Servicio de Compartición de Ficheros y Dominios - Documentación de Zentyal 3

12/4/2014 Servicio de comparticin de ficheros y Dominios Documentacin de Zentyal 3.
4
http://doc.zentyal.org/es/filesharing.html 1/16
Servicio de comparticin de ficheros y
Dominios
Zentyal usa Samba para implementar SMB/CIFS [4] y gestionar el dominio, Kerberos [5] para los
servicios de autenticacin.
[4] http://es.wikipedia.org/wiki/Samba_(programa)
[5] http://es.wikipedia.org/wiki/Kerberos
Configurar Zentyal como un servidor de Dominio
Standalone
Antes de activar el mdulo de Comparticin de Ficheros y Dominios tenemos que revisar ciertas
configuraciones de nuestro servidor. Durante la activacin del mdulo el Dominio se provisiona. Esto
quiere decir que las configuraciones para LDAP, DNS y Kerberos son generadas, creando los objetos
de LDAP, los Principales de seguridad de Keberos, las zonas especficas de DNS y dems. Esta
operacin puede ser revertida, pero es ms costos que activar y desactivar el resto de mdulos.
Antes de activar Comparticin de ficheros y Dominios por primera vez nos aseguraremos que:
Hemos configurado el modo de operacin, por defecto Controlador del Dominio, pero tambin
podemos configurar el servidor para ser un controlador adicional unido a otros nodo. En este
ltimo caso, configuraremos el modo de operaciones y las credenciales antes de activar el
mdulo, y seguiremos las instrucciones para este supuesto en las siguientes secciones. Si el
servidor va a funcionar como primer Controlador del Dominio, no es necesario modificar los
datos por defecto.
Home
Company
Download
Documentation
Screenshots
Forum
Contribute
Store
12/4/2014 Servicio de comparticin de ficheros y Dominios Documentacin de Zentyal 3.4
Zentyal como controlador nico del dominio
El dominio local y el hostname son correctos. Podemos comprobar esto desde Sistema
General. Si deseamos modificar estos datos, reiniciaremos el servidor antes de activar el
mdulo.
Comprobando nombre del host y dominio
En la configuracin del mdulo DNS tenemos un dominio local que coincide con el que
tenemos en Sistema General, el dominio contiene nuestro hostname como registro (A),
seccin Nombres de mquinas, este nombre debe estar asociado a, por lo menos, una IP
interna. Aadiremos todas las IP internas donde deseemos proporcionar servicios del dominio a
este Hostname.
zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las IP internas
El mdulo de NTP est instalado y activado, y los clientes reciben esta sincronizacin NTP,
preferentemente a travs de DHCP.
Una vez que hayamos activado Comparticin de Ficheros podemos proveer carpetas compartidas,
unir clientes Windows al dominio, configurar y enlazar las polticas GPO y aceptar conexiones de los
nuevos controladores de dominio adicionales, tanto Windows Server como Zentyal
Configurar un servidor de ficheros con Zentyal
Una vez que hayamos activado el mdulo Comparticin de Ficheros (ya sea como Controlador de
dominio o como Controlador Adicional del dominio), el servidor podr ofrecer la funcionalidad de un
servidor de ficheros SMB/CIFS.
Por defecto cada usuario de LDAP tiene un directorio personal /home/<nombredelservidor> en el
servidor. Si el mdulo est activado, el directorio ser accesible al usuario (y slo al usuario) usando
SMB/CIFS. Adicionalmente, si es un cliente Windows unido al dominio, este directorio se montar
automticamente como el volumen H:.
Para crear un nuevo directorio compartido, accederemos a Comparticin de Ficheros, tab de
Directorios compartidos y seleccionaremos Aadir nuevo.
Aadiendo directorio compartido
Habilitado:
Por defecto activado, se est compartiendo este directorio, Podemos desmarcarlo para dejar de
compartir.
Nombre del recurso compartido:
El nombre de esta carpeta compartida para nuestros usuarios.
Ruta del recurso compartido:
Ruta en el sistema de ficheros donde se encuentra el recurso, por defecto dentro de
/home/samba/shares, o especificar un directorio diferente usando Ruta del sistema de
ficheros.
Comentario:
Descripcin ms detallada del contenido del recurso.
Acceso de invitado:
Activando esta opcin ser posible acceder al directorio sin autenticacin previa. Las dems
polticas de acceso asociadas a esta carpeta sern ignoradas.
Lista de carpetas compartidas
Los directorios compartidos pueden ser gestionados accediendo a Control de Acceso. Usando el
botn Aadir nuevo, podemos asignar permisos de lectura, lectura escritura o administrador a
usuarios y grupos. Si un usuario es el administrador de un directorio compartido, puede leer, escribir y
borrar cualquier fichero dentro de ese directorio.
Aadiendo una nueva ACL (Lista de control de acceso)
Si deseamos almacenar los ficheros eliminados en un directorio especial, llamado Papelera de
Reciclaje, podemos marcar la opcin Habilitar papelera de reciclaje desde el tab Papelera de
reciclaje. Si no necesitamos activar esta caracterstica para todos los recursos compartidos, podemos
aadir excepciones con la lista Excluir de la papelera de reciclaje. Otras caractersticas de esta
opcin, como el nombre del directorio pueden ser modificadas desde el fichero
/etc/zentyal/samba.conf.
Papelera de reciclaje
Accediendo al tab Antivirus, podemos activar el rastreo de virus en nuestros ficheros compartidos.
Tambin es posible aadir excepciones en las carpetas donde no se requiere el uso de antivirus. Para
disponer de esta caracterstica, el mdulo de antivirus debe estar instalado y activado.
Antivirus analizando las carpetas
Si un virus es detectado en las carpetas seleccionadas, el fichero ser movido a una carpeta especial de
cuarentena /var/lib/zentyal/quarantine. Este comportamiento impide que el malware se propague
por las redes de nuestro servidores, pero el administrador del sistema puede analizar el fichero (en
algunas ocasiones los virus vienen embebidos en ficheros tiles, como las macros de hojas de clculo).
Fichero de malware movido a directorio en cuarentena
SMB/CIFS es un protocolo muy comn que puede ser usado de forma nativa en cualquier cliente
Windows, la mayora de distribuciones de Linux (Usando el explorador de ficheros Nautilus, por
ejemplo), y usando aplicaciones dedicadas tambin en Android o iOS.
Adems de esto, el servicio de Comparticin de ficheros est estrechamente integrado con el
subsistema de Kerberos (Ver Autenticacin con Kerberos ms abajo), lo que significa que si los
usuarios se han unido al dominio o han conseguido el ticket principal de Kerberos de cualquier otro
modo, las ACL explicadas ms arriba se aplicarn sin necesidad de intervencin del usuario.
Uniendo un cliente Windows al dominio
El proceso de unir un cliente Windows al dominio de Zentyal es idntico a unirse a un servidor
Windows.
En primer lugar tendremos que crear un Domain Admin, que no debe ser confundido con la cuenta de
administracin de Zentyal. Un Domain Admin es cualquier usuario del LDAP que est agregado al
grupo Domain Admins
Aadiendo un usuario Domain Admin a LDAP
Ahora, accediendo al cliente windows
Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse mutuamente a
travs de una red local
Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS
Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfectamente
sincronizada usando NTP
Despus de comprobar estas precondiciones, nos uniremos al dominio de la manera habitual
Unindose al dominio con Windows
Para los credenciales, usaremos el Domain Admin que hemos creado previamente
Credenciales del Domain Admin
Tras completar el proceso, nuestro cliente Windows aparecer en el rbol de LDAP bajo la Computers
OU, aplicar las GPO configuradas y obtendr el ticket de Kerberos automticamente al iniciar sesin
(Ver la seccin de Kerberos).
Cliente Windows en el rbol LDAP
Ahora ya podemos iniciar sesin en nuestro cliente Windows con los usuarios creados en el LDAP de
Zentyal.
Autenticacin con Kerberos
Kerberos es un sistema de autenticacin automtica que se integra con Samba4/Active Directory y con
todos los dems servicios compatibles en el dominio.
El cliente solo necesita introducir sus credenciales una vez para obtener el ticket principal de, Ticket
Granting Ticket.
Esta operacin se realiza automticamente en los clientes Windows unidos al dominio, las credenciales
de inicio de sesin se envan al Controlador de Dominio (Cualquiera de ellos) y su el usuario se
verifica, el controlador enva el TGT junto con otros tickets necesarios para la comparticin de ficheros
al cliente.
Puedes comprobar la lista de tickets activos en el cliente usando el comando klist
Tickets de Kerberos tras iniciar sesin
En sistemas Ubuntu/Debian tambin es posible obtener el ticket TGT de Kerberos instalando el paquete
heimdal-clients
Obteniendo el TGT de Kerberos en Ubuntu
Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los dems servicios compatibles
con Kerberos del dominio aceptaran los tickets proporcionados por el cliente, que son obtenidos
automticamente cuando se solicita acceder al servicio.
Este mecanismo de autenticacin tiene dos ventajas principales:
Seguridad: Los credenciales viajan seguros por la red local, el sistema es resistente al sniffing y a
los ataques de replay.
Comodidad: Los usuarios slo necesitan introducir sus credenciales una vez, los dems tickets de
autorizacin se obtienen de forma transparente. Por ejemplo, es posible usar un Proxy HTTP no
transparente sin necesidad de importunar a los usuarios con una pantalla de inicio de sesin cada
vez que comienzan a navegar.
Servicios de Zentyal compatibles con la autorizacin Kerberos en esta versin:
Comparticin de Ficheros (SMB/CIFS)
Proxy HTTP
Correo Electrnico
Es importante observar que todos los Controladores de Dominio estn integrados en el mismo
contexto de Kerberos. Por ejemplo, un servidor Windows puede proveer el ticket TGT de Kerberos y
ms tarde el usuario puede usar un Proxy HTTP ofrecido por un servidor Zentyal unido al mismo
dominio sin necesidad de introducir los credenciales de nuevo.
Polticas de Grupo (GPO)
Las polticas de grupo o Group Policy Objects (GPO) son polticas asociadas a los contenedores del
Dominio.
Usando GPOs, podemos realizar configuraciones automticas o comunicar restricciones a los clientes,
tenemos polticas globales para todo el dominio, polticas para las Unidades Organizativas y tambin
para los Sites (localizaciones fsicas).
Ejemplos tpicos del uso de una GPO incluiran:
Instalar y actualizar paquetes de software sin intervencin del usuario
Configurar el Proxy HTTP de los navegadores e instalar la Autoridad de Certificacin del
dominio
Enviar scripts que sern ejecutados al inicio y/o cierre de sesin
Restringir partes de la configuracin del cliente Windows al usuario
Zentyal puede importar y hacer cumplir cualquier GPO cuando esta unido a un servidor Windows a
travs de la replicacin del SYSVOL [9] , que se realiza automticamente. Usando la propia interfaz
web de Zentyal es posible crear nuevas GPO para los scripts de inicio y fin de sesin.
Accediendo a Dominio Objetos de Poltica de Grupo (GPO), podemos ver la Default
Domain Policy que ser aplicada a todas las mquinas del dominio y la Default Domain
Controllers Policy que sera aplicada a todos los servidores controladores del Dominio.
Lista de GPO y formulario para crear nuevas
Accediendo al icono de configuracin dentro de una GPO, podemos configurar scripts de inicio y fin
de sesin, que pueden ser asociados con los Equipos o con los Usuarios.
Aadiendo un script de inicio de sesin a los usuarios relacionados con esta GPO
Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que tenga efecto sobre
los equipos/usuarios contenidos. Podremos hacer esto accediendo al men Dominio Enlaces para
Polticas de Grupo.
Enlazando la GPO con el OU de Ventas
[11] http://en.wikipedia.org/wiki/File_Replication_Service
Incluso si no tenemos ningn servidor Windows en el dominio, es posible crear y propagar cualquier
GPO usando cualquier cliente Windows unido al dominio. Para ello tendremos que instalar la
herramienta RSAT de Microsoft e iniciar sesin con el usuario que hemos configurado como
administrador del dominio.
Gestionando las GPO con la herramienta RSAT en un cliente Windows
Usando esta herramienta, las GPO sern aadidas automticamente al SYSVOL del dominio y
ejecutadas desde el servidor Zentyal en todos los dems clientes.
Unir Zentyal Server a un dominio existente
Gracias a la integracin con tecnologas Samba4, Zentyal es capaz de convertirse en un Controlador
Adicional de un dominio existente, ya sea unindose a un servidor Windows o a otro controlador
basado en Samba4, por ejemplo, otro servidor Zentyal.
Tras unirse al dominio, la informacin de LDAP, DNS, Kerberos y el directorio SYSVOL sern
replicados de manera transparente.
Tenemos que verificar ciertos puntos antes de unirnos a otro controlador
La informacin local del directorio LDAP de Zentyal ser destruida, ya que se sobrescribir la
informacin de directorio del dominio
Todos los controladores deben tener la hora perfectamente sincronizada, a ser posible usando
NTP
Cuando Zentyal reciba los usuarios sincronizados desde el dominio, crear sus directorios de
usuario asociados /home/<nombredeusuario>, comprueba que estos nuevos directorios no
existen previamente para evitar colisiones
La correcta configuracin del sistema de DNS es crtica, los dems controladores de dominio
enviarn la informacin a la IP proporcionada por el sistema de DNS
Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo, zentyal.zentyal-domain.lan)
podremos tener problemas de sincronizacin si alguno de los dems controladores intenta usar esa IP
para enviar los datos. Incluso si tenemos varias IP internas, podemos sufrir el mismo problema, por
que el sistema de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si
este es su caso, puede ser recomendable descomentar el parmetro sortlist = yes en el fichero
/etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS ordenar las IP de la
respuesta, poniendo primero la que coincida con la mscara de red de la mquina haciendo la peticin.
Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio desde Dominio
Configuracin
Zentyal server unindose a un servidor Windows como controlador adicional
Guardar los cambios llevar ms tiempo del habitual en este caso, dado que Samba4 se estar
provisionando y todos los datos del dominio necesitan ser replicados.
rbol LDAP de Zentyal replicado con el servidor Windows
Explorando el rbol LDAP desde el servidor Windows tambin nos mostrar el nuevo controlador de
dominio
rbol LDAP de Windows mostrando el nuevo controlador
Desde este momento la informacin de LDAP, dominio DNS asociado a samba (el dominio local) y
Kerberos ser sincronizada en ambas direcciones. Es posible gestionar la informacin de LDAP
(usuarios, grupos, OUs...) en cualquiera de los controladores y los cambios se replicarn en los dems.
El proceso para unirse a otro servidor Zentyal es idntico al descrito.
Migracin Total
Todos los controladores de dominio poseen una rplica de la informacin de dominio comentada
anteriormente, sin embargo existen roles especficos que pertenecen a mquinas concretas, llamados
los roles FSMO o Operations Masters.
Los Operations Masters son crticos para el funcionamiento del dominio, hay cinco roles FSMO:
Schema master: a cargo de la definicin del rbol LDAP, enva actualizaciones de este formato
Domain naming master: Crear y borrar dominios en el bosque
Infrastructure master: Provee de identificadores GUID, SID y DN nicos en el dominio
Relative ID Master: ID relativas asignadas a los principales de seguridad
PDC Emulator: Compatibilidad con mquinas Windows 2000/2003 hosts, servidor de hora
principal
Usando el script de Migracin Total, podemos transferir estos roles a un servidor Zentyal unido al
dominio.
Desde el directorio /usr/share/zentyal-samba ejecutamos:
administrator@zentyal:/usr/share/zentyal-samba$ sudo ./ad-migrate
WARNING: This script will transfer all FSMO roles from the current owners to
the local server.
After all roles has been successfully transferred, you can shutdown
the other domain controllers.
Do you want to continue [Y/n]? Y
Checking server mode...
Checking if server is provisioned...
Synchronizing sysvol share...
syncing [SYSVOL] files and directories including ACLs, without DOS Attributes
Transferring FSMO roles...
Transferring Schema Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Servers
Transferring Domain Naming Master role from owner: CN=NTDS Settings,CN=WINDC,CN=
Transferring PDC Emulation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=
Transferring RID Allocation Master role from owner: CN=NTDS Settings,CN=WINDC,CN
Transferring Infrastructure Master role from owner: CN=NTDS Settings,CN=WINDC,CN
Migrated successfully!
De ahora en adelante, Zentyal ser el nico controlador crtico para el dominio y todas los servicios de
dominio seguirn funcionando incluso si apagamos los dems controladores, exceptuando
consideraciones de red y escalabilidad.
Limitaciones conocidas
Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta versin antes de
planificar el dominio:
Slo un dominio, en un nico bosque, Samba no soporta mltiples dominios ni mltiples bosques.
El nivel funcional del dominio ha de ser mnimo 2003 y mximo 2012
El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS se genera a
partir de la parte izquierda del nombre de dominio, por ejemplo, si el nombre de host es zentyal,
el nombre de dominio no puede ser zentyal.lan, pero si zentyal-domain.lan
Las relaciones de confianzas entre dominios y bosques no estn soportadas
Las GPO se sincronizarn desde los servidores Windows hacia los servidores Zentyal, pero no a
la inversa
No es posible combinar sincronizacin Samba4 con master/slave
No se soportan usuarios con nombres no-ASCII (tildes, ees, guin)
Copyright 2004-2012 Zentyal S.L.

Servicio de Compartición de Ficheros y Dominios - Documentación de Zentyal 3

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Servicio de Compartición de Ficheros y Dominios - Documentación de Zentyal 3

Hochgeladen von

Copyright:

Verfügbare Formate

12/4/2014 Servicio de comparticin de ficheros y Dominios Documentacin de Zentyal 3.

Das könnte Ihnen auch gefallen