{"id":647,"date":"2022-02-02T17:24:30","date_gmt":"2022-02-02T17:24:30","guid":{"rendered":"https:\/\/dsantana.uas.edu.mx\/?p=647"},"modified":"2025-02-21T19:30:23","modified_gmt":"2025-02-21T19:30:23","slug":"samba-4-como-controlador-de-dominios-ad-dc-en-debian-9","status":"publish","type":"post","link":"https:\/\/dsantana.uas.edu.mx\/index.php\/2022\/02\/02\/samba-4-como-controlador-de-dominios-ad-dc-en-debian-9\/","title":{"rendered":"Samba 4 como Controlador de Dominios AD DC en Debian 12"},"content":{"rendered":"\n<figure class=\"wp-block-image aligncenter\"><img decoding=\"async\" src=\"https:\/\/2.bp.blogspot.com\/-n68yXqVX4lo\/XLLs7Iit7qI\/AAAAAAAAQ4w\/ZxFWBAMDF1cAUmgfkZwxpAsMyMywdZp5gCLcBGAs\/s1600\/Samba4.png\" alt=\"\"\/><\/figure>\n\n\n\n<p><strong>Samba<\/strong>&nbsp;es un software libre que permite la interoperabilidad entre sistemas operativos Unix\/Linux y Windows. Proporciona servicios de archivos e impresi\u00f3n para clientes SMB\/CIFS (Server Message Block\/Common Internet File System), que son los protocolos utilizados por Windows para compartir archivos e impresoras en una red.<\/p>\n\n\n\n<p>Con Samba, puedes:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Compartir archivos y carpetas<\/strong>: Permite que los usuarios de Windows accedan a archivos y carpetas en un servidor Linux.<\/li>\n\n\n\n<li><strong>Compartir impresoras<\/strong>: Facilita la impresi\u00f3n desde sistemas Windows a impresoras conectadas a un servidor Linux.<\/li>\n\n\n\n<li><strong>Autenticaci\u00f3n y autorizaci\u00f3n<\/strong>: Integra sistemas Linux en dominios de Windows, permitiendo la autenticaci\u00f3n de usuarios de Windows en sistemas Linux.<\/li>\n\n\n\n<li><strong>Control de acceso<\/strong>: Gestiona permisos y accesos a recursos compartidos.<\/li>\n<\/ul>\n\n\n\n<p>Samba es una herramienta esencial para entornos mixtos donde se utilizan tanto sistemas Windows como Linux, ya que facilita la colaboraci\u00f3n y el intercambio de recursos entre estos sistemas.<\/p>\n\n\n\n<p>La \u00faltima versi\u00f3n estable de Samba es la&nbsp;<strong>4.21.3<\/strong>, lanzada el 6 de enero de 2025. Esta versi\u00f3n incluye varias mejoras y correcciones de errores en comparaci\u00f3n con las versiones anteriores. esta versi\u00f3n el nivel m\u00e1s alto de Controlador de Dominio y bosque de AD DC que puede emular es: Windows 2008 R2.<\/p>\n\n\n\n<p><strong>NOTA IMPORTANTE sobre Kerberos<\/strong><\/p>\n\n\n\n<p>En un AD, Kerberos se utiliza para autenticar usuarios, m\u00e1quinas y servicios.<\/p>\n\n\n\n<p>A partir de Samba 4.7, se proporciona soporte experimental para el KDC (Key Distribution Center) de Kerberos de MIT. En otros casos, Samba utiliza el KDC de Heimdal incluido en Samba.<\/p>\n\n\n\n<p>En este manual se detallan los pasos necesarios para instalar y configurar Samba 4 como Controlador de Dominio (AD DC) en Debian GNU\/Linux 12 y sus derivados.<\/p>\n\n\n\n<p><strong>Actualizar el servidor<\/strong><\/p>\n\n\n\n<p>Antes de comenzar con la instalaci\u00f3n de Samba 4.7 como Controlador de Dominio (AD DC), es fundamental actualizar nuestro servidor Debian GNU\/Linux con las \u00faltimas versiones de seguridad y del kernel. Para ello, ejecuta los siguientes comandos:<\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image.png\" alt=\"\" class=\"wp-image-891\"\/><\/figure>\n\n\n\n<pre class=\"wp-block-code\"><code><code>apt update&nbsp;\napt upgrade&nbsp;\napt dist-upgrade<\/code><\/code><\/pre>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-1.png\" alt=\"\" class=\"wp-image-892\"\/><\/figure>\n\n\n\n<p><a href=\"https:\/\/4.bp.blogspot.com\/-Uc7oN8jAlPM\/XLDPn85z5MI\/AAAAAAAAQzg\/SAlBDh4VG1crB9vWWdm0VsB0hweTu0VFgCLcBGAs\/s1600\/apt-2.png\"><\/a><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-2.png\" alt=\"\" class=\"wp-image-893\"\/><\/figure>\n\n\n\n<p><strong><u>hostname, nombre del servidor<\/u><\/strong><\/p>\n\n\n\n<p>Debemos configurar el nombre del servidor con un nombre descriptivo, Por ejemplo&nbsp;<strong>Servidor CONTROLCC<\/strong> editando el archivo&nbsp;<strong><code>\/etc\/hostname<\/code><\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-3.png\" alt=\"\" class=\"wp-image-895\"\/><\/figure>\n\n\n\n<p><strong><u>IP fija&nbsp;en el servidor<\/u><\/strong><\/p>\n\n\n\n<p>Una vez instalado Debian GNU\/Linux, el sistema est\u00e1 configurado para obtener autom\u00e1ticamente la configuraci\u00f3n de red (IP, m\u00e1scara de red, servidores DNS, puerta de enlace) a trav\u00e9s del servicio DHCP. Sin embargo, dado que hemos instalado un servidor, es necesario asignarle una direcci\u00f3n IP est\u00e1tica.<\/p>\n\n\n\n<p>Vamos a configurar la interfaz de red&nbsp;<code>enp0s3<\/code>&nbsp;(denominaci\u00f3n de la primera tarjeta de red en sistemas Linux) con la direcci\u00f3n IP est\u00e1tica&nbsp;<code>192.168.1.200<\/code>. Tambi\u00e9n es necesario especificar la direcci\u00f3n del dispositivo de acceso a Internet, la puerta de enlace o gateway (<code>192.168.1.1<\/code>).<\/p>\n\n\n\n<p><strong>Nota importante:<\/strong>&nbsp;El nombre de las interfaces de red var\u00eda seg\u00fan el tipo de adaptador instalado. En este manual nos referimos a la primera interfaz de red como&nbsp;<code>enp0s3<\/code>, pero el nombre debe reemplazarse por la designaci\u00f3n real de su interfaz de red.<\/p>\n\n\n\n<p>La configuraci\u00f3n de las interfaces de red est\u00e1 almacenada en el archivo de texto&nbsp;<code>\/etc\/network\/interfaces<\/code>.<\/p>\n\n\n\n<p>Realizamos la siguiente modificaci\u00f3n usando el editor&nbsp;<code>nano<\/code>:<\/p>\n\n\n\n<p><code>======================================<br># The loopback network interface<br><strong>auto <\/strong>lo<br><strong>iface <\/strong>lo<strong> inet <\/strong>loopback<\/code><\/p>\n\n\n\n<p><code># The primary network interface<br># allow-hotplug enp0s3<br># iface&nbsp;enp0s3&nbsp;inet dhcp<\/code><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code># Static IP address\n<strong>auto <\/strong>enp0s3\n<strong>iface <\/strong>enp0s3 <strong>inet <\/strong>static\n<strong>&nbsp; &nbsp; &nbsp; &nbsp; address <\/strong>192.168.1.200\n<strong>&nbsp; &nbsp; &nbsp; &nbsp; netmask <\/strong>255.255.255.0\n<strong>&nbsp; &nbsp; &nbsp; &nbsp; network <\/strong>192.168.1.0\n<strong>&nbsp; &nbsp; &nbsp; &nbsp; broadcast <\/strong>192.168.1.255\n<strong>&nbsp; &nbsp; &nbsp; &nbsp; gateway <\/strong>192.168.1.1\n======================================<\/code><\/code><\/pre>\n\n\n\n<p><a href=\"https:\/\/3.bp.blogspot.com\/-BzvqSAyG-uU\/XLF5fTqdG2I\/AAAAAAAAQ0E\/G0yWjHP19H4QrsKsHwjRffS5npAWTHVEwCLcBGAs\/s1600\/samba4%2B-3.png\"><\/a><br><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-4.png\" alt=\"\" class=\"wp-image-896\"\/><\/figure>\n\n\n\n<p>Una vez que el servidor est\u00e1 configurado con una direcci\u00f3n IP fija, activamos la interfaz de red con el siguiente comando:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>ifup enp0s3<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-5.png\" alt=\"\" class=\"wp-image-897\"\/><\/figure>\n\n\n\n<p><a href=\"https:\/\/2.bp.blogspot.com\/-QUwDavzZwcA\/XLF7AdjGgFI\/AAAAAAAAQ0Q\/GPMlYm3z5NgFvj5_NYqubMEvYdu-4uhsACLcBGAs\/s1600\/samba4%2B-4.png\"><\/a><\/p>\n\n\n\n<p><strong>Hosts: Resoluci\u00f3n de DNS en el servidor<\/strong><\/p>\n\n\n\n<p>La herramienta&nbsp;<code>resolvconf<\/code>&nbsp;actualiza autom\u00e1ticamente el archivo de configuraci\u00f3n de resoluci\u00f3n de nombres (DNS), llamado&nbsp;<code><strong>\/etc\/resolv.conf<\/strong><\/code>. Tanto el servidor como los clientes del dominio deben usar un servidor DNS capaz de resolver las zonas DNS de AD.<\/p>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-6.png\" alt=\"\" class=\"wp-image-898\"\/><\/figure>\n\n\n\n<p><br>Esta herramienta, por defecto, reescribe el archivo&nbsp;<code>\/etc\/resolv.conf<\/code>&nbsp;en cada arranque. Por lo tanto, vamos a usar la resoluci\u00f3n de DNS en el archivo&nbsp;<code>\/etc\/hosts<\/code>.<\/p>\n\n\n\n<p>Vamos a a\u00f1adir las DNS en el archivo&nbsp;<code>\/etc\/hosts<\/code>&nbsp;para permitir las b\u00fasquedas por nombres DNS.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>En mi caso particular, quedar\u00eda as\u00ed:\n\n<code>127.0.0.1 localhost<br>127.0.1.1 Server<br>192.168.1.200 Server.controlcc.local controlcc.local Server controlcc<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1237\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-12.png\" alt=\"\" class=\"wp-image-905\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>NTP: Sincronizar la hora<\/strong><\/p>\n\n\n\n<p>Kerberos requiere una hora sincronizada en todos los miembros del dominio. Para ello, procedemos a instalar el servidor de hora NTP. Usamos el siguiente comando:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>apt install ntp<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-7.png\" alt=\"\" class=\"wp-image-899\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-8.png\" alt=\"\" class=\"wp-image-900\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Instalar los paquetes necesarios para Samba4 AD DC<\/strong><\/p>\n\n\n\n<p>Para instalar el controlador de dominio de Active Directory, instalamos Samba y todos los paquetes necesarios.<\/p>\n\n\n\n<p>Usamos el siguiente comando:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>apt install samba smbclient attr winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user<\/code><\/code><\/pre>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1237\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-10.png\" alt=\"\" class=\"wp-image-902\"\/><\/figure>\n\n\n\n<p>Durante la instalaci\u00f3n, el instalador nos har\u00e1 una serie de preguntas para configurar&nbsp; el controlador de dominio.<\/p>\n\n\n\n<p>En la primera pantalla, debemos escribir un nombre para el valor predeterminado de Kerberos en may\u00fasculas.&nbsp;<br><strong>Escribimos el nombre que usaremos en el dominio, en may\u00fasculas<\/strong>&nbsp;y pulsamos<strong>&nbsp;Enter&nbsp;<\/strong>para continuar.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1029\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-9.png\" alt=\"\" class=\"wp-image-901\"\/><\/figure>\n\n\n\n<p>Ahora escribimos el nombre de host del servidor Kerberos para nuestro dominio.&nbsp;<strong>Usamos el mismo nombre que para el dominio, pero esta vez en min\u00fasculas&nbsp;<\/strong>y pulsamos<strong>&nbsp;Enter&nbsp;<\/strong>para continuar.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"374\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-17-1024x374.png\" alt=\"\" class=\"wp-image-2055\" srcset=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-17-1024x374.png 1024w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-17-300x110.png 300w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-17-768x281.png 768w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-17.png 1029w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"315\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-18-1024x315.png\" alt=\"\" class=\"wp-image-2056\" srcset=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-18-1024x315.png 1024w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-18-300x92.png 300w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-18-768x236.png 768w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-18.png 1036w\" sizes=\"(max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p>Finalmente, escribimos el nombre de host para el servidor administrativo del reino Kerberos.&nbsp;<strong>Usamos el mismo nombre del dominio&nbsp;<\/strong>y pulsamos&nbsp;<strong>Enter<\/strong>&nbsp;para finalizar la instalaci\u00f3n.<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"592\" height=\"183\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-19.png\" alt=\"\" class=\"wp-image-2057\" srcset=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-19.png 592w, https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/02\/image-19-300x93.png 300w\" sizes=\"(max-width: 592px) 100vw, 592px\" \/><\/figure>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"590\" height=\"386\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-15.png\" alt=\"\" class=\"wp-image-908\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Instalar los paquetes necesarios para Samba4 AD DC<\/strong><\/p>\n\n\n\n<p>Para instalar el controlador de dominio de Active Directory, debemos instalar Samba y todos los paquetes necesarios.<\/p>\n\n\n\n<p>Usando los siguientes comandos:&nbsp;<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>systemctl stop samba-ad-dc smbd nmbd winbind\nsystemctl disable samba-ad-dc smbd nmbd winbind<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-2.png\" alt=\"\" class=\"wp-image-808\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-1.png\" alt=\"\" class=\"wp-image-807\"\/><\/figure>\n\n\n\n<p>Este es el resultado de parar\/des-habilitar los servicios:<\/p>\n\n\n\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"418\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image.png\" alt=\"\" class=\"wp-image-805\"\/><\/figure>\n\n\n\n<p><strong>Muy Importante:<\/strong>&nbsp;Antes de empezar con el aprovisionamiento, debemos cambiar el nombre de&nbsp;<code>smb.conf<\/code>&nbsp;o eliminar la configuraci\u00f3n original de Samba (<code>smb.conf<\/code>). Este paso es obligatorio antes de aprovisionar Samba AD, ya que durante la provisi\u00f3n, Samba crea un nuevo archivo de configuraci\u00f3n desde cero y generar\u00e1 errores si encuentra el antiguo archivo&nbsp;<code>smb.conf<\/code>.<\/p>\n\n\n\n<p>En este manual, he preferido cambiar el nombre de&nbsp;<code><strong>smb.conf<\/strong><\/code>&nbsp;a&nbsp;<code><strong>smb.conf.original<\/strong><\/code>.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>mv \/etc\/samba\/smb.conf \/etc\/samba\/smb.conf.original<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-3.png\" alt=\"\" class=\"wp-image-809\"\/><\/figure>\n\n\n\n<p>Ahora iniciamos el aprovisionamiento de dominios de forma interactiva, aceptando las opciones predeterminadas que nos ofrece.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>samba-tool domain provision --use-rfc2307 --interactive<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-4.png\" alt=\"\" class=\"wp-image-810\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p>Adem\u00e1s, nos aseguramos de introducir la direcci\u00f3n IP de nuestro servidor DNS o de un servidor externo (en este caso hemos usado el servidor de fimaz.local 192.168.100.253). Tambi\u00e9n debemos escribir una contrase\u00f1a segura para la cuenta de Administrador.<\/p>\n\n\n\n<p><strong>NOTA IMPORTANTE:<\/strong>&nbsp;Si elige una contrase\u00f1a d\u00e9bil para la cuenta de administrador, la provisi\u00f3n del dominio fallar\u00e1.<\/p>\n\n\n\n<p>A continuaci\u00f3n, se presentan las preguntas que nos hace el asistente. En&nbsp;<strong>azul<\/strong>&nbsp;est\u00e1n las opciones que debemos introducir y en&nbsp;<strong>fucsia<\/strong>&nbsp;se encuentran las opciones por defecto, que en la mayor\u00eda de los casos son v\u00e1lidas y solo es necesario pulsar la tecla Enter:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Realm:<\/strong>&nbsp;Introducimos el nombre del dominio. En este manual es:&nbsp;<code>controlcc.local<\/code>&nbsp;y pulsamos Enter para continuar.<\/li>\n\n\n\n<li><strong>Domain [controlcc]:<\/strong>&nbsp;Ya est\u00e1 configurado por defecto seg\u00fan el dominio introducido en Realm. Por tanto, lo dejamos como est\u00e1 y pulsamos Enter para continuar.<\/li>\n\n\n\n<li><strong>Server Role (dc, member, standalone) [dc]:<\/strong>&nbsp;Por defecto, est\u00e1 seleccionado Controlador de Dominios [dc]. Lo dejamos como est\u00e1 y pulsamos Enter para continuar.<\/li>\n\n\n\n<li><strong>DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIN9_DLZ, NONE) [SAMBA_INTERNAL]:<\/strong>&nbsp;Por defecto, est\u00e1 seleccionado DNS interno de SAMBA [SAMBA_INTERNAL]. Lo dejamos como est\u00e1 y pulsamos Enter para continuar.<\/li>\n\n\n\n<li><strong>DNS forwarder IP address (write &#8216;none&#8217; to disable forwarding) [62.81.16.148]:<\/strong>&nbsp;Por defecto, est\u00e1 seleccionado el DNS de mi ISP [62.81.16.148]. En otros casos, debemos introducir la IP de nuestro servidor DNS. Lo dejamos como est\u00e1 y pulsamos Enter para continuar.<\/li>\n\n\n\n<li><strong>Administrator password:<\/strong>&nbsp;Introducimos la contrase\u00f1a de administrador. Se recomienda usar una contrase\u00f1a con la siguiente estructura: no inferior a 8 caracteres y que contenga al menos un car\u00e1cter en may\u00fascula, uno en min\u00fasculas y un n\u00famero.<\/li>\n\n\n\n<li><strong>Retype password:<\/strong>&nbsp;Volvemos a introducir la misma contrase\u00f1a anterior para asegurarnos de que la hemos escrito correctamente.<\/li>\n<\/ul>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"386\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-5.png\" alt=\"\" class=\"wp-image-811\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"946\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-7.png\" alt=\"\" class=\"wp-image-813\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"946\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-8.png\" alt=\"\" class=\"wp-image-814\"\/><\/figure>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1237\" height=\"530\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/05\/image-11.png\" alt=\"\" class=\"wp-image-903\"\/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><\/p>\n\n\n\n<p>Ahora iniciamos y habilitamos los demonios de Samba Active Directory Domain Controller .<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>systemctl unmask samba-ad-dc\nsystemctl start samba-ad-dc\nsystemctl enable samba-ad-dc<\/code>\n<\/code><\/pre>\n\n\n\n<p>Capturas de pantalla del comando:&nbsp;<strong><code>systemctl unmask samba-ad-dc<\/code><\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-10.png\" alt=\"\" class=\"wp-image-816\"\/><\/figure>\n\n\n\n<p>Capturas de pantalla del comando:&nbsp;<strong><code>systemctl start samba-ad-dc<\/code><\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-11.png\" alt=\"\" class=\"wp-image-817\"\/><\/figure>\n\n\n\n<p>Capturas de pantalla del comando:&nbsp;<strong><code>systemctl enable samba-ad-dc<\/code><\/strong><\/p>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"146\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-12.png\" alt=\"\" class=\"wp-image-818\"\/><\/figure>\n\n\n\n<p><strong><u>Samba 4 AD DC ya esta funcionando<\/u><\/strong><\/p>\n\n\n\n<p>A partir de momento Samba 4 AC DC esta completamente operativo. El nivel m\u00e1s alto de dominio que Samba est\u00e1 emulando deber\u00eda ser Windows AD DC 2008 R2 .<\/p>\n\n\n\n<p>Lo vamos a verificar con la ayuda de la herramienta samba-tool .<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>samba-tool domain level show<\/code><\/code><\/pre>\n\n\n\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"1157\" height=\"338\" src=\"https:\/\/dsantana.uas.edu.mx\/wp-content\/uploads\/2022\/03\/image-13.png\" alt=\"\" class=\"wp-image-819\"\/><\/figure>\n\n\n\n<p><strong>Verificando el servidor de archivos<\/strong><\/p>\n\n\n\n<p><strong>Nota importante:<\/strong>&nbsp;Las capetas compartidas de&nbsp;<strong>netlogon<\/strong>&nbsp;y las&nbsp;<strong>sysvol<\/strong>&nbsp;se crean autom\u00e1ticamente durante el aprovisionamiento ya que son obligatorias en el Controlador Dominios.<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Para enumerar todas las acciones proporcionadas por el DC:\n\n<code>smbclient -L localhost -U%<\/code><\/code><\/pre>\n\n\n\n<pre class=\"wp-block-code\"><code>Para verificar la autenticaci\u00f3n, nos con\u00e9ctamos al recurso netlogon compartido utilizando la cuenta de administrador de dominio:\n\n<code>smbclient \/\/localhost\/netlogon -UAdministrator -c 'ls'<\/code><\/code><\/pre>\n\n\n\n<p><strong>Verificaci\u00f3n de DNS<\/strong><\/p>\n\n\n\n<p>Para verificar que la configuraci\u00f3n del DNS AD funciona correctamente, consultamos algunos registros DNS:<\/p>\n\n\n\n<p>El&nbsp;<strong>_ldap<\/strong>&nbsp;registro SRV basado en TCP en el dominio:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>host -t SRV _ldap._tcp.controlcc.local<\/code><\/code><\/pre>\n\n\n\n<p>El&nbsp;<strong>_kerberos<\/strong>&nbsp;registro de recursos SRV basado en udp en el dominio:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>host -t SRV _kerberos._udp.controlcc.local<\/code><\/code><\/pre>\n\n\n\n<p>El&nbsp;<strong>registro A<\/strong>&nbsp;del controlador de dominio:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code><code>host -t A dc1.controlcc.local<\/code><\/code><\/pre>\n\n\n\n<p><\/p>\n\n\n\n<p><strong>Conclusi\u00f3n sobre el uso de Samba 4 como Controlador de Dominios AD DC en Debian 12<\/strong><\/p>\n\n\n\n<p><strong>Ventajas:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Costo:<\/strong>&nbsp;Samba 4 es una soluci\u00f3n de c\u00f3digo abierto, lo que significa que no hay costos de licencia asociados, a diferencia de las soluciones propietarias como Windows Server<a>1<\/a>.<\/li>\n\n\n\n<li><strong>Compatibilidad:<\/strong>&nbsp;Samba 4 es compatible con los protocolos de Active Directory de Microsoft, lo que permite una integraci\u00f3n fluida con entornos Windows existentes<a>1<\/a>.<\/li>\n\n\n\n<li><strong>Flexibilidad:<\/strong>&nbsp;Permite la personalizaci\u00f3n y configuraci\u00f3n detallada seg\u00fan las necesidades espec\u00edficas de la organizaci\u00f3n<a>2<\/a>.<\/li>\n\n\n\n<li><strong>Comunidad y Soporte:<\/strong>&nbsp;Al ser una herramienta de c\u00f3digo abierto, cuenta con una amplia comunidad de usuarios y desarrolladores que pueden ofrecer soporte y compartir soluciones<a>1<\/a>.<\/li>\n<\/ol>\n\n\n\n<p><strong>Desventajas:<\/strong><\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Complejidad de Configuraci\u00f3n:<\/strong>&nbsp;La configuraci\u00f3n inicial y el aprovisionamiento de Samba 4 pueden ser complejos y requieren conocimientos t\u00e9cnicos avanzados<a>2<\/a>.<\/li>\n\n\n\n<li><strong>Documentaci\u00f3n y Soporte:<\/strong>&nbsp;Aunque hay una comunidad activa, la documentaci\u00f3n puede ser menos accesible o detallada en comparaci\u00f3n con las soluciones propietarias<a>2<\/a>.<\/li>\n\n\n\n<li><strong>Actualizaciones y Seguridad:<\/strong>&nbsp;Las actualizaciones y parches de seguridad pueden depender de la comunidad, lo que podr\u00eda resultar en tiempos de respuesta m\u00e1s lentos en comparaci\u00f3n con las soluciones comerciales<a>2<\/a>.<\/li>\n\n\n\n<li><strong>Integraci\u00f3n Limitada:<\/strong>&nbsp;Algunas caracter\u00edsticas avanzadas de Active Directory, como ciertas pol\u00edticas de grupo y funcionalidades de administraci\u00f3n, pueden no estar completamente soportadas o ser m\u00e1s dif\u00edciles de implementar<a>1<\/a>.<\/li>\n<\/ol>\n\n\n\n<p>En resumen, Samba 4 en Debian 12 ofrece una soluci\u00f3n robusta y econ\u00f3mica para la gesti\u00f3n de dominios AD, pero puede requerir un mayor esfuerzo en t\u00e9rminos de configuraci\u00f3n y mantenimiento.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Samba&nbsp;es un software libre que permite la interoperabilidad entre sistemas operativos Unix\/Linux y Windows. Proporciona servicios de archivos e impresi\u00f3n para clientes SMB\/CIFS (Server Message Block\/Common Internet File System), que son los protocolos utilizados por Windows para compartir archivos e impresoras en una red. Con Samba, puedes: Samba es una herramienta esencial para entornos mixtos donde se utilizan tanto sistemas Windows como Linux, ya que facilita la colaboraci\u00f3n y el intercambio de recursos entre estos sistemas. La \u00faltima versi\u00f3n estable de Samba es la&nbsp;4.21.3, lanzada el 6 de enero de 2025. Esta versi\u00f3n incluye varias mejoras y correcciones de errores en comparaci\u00f3n con las versiones anteriores. esta versi\u00f3n el nivel m\u00e1s alto de Controlador de Dominio y bosque de AD DC que puede emular es: Windows 2008 R2. NOTA IMPORTANTE sobre Kerberos En un AD, Kerberos se utiliza para autenticar usuarios, m\u00e1quinas y servicios. A partir de Samba 4.7, se proporciona soporte experimental para el KDC (Key Distribution Center) de Kerberos de MIT. En otros casos, Samba utiliza el KDC de Heimdal incluido en Samba. En este manual se detallan los pasos necesarios para instalar y configurar Samba 4 como Controlador de Dominio (AD DC) en Debian GNU\/Linux 12 y sus derivados. Actualizar el servidor Antes de comenzar con la instalaci\u00f3n de Samba 4.7 como Controlador de Dominio (AD DC), es fundamental actualizar nuestro servidor Debian GNU\/Linux con las \u00faltimas versiones de seguridad y del kernel. Para ello, ejecuta los siguientes comandos: hostname, nombre del servidor Debemos configurar el nombre del servidor con un nombre descriptivo, Por ejemplo&nbsp;Servidor CONTROLCC editando el archivo&nbsp;\/etc\/hostname IP fija&nbsp;en el servidor Una vez instalado Debian GNU\/Linux, el sistema est\u00e1 configurado para obtener autom\u00e1ticamente la configuraci\u00f3n de red (IP, m\u00e1scara de red, servidores DNS, puerta de enlace) a trav\u00e9s del servicio DHCP. Sin embargo, dado que hemos instalado un servidor, es necesario asignarle una direcci\u00f3n IP est\u00e1tica. Vamos a configurar la interfaz de red&nbsp;enp0s3&nbsp;(denominaci\u00f3n de la primera tarjeta de red en sistemas Linux) con la direcci\u00f3n IP est\u00e1tica&nbsp;192.168.1.200. Tambi\u00e9n es necesario especificar la direcci\u00f3n del dispositivo de acceso a Internet, la puerta de enlace o gateway (192.168.1.1). Nota importante:&nbsp;El nombre de las interfaces de red var\u00eda seg\u00fan el tipo de adaptador instalado. En este manual nos referimos a la primera interfaz de red como&nbsp;enp0s3, pero el nombre debe reemplazarse por la designaci\u00f3n real de su interfaz de red. La configuraci\u00f3n de las interfaces de red est\u00e1 almacenada en el archivo de texto&nbsp;\/etc\/network\/interfaces. Realizamos la siguiente modificaci\u00f3n usando el editor&nbsp;nano: ======================================# The loopback network interfaceauto loiface lo inet loopback # The primary network interface# allow-hotplug enp0s3# iface&nbsp;enp0s3&nbsp;inet dhcp Una vez que el servidor est\u00e1 configurado con una direcci\u00f3n IP fija, activamos la interfaz de red con el siguiente comando: Hosts: Resoluci\u00f3n de DNS en el servidor La herramienta&nbsp;resolvconf&nbsp;actualiza autom\u00e1ticamente el archivo de configuraci\u00f3n de resoluci\u00f3n de nombres (DNS), llamado&nbsp;\/etc\/resolv.conf. Tanto el servidor como los clientes del dominio deben usar un servidor DNS capaz de resolver las zonas DNS de AD. Esta herramienta, por defecto, reescribe el archivo&nbsp;\/etc\/resolv.conf&nbsp;en cada arranque. Por lo tanto, vamos a usar la resoluci\u00f3n de DNS en el archivo&nbsp;\/etc\/hosts. Vamos a a\u00f1adir las DNS en el archivo&nbsp;\/etc\/hosts&nbsp;para permitir las b\u00fasquedas por nombres DNS. NTP: Sincronizar la hora Kerberos requiere una hora sincronizada en todos los miembros del dominio. Para ello, procedemos a instalar el servidor de hora NTP. Usamos el siguiente comando: Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, instalamos Samba y todos los paquetes necesarios. Usamos el siguiente comando: Durante la instalaci\u00f3n, el instalador nos har\u00e1 una serie de preguntas para configurar&nbsp; el controlador de dominio. En la primera pantalla, debemos escribir un nombre para el valor predeterminado de Kerberos en may\u00fasculas.&nbsp;Escribimos el nombre que usaremos en el dominio, en may\u00fasculas&nbsp;y pulsamos&nbsp;Enter&nbsp;para continuar. Ahora escribimos el nombre de host del servidor Kerberos para nuestro dominio.&nbsp;Usamos el mismo nombre que para el dominio, pero esta vez en min\u00fasculas&nbsp;y pulsamos&nbsp;Enter&nbsp;para continuar. Finalmente, escribimos el nombre de host para el servidor administrativo del reino Kerberos.&nbsp;Usamos el mismo nombre del dominio&nbsp;y pulsamos&nbsp;Enter&nbsp;para finalizar la instalaci\u00f3n. Instalar los paquetes necesarios para Samba4 AD DC Para instalar el controlador de dominio de Active Directory, debemos instalar Samba y todos los paquetes necesarios. Usando los siguientes comandos:&nbsp; Este es el resultado de parar\/des-habilitar los servicios: Muy Importante:&nbsp;Antes de empezar con el aprovisionamiento, debemos cambiar el nombre de&nbsp;smb.conf&nbsp;o eliminar la configuraci\u00f3n original de Samba (smb.conf). Este paso es obligatorio antes de aprovisionar Samba AD, ya que durante la provisi\u00f3n, Samba crea un nuevo archivo de configuraci\u00f3n desde cero y generar\u00e1 errores si encuentra el antiguo archivo&nbsp;smb.conf. En este manual, he preferido cambiar el nombre de&nbsp;smb.conf&nbsp;a&nbsp;smb.conf.original. Ahora iniciamos el aprovisionamiento de dominios de forma interactiva, aceptando las opciones predeterminadas que nos ofrece. Adem\u00e1s, nos aseguramos de introducir la direcci\u00f3n IP de nuestro servidor DNS o de un servidor externo (en este caso hemos usado el servidor de fimaz.local 192.168.100.253). Tambi\u00e9n debemos escribir una contrase\u00f1a segura para la cuenta de Administrador. NOTA IMPORTANTE:&nbsp;Si elige una contrase\u00f1a d\u00e9bil para la cuenta de administrador, la provisi\u00f3n del dominio fallar\u00e1. A continuaci\u00f3n, se presentan las preguntas que nos hace el asistente. En&nbsp;azul&nbsp;est\u00e1n las opciones que debemos introducir y en&nbsp;fucsia&nbsp;se encuentran las opciones por defecto, que en la mayor\u00eda de los casos son v\u00e1lidas y solo es necesario pulsar la tecla Enter: Ahora iniciamos y habilitamos los demonios de Samba Active Directory Domain Controller . Capturas de pantalla del comando:&nbsp;systemctl unmask samba-ad-dc Capturas de pantalla del comando:&nbsp;systemctl start samba-ad-dc Capturas de pantalla del comando:&nbsp;systemctl enable samba-ad-dc Samba 4 AD DC ya esta funcionando A partir de momento Samba 4 AC DC esta completamente operativo. El nivel m\u00e1s alto de dominio que Samba est\u00e1 emulando deber\u00eda ser Windows AD DC 2008 R2 . Lo vamos a verificar con la ayuda de la herramienta samba-tool . Verificando el servidor de archivos Nota importante:&nbsp;Las capetas compartidas de&nbsp;netlogon&nbsp;y las&nbsp;sysvol&nbsp;se crean autom\u00e1ticamente durante el aprovisionamiento ya que son obligatorias en el Controlador Dominios. Verificaci\u00f3n de DNS Para verificar que la configuraci\u00f3n<\/p>\n","protected":false},"author":1,"featured_media":1442,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[16,5,12,56,59,1,10,6],"tags":[],"class_list":["post-647","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-debian","category-docencia","category-linux","category-redes","category-seguridad","category-sin-categoria","category-sistemas-operativos","category-talleres"],"_links":{"self":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/647","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/comments?post=647"}],"version-history":[{"count":29,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/647\/revisions"}],"predecessor-version":[{"id":2059,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/posts\/647\/revisions\/2059"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/media\/1442"}],"wp:attachment":[{"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/media?parent=647"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/categories?post=647"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/dsantana.uas.edu.mx\/index.php\/wp-json\/wp\/v2\/tags?post=647"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}