
# /etc/init.d/slapd restart
Tambien puede mantener la contraseña del rootdn fuera del archivo slapd.conf(5), es decir, puede eliminar la directiva rootpw del archivo slapd.conf(5) y agregar una entrada para el DN en el
directorio LDAP.
Los beneficios que obtenemos al mantener la entrada el rootdn en el directorio son:
Puede actualizar la contraseña de forma dinamica sin reiniciar el servicio usando una operación de modificación desde cualquier cliente LDAP.
Si olvida la contraseña siempre puede realizar la configuración manual usando slappasswd(8) y slapd.conf(5).
Para mantener la entrada del RootDN en el directorio LDAP siga este procedimiento:
1. Cree una entrada en el directorio usando el archivo LDIF:
dn: cn=Manager,dc=example,dc=com
cn: Manager
sn: Manager
objectClass: person
objectClass: top
userPassword: {SSHA}someSSHAdata
2. Agrega el LDIF usando ldapadd:
# ldapadd -v -x -D "cn=Manager,dc=example,dc=com" -W -h localhost -f rootdn.ldif
Se recomienda que no use la cuenta cn=Manager,dc=example,dc=com en sus tareas de administración de rutina, en su lugar se recomienda que cree una cuenta privilegiada para tales propositos,
por ejemplo en Debian/Ubuntu se usa el DN de la cuenta cn=admin,dc=example,dc=com la cual ya tiene los ACLs predefinidos para que tenga permisos completos sobre la base de datos
predefinida.
Referencias adicionales:
man slapd.conf(5)
man slapd(8)
61 de 115 05/10/2010 06:42 p.m.

man slappasswd(8)
man slapadd(8)
OpenLDAP Software 2.4 Administrator’s Guide - Directory Backups

Cuando usa OpenLDAP con backends basados en Berkeley DB por ejemplo el backend tipo hdb debe de tener indexados los atributos más utilizados en las consultas LDAP y así incrementar el
rendimiento en las consultas desde las aplicaciones y clientes LDAP, un ejemplo de un atributo no indexado lo podemos ver en los logs de OpenLDAP:
slapd[4164]: <= bdb_equality_candidates: (uniqueMember) not indexed
El mensaje anterior nos muestra que se estan haciendo consultas para el atributo uniqueMember y no esta indexado lo cual se puede reflejar en bajo rendimiento del servicio LDAP.
Para agregar uno o más atributos a la lista de indices para una base de datos en OpenLDAP debe de seguir el siguiente procedimiento:
1. Agregar definición de indice para los atributos deseados al archivo de configuración del servicio OpenLDAP:
# vim /etc/ldap/slapd.conf
Nota
Estas tareas se realizan sobre distribuciones basadas en Debian como Unbuntu.
Bajo la definición de la base de datos en cuestion agregue los indices:
index memberUid,uniqueMember eq
En este caso agregamos los atributos memberUid y uniqueMember de tipo Equality.
Si solo reinicia el servicio slapd solo se indexarán los atributos para las nuevas entradas, para que los atributos existentes también sean indexados debe detener el servicio slapd y ejecutar el
programa slapindex
2. Detener servicio slapd:
# invoke-rc.d slapd stop
3. Indexar los atributos memberUid y uniqueMember:
# slapindex -v memberUid uniqueMember
4. Re establecer permisos para archivos de bases de datos de slapd:
# chown -R openldap:openldap /var/lib/ldap
5. Ahora ya puede iniciar el servicio slapd con todos los atributos indexados.
# invoke-rc.d slapd stop
62 de 115 05/10/2010 06:42 p.m.

slapindex(8)
FAQ de OpenLDAP sobre Performance Tunning

Se recomienda respaldar los directorios de configuraciones tanto de Samba, OpenLDAP, smbldap-tools, NSS LDAP y PAM.
En la siguiente tabla se muestra una lista:
Tabla 11.1. Directorios de configuración a respaldar
Servicio Archivos y Directorios

OpenLDAP /etc/ldap/, /etc/default/slapd
Samba /etc/samba
smbldap-tools /etc/smbldap-tools/
libnss-ldap /etc/ldap.conf, /etc/ldap.secret, /etc/nsswitch.conf
PAM /etc/pam.d
Incluya los archivos y directorios mencionados en la tabla de arriba en su sistema de respaldos.

En esta sección explicaré como crear una copia de seguridad de una base de datos en un servidor OpenLDAP, generaremos respaldos en frio y en caliente, los respaldos serán generados en
formato LDIF. Suponiendo que en el archivo slapd.conf(5) tenemos una definición de base de datos así:
# Specific Backend Directives for hdb:

backend hdb
# Specific Directives for database #1, of type hdb:
database hdb
# The base of your directory in database #1
suffix "dc=example,dc=com"
# Where the database file are physically stored for database #1
directory "/var/lib/ldap"
El programa slapcat(8) lee la información de la base de datos en orden secuencial y genera la salida correspondiente en formato LDIF incluyendo atributos de usuario y operacionales, el
programa slapcat solo respaldara las entradas que se leyeron en el momento de la ejecución, si en el momento de que slapcat esta ejecutandose se realiza una operación de escritura sobre alguna
entrada dicho cambio no será incluido en el respaldo.
En OpenLDAP las bases de datos de tipo hdb y bdb pueden ser respaldadas mientras el servicio slapd(8) esta en ejecución usando el programa slapcat, a este tipo de respaldo se le llama en
caliente.
Si no esta seguro de que no habrá modificacioens en los datos de las bases de datos de OpenLDAP y no sabe si dichos cambios puedan afectar las aplicaciones o clientes LDAP se recomienda que
detenga el servicio slapd antes de generar el respaldo con slapcat, a este tipo de respaldo se le llama en frio.
Para crear un respaldo en frio de una base de datos de OpenLDAP siga el siguiente procedimiento:
1. Detener el servicio slapd:
63 de 115 05/10/2010 06:42 p.m.

# /etc/init.d/slapd stop
2. Respaldar la base de datos usando el programa slapcat:
# slapcat -b dc=example,dc=com -l respaldo-dc=example,dc=com-`date +%d-%b-%Y`.ldif
El comando slapcat generará un respaldo de la base de datos dc=example,dc=com definida por el parametro -b en el archivo respaldo-dc=example,dc=com-`date +%d-%b-%Y`.ldif
definido por el parametro -l.
Para crear un respaldo en caliente de una base de datos de OpenLDAP solo ejecute el comando slapcat como en el paso dos del ejemplo anterior.
Se recomienda que el archivo del respaldo sea movido a un lugar fuera del servidor.
Para restaurar la base de datos a partir del archivo LDIF generado por slapcat siga el siguiente procedimiento:
1. Apagar el servicio slapd:
# /etc/init.d/slapd stop
2. Limpiar el directorio de base de datos de slapd:
# (cd /var/lib/ldap/; rm -fv alock __db.* *.bdb log.*)
3. Restaurar directorio a partir del archivo LDIF:
# slapadd -v -b dc=example,dc=com -l respaldo-dc=example,dc=com-`date +%d-%b-%Y`.ldif
4. Opcionalmente Re indexe todos los atributos:
# slapindex -v
5. Re establecer permisos al directorio de datos:
# chown -R openldap:openldap /var/lib/ldap
6. Iniciar el servicio slapd:
# /etc/init.d/slapd start
Y listo, puede usar el comando slapcat para verificar los datos, y no olvide verificar sus aplicaciones cliente.
El formato LDIF
man slapd.conf(5)
man slapd(8)
man slapcat(8)
man slapadd(8)
OpenLDAP Software 2.4 Administrator’s Guide - Directory Backups
64 de 115 05/10/2010 06:42 p.m.


Respaldar los archivos en el directorio /etc/samba/ y /var/lib/samba/
TODO: Meter ejemplo real: detener samba, crear directorio de respaldos mkdir -p /var/backups/samba/, cp -va /var/lib/samba/* /var/backups/samba/var/lib/samba/, cp -va /etc/samba/*
/var/backups/samba/etc/samba/

Es prudente almacenar el SID de la maquina y/o dominio en un archivo por seguridad, Porque? Porque un cambio en el nombre de la maquina (hostname) o en el nombre de dominio (workgroup)
puede resultar en un cambio en el SID. Así, cuando tienes el SID a la mano, es simple restaurarlo. La alternativa sería sufrir el dolor de tener que recuperar los perfiles de los usuarios de escritorio
y quizas re-unir todos las maquinas miembras del dominio.
Primero, no olvides almacenar el SID local a un archivo. Es una buena idaa ponerlo en el directorio en el que el archivo smb.conf esta almacenado, un ejemplo simple seria:
root@ushldap:~# net getlocalsid > /etc/samba/MIDOMINIO-SID
Para restaurar el SID usamos el comando:
root@ushldap:~# net setlocalsid S-1-5-21-1482872308-118742792-2317756604
Capítulo 12. Integrando Clientes Windows al Dominio Samba

Tabla de contenidos

Para que un equipo con el sistema operativo Windows pueda participar en un dominio de red, sea Samba o NT, el eupo debe de unirse al dominio, el proceso para unir un equipo Windows a un
Dominio Samba/NT se detalla en los siguientes pasos:
Configurar los parámetros de red
Configuración del nombre de equipo
Unir el equipo al Dominio
En la siguientes secciones se detallarán los pasos antes mencionados.
65 de 115 05/10/2010 06:42 p.m.


Para que un equipo Windows pueda ser unido al dominio es necesario que cumpla con los siguientes requerimientos
Debe de ser un sistema operativo Windows XP Profesional, los equipos con Windows Home Edition no pueden participar por completo en un Dominio de Red por lo tanto no se podrá
utilizar el siguiente procedimiento.
Debe de tener una interfaz de red funcional y tener conectividad con el servidor de PDC.
Se debe de tener una cuenta de usuario con privilegios administrativos en el equipo local, por ejemplo, la cuenta Administrador.

En esta sección se describe como verificar que los parámetros de red en nuestro equipo Windows estén correctamente configurados.
Antes de unir un equipo Windows al dominio, verificaremos que los parámetros de red estén correctamente configurados.
Es importante que el equipo tenga los siguientes parámetros de red configurados:
Dirección IP: Una dirección IP disponible en el segmento 192.168.1.0/24
Servidor DNS: 192.168.1.1
Servidor WINS: 192.168.1.10
Soporte NetBIOS sobre TCP/IP: El equipo deberá de tener el soporte de NetBIOS sobre TCP/IP Activado.
Para verificar o cambiar estos parámetros ir a Panel de Control=>Conexiones de Red e Internet=>Conexiones de Red.
Dar click derecho al icono de Conexión de área local, seleccionar el elemento Protocolo Internet (TCP/IP) y dar click en el botón Propiedades
Dentro del cuadro de dialogo Propiedades de Protocolo Internet (TCP/IP) dar click en el botón de Opciones Avanzadas
Figura 12.1. Propiedades de Protocolo Internet (TCP/IP) General
66 de 115 05/10/2010 06:42 p.m.

En el cuadro de dialogo Configuración avanzada de TCP/IP después damos click en la pestaña de nombre WINS
En esta pestaña vamos a agregar la dirección IP de nuestro servidor WINS (NetBIOS Name Server ó NBNS), para agregar el servidor WINS damos click en el botón Agregar como se muestra en
la imagen de abajo.
Figura 12.2. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS
67 de 115 05/10/2010 06:42 p.m.

Agregamos la dirección IP de nuestro servidor Samba WINS como se muestra en la imagen de abajo
Figura 12.3. Propiedades de Protocolo Internet (TCP/IP) Configuraciones WINS - Agregar
68 de 115 05/10/2010 06:42 p.m.

Después de agregar la dirección IP del servidor WINS damos click en el botón Agregar y el servidor WINS aparecerá en la lista.
Nota
Podemos agregar más de un servidor WINS, el sistema los evaluará en el orden en que aparecen.
Para terminar nuestras configuraciones damos click en el botón Aceptar para regresarnos al cuadro de dialogo de configuraciones avanzadas, estando en el cuadro de dialogo de Propiedades de
Protocolo Internet (TCP/IP) General damos click en el botón Aceptar y por ultimo damos click en el botón Cerrar para que nuestros cambios tomen efecto.
Solo para confirmar que la configuración si hay tomado efecto damos doble click sobre el icono de Conexión de área local.
Después damos click en la pestaña Soporte.
69 de 115 05/10/2010 06:42 p.m.

Ahí nos muestra una parte de la configuración de red. damos click en el botón Detalles... para ver la información completa de la configuración de red.
Figura 12.4. Viendo los detalles de la conexión de red
Si después de verificar los detalles de los parámetros de red todo esta bien, entonces podemos continuar con el paso de configuración del nombre de equipo.

Verificación de nombre de equipo y grupo de trabajo.
Esta es una computadora recién instalada y en el proceso de instalación se le asigno el nombre de equipo: jamdvwxpp
Para verificar el nombre de nuestro equipo vamos al Panel de Control=>Rendimiento y mantenimiento=>Sistema
Estando en el cuadro de dialogo Propiedades del sistema vamos a la pestaña de Nombre de equipo donde veremos algo aśi:
Figura 12.5. Propiedades del sistema, Nombre de Equipo
70 de 115 05/10/2010 06:42 p.m.

Si se desea cambiar el nombre del equipo (recordar que este nombre será como nos verán en la red), podemos dar click en el botón Cambiar... y nos aparecerá una ventana como la siguiente.
Figura 12.6. Propiedades del sistema, Cambios en el nombre de equipo
71 de 115 05/10/2010 06:42 p.m.

Se cambia el nombre donde dice Nombre de equipo: y se da click en Aceptar.
El nombre de Grupo de trabajo ó Dominio no es necesario cambiarlo en este paso ya que puede ser cambiado en el proceso de unir la maquina al dominio.

Para unir el equipo al dominio podemos usar el Asistente para identificación de red el cual nos llevará paso a paso en el proceso para que el equipo sea un miembro del dominio de red
Samba/NT.
Lanzamos el asistente de identificación de red dando click en el botón Id. de red.
Figura 12.7. Usando el Asistente de Identificación de red
72 de 115 05/10/2010 06:42 p.m.

La primer pantalla nos da la bienvenida al asistente para conectar el equipo a una red.
Figura 12.8. Asistente de identificación de red, paso 1
73 de 115 05/10/2010 06:42 p.m.

Para continuar con el asistente damos click en el botón Siguiente >
El siguiente paso nos pregunta que tipo de equipo tenemos, en nuestro caso seleccionamos la opción que dice: El equipo forma parte de una red organizativa y lo utilizo para conectarme a
otros equipos en el trabajo y damos en el botón Siguiente > para continuar.
74 de 115 05/10/2010 06:42 p.m.

En el siguiente paso nos pregunta el tipo de red de nuestra organización, elegimos la opción: Mi compañia utiliza una red con dominio y damos click en el botón Siguiente >.
75 de 115 05/10/2010 06:42 p.m.

En el siguiente paso del asistente nos da un da un resumen de la información de red que necesitamos para unir este equipo al dominio
76 de 115 05/10/2010 06:42 p.m.

A continuación se muestra la información requerida junto con la información correspondiente a nuestro dominio:
Nombre de usuario: usuariored1
Contraseña de usuario: CONTRASEÑADEUSUARIORED1
Cuenta de usuario del dominio: usuariored1
Es posible que también necesite:
Nombre del equipo: jamdvwxpp
Dominio del equipo: MIDOMINIO
Además necesitaremos la contraseña del usuario root del dominio, esta cuenta será necesaria para poder unir la maquina al dominio y crear la cuenta de computadora correspondiente a
jamdvwxpp. Configuramos esta información como se muestra en la siguiente imagen:
77 de 115 05/10/2010 06:42 p.m.

Después de ingresar la información damos click en el botón Siguiente >.
Al dar click en Siguiente el asistente tratará de encontrar una cuenta de equipo de nombre jamdvwxpp en el dominio MIDOMINIO, si no la encuentra nos mostrará un cuadro como el siguiente,
donde nos avisa que no encontró la cuenta de equipo en el dominio, nos pide escribir nuevamente el nombre de equipo y el dominio.
78 de 115 05/10/2010 06:42 p.m.

Damos click en el botón Siguiente >, ya que la cuenta de equipo no se encontró en el dominio MIDOMINIO, necesitaremos usar una cuenta con privilegios administrativos de dominio y su
contraseña para que por medio del asistente de identificación de red se cree la cuenta de equipo jamdvwxpp en el dominio MIDOMINIO.
79 de 115 05/10/2010 06:42 p.m.

Ya que no tenemos cuentas con privilegios administrativos de dominio, usaremos la cuenta de root que se creo con smbldap-populate, ingresamos su contraseña y el nombre de dominio
MIDOMINIO como se muestra en la imagen de arriba, después damos click en el botón Aceptar para continuar.
Si las credenciales que presentamos fueron correctas, en la siguiente ventana, nos dirá que podemos agregar un usuario al equipo, cuando se agrega un usuario a este equipo se le concede acceso a
todos los recursos del equipo y a todos los recursos compartidos en la red.
80 de 115 05/10/2010 06:42 p.m.

Usaremos el nombre de usuario: usuariored1 y el nombre de dominio: MIDOMINIO, como se muestra en la imagen de arriba y damos click en el botón Siguiente > para continuar.
En la siguiente ventana nos solicita asignar un nivel de acceso que el usuario usuariored1 tendrá sobre el equipo JAMDVWXPP, por defecto esta seleccionado el nivel de acceso: Usuario
estándar.
81 de 115 05/10/2010 06:42 p.m.

El nivel de acceso Usuario estándar permite que los usuarios pueden cambiar muchas configuraciones del sistema e instalar programas que no afecten a los archivos del sistema de Windows.
Digamos que este es el nivel intermedio.
El nivel de acceso Usuario restringido permite que los usuarios pueden utilizar el equipo y guardar documentos, pero no pueden instalar programas o cambiar la configuración del sistema.
En Otros: podemos elegir otros niveles de acceso, por ejemplo, podemos dar acceso de Administrador al usuario, esto quiere decir que el usuario usuariored1 tendrá todos los privilegios sobre el
equipo JAMDVWXPP, lo cual significa que puede cambiar configuraciones, puede instalar y desinstalar programas que afecten el sistema, es decir, puede hacer lo que le de la gana sobre el
equipo, incluso formatear :D.
Por ahora seleccionamos el nivel de acceso Usuario estándar y damos click en el botón Siguiente > para finalizar.
Figura 12.17. Asistente de identificación de red, Ultimo Paso
82 de 115 05/10/2010 06:42 p.m.

El último paso nos dice que ya hemos completado con éxito el asistente para identificación de red, y nos solicita re iniciar el equipo para que los cambios tengan efecto. Damos click en el botón
Finalizar.
Figura 12.18. Asistente de identificación de red, Re iniciar el equipo
83 de 115 05/10/2010 06:42 p.m.

Damos click en el botón Aceptar y nos lleva a la siguiente imagen:
Figura 12.19. Asistente de identificación de red, Alerta de re iniciar el equipo
84 de 115 05/10/2010 06:42 p.m.

Para que los cambios que hicimos en el asistente de identificación de red tenga efecto es necesario re iniciar el equipo, damos click en el botón Aceptar para terminar y re iniciar.

Despues de reiniciar el equipo nos cambiará la ventana de inicio de sesión a como se muestra a continuación.
Figura 12.20. Inicio de sesión de Windows - Pantalla inicial
85 de 115 05/10/2010 06:42 p.m.

Para poder iniciar sesión presionamos la combinación de teclas Ctrl+Alt+Supr y nos mostrará una ventana como la siguiente:
Figura 12.21. Inicio de sesión de Windows - Pantalla predeterminada de login
86 de 115 05/10/2010 06:42 p.m.

Si queremos ver en que equipo o dominio queremos iniciar sesión podemos dar click en el botón "Opciones" y nos mostrará algo así:
Figura 12.22. Inicio de sesión de Windows - Pantalla con opciones activa
87 de 115 05/10/2010 06:42 p.m.

Nota
Si queremos conectarnos al equipo local, damos click en el menú desplegable de Conectarse a: y elegimos: JAMDVWXPP (este equipo).
Después de iniciar sesión en el dominio el menú de inicio se verá así:
Figura 12.23. Inicio de sesión - Menú inicio
88 de 115 05/10/2010 06:42 p.m.


asdfasfd
En el lado del servidor se creo una cuenta de equipo llamada jamdvwxpp$, la podemos ver con el comando pdbedit, por ejemplo:
root@ushldap:~# pdbedit -L
root:0:root
nobody:65534:nobody
miguel:1009:miguel
carlos:1010:carlos
sara:1011:sara
usuariored1:1014:usuariored1
usuarioadmin:1015:usuarioadmin
jamdvwxpp$:1016:JAMDVWXPP$
Si queremos ver queremos ver la información completa de la cuenta de equipo jamdvwxpp$, usamos el siguiente comando:
root@ushldap:~# pdbedit -Lv JAMDVWXPP$

Unix username: jamdvwxpp$
89 de 115 05/10/2010 06:42 p.m.

NT username: jamdvwxpp$
Account Flags: [W ]
User SID: S-1-5-21-1482872308-118742792-2317756604-1001
Primary Group SID: S-1-5-21-1482872308-118742792-2317756604-515
Full Name: JAMDVWXPP$
Home Directory:
HomeDir Drive:
Logon Script:
Profile Path:
Domain: MIDOMINIO
Account desc: Computer
Workstations:
Munged dial:
Logon time: 0
Logoff time: never
Kickoff time: never
Password last set: 0
Password can change: 0
Password must change: 0
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
TODO: METER NOTAS DE COMO VER LOS EQUIPOS DE RED DEL DOMINIO
Cuando un usuario de dominio inicia sesión en el Dominio, automáticamente se le mapeara el recurso compartido de su home a la unidad H.
Nota
Este comportamiento se especifico globalmente en el archivo /etc/smbldap-tools/smbldap.conf y puede ser cambiado por usuario con el comando smbldap-usermod
usando la opción -D ó --sambaHomeDrive .
Figura 12.24. Mapeo de $HOME en Servidor al unidad H: Local
90 de 115 05/10/2010 06:42 p.m.

El usuario puede usar la unidad H para almacenar documentos personales y estos serán almacenados en su directorio $HOME (/home/usuariored1) en el servidor.
En esta sección se explicará como un usuario de dominio puede compartir una carpeta en su equipo local a ciertos miembros y grupos del dominio, la carpeta compartida tendrá las siguientes
caracteristicas:
La carpeta C:\ParaGrupoContabilidad será compartida
El grupo de dominio contabilidad tendrá acceso total
El usuario de dominio directora tendrá acceso total
El usuario de dominio asistentefinanzas tendrá acceso de solo lectura
Creamos la carpeta ParaGrupoContabilidad en el disco C:\, abajo se ve un ejemplo:
Figura 12.25. Listado Carpeta a compartir
91 de 115 05/10/2010 06:42 p.m.

Despues damos clic con el botón derecho sobre la carpeta y damos clic en Compartir y seguridad..., esto nos llevará al menú para configurar los parametros para compartir la carpeta, así como
los permisos que tendrán los usuarios y grupos de red.
Configuraremos el nombre de la carpeta y opcionalmente un comentario, como se muestra en la imagen de abajo.
Figura 12.26. Parametros de carpeta compartida
92 de 115 05/10/2010 06:42 p.m.

Ahora veremos como configurar los controles de acceso que definimos arriba.
Damos clic en el botón Permisos, nos aparecerá el siguiene cuadro de dialogo:
Figura 12.27. Permisos de carpeta compartida
93 de 115 05/10/2010 06:42 p.m.

Primero agregaremos el grupo contabilidad, el usuario directora y el usuario asistentefinanzas, adelante veremos como asignar lsos permisos a cada uno.
Nota
Los nombres de usuarios y grupos de dominio se deben de escribir usando la siguiente notación:
Nombre de grupo: MIDOMINIO\contabilidad
Nombre de usuario: MIDOMINIO\directora
Damos clic en el botón Agregar.... Y en el recuadro que dice: Escriba los nombres de objecto que desea seleccionar cada uno de los objectos va separado por un punto y coma ;, como se
muestra en la imagen de abajo:
Figura 12.28. Seleccionar Usuarios o Grupos
94 de 115 05/10/2010 06:42 p.m.

Despues damos clic en Aceptar y nos regresa a la venana anterior con los usuarios y gruipos en la lista, como se muestra en la siguiente imagen:
Figura 12.29. Permisos por usuario y gruipo
95 de 115 05/10/2010 06:42 p.m.

Ahora que ya estan los usuarios y grupos en la lista, seleccionaremos cada uno para asignarle sus permisos.
Asignaremos los permisos de la siguiente forma:
1. Eliminar el grupo Todos ya que solo se da acceso a algunos miembros del dominio
2. Seleccionar contabilidad (MIDOMINIO\contabilidad) y en el recuadro de abajo seleccionar Control Total
Figura 12.30. Permisos para grupo MIDOMINIO\contabilidad
96 de 115 05/10/2010 06:42 p.m.

3. Seleccionar directora (MIDOMINIO\directora) y verifique que solo tiene permisos de Leer.
Figura 12.31. Permisos para MIDOMINIO\directora
97 de 115 05/10/2010 06:42 p.m.

4. Seleccionar asistentefinanzas (MIDOMINIO\asistentefinanzas) y verifique que solo tiene permisos de Leer tal y como se hizo con MIDOMINIO\directora.
5. Para terminar de clic en Aceptar y otra vez en Aceptar para que los cambios tomen efecto.
Puede probar directamente desde otra maquina windows en la que hay iniciado sesión algún usuario miembro del grupo contabilidad o también puede hacerlo desde un equpo windows usando el
comando smbclient.
elconta@ushldap:~$ smbclient //jamdvwxpp/contabilidad

Password:
Domain=[MIDOMINIO] OS=[Windows 5.1] Server=[Windows 2000 LAN Manager]
smb: \> mkdir DirElconta
smb: \> ls
. D 0 Sun Jan 18 21:42:11 2009
.. D 0 Sun Jan 18 21:42:11 2009
DirElconta D 0 Sun Jan 18 21:42:11 2009
49073 blocks of size 131072. 34249 blocks available

smb: \>
Como podemos ver nos permitio el acceso y además nos permitio crear un directorio lo cual significa que el permiso de Control Total si funciona.
Capítulo 13. Integrando Clientes Linux/Unix al Dominio Samba

Tabla de contenidos
98 de 115 05/10/2010 06:42 p.m.



Explicar como unir un cliente unix/linux a nuestro dominio.
Tenemos un cliente Linux que tiene su autenticación independiente usando los archivo /etc/passwd, /etc/shadow y /etc/group principalmente
queremos unir este equipo al dominio, es decir, el equipo será un miembro del dominio, y podrá participar en la autenticación centralizada y comunicarse con los otros hosts, sean servidores linux
o windows.
Configurando la resolución de Identidades con NSS_LDAP
Esta máquina se llama LNXDSKT01
Tiene la dirección IP: 192.168.1.81
Configuración de la autenticación de usuarios y grupos UNIX vía PAM_LDAP
VER CAPITULO Configuración de la resolución de Identidades con NSS_LDAP

nstalar el paquete
root@lnxdskt01:~# apt-get install libnss-ldap

Para la resolución de cuentas de usuario y grupos Unix mediante LDAP usaremos el paquete libnss-ldap, la configuración es similar al servidor, solo cambiará la dirección IP del servidor LDAP.
Configuramos el archivo /etc/ldap.conf para libnss-ldap:
# Config file for libnss-ldap and libpam-ldap
uri ldap://192.168.1.10/
ldap_version 3
99 de 115 05/10/2010 06:42 p.m.

scope sub
base dc=midominio,dc=com
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberuid
pam_password exop
nss_base_passwd ou=Users,dc=midominio,dc=com
nss_base_passwd ou=Computers,dc=midominio,dc=com
nss_base_shadow ou=Users,dc=midominio,dc=com
nss_base_group ou=Groups,dc=midominio,dc=com
#bind_policy soft
#nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,sync,sys,syslog,uucp,www-data
#nss_initgroups_ignoreusers backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,news,openldap,proxy,root,sshd,sync,sys,syslog,uucp,www-data
Cambiamos el archivo de configuración /etc/nsswitch.conf para que utilize la fuente LDAP que recien configuramos:
passwd: compat ldap

group: compat ldap
shadow: compat ldap
hosts: wins files mdns4_minimal [NOTFOUND=return] dns mdns4
Probando la resolución de usuarios vía archivos y LDAP:
root@jmlap:~# getent passwd | grep root

root:x:0:0:root:/root:/bin/bash
root:x:0:0:Netbios Domain Administrator:/home/root:/bin/false
Tambíen podemos probar la resolución para grupos:
root@jmlap:~# getent group | grep -E 'root|Domain'

root:x:0:jmedina
Domain Admins:*:512:root
Domain Users:*:513:
Domain Guests:*:514:
Domain Computers:*:515:
Si despues de hacer las pruebas anteriores obtienes los mismos resultados significa que la resolución de cuentas de usuario y grupo mediante LDAP esta funcionando correctamente en el sistema.
El siguiente paso es la configuración de la autorización mediante PAM y las bibliotecas PAM-LDAP.
apt-get install libpam-ldap libpam-cracklib
Antes de iniciar con los cambios en la configuración de los modulos de autenticación PAM, haremos un respaldo del directorio /etc/pam.d/
Todas las configuraciones de PAM estan en el directorio /etc/pam.d/, respaldaremos todo el directorio
root@ushldap:~# cd /etc/
Nuestro respaldo tendrá el sufijo .FILES para indicar que son las configuraciones que usan los archivos /etc/passwd, /etc/group y /etc/shadow.
100 de 115 05/10/2010 06:42 p.m.

root@ushldap:~# cp -va pam.d pam.d.FILES
Configurar los archivos de acuerdo a:
root@ushldap:~# cat /etc/pam.d/common-auth

config de
root@ushldap:~# cat /etc/pam.d/common-account

account required pam_unix.so
account sufficient pam_ldap.so
azdfasf
Connfigurando la Autorización (Authz) con PAM LDAP:
root@ushldap:~# cat /etc/pam.d/common-session

root@ushldap:~# cat /etc/pam.d/common-password

password required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok use_authtok md5 shadow
password sufficient pam_ldap.so use_authtok
password required pam_deny.so

Ahora configuraremos la Autorización de cuentas de usuarios y grupos LDAP mediante los modulos de autenticación PAM. Para más detalles acerca de la configuración de PAM y LDAP en el
cliente Linux seguir los pasos descritos en la sección "Configurando los modulos de autenticación de PAM"
Ahora mostraremos solo los archivos que se modifican.

Instalar samba smbclient
101 de 115 05/10/2010 06:42 p.m.

root@jmlap:~# apt-get install samba smbclient
Ahora creamos el archivo de configuración con el siguiente contenido:
#
# Archivo de configuración para desktop miembro de dominio
#
[global]
workgroup = MIDOMINIO
netbios name = jmlap
server string = jmlap en MIDOMINIO
security = DOMAIN
username map = /etc/samba/smbusers
#========== Configuraciones de Red ===========================
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

interfaces = ath0 lo
bind interfaces only = Yes
smb ports = 139 445
hosts allow = 192.168.1. 127.

hosts deny = 0.0.0.0
remote announce = 192.168.1.255

wins server = 192.168.1.10
name resolve order = wins hosts lmhosts bcast
#========= Opciones para registro de eventos (Logging)======
log level = 1
syslog = 0
log file = /var/log/samba/%m.log
max log size = 50
utmp = Yes
#========= Opciones para la codificación ===================
Dos charset = 850

Unix charset = ISO8859-1
display charset = ISO8859-1
#========= Configuraciones para LDAP =======================
passdb backend = ldapsam:ldap://192.168.1.10/

ldap admin dn = cn=admin,dc=midominio,dc=com
ldap suffix = dc=midominio,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
idmap backend = ldap:ldap://192.168.1.10/
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind trusted domains only = Yes
Guardamos el archivo y el siguiente paso es agregar la contraseña del admin ldap:
root@jmlap:~# smbpasswd -W
Setting stored password for "cn=admin,dc=midominio,dc=com" in secrets.tdb
102 de 115 05/10/2010 06:42 p.m.

New SMB password:ldapadmin

Retype new SMB password:ldapadmin
Reiniciamos samba para que los cambios tomen efecto:
root@jmlap:~# /etc/init.d/samba restart

Ahora verificamos que samba pueda leer las cuentas de dominio:
root@jmlap:~# pdbedit -L
root:0:root
nobody:65534:nobody
elconta:1000:Nombre Contador
asistenteconta:1001:asistenteconta
directora:1002:directora
jamdvwxpp$:1003:JAMDVWXPP$
asistentefinanzas:1004:asistentefinanzas
Solo como ultima medida verificamos que los UID de samba corresponden a los devueltos por nss-ldap:
root@jmlap:~# id asistentefinanzas
uid=1004(asistentefinanzas) gid=1004(finanzas) groups=1004(finanzas)
root@jmlap:~# id elconta
uid=1000(elconta) gid=1000(contabilidad) groups=1000(contabilidad)
Ahora unimos el equipo samba al dominio con el siguiente comando:
root@jmlap:~# net rpc join -U root

Joined domain MIDOMINIO.
Podemos utilizar el mismo comando net para obtener infomación del dominio al que nos unimos:
root@jmlap:~# net rpc info -U Administrator

Password:
Domain Name: MIDOMINIO
Domain SID: S-1-5-21-2911508632-2405292923-4115677068
Sequence number: 1232322213
Num users: 6
Num domain groups: 7
Num local groups: 0

En esta sección veremos como configurar el montaje automático de recurso compartidos en red, como los del servidor samba mediante CIFS.
Con pam_mount podremos bla bla bla bla.
Para poder automontar volumens samba primero instalaremos el paquete pam_mount y despues crearemos una configuración para montar el volumen.
Instalando el paquete pam_mount:
103 de 115 05/10/2010 06:42 p.m.

$ sudo apt-get install pam_mount
Agregar al archivo de configuración /etc/security/pam_mount.conf.xml las siguientes lineas:
<volume user="jmedina" fstype="cifs" server="truzka" path="jmedina"

mountpoint="/home/jmedina/truzka" options="serverino,iocharset=utf8"/>
Configuraciones de Samba para pam_mount
Agregar a /etc/pam.d/common-session:
Al final:
session optional pam_mount.so
Por ejemplo:

session optional pam_mount.so
Agregar a /etc/pam.d/common-auth:
auth optional pam_mount.so use_first_pass
Por ejemplo:

auth optional pam_mount.so use_first_pass
Con esto, al hacer login gráfico co KDE automaticamente pasará la contraseña al modulo pam_mount y montará el volumen.
podemos ver que el directorio si se haya montado.
//truzka/jmedina on /home/jmedina/truzka type cifs (rw,mand)
No es necesario crear el directorio del punto de montaje manualmente, ya que la configuración de pam_mount creará el directorio automáticamente si no existe. El parametro de configuración
para la creación automática de directorios de puntos de montaje es mkmountpoint y esta activada por default en el archivo de conifguración instalado por default en Ubuntu, podemos ver un
ejemplo de la configuración de mkmountpoint en /etc/security/pam_mount.conf.xml:

<mkmountpoint enable="1" remove="true" />
Si no esta activado en su sistema cambie enable="0" por enable="1", note que también puede configurar si usted desea que el directorio del punto de montaje sea eliminado automáticamente al
cerrar la sesión.
104 de 115 05/10/2010 06:42 p.m.

==Permitiendo hacer login cuando no hay red o el servidor LDAP esta fuera de linea==
Un problema muy frecuente es que los usuarios no pueden hacer login en su equipo local ya que no tiene red o el servidor LDAP esta fuera de linea y por lo tanto es imposible autenticar el
usuario.
Existe la posibilidad de permitir el login disconnected.
Ejemplos para compartir carpetas usando ACLs:
Escenario con un servidor miembro de dominio, el servidor LSFS001 ya esta integrado en el dominio y tiene una partición /finanzas
chown root:finanzas /finanzas
chmod 770 /finanzas
Ver si usar Set GUID, o usarlo desde samba con create mode:
Asignando el ACL por default
setfacl -d -m
Asignando permisos de rwx a al grupo contabilidad
setfacl -m
Asignando permisos de r-x a la directora
Asignando permisos r-x a la asistente de finanzas
Quizas poner ejemplo de una subcarpeta con otros ACL o dejar que los hagan desde windows, un dueño
Escenario para compartir una carpeta en el home del usuario por ejemplo /home/jmedina/Reportes_Tickets
crear directorio
mkdir ~/Reportes_Tickets
Capítulo 14. Resolución de Problemas

Permisos en /etc/ldap?
Permisos en directorio /var/lib/ldap/
Capítulo 15. Referencias adicionales

OpenLDAP Software 2.4 Administrator's Guide
Capítulo 16. Apendices
105 de 115 05/10/2010 06:42 p.m.

Tabla de contenidos

Parrafo.
Apéndice A. Licencia de Documentación Libre de GNU

Versión 1.2, Noviembre 2002
Tabla de contenidos
PREÁMBULO
COPIA LITERAL
COPIADO EN CANTIDAD
MODIFICACIONES
TRADUCCIÓN
TERMINACIÓN
This is an unofficial translation of the GNU Free Documentation License into Spanish. It was not published by the Free Software Foundation, and does not legally state the distribution
106 de 115 05/10/2010 06:42 p.m.

terms for documentation that uses the GNU FDL -- only the original English text of the GNU FDL does that. However, we hope that this translation will help Spanish speakers
understand the GNU FDL better.
Ésta es una traducción no oficial de la GNU Free Document License a Español (Castellano). No ha sido publicada por la Free Software Foundation y no establece legalmente los
términos de distribución para trabajos que usen la GFDL (sólo el texto de la versión original en Inglés de la GFDL lo hace). Sin embargo, esperamos que esta traducción ayude los
hispanohablantes a entender mejor la GFDL. La versión original de la GFDL esta disponible en la Free Software Foundation.
Esta traducción está basada en una de la versión 1.1 de Igor Támara y Pablo Reyes. Sin embargo la responsabilidad de su interpretación es de Joaquín Seoane.
Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 59 Temple Place, Suite 330, Boston, MA 02111-1307 USA. Se permite la copia y distribución de copias literales de
este documento de licencia, pero no se permiten cambios[1].
PREÁMBULO
El propósito de esta Licencia es permitir que un manual, libro de texto, u otro documento escrito sea libre en el sentido de libertad: asegurar a todo el mundo la libertad efectiva de copiarlo y
redistribuirlo, con o sin modificaciones, de manera comercial o no. En segundo término, esta Licencia proporciona al autor y al editor[2] una manera de obtener reconocimiento por su trabajo, sin
que se le considere responsable de las modificaciones realizadas por otros.
Esta Licencia es de tipo copyleft, lo que significa que los trabajos derivados del documento deben a su vez ser libres en el mismo sentido. Complementa la Licencia Pública General de GNU, que
es una licencia tipo copyleft diseñada para el software libre.
Hemos diseñado esta Licencia para usarla en manuales de software libre, ya que el software libre necesita documentación libre: un programa libre debe venir con manuales que ofrezcan la mismas
libertades que el software. Pero esta licencia no se limita a manuales de software; puede usarse para cualquier texto, sin tener en cuenta su temática o si se publica como libro impreso o no.
Recomendamos esta licencia principalmente para trabajos cuyo fin sea instructivo o de referencia.
Esta Licencia se aplica a cualquier manual u otro trabajo, en cualquier soporte, que contenga una nota del propietario de los derechos de autor que indique que puede ser distribuido bajo los
términos de esta Licencia. Tal nota garantiza en cualquier lugar del mundo, sin pago de derechos y sin límite de tiempo, el uso de dicho trabajo según las condiciones aquí estipuladas. En adelante
la palabra Documento se referirá a cualquiera de dichos manuales o trabajos. Cualquier persona es un licenciatario y será referido como Usted. Usted acepta la licencia si copia. modifica o
distribuye el trabajo de cualquier modo que requiera permiso según la ley de propiedad intelectual.
Una Versión Modificada del Documento significa cualquier trabajo que contenga el Documento o una porción del mismo, ya sea una copia literal o con modificaciones y/o traducciones a otro
idioma.
Una Sección Secundaria es un apéndice con título o una sección preliminar del Documento que trata exclusivamente de la relación entre los autores o editores y el tema general del Documento (o
temas relacionados) pero que no contiene nada que entre directamente en dicho tema general (por ejemplo, si el Documento es en parte un texto de matemáticas, una Sección Secundaria puede no
explicar nada de matemáticas). La relación puede ser una conexión histórica con el tema o temas relacionados, o una opinión legal, comercial, filosófica, ética o política acerca de ellos.
Las Secciones Invariantes son ciertas Secciones Secundarias cuyos títulos son designados como Secciones Invariantes en la nota que indica que el documento es liberado bajo esta Licencia. Si
una sección no entra en la definición de Secundaria, no puede designarse como Invariante. El documento puede no tener Secciones Invariantes. Si el Documento no identifica las Secciones
Invariantes, es que no las tiene.
Los Textos de Cubierta son ciertos pasajes cortos de texto que se listan como Textos de Cubierta Delantera o Textos de Cubierta Trasera en la nota que indica que el documento es liberado bajo
esta Licencia. Un Texto de Cubierta Delantera puede tener como mucho 5 palabras, y uno de Cubierta Trasera puede tener hasta 25 palabras.
Una copia Transparente del Documento, significa una copia para lectura en máquina, representada en un formato cuya especificación está disponible al público en general, apto para que los
contenidos puedan ser vistos y editados directamente con editores de texto genéricos o (para imágenes compuestas por puntos) con programas genéricos de manipulación de imágenes o (para
dibujos) con algún editor de dibujos ampliamente disponible, y que sea adecuado como entrada para formateadores de texto o para su traducción automática a formatos adecuados para
formateadores de texto. Una copia hecha en un formato definido como Transparente, pero cuyo marcaje o ausencia de él haya sido diseñado para impedir o dificultar modificaciones posteriores
107 de 115 05/10/2010 06:42 p.m.

por parte de los lectores no es Transparente. Un formato de imagen no es Transparente si se usa para una cantidad de texto sustancial. Una copia que no es Transparente se denomina Opaca.
Como ejemplos de formatos adecuados para copias Transparentes están ASCII puro sin marcaje, formato de entrada de Texinfo, formato de entrada de LaTeX, SGML o XML usando una DTD
disponible públicamente, y HTML, PostScript o PDF simples, que sigan los estándares y diseñados para que los modifiquen personas. Ejemplos de formatos de imagen transparentes son PNG,
XCF y JPG. Los formatos Opacos incluyen formatos propietarios que pueden ser leídos y editados únicamente en procesadores de palabras propietarios, SGML o XML para los cuáles las DTD
y/o herramientas de procesamiento no estén ampliamente disponibles, y HTML, PostScript o PDF generados por algunos procesadores de palabras sólo como salida.
La Portada significa, en un libro impreso, la página de título, más las páginas siguientes que sean necesarias para mantener legiblemente el material que esta Licencia requiere en la portada. Para
trabajos en formatos que no tienen página de portada como tal, Portada significa el texto cercano a la aparición más prominente del título del trabajo, precediendo el comienzo del cuerpo del
texto.
Una sección Titulada XYZ significa una parte del Documento cuyo título es precisamente XYZ o contiene XYZ entre paréntesis, a continuación de texto que traduce XYZ a otro idioma (aquí
XYZ se refiere a nombres de sección específicos mencionados más abajo, como Agradecimientos, Dedicatorias , Aprobaciones o Historia. Conservar el Título de tal sección cuando se modifica
el Documento significa que permanece una sección Titulada XYZ según esta definición[3] .
El Documento puede incluir Limitaciones de Garantía cercanas a la nota donde se declara que al Documento se le aplica esta Licencia. Se considera que estas Limitaciones de Garantía están
incluidas, por referencia, en la Licencia, pero sólo en cuanto a limitaciones de garantía: cualquier otra implicación que estas Limitaciones de Garantía puedan tener es nula y no tiene efecto en el
significado de esta Licencia.
[3]
En sentido estricto esta licencia parece exigir que los títulos sean exactamente Acknowledgements, Dedications, Endorsements e History, en inglés.
COPIA LITERAL
Usted puede copiar y distribuir el Documento en cualquier soporte, sea en forma comercial o no, siempre y cuando esta Licencia, las notas de copyright y la nota que indica que esta Licencia se
aplica al Documento se reproduzcan en todas las copias y que usted no añada ninguna otra condición a las expuestas en esta Licencia. Usted no puede usar medidas técnicas para obstruir o
controlar la lectura o copia posterior de las copias que usted haga o distribuya. Sin embargo, usted puede aceptar compensación a cambio de las copias. Si distribuye un número suficientemente
grande de copias también deberá seguir las condiciones de la sección 3.
Usted también puede prestar copias, bajo las mismas condiciones establecidas anteriormente, y puede exhibir copias públicamente.
COPIADO EN CANTIDAD
Si publica copias impresas del Documento (o copias en soportes que tengan normalmente cubiertas impresas) que sobrepasen las 100, y la nota de licencia del Documento exige Textos de
Cubierta, debe incluir las copias con cubiertas que lleven en forma clara y legible todos esos Textos de Cubierta: Textos de Cubierta Delantera en la cubierta delantera y Textos de Cubierta
Trasera en la cubierta trasera. Ambas cubiertas deben identificarlo a Usted clara y legiblemente como editor de tales copias. La cubierta debe mostrar el título completo con todas las palabras
igualmente prominentes y visibles. Además puede añadir otro material en las cubiertas. Las copias con cambios limitados a las cubiertas, siempre que conserven el título del Documento y
satisfagan estas condiciones, pueden considerarse como copias literales.
Si los textos requeridos para la cubierta son muy voluminosos para que ajusten legiblemente, debe colocar los primeros (tantos como sea razonable colocar) en la verdadera cubierta y situar el
resto en páginas adyacentes.
Si Usted publica o distribuye copias Opacas del Documento cuya cantidad exceda las 100, debe incluir una copia Transparente, que pueda ser leída por una máquina, con cada copia Opaca, o bien
mostrar, en cada copia Opaca, una dirección de red donde cualquier usuario de la misma tenga acceso por medio de protocolos públicos y estandarizados a una copia Transparente del Documento
completa, sin material adicional. Si usted hace uso de la última opción, deberá tomar las medidas necesarias, cuando comience la distribución de las copias Opacas en cantidad, para asegurar que
esta copia Transparente permanecerá accesible en el sitio establecido por lo menos un año después de la última vez que distribuya una copia Opaca de esa edición al público (directamente o a
través de sus agentes o distribuidores).
108 de 115 05/10/2010 06:42 p.m.

Se solicita, aunque no es requisito, que se ponga en contacto con los autores del Documento antes de redistribuir gran número de copias, para darles la oportunidad de que le proporcionen una
versión actualizada del Documento.
MODIFICACIONES
Puede copiar y distribuir una Versión Modificada del Documento bajo las condiciones de las secciones 2 y 3 anteriores, siempre que usted libere la Versión Modificada bajo esta misma Licencia,
con la Versión Modificada haciendo el rol del Documento, por lo tanto dando licencia de distribución y modificación de la Versión Modificada a quienquiera posea una copia de la misma.
Además, debe hacer lo siguiente en la Versión Modificada:
A. Usar en la Portada (y en las cubiertas, si hay alguna) un título distinto al del Documento y de sus versiones anteriores (que deberían, si hay alguna, estar listadas en la sección de Historia
del Documento). Puede usar el mismo título de versiones anteriores al original siempre y cuando quien las publicó originalmente otorgue permiso.
B. Listar en la Portada, como autores, una o más personas o entidades responsables de la autoría de las modificaciones de la Versión Modificada, junto con por lo menos cinco de los autores
principales del Documento (todos sus autores principales, si hay menos de cinco), a menos que le eximan de tal requisito.
C. Mostrar en la Portada como editor el nombre del editor de la Versión Modificada.
D. Conservar todas las notas de copyright del Documento.
E. Añadir una nota de copyright apropiada a sus modificaciones, adyacente a las otras notas de copyright.
F. Incluir, inmediatamente después de las notas de copyright, una nota de licencia dando el permiso para usar la Versión Modificada bajo los términos de esta Licencia, como se muestra en
la Adenda al final de este documento.
G. Conservar en esa nota de licencia el listado completo de las Secciones Invariantes y de los Textos de Cubierta que sean requeridos en la nota de Licencia del Documento original.
H. Incluir una copia sin modificación de esta Licencia.
I. Conservar la sección Titulada Historia, conservar su Título y añadirle un elemento que declare al menos el título, el año, los nuevos autores y el editor de la Versión Modificada, tal como
figuran en la Portada. Si no hay una sección Titulada Historia en el Documento, crear una estableciendo el título, el año, los autores y el editor del Documento, tal como figuran en su
Portada, añadiendo además un elemento describiendo la Versión Modificada, como se estableció en la oración anterior.
J. Conservar la dirección en red, si la hay, dada en el Documento para el acceso público a una copia Transparente del mismo, así como las otras direcciones de red dadas en el Documento
para versiones anteriores en las que estuviese basado. Pueden ubicarse en la sección Historia. Se puede omitir la ubicación en red de un trabajo que haya sido publicado por lo menos cuatro
años antes que el Documento mismo, o si el editor original de dicha versión da permiso.
K. En cualquier sección Titulada Agradecimientos o Dedicatorias, Conservar el Título de la sección y conservar en ella toda la sustancia y el tono de los agradecimientos y/o dedicatorias
incluidas por cada contribuyente.
L. Conservar todas las Secciones Invariantes del Documento, sin alterar su texto ni sus títulos. Números de sección o el equivalente no son considerados parte de los títulos de la sección.
M. Borrar cualquier sección titulada Aprobaciones. Tales secciones no pueden estar incluidas en las Versiones Modificadas.
N. No cambiar el título de ninguna sección existente a Aprobaciones ni a uno que entre en conflicto con el de alguna Sección Invariante.
O. Conservar todas las Limitaciones de Garantía.
Si la Versión Modificada incluye secciones o apéndices nuevos que califiquen como Secciones Secundarias y contienen material no copiado del Documento, puede opcionalmente designar algunas
o todas esas secciones como invariantes. Para hacerlo, añada sus títulos a la lista de Secciones Invariantes en la nota de licencia de la Versión Modificada. Tales títulos deben ser distintos de
cualquier otro título de sección.
Puede añadir una sección titulada Aprobaciones, siempre que contenga únicamente aprobaciones de su Versión Modificada por otras fuentes --por ejemplo, observaciones de peritos o que el texto
ha sido aprobado por una organización como la definición oficial de un estándar.
Puede añadir un pasaje de hasta cinco palabras como Texto de Cubierta Delantera y un pasaje de hasta 25 palabras como Texto de Cubierta Trasera en la Versión Modificada. Una entidad solo
puede añadir (o hacer que se añada) un pasaje al Texto de Cubierta Delantera y uno al de Cubierta Trasera. Si el Documento ya incluye un textos de cubiertas añadidos previamente por usted o
por la misma entidad que usted representa, usted no puede añadir otro; pero puede reemplazar el anterior, con permiso explícito del editor que agregó el texto anterior.
Con esta Licencia ni los autores ni los editores del Documento dan permiso para usar sus nombres para publicidad ni para asegurar o implicar aprobación de cualquier Versión Modificada.
Usted puede combinar el Documento con otros documentos liberados bajo esta Licencia, bajo los términos definidos en la sección 4 anterior para versiones modificadas, siempre que incluya en la
combinación todas las Secciones Invariantes de todos los documentos originales, sin modificar, listadas todas como Secciones Invariantes del trabajo combinado en su nota de licencia. Así mismo
109 de 115 05/10/2010 06:42 p.m.

debe incluir la Limitación de Garantía.
El trabajo combinado necesita contener solamente una copia de esta Licencia, y puede reemplazar varias Secciones Invariantes idénticas por una sola copia. Si hay varias Secciones Invariantes
con el mismo nombre pero con contenidos diferentes, haga el título de cada una de estas secciones único añadiéndole al final del mismo, entre paréntesis, el nombre del autor o editor original de
esa sección, si es conocido, o si no, un número único. Haga el mismo ajuste a los títulos de sección en la lista de Secciones Invariantes de la nota de licencia del trabajo combinado.
En la combinación, debe combinar cualquier sección Titulada Historia de los documentos originales, formando una sección Titulada Historia; de la misma forma combine cualquier sección
Titulada Agradecimientos, y cualquier sección Titulada Dedicatorias. Debe borrar todas las secciones tituladas Aprobaciones.
Puede hacer una colección que conste del Documento y de otros documentos liberados bajo esta Licencia, y reemplazar las copias individuales de esta Licencia en todos los documentos por una
sola copia que esté incluida en la colección, siempre que siga las reglas de esta Licencia para cada copia literal de cada uno de los documentos en cualquiera de los demás aspectos.
Puede extraer un solo documento de una de tales colecciones y distribuirlo individualmente bajo esta Licencia, siempre que inserte una copia de esta Licencia en el documento extraído, y siga
esta Licencia en todos los demás aspectos relativos a la copia literal de dicho documento.

Una recopilación que conste del Documento o sus derivados y de otros documentos o trabajos separados e independientes, en cualquier soporte de almacenamiento o distribución, se denomina un
agregado si el copyright resultante de la compilación no se usa para limitar los derechos de los usuarios de la misma más allá de lo que los de los trabajos individuales permiten. Cuando el
Documento se incluye en un agregado, esta Licencia no se aplica a otros trabajos del agregado que no sean en sí mismos derivados del Documento.
Si el requisito de la sección 3 sobre el Texto de Cubierta es aplicable a estas copias del Documento y el Documento es menor que la mitad del agregado entero, los Textos de Cubierta del
Documento pueden colocarse en cubiertas que enmarquen solamente el Documento dentro del agregado, o el equivalente electrónico de las cubiertas si el documento está en forma electrónica. En
caso contrario deben aparecer en cubiertas impresas enmarcando todo el agregado.
TRADUCCIÓN
La Traducción es considerada como un tipo de modificación, por lo que usted puede distribuir traducciones del Documento bajo los términos de la sección 4. El reemplazo las Secciones
Invariantes con traducciones requiere permiso especial de los dueños de derecho de autor, pero usted puede añadir traducciones de algunas o todas las Secciones Invariantes a las versiones
originales de las mismas. Puede incluir una traducción de esta Licencia, de todas las notas de licencia del documento, así como de las Limitaciones de Garantía, siempre que incluya también la
versión en Inglés de esta Licencia y las versiones originales de las notas de licencia y Limitaciones de Garantía. En caso de desacuerdo entre la traducción y la versión original en Inglés de esta
Licencia, la nota de licencia o la limitación de garantía, la versión original en Inglés prevalecerá.
Si una sección del Documento está Titulada Agradecimientos, Dedicatorias o Historia el requisito (sección 4) de Conservar su Título (Sección 1) requerirá, típicamente, cambiar su título.
TERMINACIÓN
Usted no puede copiar, modificar, sublicenciar o distribuir el Documento salvo por lo permitido expresamente por esta Licencia. Cualquier otro intento de copia, modificación, sublicenciamiento o
distribución del Documento es nulo, y dará por terminados automáticamente sus derechos bajo esa Licencia. Sin embargo, los terceros que hayan recibido copias, o derechos, de usted bajo esta
Licencia no verán terminadas sus licencias, siempre que permanezcan en total conformidad con ella.

De vez en cuando la Free Software Foundation puede publicar versiones nuevas y revisadas de la Licencia de Documentación Libre GNU. Tales versiones nuevas serán similares en espíritu a la
presente versión, pero pueden diferir en detalles para solucionar nuevos problemas o intereses. Vea http://www.gnu.org/copyleft/.
110 de 115 05/10/2010 06:42 p.m.

Cada versión de la Licencia tiene un número de versión que la distingue. Si el Documento especifica que se aplica una versión numerada en particular de esta licencia o cualquier versión
posterior, usted tiene la opción de seguir los términos y condiciones de la versión especificada o cualquiera posterior que haya sido publicada (no como borrador) por la Free Software Foundation.
Si el Documento no especifica un número de versión de esta Licencia, puede escoger cualquier versión que haya sido publicada (no como borrador) por la Free Software Foundation.

Para usar esta licencia en un documento que usted haya escrito, incluya una copia de la Licencia en el documento y ponga el siguiente copyright y nota de licencia justo después de la página de
título:
Copyright (c) AÑO SU NOMBRE. Se concede permiso para copiar, distribuir y/o modificar este documento bajo los términos de la Licencia de Documentación Libre de GNU,
Versión 1.2 o cualquier otra versión posterior publicada por la Free Software Foundation; sin Secciones Invariantes ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera.
Una copia de la licencia está incluida en la sección titulada GNU Free Documentation License.
Si tiene Secciones Invariantes, Textos de Cubierta Delantera y Textos de Cubierta Trasera, reemplace la frase sin ... Trasera por esto:
siendo las Secciones Invariantes LISTE SUS TÍTULOS, siendo los Textos de Cubierta Delantera LISTAR, y siendo sus Textos de Cubierta Trasera LISTAR.
Si tiene Secciones Invariantes sin Textos de Cubierta o cualquier otra combinación de los tres, mezcle ambas alternativas para adaptarse a la situación.
Si su documento contiene ejemplos de código de programa no triviales, recomendamos liberar estos ejemplos en paralelo bajo la licencia de software libre que usted elija, como la Licencia Pública
General de GNU (GNU General Public License), para permitir su uso en software libre.
[1]
Ésta es la traducción del Copyright de la Licencia, no es el Copyright de esta traducción no autorizada.
[2]
La licencia original dice publisher, que es, estrictamente, quien publica, diferente de editor, que es más bien quien prepara un texto para publicar. En castellano editor se usa para ambas cosas.
Apéndice B. GNU Free Documentation License

Copyright (C) 2000, 2001, 2002 Free Software Foundation, Inc. 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA. Everyone is permitted to copy and distribute verbatim copies of this
license document, but changing it is not allowed.
0. PREAMBLE
The purpose of this License is to make a manual, textbook, or other functional and useful document "free" in the sense of freedom: to assure everyone the effective freedom to copy and
redistribute it, with or without modifying it, either commercially or noncommercially. Secondarily, this License preserves for the author and publisher a way to get credit for their work, while not
being considered responsible for modifications made by others.
This License is a kind of "copyleft", which means that derivative works of the document must themselves be free in the same sense. It complements the GNU General Public License, which is a
copyleft license designed for free software.
We have designed this License in order to use it for manuals for free software, because free software needs free documentation: a free program should come with manuals providing the same
freedoms that the software does. But this License is not limited to software manuals; it can be used for any textual work, regardless of subject matter or whether it is published as a printed book.
We recommend this License principally for works whose purpose is instruction or reference.
1. APPLICABILITY AND DEFINITIONS
111 de 115 05/10/2010 06:42 p.m.

This License applies to any manual or other work, in any medium, that contains a notice placed by the copyright holder saying it can be distributed under the terms of this License. Such a notice
grants a world-wide, royalty-free license, unlimited in duration, to use that work under the conditions stated herein. The "Document", below, refers to any such manual or work. Any member of
the public is a licensee, and is addressed as "you". You accept the license if you copy, modify or distribute the work in a way requiring permission under copyright law.
A "Modified Version" of the Document means any work containing the Document or a portion of it, either copied verbatim, or with modifications and/or translated into another language.
A "Secondary Section" is a named appendix or a front-matter section of the Document that deals exclusively with the relationship of the publishers or authors of the Document to the Document's
overall subject (or to related matters) and contains nothing that could fall directly within that overall subject. (Thus, if the Document is in part a textbook of mathematics, a Secondary Section may
not explain any mathematics.) The relationship could be a matter of historical connection with the subject or with related matters, or of legal, commercial, philosophical, ethical or political position
regarding them.
The "Invariant Sections" are certain Secondary Sections whose titles are designated, as being those of Invariant Sections, in the notice that says that the Document is released under this License. If
a section does not fit the above definition of Secondary then it is not allowed to be designated as Invariant. The Document may contain zero Invariant Sections. If the Document does not identify
any Invariant Sections then there are none.
The "Cover Texts" are certain short passages of text that are listed, as Front-Cover Texts or Back-Cover Texts, in the notice that says that the Document is released under this License. A
Front-Cover Text may be at most 5 words, and a Back-Cover Text may be at most 25 words.
A "Transparent" copy of the Document means a machine-readable copy, represented in a format whose specification is available to the general public, that is suitable for revising the document
straightforwardly with generic text editors or (for images composed of pixels) generic paint programs or (for drawings) some widely available drawing editor, and that is suitable for input to text
formatters or for automatic translation to a variety of formats suitable for input to text formatters. A copy made in an otherwise Transparent file format whose markup, or absence of markup, has
been arranged to thwart or discourage subsequent modification by readers is not Transparent. An image format is not Transparent if used for any substantial amount of text. A copy that is not
"Transparent" is called "Opaque".
Examples of suitable formats for Transparent copies include plain ASCII without markup, Texinfo input format, LaTeX input format, SGML or XML using a publicly available DTD, and
standard-conforming simple HTML, PostScript or PDF designed for human modification. Examples of transparent image formats include PNG, XCF and JPG. Opaque formats include proprietary
formats that can be read and edited only by proprietary word processors, SGML or XML for which the DTD and/or processing tools are not generally available, and the machine-generated
HTML, PostScript or PDF produced by some word processors for output purposes only.
The "Title Page" means, for a printed book, the title page itself, plus such following pages as are needed to hold, legibly, the material this License requires to appear in the title page. For works in
formats which do not have any title page as such, "Title Page" means the text near the most prominent appearance of the work's title, preceding the beginning of the body of the text.
A section "Entitled XYZ" means a named subunit of the Document whose title either is precisely XYZ or contains XYZ in parentheses following text that translates XYZ in another language.
(Here XYZ stands for a specific section name mentioned below, such as "Acknowledgements", "Dedications", "Endorsements", or "History".) To "Preserve the Title" of such a section when you
modify the Document means that it remains a section "Entitled XYZ" according to this definition.
The Document may include Warranty Disclaimers next to the notice which states that this License applies to the Document. These Warranty Disclaimers are considered to be included by
reference in this License, but only as regards disclaiming warranties: any other implication that these Warranty Disclaimers may have is void and has no effect on the meaning of this License.
2. VERBATIM COPYING
You may copy and distribute the Document in any medium, either commercially or noncommercially, provided that this License, the copyright notices, and the license notice saying this License
applies to the Document are reproduced in all copies, and that you add no other conditions whatsoever to those of this License. You may not use technical measures to obstruct or control the
reading or further copying of the copies you make or distribute. However, you may accept compensation in exchange for copies. If you distribute a large enough number of copies you must also
follow the conditions in section 3.
You may also lend copies, under the same conditions stated above, and you may publicly display copies.
3. COPYING IN QUANTITY
112 de 115 05/10/2010 06:42 p.m.

If you publish printed copies (or copies in media that commonly have printed covers) of the Document, numbering more than 100, and the Document's license notice requires Cover Texts, you
must enclose the copies in covers that carry, clearly and legibly, all these Cover Texts: Front-Cover Texts on the front cover, and Back-Cover Texts on the back cover. Both covers must also
clearly and legibly identify you as the publisher of these copies. The front cover must present the full title with all words of the title equally prominent and visible. You may add other material on
the covers in addition. Copying with changes limited to the covers, as long as they preserve the title of the Document and satisfy these conditions, can be treated as verbatim copying in other
respects.
If the required texts for either cover are too voluminous to fit legibly, you should put the first ones listed (as many as fit reasonably) on the actual cover, and continue the rest onto adjacent pages.
If you publish or distribute Opaque copies of the Document numbering more than 100, you must either include a machine-readable Transparent copy along with each Opaque copy, or state in or
with each Opaque copy a computer-network location from which the general network-using public has access to download using public-standard network protocols a complete Transparent copy
of the Document, free of added material. If you use the latter option, you must take reasonably prudent steps, when you begin distribution of Opaque copies in quantity, to ensure that this
Transparent copy will remain thus accessible at the stated location until at least one year after the last time you distribute an Opaque copy (directly or through your agents or retailers) of that
edition to the public.
It is requested, but not required, that you contact the authors of the Document well before redistributing any large number of copies, to give them a chance to provide you with an updated version
of the Document.
4. MODIFICATIONS
You may copy and distribute a Modified Version of the Document under the conditions of sections 2 and 3 above, provided that you release the Modified Version under precisely this License,
with the Modified Version filling the role of the Document, thus licensing distribution and modification of the Modified Version to whoever possesses a copy of it. In addition, you must do these
things in the Modified Version:
A. Use in the Title Page (and on the covers, if any) a title distinct from that of the Document, and from those of previous versions (which should, if there were any, be listed in the History
section of the Document). You may use the same title as a previous version if the original publisher of that version gives permission.
B. List on the Title Page, as authors, one or more persons or entities responsible for authorship of the modifications in the Modified Version, together with at least five of the principal authors
of the Document (all of its principal authors, if it has fewer than five), unless they release you from this requirement.
C. State on the Title page the name of the publisher of the Modified Version, as the publisher.
D. Preserve all the copyright notices of the Document.
E. Add an appropriate copyright notice for your modifications adjacent to the other copyright notices.
F. Include, immediately after the copyright notices, a license notice giving the public permission to use the Modified Version under the terms of this License, in the form shown in the
Addendum below.
G. Preserve in that license notice the full lists of Invariant Sections and required Cover Texts given in the Document's license notice.
H. Include an unaltered copy of this License.
I. Preserve the section Entitled "History", Preserve its Title, and add to it an item stating at least the title, year, new authors, and publisher of the Modified Version as given on the Title Page.
If there is no section Entitled "History" in the Document, create one stating the title, year, authors, and publisher of the Document as given on its Title Page, then add an item describing the
Modified Version as stated in the previous sentence.
J. Preserve the network location, if any, given in the Document for public access to a Transparent copy of the Document, and likewise the network locations given in the Document for
previous versions it was based on. These may be placed in the "History" section. You may omit a network location for a work that was published at least four years before the Document
itself, or if the original publisher of the version it refers to gives permission.
K. For any section Entitled "Acknowledgements" or "Dedications", Preserve the Title of the section, and preserve in the section all the substance and tone of each of the contributor
acknowledgements and/or dedications given therein.
L. Preserve all the Invariant Sections of the Document, unaltered in their text and in their titles. Section numbers or the equivalent are not considered part of the section titles.
M. Delete any section Entitled "Endorsements". Such a section may not be included in the Modified Version.
N. Do not retitle any existing section to be Entitled "Endorsements" or to conflict in title with any Invariant Section.
O. Preserve any Warranty Disclaimers.
If the Modified Version includes new front-matter sections or appendices that qualify as Secondary Sections and contain no material copied from the Document, you may at your option designate
some or all of these sections as invariant. To do this, add their titles to the list of Invariant Sections in the Modified Version's license notice. These titles must be distinct from any other section
titles.
113 de 115 05/10/2010 06:42 p.m.

You may add a section Entitled "Endorsements", provided it contains nothing but endorsements of your Modified Version by various parties--for example, statements of peer review or that the
text has been approved by an organization as the authoritative definition of a standard.
You may add a passage of up to five words as a Front-Cover Text, and a passage of up to 25 words as a Back-Cover Text, to the end of the list of Cover Texts in the Modified Version. Only one
passage of Front-Cover Text and one of Back-Cover Text may be added by (or through arrangements made by) any one entity. If the Document already includes a cover text for the same cover,
previously added by you or by arrangement made by the same entity you are acting on behalf of, you may not add another; but you may replace the old one, on explicit permission from the
previous publisher that added the old one.
The author(s) and publisher(s) of the Document do not by this License give permission to use their names for publicity for or to assert or imply endorsement of any Modified Version.
5. COMBINING DOCUMENTS
You may combine the Document with other documents released under this License, under the terms defined in section 4 above for modified versions, provided that you include in the combination
all of the Invariant Sections of all of the original documents, unmodified, and list them all as Invariant Sections of your combined work in its license notice, and that you preserve all their Warranty
Disclaimers.
The combined work need only contain one copy of this License, and multiple identical Invariant Sections may be replaced with a single copy. If there are multiple Invariant Sections with the same
name but different contents, make the title of each such section unique by adding at the end of it, in parentheses, the name of the original author or publisher of that section if known, or else a
unique number. Make the same adjustment to the section titles in the list of Invariant Sections in the license notice of the combined work.
In the combination, you must combine any sections Entitled "History" in the various original documents, forming one section Entitled "History"; likewise combine any sections Entitled
"Acknowledgements", and any sections Entitled "Dedications". You must delete all sections Entitled "Endorsements".
6. COLLECTIONS OF DOCUMENTS
You may make a collection consisting of the Document and other documents released under this License, and replace the individual copies of this License in the various documents with a single
copy that is included in the collection, provided that you follow the rules of this License for verbatim copying of each of the documents in all other respects.
You may extract a single document from such a collection, and distribute it individually under this License, provided you insert a copy of this License into the extracted document, and follow this
License in all other respects regarding verbatim copying of that document.
7. AGGREGATION WITH INDEPENDENT WORKS

A compilation of the Document or its derivatives with other separate and independent documents or works, in or on a volume of a storage or distribution medium, is called an "aggregate" if the
copyright resulting from the compilation is not used to limit the legal rights of the compilation's users beyond what the individual works permit. When the Document is included in an aggregate,
this License does not apply to the other works in the aggregate which are not themselves derivative works of the Document.
If the Cover Text requirement of section 3 is applicable to these copies of the Document, then if the Document is less than one half of the entire aggregate, the Document's Cover Texts may be
placed on covers that bracket the Document within the aggregate, or the electronic equivalent of covers if the Document is in electronic form. Otherwise they must appear on printed covers that
bracket the whole aggregate.
8. TRANSLATION
Translation is considered a kind of modification, so you may distribute translations of the Document under the terms of section 4. Replacing Invariant Sections with translations requires special
permission from their copyright holders, but you may include translations of some or all Invariant Sections in addition to the original versions of these Invariant Sections. You may include a
translation of this License, and all the license notices in the Document, and any Warranty Disclaimers, provided that you also include the original English version of this License and the original
versions of those notices and disclaimers. In case of a disagreement between the translation and the original version of this License or a notice or disclaimer, the original version will prevail.
If a section in the Document is Entitled "Acknowledgements", "Dedications", or "History", the requirement (section 4) to Preserve its Title (section 1) will typically require changing the actual
114 de 115 05/10/2010 06:42 p.m.

title.
9. TERMINATION
You may not copy, modify, sublicense, or distribute the Document except as expressly provided for under this License. Any other attempt to copy, modify, sublicense or distribute the Document
is void, and will automatically terminate your rights under this License. However, parties who have received copies, or rights, from you under this License will not have their licenses terminated so
long as such parties remain in full compliance.
10. FUTURE REVISIONS OF THIS LICENSE

The Free Software Foundation may publish new, revised versions of the GNU Free Documentation License from time to time. Such new versions will be similar in spirit to the present version, but
may differ in detail to address new problems or concerns. See http://www.gnu.org/copyleft/.
Each version of the License is given a distinguishing version number. If the Document specifies that a particular numbered version of this License "or any later version" applies to it, you have the
option of following the terms and conditions either of that specified version or of any later version that has been published (not as a draft) by the Free Software Foundation. If the Document does
not specify a version number of this License, you may choose any version ever published (not as a draft) by the Free Software Foundation.
ADDENDUM: How to use this License for your documents

To use this License in a document you have written, include a copy of the License in the document and put the following copyright and license notices just after the title page:
Copyright (C) YEAR YOUR NAME.
Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free
Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation
License".
If you have Invariant Sections, Front-Cover Texts and Back-Cover Texts, replace the "with...Texts." line with this:
with the Invariant Sections being LIST THEIR TITLES, with the Front-Cover Texts being LIST, and with the Back-Cover Texts being LIST.
If you have Invariant Sections without Cover Texts, or some other combination of the three, merge those two alternatives to suit the situation.
If your document contains nontrivial examples of program code, we recommend releasing these examples in parallel under your choice of free software license, such as the GNU General Public
License, to permit their use in free software.
115 de 115 05/10/2010 06:42 p.m.

Configurar Un Servidor Samba y Openldap

Cargado por

Copyright:

Formatos disponibles

Configurar Un Servidor Samba y Openldap

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Configurar Un Servidor Samba y Openldap

Cargado por

Copyright:

Formatos disponibles

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en Ubuntu Server Hard... http://tuxjm.

Configurar un servidor Controlador de Dominio con Samba y OpenLDAP en

Computación Gráfica de México.

Alejandro Gabriel Sánchez Martínez

Computación Gráfica de México.

Copyright © 2007-2008 Jorge Armando Medina, Alejandro Sánchez Martínez

1 de 115 05/10/2010 06:42 p.m.

2 de 115 05/10/2010 06:42 p.m.

Parametros Globales del servidor Samba

3 de 115 05/10/2010 06:42 p.m.

12. Integrando Clientes Windows al Dominio Samba

4 de 115 05/10/2010 06:42 p.m.

REVISIONES FUTURAS DE ESTA LICENCIA

2.1. Diagrama DIT

4.1. Niveles severidad logs slapd

5 de 115 05/10/2010 06:42 p.m.

Capítulo 2. Caracteristicas de la Implementación

Caracteristicas para Entornos Unix/Linux

Caracteristicas para Entornos Unix/Linux

Caracteristicas para Entornos Windows

6 de 115 05/10/2010 06:42 p.m.

Servidor Centralizado para cuentas de red (Controlador Primario de Dominio - PDC)

Servidor de Impresoras (Integrado con CUPS)

Permite/restringe que los usuarios puedan entrar al Panel de Control de Windows

Se pueden definir que aplicaciones puede usar el usuario en su estación de trabajo.

Soporte para ejecución de scripts de inicio de sesión (Logon Scripts)

Instalar aplicaciones de forma desatendida (usando WKPG)

Mapear unidades de red automaticamente

Instalar Impresoras en red de forma desatendida en el equpo local

Restricción por usuario o grupo a carpetas compartidas en red.

7 de 115 05/10/2010 06:42 p.m.

Soporte para Perfiles Móviles (Roaming Profiles) para clientes Windows.

Estructura del Arbol de Directorio (DIT)

A grandes razgos nuestro DIT quedará como se muestra en la siguiente figura:

Figura 2.1. Diagrama DIT

En la figura de arriba de define:

dc=midominio,dc=com: Sufijo del directorio

8 de 115 05/10/2010 06:42 p.m.

adaptar el DIT y las configuraciones a tu gusto.

Información General de Implementación para Entornos Unix/Windows

Se configurará un servidor PDC para la empresa: MIEMPRESA

MIEMPRESA posee el Nombre de Dominio DNS: midominio.com

El nombre DNS del servidor será: ushldap.midominio.com

Se configurará el Nombre de Dominio Samba/NT: MIDOMINIO

Nombre NetBIOS del servidor Samba: PDC-SRV

La Dirección de RED de MIEMPRESA es: 192.168.1.0/24

La Dirección IP del servidor PDC-SRV es: 192.168.1.10

Capítulo 3. Requerimientos de Software

Instalaremos el siguiente software:

OpenLDAP es una implementación libre de los protocolos LDAP.

Herramientas para administrar cuentas Unix/Posix y Samba almacenadas en un servidor OpenLDAP

9 de 115 05/10/2010 06:42 p.m.

Capítulo 4. Instalación y Configuración del servidor OpenLDAP

Configuración Inicial del servicio slapd

root@ushldap:~# apt-get install slapd ldap-utils

Setting up ldap-utils (2.4.9-0ubuntu0.8.04.1) ...

10 de 115 05/10/2010 06:42 p.m.

Administrator passwd: ldapadmin

Confirm passwd: ldapadmin

root@ushldap:~# dpkg-reconfigure -plow slapd