Ana Borrego Toledo

by

Connexió client linux

Tornar al repte 2.2

Què és Active Directory (AD)?

És un servei de Windows Server que funciona com una “base de dades centralitzada” d’usuaris, ordinadors i permisos. Quan connectem el Debian a l’AD, podrem iniciar sessió amb usuaris que estan al servidor de Windows.

 

Què necessitem?

  • realmd: Eina que descobreix i connecta automàticament al domini
  • sssd: Servei que gestiona l’autenticació amb l’AD
  • adcli: Eina per administrar la connexió al domini
  • samba-common-bin: Eines per treballar amb protocols de Windows

El meu entorn:

  • DNS Master (Debian): illa4.local
  • Windows Server (AD): smx.illa4 – IP: 10.4.0.70
  • Client Debian: El que connectarem ara.

Configurar el DNS Master

PAS 1: Afegir la zona del domini AD

Al teu DNS Master, edita la configuració:

sudo nano /etc/bind/named.conf.local

PAS 2: Crear el fitxer de zona per a l’AD

Crea el fitxer de zona:
sudo nano /etc/bind/db.smx.illa4

PAS 3: Verificar la configuració i reiniciar BIND9

Comprova que no hi ha errors de sintaxi i si tot està bé, reinicia BIND9:
sudo named-checkconf
sudo named-checkzone smx.illa4 /etc/bind/db.smx.illa4
sudo systemctl restart bind9
sudo systemctl status bind9

Pas 4: Provar el DNS Master

Des del mateix DNS Master, prova:
ping smx.illa4
ping ad.smx.illa4
nslookup smx.illa4

Configurar el DNS al Windows Server

Opció A – Des de l’interfície gràfica:

Accedir a les Propietats de Xarxa:

Obriu el “Panel de control” i aneu a “Xarxes i Internet” > “Centre de xarxes i recursos compartits”.

Feu clic a “Canvia la configuració de l’adaptador”.

Feu clic dret a l’adaptador de xarxa (Ethernet o Wi-Fi) i seleccioneu Propietats.

Configurar IPv4:

  • Selecciona Protocol d’Internet versió 4 (TCP/IPv4)
  • Fes clic a Propietats
  • Marca l’opció “Utilitza les adreces de servidor DNS
  • Posa l’IP del teu servidor Debian (el DNS Master/Controlador de Domini). Com que només tenim el DNS Master, hi han dues opcions: Deixar-lo buit, posar 127.0.0.1 (loopback) o 8.8.8.8 com a fallback (però no és l’ideal per a un entorn AD)
  • Servidor DNS preferido: 10.4.0.10 (el teu DNS Master)
  • Servidor DNS alternativo: 127.0.0.1 (el propi Windows Server, com a backup)

Clica Aceptar i tanca les finestres.

Verificar la configuració i provar que funciona

# Veure la configuració DNS
Get-DnsClientServerAddress

# O amb ipconfig
ipconfig /all

# Fer ping
ping smx.illa4
ping 10.4.0.10
```

Configurar el DNS Master

PAS 1: Afegir la zona del domini AD

Al teu DNS Master, edita la configuració:

sudo nano /etc/bind/named.conf.local

PAS 2: Crear el fitxer de zona per a l’AD

Crea el fitxer de zona:
sudo nano /etc/bind/db.smx.illa4

PAS 3: Verificar la configuració i reiniciar BIND9

Comprova que no hi ha errors de sintaxi i si tot està bé, reinicia BIND9:
sudo named-checkconf
sudo named-checkzone smx.illa4 /etc/bind/db.smx.illa4
sudo systemctl restart bind9
sudo systemctl status bind9

Pas 4: Provar el DNS Master

Des del mateix DNS Master, prova:
ping smx.illa4
ping ad.smx.illa4
nslookup smx.illa4

Configurar el DNS al Windows Server

Opció A – Des de l’interfície gràfica:

Accedir a les Propietats de Xarxa:

Obriu el “Panel de control” i aneu a “Xarxes i Internet” > “Centre de xarxes i recursos compartits”.

Feu clic a “Canvia la configuració de l’adaptador”.

Feu clic dret a l’adaptador de xarxa (Ethernet o Wi-Fi) i seleccioneu Propietats.

Configurar IPv4:

  • Selecciona Protocol d’Internet versió 4 (TCP/IPv4)
  • Fes clic a Propietats
  • Marca l’opció “Utilitza les adreces de servidor DNS
  • Posa l’IP del teu servidor Debian (el DNS Master/Controlador de Domini). Com que només tenim el DNS Master, hi han dues opcions: Deixar-lo buit, posar 127.0.0.1 (loopback) o 8.8.8.8 com a fallback (però no és l’ideal per a un entorn AD)

CONNEXIÓ DEL CLIENT DEBIAN AL DOMINI

Configurar el DNS del client

Ho configurem amb la primera línea de comandes i ho fem immutable amb la segona.

sudo nano /etc/resolv.conf
sudo chattr +i /etc/resolv.conf

Verificar connectivitat

Al client Debian, vaig comprovar la connectivitat:

ping 10.4.0.20    # Windows Server → ✅ Funciona
ping 10.4.0.10    # DNS Master → ❌ No funciona
ping smx.illa4    # Nom del domini → ❌ No resol
nslookup smx.illa4 # → ❌ No resol
Vaig comprovar la configuració de xarxa del client:
ip addr show
ip route show

Problema detectat:

  • Client Debian: 10.4.0.220/27 (xarxa 10.4.0.19210.4.0.223)
  • DNS Master: 10.4.0.10/25 (xarxa 10.4.0.010.4.0.127)
  • Windows Server: 10.4.0.20/25 (xarxa 10.4.0.010.4.0.127)

Conclusió: El client està en una VLAN diferent (10.4.0.192/27) respecte al DNS Master i Windows Server (10.4.0.0/25).

 

Context:

  • DNS Master i Windows Server: Estan al meu ordinador, connectats a la VLAN 10.4.0.0/25
  • Client Debian: Està a l’ordinador del meu company, connectat a la VLAN 10.4.0.192/27
  • Connexió: Tots dos ordinadors estan connectats al mateix switch, però en VLANs diferents

Proves de connectivitat entre VLANs

Des del client, vaig provar la connectivitat amb cada servidor:

ping 10.4.0.10    # DNS Master → ❌ 100% packet loss
ping 10.4.0.20    # Windows Server → ✅ Funciona!

Descobriment important: Hi ha routing parcial entre VLANs:

  • ✅ El client pot arribar al Windows Server
  • ❌ El client NO pot arribar al DNS Master

Solució implementada: Usar el Windows Server com a DNS

Com que el client té connectivitat amb el Windows Server però no amb el DNS Master, vaig decidir configurar el Windows Server com a servidor DNS per al client.

Configuració al Windows Server

1. Verificar i engegar el servei DNS

Get-Service DNS
Start-Service DNS
Set-Service DNS -StartupType Automatic

3. Verificar la resolució DNS

Resultat: Resol correctament a 10.4.0.20

nslookup smx.illa4 127.0.0.1

2. Comprovar que escolta a totes les interfícies

Resultat: ListenAddresses buit → Escolta a totes les interfícies ✅

Get-DnsServerSetting -All | Select-Object ListenAddresses

Modificar el servidor DNS

Vaig canviar la configuració del client per usar el Windows Server com a DNS:

# Treure l'atribut immutable
sudo chattr -i /etc/resolv.conf

# Editar el fitxer
sudo nano /etc/resolv.conf

Proves finals de connectivitat

nslookup smx.illa4
ping smx.illa4

Instal·lació de paquets per a la integració amb Active Directory

sudo apt update
sudo apt install -y realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin packagekit
  • realmd: Eina que descobreix i connecta automàticament al domini
  • sssd: Servei que gestiona l’autenticació amb usuaris d’Active Directory
  • adcli: Eines per administrar la connexió al domini
  • libnss-sss i libpam-sss: Permeten que el sistema Linux reconegui usuaris del domini
  • samba-common-bin: Eines per treballar amb protocols de Windows

Descobriment del domini

Això demostra que el client “veu” el domini Active Directory

 

Explicació per documentar:

  • type: kerberos → El domini usa autenticació Kerberos
  • realm-name: SMX.ILLA4 → Nom del realm (domini en majúscules)
  • configured: no → Encara no estàunit al domini
  • server-software: active-directory → Confirma que és un Windows AD
sudo -i
realm discover smx.illa4

Unió al domini

Aquest procés crea un compte d’ordinador al Active Directory i configura automàticament sssd.

 

Escriu la contrasenya de l’usuari del Windows Server (no es veurà mentre escrius).

Si tot va bé: Tornaràs al prompt sense cap error 

realm join -U vagrant smx.illa4

Verificar que està unit al domini

configured: kerberos-member demostra que està unit al domini

realm list

Configurar creació automàtica de carpetes personals

Quan un usuari del domini iniciï sessió per primer cop, necessita que se li creï una carpeta /home/usuari:

pam-auth-update
  • Aquesta configuració fa que quan un usuari del domini iniciï sessió per primer cop, el sistema creï automàticament la seva carpeta personal /home/usuari.

S’obrirà un menú en mode text amb opcions:

  • Amb les fletxes amunt/avall, navega fins a Create home directory on login
  • Prem la barra espaiadora per marcar-la amb [*]
  • Prem Tab per anar a <Ok>
  • Prem Enter

Simplificar els noms d’usuari (opcional però recomanat)

Per defecte, hauràs d’escriure hb@smx.illa4 per iniciar sessió. Per poder escriure només hb:

nano /etc/sssd/sssd.conf

 Busca la línia (hauria de ser cap al final de la secció `[domain/smx.illa4]`): ``` use_fully_qualified_names = True i canvia-la per: False

Reinicia el servei SSSD:

bashsystemctl restart sssd
systemctl status sssd

Obtenir informació d’un usuari del domini: 

La comanda id mostra informació d’un usuari. Si retorna dades d’un usuari del domini (com hb), significa que el sistema Linux reconeix correctament els usuaris d’Active Directory.

id ab
id al
id hb

Canviar a un usuari del domini: 

su - hb
pwd          # Ha de mostrar /home/hb
whoami       # Ha de mostrar hb
ls -la       # Mostra el contingut de la carpeta
exit         # Torna a root
en_USEnglish
caCatalan en_USEnglish
Ana Borrego Toledo