LinuxParty

Integrar tu servidor NAS basado en Samba en RHEL/AlmaLinux con un dominio de Active Directory (AD) es una excelente forma de centralizar la autenticación de usuarios en una red corporativa.

Aquí tienes una guía paso a paso para unir tu servidor a un dominio de AD y permitir que usuarios autenticados accedan a recursos compartidos de Samba.

🎯 Objetivo

• Unir el servidor Linux (RHEL/AlmaLinux) a un dominio AD.
• Permitir que usuarios del dominio accedan a recursos compartidos de Samba.
• Opcionalmente, controlar permisos por grupo de dominio.

📋 Requisitos

• El servidor debe tener un nombre de host FQDN (ej. nas01.midominio.local)
• El reloj debe estar sincronizado (usa NTP)
• Acceso a un controlador de dominio (AD basado en Windows Server)
• Paquetes de Samba instalados
• Usuario con permisos para unir equipos al dominio

🛠 Paso 1: Configurar el nombre del equipo y resolver el DNS

Edita el archivo /etc/hostname:

sudo hostnamectl set-hostname nas01.midominio.local

Asegúrate de que tu /etc/hosts y /etc/resolv.conf apunten al servidor de DNS del dominio:

# /etc/resolv.conf
nameserver 192.168.1.10   # IP de tu controlador de dominio
search midominio.local

Verifica:

ping midominio.local
host controlador.midominio.local

⏲ Paso 2: Instalar paquetes necesarios

sudo dnf install -y realmd sssd adcli oddjob oddjob-mkhomedir samba-common-tools krb5-workstation

🔍 Paso 3: Descubrir el dominio

realm discover midominio.local

Si todo va bien, deberías ver la configuración del dominio.

🔑 Paso 4: Unir el sistema al dominio

sudo realm join --user=Administrador midominio.local

Se te pedirá la contraseña de un usuario con permisos para unir máquinas al dominio.

Verifica que estés unido:

realm list

También puedes comprobar con:

id midominio\\juan

🧠 Paso 5: Configurar /etc/samba/smb.conf para dominio

Edita el archivo:

sudo vim /etc/samba/smb.conf

Y asegúrate de que contiene algo como esto:

[global]
   workgroup = MIDOMINIO
   security = ads
   realm = MIDOMINIO.LOCAL
   dedicated keytab file = /etc/krb5.keytab
   kerberos method = secrets and keytab
   winbind use default domain = yes
   winbind enum users = yes
   winbind enum groups = yes
   idmap config * : backend = tdb
   idmap config * : range = 3000-7999
   idmap config MIDOMINIO : backend = rid
   idmap config MIDOMINIO : range = 10000-999999

🔁 Paso 6: Reiniciar servicios

sudo systemctl restart sssd
sudo systemctl restart smb nmb winbind

🧪 Paso 7: Prueba de usuarios de dominio

getent passwd 'midominio\\juan'

📁 Paso 8: Compartir carpeta con permisos de dominio

Por ejemplo, compartir solo para el grupo de dominio NASUsers:

[nascompartido]
   path = /srv/nas/adcompartido
   browseable = yes
   read only = no
   guest ok = no
   valid users = @MIDOMINIO\\NASUsers

Asegúrate de que el grupo de dominio NASUsers exista en el AD.

sudo mkdir -p /srv/nas/adcompartido
sudo chown root:"MIDOMINIO\\NASUsers" /srv/nas/adcompartido
sudo chmod 2770 /srv/nas/adcompartido

⚠️ SELinux:
Si está habilitado, etiqueta la carpeta:

sudo chcon -t samba_share_t /srv/nas/adcompartido

🔒 Opcional: Crear carpetas home para usuarios de dominio

Activa esta opción para que los usuarios de AD tengan su propio directorio home en la primera conexión:

sudo authselect enable-feature with-mkhomedir

✅ Verificación final

Desde un equipo Windows unido al dominio:

• Abre el explorador.
• Escribe \\nas01.midominio.local\nascompartido
• Autentícate con credenciales del dominio.