servicio de compartición de ficheros y dominios — documentación de zentyal 3

12/4/2014 Servicio de comparticin de ficheros y Dominios Documentacin de Zentyal 3.4

http://doc.zentyal.org/es/filesharing.html 1/16

Servicio de comparticin de ficheros y

Dominios

Zentyal usa Samba para implementar SMB/CIFS [4] y gestionar el dominio, Kerberos [5] para los

servicios de autenticacin.

[4] http://es.wikipedia.org/wiki/Samba_(programa)

[5] http://es.wikipedia.org/wiki/Kerberos

Configurar Zentyal como un servidor de Dominio

Standalone

Antes de activar el mdulo de Comparticin de Ficheros y Dominios tenemos que revisar ciertas

configuraciones de nuestro servidor. Durante la activacin del mdulo el Dominio se provisiona. Esto

quiere decir que las configuraciones para LDAP, DNS y Kerberos son generadas, creando los objetos

de LDAP, los Principales de seguridad de Keberos, las zonas especficas de DNS y dems. Esta

operacin puede ser revertida, pero es ms costos que activar y desactivar el resto de mdulos.

Antes de activar Comparticin de ficheros y Dominios por primera vez nos aseguraremos que:

Hemos configurado el modo de operacin, por defecto Controlador del Dominio, pero tambin

podemos configurar el servidor para ser un controlador adicional unido a otros nodo. En este

ltimo caso, configuraremos el modo de operaciones y las credenciales antes de activar el

mdulo, y seguiremos las instrucciones para este supuesto en las siguientes secciones. Si el

servidor va a funcionar como primer Controlador del Dominio, no es necesario modificar los

datos por defecto.

Home

Company

Download

Documentation

Screenshots

Forum

ContributeStore



Zentyal como controlador nico del dominio

El dominio local y el hostname son correctos. Podemos comprobar esto desde Sistema

General. Si deseamos modificar estos datos, reiniciaremos el servidor antes de activar el

mdulo.

Comprobando nombre del host y dominio

En la configuracin del mdulo DNS tenemos un dominio local que coincide con el que

tenemos en Sistema General, el dominio contiene nuestro hostname como registro (A),

seccin Nombres de mquinas, este nombre debe estar asociado a, por lo menos, una IP

interna. Aadiremos todas las IP internas donde deseemos proporcionar servicios del dominio a

este Hostname.



zentyal hostname dentro del dominio zentyal-domain.lan, apuntando a todas las IP internas

El mdulo de NTP est instalado y activado, y los clientes reciben esta sincronizacin NTP,

preferentemente a travs de DHCP.

Una vez que hayamos activado Comparticin de Ficheros podemos proveer carpetas compartidas,

unir clientes Windows al dominio, configurar y enlazar las polticas GPO y aceptar conexiones de los

nuevos controladores de dominio adicionales, tanto Windows Server como Zentyal

Configurar un servidor de ficheros con Zentyal

Una vez que hayamos activado el mdulo Comparticin de Ficheros (ya sea como Controlador de

dominio o como Controlador Adicional del dominio), el servidor podr ofrecer la funcionalidad de un

servidor de ficheros SMB/CIFS.

Por defecto cada usuario de LDAP tiene un directorio personal /home/ en el

servidor. Si el mdulo est activado, el directorio ser accesible al usuario (y slo al usuario) usando

SMB/CIFS. Adicionalmente, si es un cliente Windows unido al dominio, este directorio se montar

automticamente como el volumen H:.

Para crear un nuevo directorio compartido, accederemos a Comparticin de Ficheros, tab de

Directorios compartidos y seleccionaremos Aadir nuevo.

Aadiendo directorio compartido



Habilitado:

Por defecto activado, se est compartiendo este directorio, Podemos desmarcarlo para dejar de

compartir.

Nombre del recurso compartido:

El nombre de esta carpeta compartida para nuestros usuarios.

Ruta del recurso compartido:

Ruta en el sistema de ficheros donde se encuentra el recurso, por defecto dentro de

/home/samba/shares, o especificar un directorio diferente usando Ruta del sistema de

ficheros.

Comentario:

Descripcin ms detallada del contenido del recurso.

Acceso de invitado:

Activando esta opcin ser posible acceder al directorio sin autenticacin previa. Las dems

polticas de acceso asociadas a esta carpeta sern ignoradas.

Lista de carpetas compartidas

Los directorios compartidos pueden ser gestionados accediendo a Control de Acceso. Usando el

botn Aadir nuevo, podemos asignar permisos de lectura, lectura escritura o administrador a

usuarios y grupos. Si un usuario es el administrador de un directorio compartido, puede leer, escribir y

borrar cualquier fichero dentro de ese directorio.

Aadiendo una nueva ACL (Lista de control de acceso)

Si deseamos almacenar los ficheros eliminados en un directorio especial, llamado Papelera de

Reciclaje, podemos marcar la opcin Habilitar papelera de reciclaje desde el tab Papelera de

reciclaje. Si no necesitamos activar esta caracterstica para todos los recursos compartidos, podemos

aadir excepciones con la lista Excluir de la papelera de reciclaje. Otras caractersticas de esta



opcin, como el nombre del directorio pueden ser modificadas desde el fichero

/etc/zentyal/samba.conf.

Papelera de reciclaje

Accediendo al tab Antivirus, podemos activar el rastreo de virus en nuestros ficheros compartidos.

Tambin es posible aadir excepciones en las carpetas donde no se requiere el uso de antivirus. Para

disponer de esta caracterstica, el mdulo de antivirus debe estar instalado y activado.

Antivirus analizando las carpetas

Si un virus es detectado en las carpetas seleccionadas, el fichero ser movido a una carpeta especial de

cuarentena /var/lib/zentyal/quarantine. Este comportamiento impide que el malware se propague

por las redes de nuestro servidores, pero el administrador del sistema puede analizar el fichero (en

algunas ocasiones los virus vienen embebidos en ficheros tiles, como las macros de hojas de clculo).

Fichero de malware movido a directorio en cuarentena

SMB/CIFS es un protocolo muy comn que puede ser usado de forma nativa en cualquier cliente

Windows, la mayora de distribuciones de Linux (Usando el explorador de ficheros Nautilus, por



ejemplo), y usando aplicaciones dedicadas tambin en Android o iOS.

Adems de esto, el servicio de Comparticin de ficheros est estrechamente integrado con el

subsistema de Kerberos (Ver Autenticacin con Kerberos ms abajo), lo que significa que si los

usuarios se han unido al dominio o han conseguido el ticket principal de Kerberos de cualquier otro

modo, las ACL explicadas ms arriba se aplicarn sin necesidad de intervencin del usuario.

Uniendo un cliente Windows al dominio

El proceso de unir un cliente Windows al dominio de Zentyal es idntico a unirse a un servidor

Windows.

En primer lugar tendremos que crear un Domain Admin, que no debe ser confundido con la cuenta de

administracin de Zentyal. Un Domain Admin es cualquier usuario del LDAP que est agregado al

grupo Domain Admins

Aadiendo un usuario Domain Admin a LDAP

Ahora, accediendo al cliente windows

Nos aseguraremos que el servidor Zentyal y el cliente Windows pueden alcanzarse mutuamente a

travs de una red local

Nos aseguraremos de que el cliente Windows tiene a Zentyal como su servidor DNS

Nos aseguraremos de que tanto el cliente como el servidor tienen la hora perfectamente

sincronizada usando NTP

Despus de comprobar estas precondiciones, nos uniremos al dominio de la manera habitual



Unindose al dominio con Windows

Para los credenciales, usaremos el Domain Admin que hemos creado previamente

Credenciales del Domain Admin

Tras completar el proceso, nuestro cliente Windows aparecer en el rbol de LDAP bajo la Computers

OU, aplicar las GPO configuradas y obtendr el ticket de Kerberos automticamente al iniciar sesin

(Ver la seccin de Kerberos).



Cliente Windows en el rbol LDAP

Ahora ya podemos iniciar sesin en nuestro cliente Windows con los usuarios creados en el LDAP de

Zentyal.

Autenticacin con Kerberos

Kerberos es un sistema de autenticacin automtica que se integra con Samba4/Active Directory y con

todos los dems servicios compatibles en el dominio.

El cliente solo necesita introducir sus credenciales una vez para obtener el ticket principal de, Ticket

Granting Ticket.

Esta operacin se realiza automticamente en los clientes Windows unidos al dominio, las credenciales

de inicio de sesin se envan al Controlador de Dominio (Cualquiera de ellos) y su el usuario se

verifica, el controlador enva el TGT junto con otros tickets necesarios para la comparticin de ficheros

al cliente.



Puedes comprobar la lista de tickets activos en el cliente usando el comando klist

Tickets de Kerberos tras iniciar sesin

En sistemas Ubuntu/Debian tambin es posible obtener el ticket TGT de Kerberos instalando el paquete

heimdal-clients

Obteniendo el TGT de Kerberos en Ubuntu

Una vez que el cliente ha obtenido el ticket TGT de Kerberos, todos los dems servicios compatibles

con Kerberos del dominio aceptaran los tickets proporcionados por el cliente, que son obtenidos

automticamente cuando se solicita acceder al servicio.

Este mecanismo de autenticacin tiene dos ventajas principales:

Seguridad: Los credenciales viajan seguros por la red local, el sistema es resistente al sniffing y a

los ataques de replay.

Comodidad: Los usuarios slo necesitan introducir sus credenciales una vez, los dems tickets de

autorizacin se obtienen de forma transparente. Por ejemplo, es posible usar un Proxy HTTP no



transparente sin necesidad de importunar a los usuarios con una pantalla de inicio de sesin cada

vez que comienzan a navegar.

Servicios de Zentyal compatibles con la autorizacin Kerberos en esta versin:

Comparticin de Ficheros (SMB/CIFS)

Proxy HTTP

Correo Electrnico

Es importante observar que todos los Controladores de Dominio estn integrados en el mismo

contexto de Kerberos. Por ejemplo, un servidor Windows puede proveer el ticket TGT de Kerberos y

ms tarde el usuario puede usar un Proxy HTTP ofrecido por un servidor Zentyal unido al mismo

dominio sin necesidad de introducir los credenciales de nuevo.

Polticas de Grupo (GPO)

Las polticas de grupo o Group Policy Objects (GPO) son polticas asociadas a los contenedores del

Dominio.

Usando GPOs, podemos realizar configuraciones automticas o comunicar restricciones a los clientes,

tenemos polticas globales para todo el dominio, polticas para las Unidades Organizativas y tambin

para los Sites (localizaciones fsicas).

Ejemplos tpicos del uso de una GPO incluiran:

Instalar y actualizar paquetes de software sin intervencin del usuario

Configurar el Proxy HTTP de los navegadores e instalar la Autoridad de Certificacin del

dominio

Enviar scripts que sern ejecutados al inicio y/o cierre de sesin

Restringir partes de la configuracin del cliente Windows al usuario

Zentyal puede importar y hacer cumplir cualquier GPO cuando esta unido a un servidor Windows a

travs de la replicacin del SYSVOL [9] , que se realiza automticamente. Usando la propia interfaz

web de Zentyal es posible crear nuevas GPO para los scripts de inicio y fin de sesin.

Accediendo a Dominio Objetos de Poltica de Grupo (GPO), podemos ver la Default

Domain Policy que ser aplicada a todas las mquinas del dominio y la Default Domain

Controllers Policy que sera aplicada a todos los servidores controladores del Dominio.



Lista de GPO y formulario para crear nuevas

Accediendo al icono de configuracin dentro de una GPO, podemos configurar scripts de inicio y fin

de sesin, que pueden ser asociados con los Equipos o con los Usuarios.

Aadiendo un script de inicio de sesin a los usuarios relacionados con esta GPO

Una vez se haya creado una GPO, es necesario asociarla a un contenedor para que tenga efecto sobre

los equipos/usuarios contenidos. Podremos hacer esto accediendo al men Dominio Enlaces para

Polticas de Grupo.



Enlazando la GPO con el OU de Ventas

[11] http://en.wikipedia.org/wiki/File_Replication_Service

Incluso si no tenemos ningn servidor Windows en el dominio, es posible crear y propagar cualquier

GPO usando cualquier cliente Windows unido al dominio. Para ello tendremos que instalar la

herramienta RSAT de Microsoft e iniciar sesin con el usuario que hemos configurado como

administrador del dominio.

Gestionando las GPO con la herramienta RSAT en un cliente Windows



Usando esta herramienta, las GPO sern aadidas automticamente al SYSVOL del dominio y

ejecutadas desde el servidor Zentyal en todos los dems clientes.

Unir Zentyal Server a un dominio existente

Gracias a la integracin con tecnologas Samba4, Zentyal es capaz de convertirse en un Controlador

Adicional de un dominio existente, ya sea unindose a un servidor Windows o a otro controlador

basado en Samba4, por ejemplo, otro servidor Zentyal.

Tras unirse al dominio, la informacin de LDAP, DNS, Kerberos y el directorio SYSVOL sern

replicados de manera transparente.

Tenemos que verificar ciertos puntos antes de unirnos a otro controlador

La informacin local del directorio LDAP de Zentyal ser destruida, ya que se sobrescribir la

informacin de directorio del dominio

Todos los controladores deben tener la hora perfectamente sincronizada, a ser posible usando

NTP

Cuando Zentyal reciba los usuarios sincronizados desde el dominio, crear sus directorios de

usuario asociados /home/, comprueba que estos nuevos directorios no

existen previamente para evitar colisiones

La correcta configuracin del sistema de DNS es crtica, los dems controladores de dominio

enviarn la informacin a la IP proporcionada por el sistema de DNS

Si tenemos alguna IP externa asociada a nuestro hostname (por ejemplo, zentyal.zentyal-domain.lan)

podremos tener problemas de sincronizacin si alguno de los dems controladores intenta usar esa IP

para enviar los datos. Incluso si tenemos varias IP internas, podemos sufrir el mismo problema, por

que el sistema de DNS lleva a cabo un round-robin por defecto cuando responde a las peticiones. Si

este es su caso, puede ser recomendable descomentar el parmetro sortlist = yes en el fichero

/etc/zentyal/dns.conf y reiniciar el servidor DNS. De esta manera el DNS ordenar las IP de la

respuesta, poniendo primero la que coincida con la mscara de red de la mquina haciendo la peticin.

Una vez que se hayan comprobado todos estos puntos, podemos unirnos al dominio desde Dominio

Configuracin



Zentyal server unindose a un servidor Windows como controlador adicional

Guardar los cambios llevar ms tiempo del habitual en este caso, dado que Samba4 se estar

provisionando y todos los datos del dominio necesitan ser replicados.

rbol LDAP de Zentyal replicado con el servidor Windows

Explorando el rbol LDAP desde el servidor Windows tambin nos mostrar el nuevo controlador de

dominio



rbol LDAP de Windows mostrando el nuevo controlador

Desde este momento la informacin de LDAP, dominio DNS asociado a samba (el dominio local) y

Kerberos ser sincronizada en ambas direcciones. Es posible gestionar la informacin de LDAP

(usuarios, grupos, OUs...) en cualquiera de los controladores y los cambios se replicarn en los dems.

El proceso para unirse a otro servidor Zentyal es idntico al descrito.

Migracin Total

Todos los controladores de dominio poseen una rplica de la informacin de dominio comentada

anteriormente, sin embargo existen roles especficos que pertenecen a mquinas concretas, llamados

los roles FSMO o Operations Masters.

Los Operations Masters son crticos para el funcionamiento del dominio, hay cinco roles FSMO:

Schema master: a cargo de la definicin del rbol LDAP, enva actualizaciones de este formato

Domain naming master: Crear y borrar dominios en el bosque

Infrastructure master: Provee de identificadores GUID, SID y DN nicos en el dominio

Relative ID Master: ID relativas asignadas a los principales de seguridad

PDC Emulator: Compatibilidad con mquinas Windows 2000/2003 hosts, servidor de hora

principal

Usando el script de Migracin Total, podemos transferir estos roles a un servidor Zentyal unido al

dominio.

Desde el directorio /usr/share/zentyal-samba ejecutamos:

administrator@zentyal:/usr/share/zentyal-samba$ sudo ./ad-migrateWARNING: This script will transfer all FSMO roles from the current owners to



the local server. After all roles has been successfully transferred, you can shutdown the other domain controllers.Do you want to continue [Y/n]? Y

Checking server mode...

Checking if server is provisioned...

Synchronizing sysvol share...syncing [SYSVOL] files and directories including ACLs, without DOS Attributes

Transferring FSMO roles...Transferring Schema Master role from owner: CN=NTDS Settings,CN=WINDC,CN=ServersTransferring Domain Naming Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Transferring PDC Emulation Master role from owner: CN=NTDS Settings,CN=WINDC,CN=Transferring RID Allocation Master role from owner: CN=NTDS Settings,CN=WINDC,CNTransferring Infrastructure Master role from owner: CN=NTDS Settings,CN=WINDC,CN

Migrated successfully!

De ahora en adelante, Zentyal ser el nico controlador crtico para el dominio y todas los servicios de

dominio seguirn funcionando incluso si apagamos los dems controladores, exceptuando

consideraciones de red y escalabilidad.

Limitaciones conocidas

Es importante comprobar la lista de limitaciones conocidas de Samba4 para esta versin antes de

planificar el dominio:

Slo un dominio, en un nico bosque, Samba no soporta mltiples dominios ni mltiples bosques.

El nivel funcional del dominio ha de ser mnimo 2003 y mximo 2012

El nombre de host no puede coincidir con el nombre NETBIOS, el nombre NETBIOS se genera a

partir de la parte izquierda del nombre de dominio, por ejemplo, si el nombre de host es zentyal,

el nombre de dominio no puede ser zentyal.lan, pero si zentyal-domain.lan

Las relaciones de confianzas entre dominios y bosques no estn soportadas

Las GPO se sincronizarn desde los servidores Windows hacia los servidores Zentyal, pero no a

la inversa

No es posible combinar sincronizacin Samba4 con master/slave

No se soportan usuarios con nombres no-ASCII (tildes, ees, guin)

Copyright 2004-2012 Zentyal S.L.

servicio de compartición de ficheros y dominios — documentación de zentyal 3

Documents