Joan zuzenean edukira

6.2. Linuxen integrazioa Active Directoryn

Atal honetan Linux Active Directoryrekin integratuko dugu autentifikazio eta baimen zentralizatua lortzeko, 2025ean gomendatutako metodoarekin: realmd + sssd. Ubuntu 22.04 eta 24.04 bertsioetarako pausoak, egiaztapenak, AD taldeak (sudo eta sarbide‐kontrola) eta oinarrizko arazoen konponbidea jasotzen dira.

6.2.1. Kontzeptuak eta betekizunak

  • DNS: Linux zerbitzariak AD domeinua (adib.: empresa.local) eta DC ebaztu behar ditu.
  • Ordua: NTP sinkronizazioa DCrekin. Kerberosek huts egin dezake >5 min desfasearekin.
  • Sarea: LDAP/Kerberos/SMB konektibitatea (88, 389/636, 445, 464, … portuak).
  • Kontua: ekipoak domeinura lotzeko baimenak dituen erabiltzailea (adib. Administrador).

6.2.2. Metodo modernoa gomendatua: realmd + sssd

realmd‐ek domeinua detektatu eta lotura automatizatzen du Kerberos/LDAP bidez. sssd‐k identitate cachea, NSS/PAM eta sarbidea kudeatzen ditu. Bide errazena eta txukunena da Ubuntu 22.04/24.04‐rako.

6.2.3. Paketeen instalazioa (Ubuntu 22.04/24.04)

sudo apt update
sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

Ziurtatu DNS DCra seinalatzen duela eta domeinua ebazten dela:

resolvectl status | grep -E "DNS|Current DNS Server" || cat /etc/resolv.conf
host dc1.empresa.local
host empresa.local

Ordua sinkronizatu (beharrezkoa bada):

timedatectl set-ntp true
timedatectl

6.2.4. Domeinua aurkitu eta ekipoa lotu

Domeinua aurkitu:

realm discover empresa.local

Domeinura batu (baimenak dituen erabiltzailearen pasahitza eskatuko du):

sudo realm join empresa.local -U Administrador

Lotura egiaztatu:

realm list
klist

Oharra: zure domeinuak REALM maiuskuletan badarabil (adib. EMPRESA.LOCAL), realmd‐ek automatikoki antzemango du.

6.2.5. sssd konfiguratzea eta home direktorio automatikoa

Join ongi eginda, sssd gaituta geratzen da. Lehen saioan home direktorioa sortzeko:

echo 'session required pam_mkhomedir.so skel=/etc/skel/ umask=0077' | sudo tee /etc/pam.d/common-session-local
sudo systemctl restart sssd

Aukerakoa: /etc/sssd/sssd.conf fitxategian pertsonalizazioa. Adibide minimoa:

[sssd]
services = nss, pam
config_file_version = 2
domains = empresa.local

[domain/empresa.local]
use_fully_qualified_names = False
cache_credentials = True
fallback_homedir = /home/%u

Baimenak aplikatu eta berrabiarazi:

sudo chmod 600 /etc/sssd/sssd.conf
sudo systemctl enable --now sssd

6.2.6. Saio‐hasiera domeinuko erabiltzaileekin

Identitate probak azkar:

id alumno1@empresa.local
getent passwd alumno1
getent group "Domain Users"

use_fully_qualified_names = False bada, alumno1 moduan erreferitu ahal izango duzu (ez alumno1@empresa.local).

Saio‐hasiera probak (SSH edo kontsola):

ssh alumno1@linux.empresa.local
# edo TTY saio lokala

Egiaztatu /home/alumno1 sortu dela eta talde nagusia ADrekin bat datorrela.

6.2.7. AD taldeak Linuxen erabiltzea

  • Sudo AD talde baterako (Linux administratzaileak):
echo '%LinuxAdmins ALL=(ALL) NOPASSWD:ALL' | sudo tee /etc/sudoers.d/ad-linux-admins
sudo visudo -cf /etc/sudoers.d/ad-linux-admins
  • Makinerara sarbidea AD talde bati soilik ematea (adib. LinuxUsers) sssd bidez:

/etc/sssd/sssd.conf fitxategiko domeinu atalean gehitu:

access_provider = simple
simple_allow_groups = LinuxUsers

Berrabiarazi:

sudo systemctl restart sssd
  • Karpeten baimenak AD taldeen bidez (adibidea):
sudo mkdir -p /srv/proyecto
sudo chgrp "LinuxUsers" /srv/proyecto
sudo chmod 2770 /srv/proyecto   # setgid: fitxategi berriek taldea heredatu dezaten
  • Taldeak zerbitzuekin mapatzea (adib. SSH sarbidea). /etc/ssh/sshd_config fitxategian:
AllowGroups LinuxUsers LinuxAdmins

eta SSH berritu:

sudo systemctl reload ssh

6.2.8. Egiaztapena eta oinarrizko diagnostikoa

  • sssd egoera eta logak:
systemctl status sssd
sudo journalctl -u sssd -b
  • Kerberos/DNS egiaztapena:
klist
host _ldap._tcp.empresa.local
host dc1.empresa.local
  • Ohiko arazoak:
  • Ordu desinkronizatua → NTP konfiguratu eta realm join berriro saiatu.
  • DNS DCra ez dagoenbideratuta → resolv.conf/NetworkManager egokitu.
  • Bateratzeko baimenik ez duen erabiltzailea → baimenak dituen kontua erabili edo Administrador.
  • sssd.conf aldaketak ez dira aplikatzen → 600 baimenak ziurtatu eta sssd berrabiarazi.

6.2.9. Laburpena

  • Metodo gomendatua: realmd + sssd (sinpletasuna eta euskarria).
  • Ubuntu 22.04/24.04: paketeak instalatu, realm discover eta realm join.
  • AD erabiltzaile/taldeekin sarbidea: sudo, sarbide‐kontrola (simple_allow_groups) eta karpeta baimenak.
  • Egiaztatu id, getent, klist eta sssd logekin.