Hace algo así como un año escribí un post que titulado Montando un sistema para clonar Linux y Windows en un colegio, en el que, entre otras cosas, comentaba cómo permitir que los usuarios de un Active Directory pudiesen acceder a los ordenadores del colegio (o la empresa, o lo que sea).
El escenario es el siguiente:
- Servidor Active Directory
- Dos perfiles de usuarios: profesorado y alumnado (por simplificar)
- El profesorado tiene acceso a una serie de carpetas en red, y el alumnado a otras
- Estas carpetas tienen que montarse y ser accesibles tanto en Windows como en Linux
El caso es que, a lo largo del curso, el enfoque del anterior artículo ha dado algunos problemas (sobre todo con aplicaciones no Gnome que intentaban guardar ficheros en las carpetas en red, por el método usado para montarlas), y he tratado de pulirlo para usarlo correctamente este curso. También he cambiado el escritorio que va a usarse a KDE (básicamente, porque soy más de KDE que de Unity / Gnome), aunque es posible que el curso próximo tengamos unos cuantos ordenadores poco potentes, siguiendo este enfoque con LXDE o XFCE.
Bueno, vamos al grano. Vamos a realizar las siguientes suposiciones:
- El dominio se llama: «midominio»
- El nombre FQDN del dominio es: «midominio.fqdn.com»
- El usuario administrador del dominio (o con permisos para añadir equipos al dominio) es «admin»
- El profesorado accede a: una carpeta con su nombre de usuario, una carpeta «Publica» y otra «mediateca». Las dos primeras están en el mismo servidor (fileserver) y la última en otro (mediaserver). Su grupo en el Active Directory es «teachers».
- El alumnado accede sólo a las dos primeras, no a la mediateca. Su grupo en el Active Directory es «students»
- En el servidor «fileserver» tenemos dos carpetas compartidas, «teachers.scripts» y «students.scripts» que contienen una serie de scripts de usuarios. En estas carpetas hay un fichero «version» con la versión de los scripts (sólo un número, nada más, que incremento si cambio los scripts), y una carpeta «bin» con los scripts que hay que ejecutar.
Si queremos usar KDE en Ubuntu, lo lógico sería instalar KUbuntu, pero debido a este bug que ya he reportado, vamos a tener que instalar Ubuntu y después KDE. Ahí van los pasos:
- Instalación base de Ubuntu, iniciar sesión y actualizar (y liberar espacio):
sudo apt-get update sudo apt-get dist-upgrade sudo apt-get autoremove sudo apt-get clean
- Instalar algunos paquetes que vamos a necesitar:
sudo apt-get install samba cifs-utils smbclient ssh kde-standard kde-l10n-es smbnetfs bindfs
Cuando nos pregunte qué gestor de acceso queremos usar, diremos que lightdm.
- Para añadir el equipo al Active Directory usaremos «PowerBroker Identity Services, Open Edition», conocido hasta hace poco como Likewise open. Es necesario instalarlo a mano, pero es muy sencillo:
- Accede a la web de PowerBroker Identity Services, Open Edition y descarga la versión que necesites.
- En mi caso, suelo descargar el fichero con wget, y así ya lo tengo donde lo quiero.
- Cambia el fichero descargado a ejecutable:
chmod u+x pbis-....sh
- Ejecuta e instala (yo le indico que no cree links para aplicaciones legacy, no los necesito).
Ya tenemos instalado todo lo que necesitamos. Ahora vamos a cambiar la configuración necesaria:
Edita /etc/samba/smb.conf e indica el dominio que se va a utilizar:
workgroup = midominio
Reinicia samba:
sudo service samba restart
Añade el equipo al dominio:
sudo domainjoin-cli join midominio.fqdn.com admin@midominio.fqdn.com sudo /opt/pbis/bin/config AssumeDefaultDomain true sudo /opt/pbis/bin/config UserDomainPrefix midominio sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash
Edita el fichero /usr/share/pam-configs/pbis y cambia:
sufficient pam_lsass.so
Por:
[success=ok default=ignore] pam_lsass.so
Edita el fichero /etc/nsswitch.conf y cambia:
hosts: files mdns4_minimal [NOTFOUND=return] dns
Por:
hosts: files dns mdns4_minimal [NOTFOUND=return] mdns4
Reinicia los servicios necesarios:
sudo /opt/pbis/bin/lwsm restart lwio
Crea el fichero /usr/share/pam-configs/my_mkhomedir:
Name: activate mkhomedir Default: yes Priority: 900 Session-Type: Additional Session: required pam_mkhomedir.so umask=0022 skel=/etc/skel
Actualiza la configuración de PAM:
sudo pam-auth-update
Edita el fichero /usr/share/lightdm/lightdm.conf.d/50-unity-greeter.conf para permitir logins manuales, y que el escritorio a utilizar sea KDE. Añade:
allow-guest=false user-session=kde-plasma greeter-show-remote-login=false greeter-show-manual-login=true
Ahora, para que los usuarios puedan loguearse en el dominio y acceder a sus carpetas, necesitamos un par de ficheros en sus perfiles de usuarios, por lo que los copiaremos en /etc/skel. Además, meteremos también un script que se ejecutará al inicio de cada sesión en KDE y creará los accesos necesarios a las unidades de red correspondientes.
sudo mkdir /etc/skel/.smb sudo cp /etc/samba/smb.conf /etc/skel/.smb sudo cp /etc/smbnetfs.conf /etc/skel/.smb sudo chmod o+r /etc/fuse.conf sudo mkdir -p /etc/skel/.kde/Autostart sudo nano /etc/skel/.kde/Autostart/10-login.sh sudo chmod u+x /etc/skel/.kde/Autostart/10-login.sh
El código del script «10-login.sh» lo indico más adelante.
Reiniciamos:
sudo reboot
Con esto ya podemos loguearnos con cualquier usuario del active directory. Ahora vamos con los scripts.
El primer script que vamos a copiar (10-login.sh) va a hacer lo siguiente:
- Si los scripts del servidor ya se han descargado anteriormente, comprobará la versión de éstos. Si es la última no se hace nada, en caso contrario, o si nunca se han descargado, los descarga y los copia en la carpeta «.midominio».
- El comando «smbnetfs» mapea todas las carpetas compartidas del dominio a una carpeta local. Comprobamos que la carpeta exista, y si es el caso, por si las moscas, desmontamos lo que pueda tener montado. La carpeta que vamos a usar es «.servers».
- Si el usuario pertenece al dominio, mapeamos la estructura de carpetas compartidas. En caso de ser alumno o profesor, copiamos los scripts correspondientes (si la versión lo requiere) y ejecutamos el script de inicio.
Y aquí el código del script:
#! /bin/bash function checkandcopy() { localversion=$1 remotepath=$2 remoteversion=`cat $remotepath/version` if [ $localversion != $remoteversion ] then rm -r ~/.midominio/* cp -r $remotepath/* ~/.midominio/ fi } isalumno=`pbis list-groups-for-user $USER | grep students` isprofesor=`pbis list-groups-for-user $USER | grep teachers` isdominio=`pbis list-groups-for-user $USER | grep usuarios^del^dominio` version=-1 if [ -d ~/.midominio ] then if [ -f ~/.midominio/version ] then version=`cat ~/.midominio/version` fi else mkdir ~/.midominio fi if [ -d ~/.servers ] then # For if the flies fusermount -u ~/.servers else mkdir ~/.servers fi if [ ! -z "$isdominio" ] then smbnetfs ~/.servers sleep 5 fi if [ ! -z "$isalumno" ] then checkandcopy version ~/.servers/MIDOMINIO/FILESERVER/students.scripts ~/.midominio/bin/login.sh fi if [ ! -z "$isprofesor" ] then checkandcopy version ~/.servers/MIDOMINIO/FILESERVER/teachers.scripts ~/.midominio/bin/login.sh fi
El script «login.sh» que hay en la carpeta de los profesores vuelve a comprobar que el grupo de seguridad es el adecuado, y usa otro script auxiliar para montar las carpetas necesarias.
#! /bin/bash userhome=/home/local/MIDOMINIO/$USER scriptbase=$userhome/.midominio serversbase=$userhome/.servers isprofesor=`pbis list-groups-for-user $USER | grep teachers` if [ ! -z "$isprofesor" ] then $scriptbase/bin/mountsecure.sh $serversbase/MIDOMINIO/FILESERVER/$USER $userhome/Personal $scriptbase/bin/mountsecure.sh $serversbase/MIDOMINIO/FILESERVER/Publica $userhome/Publica $scriptbase/bin/mountsecure.sh $serversbase/MIDOMINIO/MEDIASERVER/mediateca $userhome/Mediateca fi
Y el script «mountsecure.sh» al que se hace referencia sólo comprueba que los directorios necesarios existen. Si existen, desmonta lo que pueda haber montado, por si las moscas, y si no, crea el directorio, para después montar la carpeta de red indicada.
#! /bin/bash remote=$1 local=$2 if [ -d $local ] then # For if the flies fusermount -u $local else mkdir -p $local fi bindfs -ono-allow-other $remote $local
¡Y listo! Ahora, para el alumnado, copiamos y adecuamos los scripts del profesorado, y ale, a trabajar. Por supuesto, estos scripts se podrían adecuar para comprobar la pertenencia a otros grupos, configurar otro tipo de recursos, etc.
Pero con esto, por ahora, a mí me vale 🙂