[CentOS-es] servidor PDC

[Black Hand]

On Thursday 05 April 2007, Percy Gonzales wrote:

> Hola, listeros, recien hace unos meses he incursionado en el tema de
> centos (4.4) y realmente me ha parecido fantastico por todas sus
> cualidades, ahora mismo estoy en procura de migrar mi PDC w2k3 a
> centos, es asi que desearia me colaboren si alguno tien algun tutorial
> que me permita configurar PDC con samba+ldap y me permita trabajar
> como servidor de archivos e impresoras y no se que tan posible sea
> poder administrar politicas de grupo

tutoriales seguro por aca te van a lanzar varios, a mi me funciono la 
documentacion oficial de samba, en especial el Samba by Example [1]
q me guio bastante bien.

ahora dos cosas que mencionas aqui, una es q quieres *migrar* de w2k3 a 
ldap+samba, pues te voy avisando q esa migracion no es asi de transparente. 
Transparente resulta si la haces de NT a ldap+samba. en el caso de w2k3 no es 
posible q el samba a traves de los scripts de migracion extragia la data del 
w2k3 para generar el dominio sin impacto (en teoria, podria ser factible si 
tuvieras un w2k3 de los primeros, en modo compatible, sin parches, etc, pero 
es en teoria) Sin embargo si es posible llegar a hacer una migracion con 
impacto minimo para los usuarios, a q me refiero con impacto minimo ? pues q 
cuando el CentOS pase a ser el nuevo controlador de dominio, no se generen 
nuevos perfiles de usuario con lo cual para los usuarios sera como q se les 
perdieron todos sus documentos.

El truco es que generes de manera normal tu dominio en CentOS limpio, o sea un 
dominio sin usuarios. Luego con algo de scripting y las smbldap-tools 
(recomendacion, usa las del repositorio de rpmforge/dag/dries ) general todos 
los usuarios q tienes actualmente en tu dominio w2k3 (solo los logins) es un 
proceso algo manual es cierto, pero creeme valdra la pena

La clave de esto es q en tu samba+ldap, luego de generar tu dominio, le 
cambies el numero SID [2] q te genero el samba+ldap primero por el numero SID 
de tu dominio en el w2k3, Si bien AD y samba+ldap son arquitecturas 
diferentes, al final lo base del esquema de permisos, perfiles, etc es el 
numero SID del dominio y el numero SID de cada usuario del dominio. como 
logras cambiar este numero ? la manera mas sencilla es q generes un ldif del 
ldap de tu dominio ya con los usuarios y luego cambies en un editor de textos 
los LDIF por los LDIF correspondientes del dominio y de los usuarios. Suena 
complejo, pero creeme, comparado con restaurar perfiles de usuarios al 
pasarlo de un dominio (w2k3 AD) a otro (CentOS samba+ldap) vale la pena el 
trabajito) 

una vez q tengas el arbol ldap recargado en tu CentOS (para ello una vez 
editado el ldif, detienes el servicio ldap, borras todo el arbol y lo 
regeneras con el nuevo ldif) puedes proceder a la "migracion" q en esencia 
sera pasar a tus usuarios del dominio en el AD (q sera algo asi como  
dominio.com) al nuevo dominio en samba (DOMINIO) si en AD estas usando aun 
nombres netbios, es posible q no sea necesario el salto, pero deberas 
desconectar el AD de la red durante la migracion. 

ahora, en el AD para obtener el numero sid de un usuario este comando te sera 
de mucha ayuda 

dsquery * domainroot -filter "(&(objectCategory=Person)(objectClass=User)
(sAMAccountName=%%USER%%))" -attr sAMAccountName \distinguishedName 
ObjectSid -Limit 0

todo en una linea, en la parte donde dice %%USER%% lo remplazas con el usuario 
con un poco de maña y ayuda de algun win admin puedes armar un script para 
obtener todos los logins y los sids partiendo de este comando.

[1] http://samba.org/samba/docs/man/Samba-Guide
[2] http://en.wikipedia.org/wiki/Windows_SID

--
Black Hand/Amiga Addicts
powered by GNU/Linux, KDE 3.5.6 and lots of GNU/Force