Integrando Ubuntu con el Dominio de Active Directory de Windows
Introducción
Integrar Ubuntu con Active Directory (AD) es un requisito común en entornos con sistemas operativos mixtos donde los sistemas Linux y Windows operan codo a codo. Si buscas unir Ubuntu a un dominio Windows, estás en el lugar correcto. Esta guía paso a paso te orienta en una integración segura utilizando Samba, Kerberos, DNS y herramientas complementarias.
El objetivo es permitir que los sistemas Ubuntu se autentiquen contra Active Directory, al igual que los clientes nativos de Windows. Esto facilita el control centralizado del acceso y garantiza una aplicación coherente de las políticas de usuario en toda tu infraestructura.
1. Especificar el nombre de la computadora configurada en el archivo /etc/hostname
Consulta el nombre del host actual:
cat /etc/hostname
Si es necesario, especifica un nuevo nombre de host:
echo myhost > /etc/hostname
Nota. El nombre del host no puede ser localhost, ya que localhost es el nombre para 127.0.0.1 (especificado en el archivo /etc/hosts al instalar el sistema operativo).
2. Especificar el nombre completo del controlador de dominio en el archivo /etc/hosts
Agrega un registro estático con el nombre completo del controlador de dominio al final del archivo /etc/hosts. Se requiere la traducción entre la dirección IP y el nombre de la computadora para poder usar el nombre del host en lugar de la dirección IP.
echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts
3. Configurar un servidor DNS en la computadora configurada
El controlador de dominio debe ser la primera opción de búsqueda. Agrega la dirección IP del controlador de dominio a /etc/resolv.conf. En la mayoría de las distribuciones, resolv.conf se genera automáticamente, por lo que debes agregar la dirección IP del controlador de dominio en /etc/resolvconf/resolv.conf.d/head.
sudo vim /etc/resolvconf/resolv.conf.d/head
Modifica el archivo abierto de la siguiente manera:
domain domain.com search domain.com nameservernameserver 8.8.8.8
Reinicia el servicio de red.
/etc/init.d/networking restart
Utiliza el comando nslookup para comprobarlo.
nslookup www.google.com
4. Configurar la sincronización horaria
La hora del sistema en la máquina debe sincronizarse con la hora del sistema en el servidor del controlador de dominio. Instala la herramienta ntp y modifica el archivo ntp.conf.
sudo apt-get install ntp sudo vim /etc/ntp.conf
Modifica el archivo de la siguiente manera.
server dc.domain.com
Reinicia el demonio ntpd.
sudo /etc/init.d/ntp restart
5. Instalar un cliente Kerberos
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
6. Instalar Samba, Winbind y NTP
sudo apt-get install samba winbind ntp
7. Editar el archivo /etc/krb5.conf para agregar el nombre completo del dominio, el nombre del controlador de dominio y el parámetro realm
Importante: No dejes ningún comentario etiquetado con el signo “#” en el archivo de configuración.
[libdefaults]
default_realm = DOMAIN.COM
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = hostname.domain.com
admin_server = hostname.domain.com
default_domain = DOMAIN.COM
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
8. Editar el archivo /etc/samba/smb.conf para agregar el nombre de dominio corto y el nombre completo del dominio:
Importante: No dejes ningún comentario etiquetado con el signo “#” en el archivo de configuración.
[global] workgroup = DOMAIN realm = DOMAIN.COM security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Nota. Antes de usar el archivo de configuración, elimina las líneas de comentario.
9. Ingresar al dominio:
net ads join -U Administrator
Después de unirse al dominio con éxito, podrás hacer ping a los nombres de host de Active Directory, por ejemplo:
ping johnny.domain.com
10. Verificar que la autenticación para un usuario de Active Directory sea exitosa:
kinit [email protected]
Nota: Escribe el nombre del dominio en mayúsculas.
Si todo se configuró correctamente, se creará el ticket.
klist
Y eso es todo: ahora has conectado tu sistema Ubuntu a Active Directory, permitiendo la autenticación segura entre tu estación de trabajo Linux y tu entorno de dominio Windows.
¿Buscas extender esta integración a tus bases de datos? Consulta nuestra guía sobre Autenticación Active Directory para MySQL.
Ya sea que estés gestionando una infraestructura híbrida o integrando Ubuntu para el control de acceso centralizado, DataSunrise respalda una autenticación segura y conforme a los estándares en entornos Linux y Windows.
Si tu organización maneja datos sensibles o enfrenta requisitos de cumplimiento bajo GDPR, SOX o HIPAA, DataSunrise ofrece una protección integral con avanzados registros de auditoría, una poderosa aplicación de seguridad y enmascaramiento de datos en tiempo real. Solicita una demostración para ver cómo ayudamos a las organizaciones a mantenerse seguras y en conformidad.
