Agregar equipo cliente a dominio del Directorio Activo

  En entradas anteriores de la presente bitácora se ha hablado del servidor Windows ("Windows Server", en inglés), que es un sistema operativo de Microsoft diseñado específicamente para servidores, actuando como el "cerebro" en redes empresariales para gestionar grandes volúmenes de usuarios, datos y aplicaciones. Facilita servicios de red, seguridad avanzada, almacenamiento centralizado y virtualización, conectando entornos locales con Azure para la gestión de centros de datos.
  Una de las herramientas de este sistema operativo es el Directorio Activo ("Active Directory", en inglés), servicio de directorio de Microsoft utilizado en entornos  de servidor Windows para la gestión centralizada de usuarios, equipos y recursos de red. Actúa como una base de datos segura que autentica (verifica identidad) y autoriza (gestiona permisos) el acceso a archivos, impresoras y aplicaciones.
   En esta ocasión, se explicará cómo unir equipos informáticos externos a aquel donde se encuentra el servidor Windows con el Directorio Activo instalado y, por tanto, con un dominio.
  Para ejemplificar esta exposición se usará un laboratorio virtual con una MV con Windows Server 2024, otra MV con Windows 10, y otra MV con Ubuntu
  Un dominio (dirección única y alfanumérica que permite a los usuarios acceder a un sitio de red en Internet sin tener que recordar complejas direcciones IP numéricas) suele tener varios equipos conectados al equipo con el servidor donde se aloja.

WINDOWS

  El primer preparativo que se debe realizar, tras haber creado el dominio (en este ejemplo "ad.elias.com"), las unidades organizativas que se necesiten (en este ejemplo "OU1", que contiene "Alumnos", "Equipos" y "Profesores"), y alguna cuenta de usuario ("Elias Lorenzo Baz" y "Maico" situadas en la UO "OU1", en este ejemplo), es asignar una dirección IP fija al equipo informático donde se encuentra el dominio (en este ejemplo el del Windows Server 2024). Con este fin, se debe acceder a la ruta "Panel de control > Centro de redes y recursos compartidos > Conexiones: Ethernet > Protocolo de Internet versión 4 (TCP/IPv4): Propiedades". En la pantalla emergente que aparecerá, se marca la opción “Usar la siguiente dirección IP”, y se escribe la dirección Ip deseada en la sección “Dirección IP” (en este ejemplo “192.168.10.75”), la máscara de subred en su recuadro adecuado (“255.255.255.0”, en este ejemplo), la puerta de enlace predeterminada donde corresponde (en este ejemplo “192.168.10.1”) y, tras marcar la opción “Usar las siguientes direcciones de servidor DNS”, se escribe “127.0.0.1” en la sección “Servidor DNS preferido”. Se termina pulsando en el botón “Aceptar” (puede verse de modo más detallado en esta entrada).
  A continuación, en el equipo con Windows se debe configurar una IP fija y añadir el servidor  de Windows como servidor DNS primario. para esto,se accede a la ruta "Panel de control > Centro de redes y recursos compartidos > Conexiones: Ethernet > Protocolo de Internet versión 4 (TCP/IPv4): Propiedades". En la pantalla emergente que aparecerá, se realizarán las mismas operaciones que en el caso anterior (en este ejemplo: Dirección IP "192.168.10.55", máscara de subred "255.255.255.0", puerta de enlace predetermiando "192.168.10.1"), excepto en que se escribe la dirección IP del servidor (192.168.10.75", en este ejemplo) en la sección “Servidor DNS preferido”. Se termina pulsando en el botón “Aceptar”.

  Puede comprobarse que ambos equipos se detectan enviando una pulsación de uno al otro desde el Símbolo del sistema, tanto con la dirección IP del contrario, como con el nombre  del equipo del servidor.
  Después, es una buena práctica cambiar el nombre del equipo  pulsando el botón “Cambiar el nombre de este equipo” en la ruta “Configuración > Sistema > Acerca de”. Se siguen las indicaciones de la ventana que aparecerá ("W10-ELIAS", en este ejemplo).
  Tras esto, en el mismo equipo, se debe seguir la ruta "Panel de Control > Centro de redes y recursos compartidos" y pulsar sobre la opción "Cambiar configuración de uso avanzado" del panel izquierdo de la ventana.
  En la siguiente pantalla, se marcan las opciones "Activar la detección de redes" y "Activar el uso compartido de archivos e impresoras" de la sección "Privado".
 
  En la misma pantalla, en la sección "Todas las redes", se deben marcar las opciones "Activar el uso compartido para que todos los usuarios con acceso a la red puedan leer y escribir archivos de las carpetas públicas", "Usar el cifrado de 128 bits para ayudar a proteger las conexiones de uso compartido de archivos (recomendado)" y "Activar el uso compartido con protección por contraseña". Finalmente, se pulsará en el botón "Guardar cambios".

  Seguidamente se accede a la ruta “Configuración > Cuentas > Obtener acceso a trabajo o escuela” y se pulsa en el botón “Conectar”.

  A continuación, en la ventana emergente que aparecerá, se pulsa en la opción “Unir este dispositivo a un dominio local del DA”.

  En la ventana emergente que aparecerá, se añade el nombre del dominio (“ad.elias.com”, en este ejemplo), y se pulsa en el botón “Siguiente”
  En la siguiente ventana emergente, se inicia la sesión en el servidor del dominio (en este ejemplo, se iniciará con el usuario "Administrator", creado por el sistema al instaurar el dominio).
  Después, en la ventana anterior, se introduce un nombre de usuario para la cuenta ("Administrator", en este ejemplo) y el tipo (en este ejemplo “Usuario estándar”). Se finaliza pulsando en el botón “Siguiente”.
  Para  que los cambios sean efectivos, se debe reiniciar el equipo, lo que puede hacerse en la siguiente pantalla pulsando el botón "Reiniciar ahora".
  Una vez reiniciado el equipo, puede verse que, al iniciar la sesión, muestra un nombre de usuario que empieza por el característico “AD\” del Directorio Activo, con lo que se demuestra que está dentro del dominio.
  También puede comprobarse que el equipo cliente está en el dominio siguiendo la ruta "Administrador del servidor > Herramientas > Usuarios y equipos de AD" en el propio equipo servidor y marcando el directorio "Equipos", en el panel izquierdo de la nueva ventana emergente.
 

LINUX 

  Para añadir un equipo con Ubuntu a un dominio del Directorio Activo primeramente, tras haber hecho los preparativos antes mencionados en el equipo servidor (si no se han hecho previamente), se debe preparar del mismo modo que en el caso del cliente de Windows. Así, se accede a la ruta “Aplicaciones > Configuración > Configuración de red avanzada”, se accede al dispositivo de red (“netplan-enp0s3”, en este ejemplo), y se escribe una IP fija (método “Manual”; "192.168.10.95", máscara de red "24", y puerta de enlace "192.168.10.1", en este ejemplo) y la dirección IP del servidor en el campo "Servidores DNS" (en este ejemplo 192.168.10.75") de la pestaña “Ajustes de IPv4”. Al terminar, se pulsa en el botón “Guardar”.
   Al igual que en el caso anterior, es posible comprobar que ambos equipos se detectan enviando una pulsación de uno al otro desde el terminal, tanto con la dirección IP del contrario, como con el nombre  del equipo del servidor.
  Acto seguido, se actualiza la lista de paquetes con el comando apt update (anteponiendo sudo si no se ha iniciado sesión como usuario administrador).
  Después, se instalan los paquetes apropiados mediante el comando apt install realmd sssd sssd-tools adcli samba-common packagekit (anteponiendo sudo si no se ha iniciado sesión como usuario administrador).
  Tras la instalación, se añade el equipo al dominio mediante el comando realm join <nombre de dominio> -U <nombre de usuario administrador> (anteponiendo sudo si no se ha iniciado sesión como usuario administrador).
  Para comprobar que el cliente está dentro del dominio, se usan los comandos realm list e id  <nombre de usuario del dominio>.
  No obstante, puede suceder que, pese a que el equipo cliente esté dentro del dominio del DA del equipo servidor, debido a incompatibilidades propias de los equipos de Windows con los de tipo linux, éste no pueda crear un directorio de usuario del dominio correctamente  dentro del directorio "home" al iniciar la sesión en el equipo cliente.
  En tal caso, se debe instalar un paquete mediante el comando apt install oddjob-mkhomedir  (anteponiendo sudo si no se ha iniciado sesión como usuario administrador).
  A continuación, se habilita el demonio del paquete recién instalado usando el comando systemctl enable --now oddjobd (anteponiendo sudo si no se ha iniciado sesión como usuario administrador).
  Luego, se edita el archivo "common-session" de la ruta "etc/pam.d" y se le añade la línea "session optional pam_oddjob_mkhomedir.so umask=0077" al final.
  Finalmente, se debe comprobar, en el archivo "sssd.conf" (ruta "etc/sssd") que las líneas "default_shell" y "fallback_homedir" tienen los valores correctos (como los de la imagen).
  De este modo, al acceder por primera vez (desde que se ha descubierto el error) al equipo cliente con la cuenta de usuario del dominio ("elias@ad.elias.com", en este ejemplo), puede verse que en el directorio "home" hay una carpeta relacionada con dicha cuenta (en este ejemplo "elias@ad.elias.com").
 
  Aguardo que la presente entrada haya sido interesante para el lector; si es así, espero que éste la comente y/o la comparta, por favor.
Publicado por en
Etiquetas: , , , , , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)