Conceptos Esenciales y Configuración de Servicios de Dominio en Linux

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,74 KB

Conceptos Fundamentales para la Integración en un Dominio

krb5-user

Sirve para autenticar una máquina en un dominio mediante Kerberos.

NTP (Network Time Protocol)

Es un demonio para sincronizar relojes en sistemas informáticos cliente-servidor. Utiliza la capa de transporte UDP, protocolo 123.

SSSD (System Security Services Daemon)

SSSD es un demonio del sistema de seguridad que permite autenticar e identificar usuarios de forma remota.

attr

Es una parte de las ACL (Listas de Control de Acceso) que permite aplicar atributos extendidos.

ACL (Access Control List)

Gestión de listas de control de acceso.

kinit

Obtiene y almacena en caché un ticket inicial de otorgamiento de tickets (TGT) para el principal.

klist

Enumera los tickets de Kerberos almacenados en una caché de credenciales o las claves en un archivo de tabla de claves (keytab).

LDAP (Lightweight Directory Access Protocol)

Es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio. Funciona como una base de datos a la que se le pueden realizar consultas.

NSS (Name Service Switch)

Permite obtener información de usuarios y del sistema a partir de diferentes servicios de base de datos como DNS, SSSD y LDAP.

Configuración de Samba: Explicación de smb.conf

A continuación, se explican las líneas clave del archivo de configuración /etc/samba/smb.conf:

  • workgroup = LOMIO

    Define el grupo de trabajo al que pertenece el servidor Samba.

  • client signing = yes

    Habilita la firma de paquetes SMB para los clientes, mejorando la seguridad.

  • client use spnego = yes

    Esta variable controla si los clientes de Samba intentarán utilizar la negociación simple y protegida (SPNEGO) para la autenticación.

  • kerberos method = secrets and keytab

    Configura Samba para permitir la autenticación mediante secretos y keytab, integrándose con Kerberos.

  • realm = LOMIO.ORG

    Especifica el dominio de autenticación de Active Directory o Kerberos.

  • security = ads

    Define el método de seguridad. security = ads se utiliza para autenticar contra un Active Directory, similar a security = domain, y permite a los usuarios locales que no estaban previamente en el dominio.

  • log file = /var/log/samba/log.%m

    Indica que se creará un archivo de registro para cada máquina (ej. log.pc19 para la máquina PC19).

  • password server = HALCON.LOMIO.ORG

    Si Active Directory y Kerberos se ejecutan en servidores diferentes, esta directriz puede ser necesaria para especificar el servidor de contraseñas.

Operaciones Comunes en la Administración de Sistemas

Cómo reiniciar un servicio

Para reiniciar un servicio en sistemas basados en systemd, utiliza el siguiente comando:

sudo systemctl restart "nombre_del_servicio"

Otorgar permisos de sudo a un grupo del dominio

Para permitir que un grupo del dominio utilice sudo, sigue estos pasos:

  1. Instala la biblioteca necesaria:
    sudo apt install libsss-sudo
  2. Edita el archivo sudoers con visudo:
    sudo visudo
  3. Añade la siguiente línea para el grupo (ej. %alumnos):
    %alumnos ALL=(ALL) ALL

¿Para qué sirve getent?

Permite consultar información de usuarios y grupos de diversas fuentes de datos, incluyendo el dominio (por ejemplo, de /etc/passwd, /etc/group, NIS, LDAP, SSSD).

Permisos del fichero sssd.conf y usuario

El fichero sssd.conf debe tener permisos 600 y ser propiedad del usuario root para garantizar la seguridad.

¿Qué son PAM y NSS? Ficheros de configuración importantes

PAM (Pluggable Authentication Modules) es un conjunto de bibliotecas que proporcionan una plataforma de autenticación configurable para las aplicaciones y el sistema operativo subyacente.

NSS (Name Service Switch), como se mencionó anteriormente, permite obtener información de usuarios y del sistema de diversas fuentes.

Ficheros de configuración importantes:

  • /etc/pam.d/ (directorio con configuraciones de PAM por servicio)
  • /etc/nsswitch.conf (configuración de NSS)

¿Qué es realmd?

realmd permite la configuración automática de la integración de un sistema en un dominio (como Active Directory o FreeIPA), simplificando la configuración de servicios como Samba y SSSD.

Cómo obtener logs de autenticación

Para ver los logs de autenticación en sistemas Debian/Ubuntu, utiliza:

sudo cat /var/log/auth.log

Borrar caché de SSSD

Para borrar la caché de SSSD, lo cual puede ser útil para solucionar problemas de autenticación o refrescar la información del dominio:

sudo rm -f /var/lib/sss/db/*
Karma: 8%
Visitas: 0

Entradas relacionadas:

Etiquetas:
Samba Active Directory Autenticación PAM Configuración NTP Dominio SSSD Linux Kerberos LDAP NSS