{"id":30972,"date":"2021-05-17T21:52:34","date_gmt":"2021-05-17T19:52:34","guid":{"rendered":"https:\/\/eltallerdelbit.com\/?p=30972"},"modified":"2024-04-03T12:59:42","modified_gmt":"2024-04-03T10:59:42","slug":"unir-linux-a-active-directory","status":"publish","type":"post","link":"https:\/\/eltallerdelbit.com\/unir-linux-a-active-directory\/","title":{"rendered":"C\u00f3mo unir Linux a Active Directory (Dominios de Windows)"},"content":{"rendered":"<h2>Vamos a ver c\u00f3mo <strong>unir Linux a <em>Active Directory<\/em><\/strong> utilizando <em>Realmd<\/em>.<\/h2>\n<p>&nbsp;<\/p>\n<p><a href=\"https:\/\/access.redhat.com\/documentation\/en-us\/red_hat_enterprise_linux\/7\/html\/windows_integration_guide\/ch-configuring_authentication\" target=\"_blank\" rel=\"nofollow noopener\"><em>Realmd<\/em> permite unir Linux a Active Directory, es decir que permite a clientes linux realizar la integraci\u00f3n con un dominio de <em>Active Directory<\/em><\/a> y utilizar ciertos recursos de <em>Active Directory<\/em> como la autenticaci\u00f3n de usuarios, identidades y DNS. Adem\u00e1s de servicios de sudo que veremos m\u00e1s adelante.<br \/>\n&nbsp;<br \/>\nEn este caso vamos a trabajar con <em>Red Ha<\/em>t \/<em>CentOS<\/em>;<br \/>\n<img decoding=\"async\" loading=\"lazy\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory-1024x546.jpg\" alt=\"unir cliente linux a dominio active directory\" width=\"1024\" height=\"546\" class=\"aligncenter size-large wp-image-31184\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory-1024x546.jpg 1024w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory-300x160.jpg 300w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory-768x410.jpg 768w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory-1080x576.jpg 1080w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/unir-cliente-linux-a-dominio-active-directory.jpg 1200w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><br \/>\n&nbsp;<br \/>\nEn este art\u00edculo (Autor: <a href=\"#autor_daniel_grasa\">Daniel Grasa<\/a>):<br \/>\n&nbsp;<\/p>\n<ul>\n<li><a href=\"#dominio_fqdn_nombre_host\">A\u00f1adir dominio FQDN\u00a0 al nombre de host<\/a><\/li>\n<li><a href=\"#establecer_dominio_busqueda_y_dns\">Establecer dominio de b\u00fasqueda\u00a0 y servidores DNS<\/a>\n<ul>\n<li><a href=\"#reiniciar_cliente\">reiniciar cliente Linux<\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"#instalar_samba_realm\">Instalar Samba y realm<\/a><\/li>\n<li><a href=\"#inspeccionar_dominio_con_realm\">Inspeccionar el dominio al que vamos a unirnos<\/a><\/li>\n<li><a href=\"#unir_equipo_a_dominio\">A\u00f1adimos el equipo al dominio de AD<\/a><\/li>\n<li><a href=\"#comprobar_estamos_en_dominio\">Comprobamos que estamos en el dominio<\/a><\/li>\n<li><a href=\"#reiniciar_agente_sssd\">Reiniciamos el agente sssd<\/a><\/li>\n<li><a href=\"#habilitar_agente_sssd\">Habilitamos el agente de inicio de sesi\u00f3n<\/a><\/li>\n<li><a href=\"#habilitar_mkdirhome_sssd\">Habilitaremos la funci\u00f3n &#8220;<em>generar directorio<\/em>s&#8221; en sssd<\/a><\/li>\n<li><a href=\"#revisamos_status_agente_sssd\">Revisamos el status del agente sssd<\/a> (que inicie durante el arranque)\n<ul>\n<li><a href=\"#revisamos_oddjobd_service_mkdirhome\">Revisamos que la funci\u00f3n arranca el modulo <em>oddjobd.service<\/em>, para que funcione <em>mkdirhome<\/em><\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li>EN DEBIAN:\n<ul>\n<li><a href=\"#debian_mkdirhome_pam_auth\">a\u00f1adir la funci\u00f3n <em>mkdirome<\/em> al <em>pam.auth<\/em><\/a><\/li>\n<\/ul>\n<\/li>\n<li>Iniciamos sesi\u00f3n:\n<ul>\n<li><a href=\"#iniciar_sesion_nombre_dominio\">usando nombre de dominio<\/a><\/li>\n<li><a href=\"#iniciar_sesion_nombre_netbios\">usando nombre NETBIOS<\/a><\/li>\n<p>&nbsp;\n<\/ul>\n<p>&nbsp;\n<\/li>\n<li><a href=\"#modificar_sssd_conf\">Modificar <em>\/etc\/sssd\/sssd.conf<\/em><\/a>\n<ul>\n<li><a href=\"#modificar_obligatoriedad _fqdn\">cambiar la obligatoriedad del uso de <em>FQDN<\/em><\/a><\/li>\n<\/ul>\n<\/li>\n<li><a href=\"#otras_modificaciones_interesantes_sssd_conf\">Otras modificaciones interesantes en la directiva de <em>sssd.conf<\/em><\/a>\n<ul>\n<li><a href=\"#permitir_grupos_sudoers\">C\u00f3mo permitir grupos al sudoers<\/a><\/li>\n<li><a href=\"#cambiar_shell_usuarios_ad\">Cambiar el shell de los usuarios de AD<\/a><\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>realm une un cliente linux a un servidor Active Directory, as\u00ed que primero tenemos que crear su nombre <em>netbios<\/em> del equipo con el <em>FQDN<\/em> del dominio de AD (<a href=\"\/tag\/active-directory\/\" target=\"_blank\" rel=\"noopener\">Active Directory<\/a>);<\/p>\n<p>Editamos el fichero <a href=\"\/sudo-imposible-resolver-el-anfitrion\/\" rel=\"noopener\" target=\"_blank\"><em>\/etc\/hostname<\/em> y <em>\/etc\/hosts<\/em><\/a><\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"dominio_fqdn_nombre_host\">Primero a\u00f1adimos el dominio FQDN de Active Directory al nombre de host:<\/p>\n<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@MeesekCentOS8 ~]# cat \/etc\/hostname\r\nCentOS8AD.lagunica.local\r\n\r\n\r\n[root@MeesekCentOS8 ~]# cat \/etc\/hosts\r\n127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 CentOS8AD.lagunica.local\r\n::1 localhost localhost.localdomain localhost6 localhost6.localdomain6\r\n\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"establecer_dominio_busqueda_y_dns\">Despu\u00e9s tenemos que establecer el dominio de busqueda y los <a href=\"\/servidor-dns-linux\/\" title=\"Crear y configurar un Servidor DNS Linux\" rel=\"noopener\" target=\"_blank\">servidores DNS<\/a> que deber\u00e1n de apuntar al <strong><a href=\"\/los-servicios-de-active-directory-no-estan-disponibles\/\" rel=\"noopener\" target=\"_blank\">dominio de Active Directory<\/a><\/strong>.<\/p>\n<p align=\"left\">Para ello utilizaremos la herramienta nmtui (Network manager TIU), al iniciarlo lo primero que nos encontraremos es una lista con las opciones que nos permite realizar el programa, en este caso vamos a modificar una interfaz, por lo que seleccionaremos la primera opci\u00f3n<\/p>\n<\/li>\n<\/ul>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-31178\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-conexion.png\" alt=\"nmtui modificar conexion\" width=\"507\" height=\"296\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-conexion.png 507w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-conexion-300x175.png 300w\" sizes=\"(max-width: 507px) 100vw, 507px\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\" align=\"left\">En la siguiente pantalla nos aparecer\u00e1 una lista con todas las <a href=\"\/configurar-red-centos-7\/\" title=\"Configurar la red en Centos 7\" rel=\"noopener\" target=\"_blank\">interfaces que podemos modificar<\/a>, en este caso solo tenemos una:<\/p>\n<p align=\"left\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-31179\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-interfaz.png\" alt=\"nmtui modificar interfaz\" width=\"378\" height=\"365\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-interfaz.png 378w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-interfaz-300x290.png 300w\" sizes=\"(max-width: 378px) 100vw, 378px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p style=\"text-align: center;\" align=\"left\">Nos moveremos con el tabulador hasta seleccionar la opci\u00f3n &#8220;<em>Editar<\/em>&#8221; :<\/p>\n<p align=\"left\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-31180\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-editar-conexion.png\" alt=\"nmtui editar conexion\" width=\"736\" height=\"643\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-editar-conexion.png 736w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-editar-conexion-300x262.png 300w\" sizes=\"(max-width: 736px) 100vw, 736px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p align=\"left\">Ahora volveremos a movernos hasta el apartado de servidores DNS donde estableceremos nuestro servidor de Active Directory, y nos volveremos a dirigir al apartado de &#8220;<em>Busqueda de dominios<\/em>&#8221; en el que pulsaremos el bot\u00f3n &#8220;<em>A\u00f1adir<\/em>&#8221; para que nos genere el campo en el que a\u00f1adiremos nuestro dominio, en este caso lagunica.local :<\/p>\n<p align=\"left\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-31181\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-dns.png\" alt=\"nmtui modificar dns\" width=\"722\" height=\"325\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-dns.png 722w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/nmtui-modificar-dns-300x135.png 300w\" sizes=\"(max-width: 722px) 100vw, 722px\" \/><\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p align=\"left\">Una vez aplicados los cambios comprobaremos que el fichero &#8220;<em>\/etc\/resolv.conf<\/em>&#8221; se ha actualizado con la nueva informaci\u00f3n<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# cat \/etc\/resolv.conf\r\n# Generated by NetworkManager\r\nsearch lagunica.local\r\nnameserver 192.168.0.210\r\nnameserver 8.8.8.8\r\nnameserver 192.168.0.253\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p align=\"left\">Una vez hecho los primeros pasos para <strong>unir el equipo linux a dominio Windows<\/strong>, procederemos a reiniciar el cliente Linux para aplicar los cambios del nombre de equipo<\/p>\n<ul>\n<li>\n<p id=\"reiniciar_cliente\">Reiniciamos el cliente Linux<\/p>\n<\/li>\n<\/ul>\n<p>&nbsp;<br \/>\n<\/p>\n<ul>\n<li>\n<p id=\"instalar_samba_realm\">Una vez hecho tenemos que <a title=\"Servidor Samba en Linux\" href=\"\/servidor-samba\/\" target=\"_blank\" rel=\"noopener\">instalar <em>samba<\/em><\/a> y <em>realm<\/em>, el programa que nos facilitar\u00e1 mucho el trabajo<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation authselect-compat\r\n<\/pre>\n<p>&nbsp;<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# dnf install realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation authselect-compat\r\n\u00daltima comprobaci\u00f3n de caducidad de metadatos hecha hace 0:16:02, el lun 22 mar 2021 16:36:43 EDT.\r\nEl paquete realmd-0.16.3-19.el8.x86_64 ya est\u00e1 instalado.\r\nEl paquete sssd-2.3.0-9.el8.x86_64 ya est\u00e1 instalado.\r\nEl paquete oddjob-0.34.5-3.el8.x86_64 ya est\u00e1 instalado.\r\nEl paquete oddjob-mkhomedir-0.34.5-3.el8.x86_64 ya est\u00e1 instalado.\r\nEl paquete adcli-0.8.2-7.el8.x86_64 ya est\u00e1 instalado.\r\nEl paquete samba-common-4.12.3-12.el8.3.noarch ya est\u00e1 instalado.\r\nEl paquete authselect-compat-1.2.1-2.el8.x86_64 ya est\u00e1 instalado.\r\nDependencias resueltas.\r\n=================================================================================================================================================================================================================\r\nPaquete Arquitectura Versi\u00f3n Repositorio Tam.\r\n=================================================================================================================================================================================================================\r\nInstalando:\r\nkrb5-workstation x86_64 1.18.2-5.el8 baseos 955 k\r\nsamba-common-tools x86_64 4.12.3-12.el8.3 baseos 484 k\r\nInstalando dependencias:\r\nlibkadm5 x86_64 1.18.2-5.el8 baseos 185 k\r\nsamba-libs x86_64 4.12.3-12.el8.3 baseos 188 k\r\n\r\nResumen de la transacci\u00f3n\r\n=================================================================================================================================================================================================================\r\nInstalar 4 Paquetes\r\n\r\nTama\u00f1o total de la descarga: 1.8 M\r\nTama\u00f1o instalado: 5.0 M\r\n\u00bfEst\u00e1 de acuerdo [s\/N]?:\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"inspeccionar_dominio_con_realm\">Una vez hecho esto vamos a inspeccionar el dominio al que vamos a unirnos.<\/li>\n<\/ul>\n<p>En ocasiones el nombre completo de dominio no funciona y tenemos que utilizar nombre de NETBIOS o viceversa. En este caso vemos que funciona con el nombre completo del dominio, y no con el nombre NETBIOS:<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# realm discover lagunica.local\r\nlagunica.local\r\ntype: kerberos\r\nrealm-name: LAGUNICA.LOCAL\r\ndomain-name: lagunica.local\r\nconfigured: no\r\nserver-software: active-directory\r\nclient-software: sssd\r\nrequired-package: oddjob\r\nrequired-package: oddjob-mkhomedir\r\nrequired-package: sssd\r\nrequired-package: adcli\r\nrequired-package: samba-common-tools\r\n\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p align=\"left\">Si no funciona mediante <a href=\"\/resolucion-dns-dig-linux\/\" title=\"Resoluci\u00f3n DNS con dig | Linux\" rel=\"noopener\" target=\"_blank\">resoluci\u00f3n de nombre DNS<\/a> (el paso previo) , siempre se puede probar a resolver por el nombre de netbios.<\/p>\n<p align=\"left\">En este caso ser\u00eda:<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# realm discover LAGUNICA\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p align=\"left\">Una vez comprobado que tenemos comunicaci\u00f3n con el mismo y que el programa lo reconoce correctamente procedemos a unirlo con <em>realm<\/em><\/p>\n<ul>\n<li>\n<p id=\"unir_equipo_a_dominio\">Ahora vamos a proceder a a\u00f1adir el equipo al dominio de Active Directory con realm :<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# realm join -U Administrador lagunica.local\r\nContrase\u00f1a para Administrador:\r\n[root@CentOS8AD ~]#\r\n<\/pre>\n<p>el comando <em>join<\/em> de <em>realm<\/em> permite <strong>unir el equipo al dominio<\/strong> indicado.<\/p>\n<p>-U Especifica el usuario a utilizar para unir el dominio<\/p>\n<p>Podemos revisar la <a href=\"https:\/\/access.redhat.com\/documentation\/en-us\/red_hat_enterprise_linux\/7\/html\/windows_integration_guide\/cmd-realmd\" target=\"_blank\" rel=\"nofollow noopener\">lista de comandos de <em>realm<\/em><\/a> desde la documentaci\u00f3n oficial de Red Hat.<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"comprobar_estamos_en_dominio\">Comprobamos que estamos en el dominio :<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# realm list\r\nlagunica.local\r\ntype: kerberos\r\nrealm-name: LAGUNICA.LOCAL\r\ndomain-name: lagunica.local\r\nconfigured: kerberos-member\r\nserver-software: active-directory\r\nclient-software: sssd\r\nrequired-package: oddjob\r\nrequired-package: oddjob-mkhomedir\r\nrequired-package: sssd\r\nrequired-package: adcli\r\nrequired-package: samba-common-tools\r\nlogin-formats: %U@lagunica.local\r\nlogin-policy: allow-realm-logins\r\n\r\n<\/pre>\n<p>&nbsp;<br \/>\n<br \/>\n&nbsp;<\/p>\n<p style=\"text-align: center;\">Si nos dirigimos al dominio veremos tambi\u00e9n en la lista:<\/p>\n<p><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter size-full wp-image-31182\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/realm-nuevos-hosts-en-dominio.png\" alt=\"realm nuevos hosts en dominio\" width=\"254\" height=\"45\" \/><br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"reiniciar_agente_sssd\" align=\"left\">Reiniciamos el servicio del agente de inicio de sesi\u00f3n ssssd<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# systemctl restart sssd\r\n\r\n[root@CentOS8AD ~]# systemctl status sssd\r\n\u25cf sssd.service - System Security Services Daemon\r\nLoaded: loaded (\/usr\/lib\/systemd\/system\/sssd.service; enabled; vendor preset: enabled)\r\nActive: active (running) (thawing) since Mon 2021-03-22 17:09:43 EDT; 5s ago\r\nMain PID: 25552 (sssd)\r\nTasks: 5 (limit: 23663)\r\nMemory: 41.0M\r\nCGroup: \/system.slice\/sssd.service\r\n\u251c\u250025552 \/usr\/sbin\/sssd -i --logger=files\r\n\u251c\u250025554 \/usr\/libexec\/sssd\/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files\r\n\u251c\u250025555 \/usr\/libexec\/sssd\/sssd_be --domain lagunica.local --uid 0 --gid 0 --logger=files\r\n\u251c\u250025556 \/usr\/libexec\/sssd\/sssd_nss --uid 0 --gid 0 --logger=files\r\n\u2514\u250025557 \/usr\/libexec\/sssd\/sssd_pam --uid 0 --gid 0 --logger=files\r\n\r\nmar 22 17:09:42 CentOS8AD.lagunica.local systemd[1]: sssd.service: Succeeded.\r\nmar 22 17:09:42 CentOS8AD.lagunica.local systemd[1]: Stopped System Security Services Daemon.\r\nmar 22 17:09:42 CentOS8AD.lagunica.local systemd[1]: Starting System Security Services Daemon...\r\nmar 22 17:09:42 CentOS8AD.lagunica.local sssd[25552]: Starting up\r\nmar 22 17:09:42 CentOS8AD.lagunica.local be[lagunica.local][25555]: Starting up\r\nmar 22 17:09:42 CentOS8AD.lagunica.local be[implicit_files][25554]: Starting up\r\nmar 22 17:09:43 CentOS8AD.lagunica.local pam[25557]: Starting up\r\nmar 22 17:09:43 CentOS8AD.lagunica.local nss[25556]: Starting up\r\nmar 22 17:09:43 CentOS8AD.lagunica.local systemd[1]: Started System Security Services Daemon.\r\n[root@CentOS8AD ~]#\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"habilitar_agente_sssd\">Habilitamos el agente de inicio de sesi\u00f3n:<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# sudo authselect select sssd with-mkhomedir\r\nPerfil \"sssd\" fue seleccionado.\r\nLos siguientes mapas nsswitch est\u00e1n sobrescritos por el perfil:\r\n- passwd\r\n- group\r\n- netgroup\r\n- automount\r\n- services\r\n\r\nMake sure that SSSD service is configured and enabled. See SSSD documentation for more information.\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"habilitar_mkdirhome_sssd\">Para que ssd pueda generar los directorios home del usuario AD, habilitaremos la funci\u00f3n <em>mkhomedir<\/em> en sssd<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# sudo authselect select sssd with-mkhomedir\r\nPerfil \"sssd\" fue seleccionado.\r\nLos siguientes mapas nsswitch est\u00e1n sobrescritos por el perfil:\r\n- passwd\r\n- group\r\n- netgroup\r\n- automount\r\n- services\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"revisamos_status_agente_sssd\">Nos aseguraremos que el agente SSSD inicia durante el arranque<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[ylittner@CentOS8AD ~]$ systemctl status sssd\r\n\u25cf sssd.service - System Security Services Daemon\r\n   Loaded: loaded (\/usr\/lib\/systemd\/system\/sssd.service; enabled; vendor preset: enabled)\r\n   Active: active (running) since Mon 2021-03-22 18:08:53 EDT; 7min ago\r\n Main PID: 733 (sssd)\r\n    Tasks: 5 (limit: 23663)\r\n   Memory: 66.6M\r\n   CGroup: \/system.slice\/sssd.service\r\n           \u251c\u2500733 \/usr\/sbin\/sssd -i --logger=files\r\n           \u251c\u2500753 \/usr\/libexec\/sssd\/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files\r\n           \u251c\u2500754 \/usr\/libexec\/sssd\/sssd_be --domain lagunica.local --uid 0 --gid 0 --logger=files\r\n           \u251c\u2500759 \/usr\/libexec\/sssd\/sssd_nss --uid 0 --gid 0 --logger=files\r\n           \u2514\u2500760 \/usr\/libexec\/sssd\/sssd_pam --uid 0 --gid 0 --logger=files\r\n\r\nmar 22 18:08:52 CentOS8AD.lagunica.local be[lagunica.local][754]: Starting up\r\nmar 22 18:08:53 CentOS8AD.lagunica.local nss[759]: Starting up\r\nmar 22 18:08:53 CentOS8AD.lagunica.local pam[760]: Starting up\r\nmar 22 18:08:53 CentOS8AD.lagunica.local systemd[1]: Started System Security Services Daemon.\r\nmar 22 18:08:57 CentOS8AD.lagunica.local be[lagunica.local][754]: Backend is online\r\nmar 22 18:08:58 CentOS8AD.lagunica.local adcli[1137]: GSSAPI client step \r\n[ylittner@CentOS8AD ~]$\r\nMake sure that SSSD service is configured and enabled. See SSSD documentation for more information.\r\n\r\n- with-mkhomedir is selected, make sure pam_oddjob_mkhomedir module\r\n  is present and oddjobd service is enabled and active\r\n  - systemctl enable --now oddjobd.service\r\n\r\nMake sure that SSSD service is configured and enabled. See SSSD documentation for more information.\r\n<\/pre>\n<p>&nbsp;<br \/>\n<br \/>\n&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"revisamos_oddjobd_service_mkdirhome\">Nos aseguramos que la funci\u00f3n arranca el modulo <em>oddjobd.service<\/em>, para que funcione <em>mkdirhome<\/em>:<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# systemctl enable --now oddjobd.service\r\n[ylittner@CentOS8AD ~]$ systemctl status oddjobd.service\r\n\u25cf oddjobd.service - privileged operations for unprivileged applications\r\nLoaded: loaded (\/usr\/lib\/systemd\/system\/oddjobd.service; enabled; vendor preset: disabled)\r\nActive: active (running) since Mon 2021-03-22 18:08:54 EDT; 8min ago\r\nMain PID: 777 (oddjobd)\r\nTasks: 1 (limit: 23663)\r\nMemory: 1.4M\r\nCGroup: \/system.slice\/oddjobd.service\r\n\u2514\u2500777 \/usr\/sbin\/oddjobd -n -p \/var\/run\/oddjobd.pid -t 300\r\n\r\nmar 22 18:08:54 CentOS8AD.lagunica.local systemd[1]: Started privileged operations for unprivileged applications.\r\n[ylittner@CentOS8AD ~]$\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>EN DEBIAN:<\/li>\n<\/ul>\n<p id=\"debian_mkdirhome_pam_auth\">En este caso tenemos que a\u00f1adir la funci\u00f3n <em>mkdirome<\/em> al <em>pam.auth<\/em><\/p>\n<p>Para poder iniciar sesi\u00f3n deberemos de utilizar el nombre de dominio <em>FQDN<\/em> para iniciar sesi\u00f3n de la siguiente forma:<\/p>\n<p id=\"iniciar_sesion_nombre_dominio\"> &#8211;>   Iniciar sesi\u00f3n usando el nombre de dominio:<\/p>\n<pre lang=\"xml\" escaped=\"true\">PS C:\\Users\\daniwxp11&gt; ssh lagunica.local\\daniel@192.168.0.42\r\nlagunica.local\\daniel@192.168.0.42's password:\r\nActivate the web console with: systemctl enable --now cockpit.socket\r\n\r\nLast login: Mon Mar 22 19:38:38 2021 from 192.168.0.26\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p id=\"iniciar_sesion_nombre_netbios\"> &#8211;>  Iniciar sesi\u00f3n usando el nombre NETBIOS:<\/p>\n<pre lang=\"xml\" escaped=\"true\">PS C:\\Users\\daniwxp11&gt; ssh lagunica.local\\daniel@192.168.0.42\r\nlagunica.local\\daniel@192.168.0.42's password:\r\nActivate the web console with: systemctl enable --now cockpit.socket\r\n\r\nLast login: Mon Mar 22 19:38:38 2021 from 192.168.0.26\r\n\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"modificar_sssd_conf\">Desde el fichero &#8220;<em>\/etc\/sssd\/sssd.conf<\/em>&#8221; podemos cambiar ciertos comportamientos de la integraci\u00f3n como si hace falta usar FQDN, como se generan los directorios home,etc\u2026<\/li>\n<\/p>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# cat \/etc\/sssd\/sssd.conf\r\n\r\n[sssd]\r\ndomains = lagunica.local\r\nconfig_file_version = 2\r\nservices = nss, pam\r\n\r\n[domain\/lagunica.local]\r\nad_domain = lagunica.local\r\nkrb5_realm = LAGUNICA.LOCAL\r\nrealmd_tags = manages-system joined-with-adcli\r\ncache_credentials = True\r\nid_provider = ad\r\nkrb5_store_password_if_offline = True\r\ndefault_shell = \/bin\/bash\r\nldap_id_mapping = True\r\nuse_fully_qualified_names = True\r\nfallback_homedir = \/home\/%u@%d\r\naccess_provider = ad\r\n<\/pre>\n<p>&nbsp;<\/p>\n<ul>\n<li>\n<p id=\"modificar_obligatoriedad _fqdn\">Vamos a cambiar la obligatoriedad del uso de <em>FQDN ,<\/em> para ello cambiaremos el booleano por <em>false<\/em>:<\/p>\n<\/li>\n<\/ul>\n<pre lang=\"xml\" escaped=\"true\">use_fully_qualified_names = False\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>Despu\u00e9s de cada cambio en el agente deberemos de reiniciar el servicio sssd para que los cambios surjan efecto<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>Desde el cliente podemos limitar qu\u00e9 usuarios o grupos pueden entrar a la maquina<\/li>\n<\/ul>\n<p>Vamos a permitir que solo paco acceda a la maquina (<em>Paco<\/em> pertenece al &#8220;<em>grupo6<\/em>&#8220;):<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# realm permit paco@lagunica.local\r\n\r\n[root@CentOS8AD ~]# realm permit -g grupo6\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>Mostramos c\u00f3mo ha quedado la configuraci\u00f3n del fichero <em>sssd.conf<\/em>:<\/p>\n<pre lang=\"xml\" escaped=\"true\">[root@CentOS8AD ~]# cat \/etc\/sssd\/sssd.conf\r\n\r\n[sssd]\r\ndomains = lagunica.local\r\nconfig_file_version = 2\r\nservices = nss, pam\r\n\r\n[domain\/lagunica.local]\r\nad_domain = lagunica.local\r\nkrb5_realm = LAGUNICA.LOCAL\r\nrealmd_tags = manages-system joined-with-adcli\r\ncache_credentials = True\r\nid_provider = ad\r\nkrb5_store_password_if_offline = True\r\ndefault_shell = \/bin\/bash\r\nldap_id_mapping = True\r\nuse_fully_qualified_names = True\r\nfallback_homedir = \/home\/%u@%d\r\naccess_provider = simple\r\nsimple_allow_users = paco\r\nsimple_allow_groups = grupo6\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>Como vemos, todo cambio con el realm, afecta al sssd.conf, y por ello deberemos reiniciar el servicio para aplicar cambios<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h3 id=\"otras_modificaciones_interesantes_sssd_conf\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">Otras modificaciones interesantes en la directiva de sssd.conf<\/span><\/h3>\n<p>&nbsp;<\/p>\n<p id=\"permitir_grupos_sudoers\"> &#8211;> <span style=\"text-decoration: underline;\">C\u00f3mo permitir grupos al sudoers<\/span><\/p>\n<p>&nbsp;<br \/>\npara ello tenemos que poner<\/p>\n<pre lang=\"xml\" escaped=\"true\">Grupos\r\n%grupo6@lagunica.local\r\nUsuarios\r\npaco.laguna.local\r\n<\/pre>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p id=\"cambiar_shell_usuarios_ad\"> &#8211;> <span style=\"text-decoration: underline;\">Cambiar el shell de los usuarios de AD<\/span><\/p>\n<p>Para ello modificaremos el fichero &#8220;\/etc\/sssd\/sss.conf&#8221; y cambiaremos la siguiente linea<\/p>\n<pre lang=\"xml\" escaped=\"true\">default_shell = \/bin\/sh\r\n<\/pre>\n<p>Recordad que despu\u00e9s de cada cambio hay que reiniciar el servicio sssd<\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>Y ya est\u00e1, acabamos de ver c\u00f3mo <strong>unir linux a active directory<\/strong>; por medio de <em>realmd<\/em> podremos realizar la <strong>uni\u00f3n de linux con un dominio Windows<\/strong>, trabajando tambi\u00e9n con el agente sssd y diversas opciones<br \/>\n&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<p>&nbsp;<\/p>\n<h4 id=\"autor_daniel_grasa\" style=\"text-align: center;\"><span style=\"text-decoration: underline;\">AUTOR\u00cdA DEL ART\u00cdCULO<\/span><\/h4>\n<p>Este art\u00edculo ha sido creado y redactado por <a href=\"https:\/\/www.linkedin.com\/in\/dgrasa\/\" target=\"_blank\" rel=\"noopener\">Daniel Grasa<\/a>, un Operador Helpdesk con muchas ganas de aprender y mejorar en el sector de las Tecnolog\u00edas de la Informaci\u00f3n y los Sistemas Inform\u00e1ticos.<\/p>\n<p>Desde El Taller del Bit valoramos mucho su buen hacer, su esfuerzo, su ilusi\u00f3n y su constante estudio y pr\u00e1ctica de todo lo que cae en sus manos (y en su teclado \ud83d\ude09 ) para mejorar sus capacidades como profesional especializado en Sistemas d\u00eda a d\u00eda.<\/p>\n<p><a href=\"https:\/\/www.linkedin.com\/in\/dgrasa\/\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" loading=\"lazy\" class=\"aligncenter wp-image-31198 size-full\" src=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/daniel-grasa-operador-helpdesk.png\" alt=\"daniel grasa-operador helpdesk\" width=\"769\" height=\"330\" srcset=\"https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/daniel-grasa-operador-helpdesk.png 769w, https:\/\/eltallerdelbit.com\/wp-content\/uploads\/2021\/05\/daniel-grasa-operador-helpdesk-300x129.png 300w\" sizes=\"(max-width: 769px) 100vw, 769px\" \/><\/a><br \/>\n&nbsp;<\/p>\n\n<div style=\"font-size: 0px; height: 0px; line-height: 0px; margin: 0; padding: 0; clear: both;\"><\/div>","protected":false},"excerpt":{"rendered":"<p>Vamos a ver c\u00f3mo unir Linux a Active Directory utilizando Realm, que permite a Linux realizar la integraci\u00f3n con Active Directory.<\/p>\n","protected":false},"author":1,"featured_media":31184,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false},"categories":[1268],"tags":[445,311],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/30972"}],"collection":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/comments?post=30972"}],"version-history":[{"count":31,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/30972\/revisions"}],"predecessor-version":[{"id":31637,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/posts\/30972\/revisions\/31637"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media\/31184"}],"wp:attachment":[{"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/media?parent=30972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/categories?post=30972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eltallerdelbit.com\/wp-json\/wp\/v2\/tags?post=30972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}