LinuxParty

Todo lo que aquí se cuenta se ha probado en una Madrake 9.0 con SAMBA ver.-2.2.6pre2 y se basa en el libro “Usando Samba” (http://lucas.hispalinux.es/Manuales-LuCAS/USANDO- SAMBA/), en varios mensajes de listas de correo pescados al vuelo con las redes de google y en el samba-ltr.pdf (http://www.ibm.com/servers/esdd/tutorials/samba/samba-ltr.pdf)

Lee también nuestro artículo sobre la configuración más reciente y extenso: Cómo configurar un servidor Samba en Linux

Realmente lo único que he hecho es probar lo que se contaba en estos documentos, y luego hacer un resumen lo mas claro y sencillo posible. Con lo que aquí se cuenta conseguí que SAMBA validase la entrada en un dominio windows de máquinas XP y w98, que son las que dispone mi oficina, se supone que las otras versiones (95, ME, NT, 2000) no tengan mayor problema en acceder, pero no lo he probado y no puedo asegurarlo…

Las opciones de configuración de SAMBA que deberemos tener serán las que siguen, ojo que si utilizamos swat habrá que activar la visión avanzada para acceder a alguna de ellas.

[global]
workgroup = INFORMATICA
security = user
domain logons = yes
encrypted passwords = yes

os level = 64
local master = yes
preferred master = yes
domain master = yes

Ademas hay que crear un recurso compartido llamado [netlogon]

[netlogon]
comment = Servicio de conexiones al dominio
path = /home/samba/logon
readonly = yes
browseable = no

Habra que crear una cuenta para cada usuario del dominio. Para clientes NT/XP, también hay que crear una cuenta para cada pc que sea cliente, ya que se autentifica tanto el usuario como la máquina. Según Usando-Samba: “Estas cuentas permiten a una máquina conectarse con el PDC (y no con uno de sus recursos), lo que significa que el PDC puede verificar posteriores conexiones de los usuarios desde ese cliente. A nivel de utilización, una cuenta de confianza es idéntica a una cuenta de usuario. De hecho, vamos a utilizar cuentas de usuario estándar para simular cuentas de confianza.”

Para crear estas cuentas automáticamente al intentar unir una máquina al dominio, se puede añadir la opción:

[globals]
add user script = /usr/sbin/useradd -d /dev/null -s /bin/false -g (grupo_pertinente) -M %u -c 'maquina xp'

Así se creara el usuario bajo SAMBA y bajo linux, aunque bajo linux no sera operativo.

En principio con todo esto SAMBA estará listo para dominar cualquierwindow$ que se le cruce por delante, ahora solo falta un par de cosillas para que alguno de estos windows, concretamente la familia mas eXPecial se entere de que tiene un dominador a su disposicion

El primer problema a tener en cuenta es que la version domestica (“home”) del XP no puede unirse a un dominio, la version profesional si lo permite, y para hacerlo habra que incluir en el registro la clave:

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetlogonParameters]
"requiresignorseal"=dword:00000000

Se puede importar esta clave utilizando el fichero: WinXP_SignOrSeal.reg, que segun algun mensaje deberia estar en docs/Registry dentro de arbol de directorios de samba, pero yo no lo tenia y tuve que buscarlo, el contenido del que yo he utilizado es el que sigue:

-------------------------------------------------- ------------------------
Windows Registry Editor Version 5.00

;
; This registry key is needed for a Windows XP Client to join
; and logon to a Samba domain. Note: Samba 2.2.3a contained
; this key in a broken format which did nothing to the registry -
; however XP reported "registry key imported". If in doubt
; check the key by hand with regedit.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServi cesNetlogonParameters]
"requiresignorseal"=dword:00000000
-------------------------------------------------- ------------------------

A la hora de agregar una maquina al dominio hay que tener en cuenta que solo puede hacerlo un usuario con permiso para escribir tanto en el smbpasswd como en el /etc/passwd, asi que no se puede utilizar un usuario cualquiera, yo lo hice directamente con “root”.

En mi caso no fue necesario, pero dentro de las politicas de seguridad del XP (directivas locales → Opciones de seguridad), hay que tener deshabilitadas:

• Miembro de dominio: Descifrar o firmar digitalmente datos de un canal seguro (siempre)
• Miembro de dominio: Deshabilitar cambios de contraseña de cuentas de equipo.
• Miembro de dominio: Requerir clave de sesion protegida (W2000 o mas reciente)

Se agradecerán los comentarios, correcciones, aportaciones y ocurrencias varias.

Elías Garmón 2002 elias_PUNTO_garmon_ARROBA_hispalinux_PUNTO_es Nov- 2002

Se autoriza la copia y distribución de este documento siempre que se haga de forma integra, adjuntando esta nota.

Postdata: Ademas este documento esta bajo la licencia TintoWare, por la cual si le resulta útil a alguien y lo utiliza se vera obligado, en caso de que se cruce en el camino del autor, a pagarse un vinito tinto con pincho incluido .

http://es.tldp.org/Tutoriales/doc-openldap-samba-cups-python/htmls/index.html