Vincular Ubuntu Linux con Active Directory (dominio) Microsoft

Dominio Microsoft Ubuntu

Esta guía describe como vincular un equipo Ubuntu Linux, con un controlador de dominio Microsoft, para que los usuarios miembros del dominio de una empresa puedan hacer login en equipos linux y tener permisos adecuados en ellos.

Requisitos:

  • Equipo con Ubuntu Desktop instalado y conectado a la red del dominio.
  • Directorio Activo configurado y funcional.
  • Cuenta de dominio con privilegios para adjuntar un equipo al dominio.

Actualizar Ubuntu:
apt-get update
apt-get upgrade

Si tienes instalado SSH y es necesario restringir el acceso a algunos grupos del dominio, edita: /etc/ssh/sshd_config y añade al final:
AllowGroups root Grupo-del-Dominio1 Grupo-del-Dominio2

Instalar realmd y sssd:
apt-get install realmd sssd

Editar: /etc/realmd.conf / es probable que esté en blanco (no exista)
[service]
automatic-install = no

Editar: /etc/sssd/sssd.conf
[nss]
filter_groups = root
filter_users = root
reconnection_retries = 3
[pam]
reconnection_retries = 3

Cambiar permisos sssd.conf:
chmod 600 /etc/sssd/sssd.conf

Instalar paquetería necesaria:
apt-get install samba-common-bin samba-libs sssd-tools krb5-user adcli

(en el punto anterior si pregunta por el dominio es tu dominio en mayusculas ej. EJEMPLO.LOCAL)

Obten ticket kerberos con el usuario que va a unir el equipo al dominio:
kinit usuario@EJEMPLO.LOCAL

Une el equipo al dominio:
realm --verbose join ejemplo.local --user-principal=nombrepc/usuario@EJEMPLO.LOCAL --unattended

Editar: /etc/sssd/sssd.conf y comentar:
#use_fully_qualified_names = True

Editar: /etc/security/access.conf y añadir al final grupos que podrán hacer login en el equipo (bloqueando acceso a todos los demás):
+ : root : ALL
+ : Grupo-del-Dominio1 : ALL
+ : Grupo-del-Dominio2 : ALL
- : ALL : ALL

Editar: /etc/nsswitch.conf y quitar sss en:
sudoers: files

Editar: /etc/sudoers y añadir grupos del dominio que podrán hacer sudo:
%Grupo-Con-Sudo ALL=(ALL) ALL

Editar: /etc/pam.d/common-auth y añadir forward_pass:
auth [success=1 default=ignore] pam_sss.so use_first_pass forward_pass

Editar: /etc/pam.d/common-session y añadir despues de -> session required pam_unix.so:
session optional pam_mkhomedir.so

Crear carpeta lightdm:
mkdir -p /etc/lightdm/lightdm.conf.d

Editar: /etc/lightdm/lightdm.conf.d/50-my-custom-config.conf para que el greeter no muestre todos los usuarios (y quitar invitado):
[SeatDefaults]
greeter-hide-users=true
greeter-show-manual-login=true
allow-guest=false

Reiniciar el equipo:
reboot

En cuanto el equipo inicie ya se podrá hacer login con credenciales del dominio MS.

1 comentario

  1. jordi dice: Responder

    Curioso artículo, muy interesante.

    Saludos