RSS
Blog
LPIC-3 Mixed Environments 3.0 Introducción # 04: 304: Configuración del cliente Samba

LPIC-3 Mixed Environments 3.0 Introducción # 04: 304 Configuración del cliente Samba

21 de septiembre de 2021 - por Fabian Thorns

Esta publicación de blog es la cuarta de una serie que lo ayuda a prepararse para la nueva versión 3.0 del examen de entornos mixtos LPIC-3. En el Publicación anterior Creamos una infraestructura completa, que contiene dos controladores de dominio de Active Directory, un servidor de archivos y un cliente de Windows. Esta semana aprenderemos cómo agregar aún más sistemas a nuestro dominio.

Fuentes de información del usuario

Un Active Directory contiene información sobre las cuentas de usuario, incluidas las credenciales utilizadas para autenticar a cada usuario. La idea general es mantener esta información en el directorio y luego obtener acceso a ella en todas y cada una de las computadoras que se unen al dominio. Ya lo hemos logrado para el cliente virtual de Windows, pero no hemos considerado cómo podemos hacer que la estación de trabajo promedio de Linux reconozca también a los usuarios del dominio.

En Linux, existen múltiples enfoques para autenticar a los usuarios frente a un depósito remoto de información del usuario. Todos estos enfoques tienen un enfoque común: agregan fuentes adicionales de datos de usuario que Linux consulta cuando busca un usuario. Una vez que estas búsquedas son exitosas, Linux consulta un único conjunto de información de usuario, sin importar de dónde provenga esta información.

Una tecnología que fusiona muchas fuentes de datos es la Interruptor de servicio de nombres (NSS). Proporciona varias bases de datos, incluidas las que contienen información de usuarios y grupos. NSS pasa las consultas a varios módulos asociados, que luego implementan la obtención de esta información de una fuente específica, como un archivo local (piense en / Etc / passwd) o servicios remotos (como nuestro dominio de Active Directory). Similar, Módulos de autenticación conectables (PAM) ejecutar una serie de módulos para autenticar a un usuario, preparar su sesión o cambiar su contraseña. Nuevamente, los módulos individuales manejan usuarios de diferentes fuentes, incluido Active Directory.

Identidades de usuario y autenticación a través de LDAP

Cada controlador de dominio de Active Directory ejecuta un servidor LDAP que proporciona acceso al contenido del directorio. Esto permite que los módulos NSS y PAM (nss_ldap.so y los pam_ldap.so respectivamente) para que los usuarios del directorio estén disponibles para Linux. La configuración incluye ajustar el [ nsswitch.conf filete y Configuración de PAM, además de crear el ldap.conf archivo que define las propiedades del directorio.

Algunos módulos PAM más son útiles al autenticar usuarios remotos. Estos módulos permiten a los usuarios autenticarse usando Kerberoscrear un directorio de inicio durante su inicio de sesiónbloquear cuentas después de demasiados intentos fallidos de inicio de sesióne invirtiendo imponer una complejidad mínima para las nuevas contraseñas. Cuando experimente con estos módulos, recuerde también echar un vistazo a chage comando, que permite realizar ajustes en la información de caducidad de la contraseña para un usuario específico.

Autenticación a través de SSSD

Un enfoque moderno para configurar las bases de datos de usuarios y la autenticación en Linux es el Demonio de servicios de seguridad del sistema (SSSD). SSSD proporciona NSS y PAM módulos como parte de las diversas bases de datos de Linux. Sin embargo, en lugar de simplemente consultar, por ejemplo, Active Directory directamente, estos módulos reenvían las consultas al SSSD que se ejecuta localmente. La documentación SSSD proporciona una descripción completa de Arquitectura de SSSD. SSSD en sí tiene un archivo de configuración que define una o más fuentes de información del usuario. Uno de los backends admitidos es Active Directory.

Además de solo reenviar consultas, SSSD proporciona más funciones. Tras el inicio de sesión exitoso de un usuario, SSSD puede almacenar en caché sus credenciales durante un tiempo específico para permitir que estos usuarios inicien sesión nuevamente, incluso cuando no hay conexión con el back-end de autenticación. Esto es especialmente útil en dispositivos móviles que pueden estar desconectados de vez en cuando.

SSSD viene con un conjunto de herramientas de línea de comandos. Una característica especial de estos comandos es la capacidad de sobrescribir aspectos específicos de las cuentas de usuario. Esta función le permite, por ejemplo, ajustar el UID, la ruta del directorio de inicio o el shell de inicio de sesión para un usuario de directorio. Estos ajustes son inyectados por el SSSD local y no afectan a otras computadoras, incluso si consultan el mismo directorio. SSSD también permite la gestión de cuentas locales, que ni siquiera aparecen en un repositorio remoto.

Acceso a recursos compartidos de archivos SMB

Una vez que un usuario inicia sesión, por lo general, desea procesar los datos de alguna manera. Ya hemos configurado un servidor de archivos que puede almacenar datos de cualquier tipo. La forma más sencilla de conectarse a un servidor SMB es la smbclient comando. Proporciona una línea de comandos interactiva, similar a los clientes FTP o SFTP comunes. Debe practicar las operaciones básicas, como cargar y descargar archivos individuales, así como varios archivos, crear directorios y mover archivos. Eche un vistazo especial a smbclientopciones de la línea de comandos, que le permiten enumerar los recursos compartidos disponibles en un servidor específico o ajustar el protocolo SMB utilizado.

Aunque smbclient es fácil de usar, es inconveniente descargar cada archivo antes de usarlo y volver a cargarlo una vez que se cambia. los mount.cifs El comando monta un recurso compartido SMB en el árbol del sistema de archivos de Linux. Nuevamente, revise todas las opciones de montaje disponibles.

Tenga en cuenta que cada conexión SMB se autentica para un usuario específico. Todas las operaciones realizadas a través de esta conexión se ejecutan como el mismo usuario en el servidor SMB, sin importar qué usuario realice el cambio en el cliente. Si varios usuarios necesitan acceder a sus datos respectivos en el servidor, cada usuario debe montar estos datos por su cuenta. El módulo pam_mount activa el montaje de un recurso compartido específico cada vez que un usuario inicia sesión.

Además de smbclient, algunos comandos más interactúan con recursos compartidos SMB. Los objetivos del examen mencionan explícitamente smbget, smbtar, smbcquotas, getcifsacl y los setfactl, así como el libro electrónico cifsiostat. Debería probar todos estos y, como de costumbre, revisar sus opciones individuales.

Dos parques infantiles más de Linux

Para practicar la configuración de los distintos enfoques de autenticación, serían útiles dos máquinas virtuales Linux adicionales. Necesitaremos estos sistemas solo esta semana; puede eliminarlos una vez que haya completado sus experimentos. No utilice el servidor de archivos para sus experimentos, ya que ya es miembro del dominio.

Configure una de las nuevas máquinas virtuales para usar nss_ldap.so y los pam_ldap.so para permitir que los usuarios del directorio inicien sesión. Esta también es una gran oportunidad para familiarizarse con las herramientas de Kerberos más importantes, como kinit y los klist. Cree una configuración de Kerberos, obtenga un vale de Kerberos para el servidor de archivos y confirme que puede iniciar sesión en el servidor utilizando el vale de Kerberos. También puede utilizar esta máquina virtual para probar los distintos módulos PAM y, por ejemplo, ampliar la configuración PAM de este sistema a montar el directorio de inicio del usuario desde un recurso compartido SMB al iniciar sesión.

En la otra máquina virtual, instale SSSD y configurarlo para reconocer a los usuarios de Active Directory. Pruebe los diversos comandos SSSD mencionados en los objetivos del examen y vea cómo afectan la apariencia de los usuarios en el lado de Linux. Agregue y modifique algunos usuarios en Active Directory y vea cómo estos cambios están disponibles en las dos máquinas virtuales. También pruebe las funciones de sobrescritura de SSSD y cree algunos usuarios locales en SSSD.

Manejo de miembros de dominio de Windows

Algunas organizaciones tienden a ejecutar Windows en sus computadoras de escritorio. Ya hemos unido una máquina virtual de Windows al dominio. Una vez agregada la máquina virtual, los usuarios del dominio pueden iniciar sesión en ella. El uso de recursos compartidos SMB es bastante fácil: después de que un usuario ingresa la ruta UNC a un recurso compartido en el Explorador, se establece una conexión con el servidor respectivo y se abre el recurso compartido.

Cuando una computadora con Windows se une a un dominio de Active Directory, queda sujeta a varias funciones de administración de Active Directory. Una de estas características son los scripts de inicio de sesión, que se ejecutan en el cliente cuando un usuario inicia sesión. Samba puede alojar dichos scripts de inicio de sesión e indicar a los clientes de Windows que los ejecuten.

Un enfoque más complejo para la administración de Windows son los objetos de directiva de grupo (GPO). Este es un tema complejo. Los GPO pueden especificar una gran cantidad de propiedades de los sistemas Windows. Puede utilizar varios criterios para definir si un GPO se aplica a un equipo específico o un usuario específico. Microsoft proporciona un Política de grupo para principiantes guía, que es un buen primer paso hacia los GPO.

Los controladores Samba Active Directory pueden alojar GPO. Los GPO se almacenan en el SYSVOL share, que se replica entre los controladores de dominio. En el caso de Samba, esta replicación podría ser unidireccional desde el controlador de dominio que tiene la función FSMO del emulador de PDC. En este caso, asegúrese de ejecutar la utilidad de administración de GPO en ese servidor específico.

Para obtener más información sobre los GPO, intente definir un GPO que monte un recurso compartido CIFS y otro GPO que restringe el acceso al Panel de control. Intente asignar estos GPO a algunos de sus usuarios y confirme que son efectivos después de iniciar sesión en el cliente de Windows como los usuarios respectivos. Tómese su tiempo para revisar las distintas opciones y familiarizarse con el manejo de los GPO.

Para cada usuario, Windows crea un perfil que almacena información de configuración y archivos, como los que se encuentran en el escritorio del usuario. Cuando un usuario usa varias computadoras, es beneficioso asegurarse de que todas las computadoras accedan al mismo perfil. La wiki de Samba explica cómo configurar los redirecciones de carpetas de perfil.

Un paso más para dar

Hoy, hemos aprendido mucho sobre la configuración de los clientes de Samba. Como de costumbre, no olvide revisar los objetivos del examen y echar un vistazo a los aspectos que no se mencionaron explícitamente en esta publicación.

La próxima publicación de esta serie completará los preparativos para el examen de entornos mixtos LPIC-3. Veremos cómo podemos usar FreeIPA para crear un dominio que permita la gestión centralizada de los clientes de autenticación de Linux y cómo configurar ese dominio para que coexista con Active Directory. También revisaremos el protocolo NFS, que es una alternativa a SMB, especialmente cuando se entregan archivos a clientes que ejecutan un sistema operativo distinto de Windows.
 

<< Leer el post anterior de esta serie | Lea la próxima publicación de esta serie >>

Acerca de Fabian Thorns:

Fabian Thorns

Fabian Thorns is the Director of Product Development at Linux Professional Institute, LPI. He is M.Sc. Business Information Systems, a regular speaker at open source events and the author of numerous articles and books. Fabian has been part of the exam development team since 2010. Connect with him on LinkedIn, XING or via email (fthorns at lpi.org).