Linux: Configurar SAMBA Active Directory

Podemos configurar SAMBA para que utilice la autenticación de Active Directory.

Como ya sabemos, SAMBA es una implementación libre del protocolo de compartición de recursos de Microsoft: SMB (Server Message Block)

Para que SAMBA utilice la autenticación de Active Directory será necesario que el equipo donde se instale SAMBA esté añadido al dominio de Active Directory.

Para añadir un equipo Linux CentOS 7 al dominio de Active Directory paso a paso, podemos seguir la siguiente guía:

Linux: Añadir equipo al dominio Windows (SYSADMIT.com)

Una vez este añadido el equipo al dominio de Active Directory, seguiremos el siguiente procedimiento descrito en este post.

Al final de este ejemplo, tendremos un equipo Linux CentOS 7 con un recurso compartido que se llamará: Share y este será accesible desde un grupo de seguridad de Active Directory que se llamará: G1 con permisos de lectura/escritura.

Veamos le procedimiento a seguir:

Linux: Configurar SAMBA Active Directory: Prodedimiento

En primer lugar instalaremos SAMBA y winbind:

Winbind es un servicio para que se puedan ver los objectos de Active Directory (usuarios, grupos, etc...) desde SAMBA.

yum -y install samba samba-client
yum -y install samba-winbind samba-winbind-clients pam_krb5 krb5-workstation

Creamos una carpeta donde situaremos los recursos compartidos de SAMBA:

mkdir /home/samba

Hacemos una copia de seguridad del fichero de configuración original, con el parámetro -a, también copiamos permisos:

cp -a /etc/samba/smb.conf /etc/samba/smb.conf.original

Realizamos una puesta a cero del fichero:

echo "" > /etc/samba/smb.conf

Editamos el fichero de configuración:

vi /etc/samba/smb.conf

Incluimos lo siguiente, teniendo en cuenta que:

* El nombre del equipo es: SYSADMIT-LINUX1
* El nombre del dominio de Active Directory es: SYSADMIT.lab
* La dirección IP del DC es: 192.168.1.52

[global]
    netbios name = SYSADMIT-LINUX1
    #
    server role = member
    idmap uid = 10000-20000
    winbind enum users = yes
    winbind gid = 10000-20000
    workgroup = SYSADMIT
    #
    winbind enum groups = yes
    max log size = 50
    winbind trusted domains only = no
    winbind use default domain = yes
    log file = /var/log/samba/log.%m
    encrypt passwords = yes
    dns proxy = no
    realm = SYSADMIT.lab
    #
    security = ADS
    wins server = 192.168.1.52
    #
    wins proxy = no
    vfs objects = acl_xattr
    map acl inherit = yes
    nt acl support = yes
    store dos attributes = yes

[Share]
 path = /home/samba
 browsable = yes
 read only = no
 guest ok = no
 sync always = no
 strict sync = no
 kernel oplocks = yes
 map acl inherit = yes
 map archive = yes
 inherit permissions = yes
 inherit owner = yes
 store dos attributes = no
 create mask = 0775
 directory mask = 0775
 comment =
 available = yes
 

A continuación editamos el fichero: /etc/nsswitch.conf y añadimos que se pueda utilizar winbind como método de autenticación:

Realizamos una copia de seguridad del fichero:

cp -a /etc/nsswitch.conf /etc/nsswitch.conf.orginal

Editamos el fichero:

vi /etc/nsswitch.conf

Añadimos winbind en passwd y group

quedando así:

passwd:     files sss winbind
shadow:     files sss
group:      files sss winbind

Reiniciamos los servicios y configuramos el inicio de los mismos como automático:

systemctl restart winbind smb nmb
systemctl enable winbind smb nmb

Verificación de conexión con winbind:

Ejecutando:

wbinfo -u

Aparecen los usuarios de Active Directory.

Ejecutando:

wbinfo -g

Aparecen los grupos de seguridad de Active Directory.

Aplicamos permisos de lectura - escritura sobre /home/samba al grupo de seguridad: G1

setfacl -m g:G1:rwX -R /home/samba
chown -R root:G1 /home/samba

Configuramos que solo el grupo G1 pueda acceder al share:

vi /etc/samba/smb.conf

Dentro de la config del share, [Share], añadimos:

valid users = @"G1@SYSADMIT.lab"

Donde G1 es el grupo de seguridad del dominio: SYSADMIT.lab

Reiniciamos los servicios:

systemctl restart winbind smb nmb