En este documento adjunto una guía de los pasos a seguir para realizar la migración de:
- Samba 3 + OpenLDAP –> Samba 4 + OpenLDAP
- LAM –> FusionDirectory
La experiencia la obtuve a través de la migración del Primary Domain Controller de la compañía para la cual trabajaba, dado que no tenía experiencia con Samba y muy poca con OpenLDAP realicé la migración exitosamente.
Actualmente este documento pretende ofrecer una breve guía de los puntos a tener en cuenta durante una migración y algunas consideraciones importantes de la implementación de un nuevo servidor con programas más actualizados.
Al ser un PDC, también tuve que migrar los siguientes servicios / configuraciones:
- NFS
- NRPE
- Cron / fstab
- CUPS
- DHCP
- DNS
- ACLs
El Laboratorio y las tareas
Primero invertí muchas horas en la creación de un laboratorio virtualizado sobre RHEVM en una red independiente para realizar una migración de prueba y conocer mejor todos los servicios, tras finalizarlo, creé la documentación con los pasos a seguir en el proceso real:
- Instalación y configuración de Debian GNU/Linux 8
- Instalación y configuración de OpenLdap
- Instalación y configuración de Samba (Samba 4)
- Importación y modificación de la configuración existente en (Samba 3)
- Instalación de Fusion Directory
- Creación de Shares, montar unidades (fstab, NFS)
- Instalación de ACL‘s
- Implementación Modificación de permisos, políticas y accesos por grupos (gidp map y acls)
- Implementación de Scripts de inicio de sesión
- Instalación de servicio DNS, replicación de Zonas.
- Instalación de servicio DHCP
- Actualización e implementación de Kixtart
- Servicios de impresión, configuración de drivers (CUPS)
- Cron
- NFS Services
- NRPE
- Backups
- NTP
- Repositorios via web
- PXE
Los cambios más importantes fueron:
- OpenLDAP: En las versiones superiores a 2.0 está deprecado el uso de SSL (686), ahora es reemplazado por StartTLS (389) estando las comunicaciones encripdatadas o no en el mismo puerto. También la configuración es diferente, ahora se realiza a través de la herramientas ldap y no del todo en el archivo de configuración ldap.conf.
- FusionDirectory: Requiere modificar / migrar los objetos de todo el árbol de LDAP, es muy importante tener backups. Adicionalmente los hooks de F.D son importantes para la creación de usuarios.
- Samba 4: La sintaxis y modo de Samba 4 es distinto a Samba 3, específicamente conservé el modo de dominio Clásico en Samba 4 y no el nuevo modo «ad». La sintaxis del archivo de configuración varía, especialmente en el mapeo de grupos para LDAP y el modo de inicio de Samba.
Implementar StartTLS en OpenLDAP
Configuración en el Servidor.
El servidor puede distribuir certificados autofirmados (selfsigned), que es como lo he hecho para conservar lo que se implementó anteriormente.
Crear un archivo addcerts.ldif con el siguiente contenido (modificar los valores según sus necesidades):
dn: cn=config changetype: modify add: olcTLSCACertificateFile olcTLSCACertificateFile: /etc/ssl/certs/ca_server.pem - add: olcTLSCertificateFile olcTLSCertificateFile: /etc/ssl/certs/ldap_server.pem - add: olcTLSCertificateKeyFile olcTLSCertificateKeyFile: /etc/ssl/private/ldap_server.key
Y ejecute el comando para agregar en la configuración de OpenLDAP:
ldapmodify -H ldapi:// -Y EXTERNAL -f addcerts.ldif
En los clientes la configuración es la siguiente (en este ejemplo conservo la configuración para la compatibilidad de los clientes que acceden a OpenLDAP):
uri ldaps://dominio.ejemplo base dc=dominio,dc=ejemplo ldap_version 3 timeout 10 bind_timeout 10 bind_policy soft deref never nss_base_passwd ou=users,dc=dominio,dc=ejemplo?sub nss_base_shadow ou=users,dc=dominio,dc=ejemplo?sub nss_base_group ou=groups,dc=dominio,dc=ejemplo?one pam_login_attribute uid pam_password md5 pam_member_attribute memberuid pam_filter objectClass=posixAccount ssl on TLS_CACERT /etc/ldap/ssl/pdc.pem TLS_REQCERT demand
Verificar el funcionamiento desde el cliente
-
ldapsearch -x -H ldaps://dominio.ejemplo (método SSL)
-
ldapsearch -ZZ -x -H ldap://dominio.ejemplo (iniciar StartTLS)
Samba 4 (classic domain)
Al ser una migración se conserva el UID del dominio anterior (de modo que todos los clientes no tendrán problemas en procesos de autenticación «equipos en el dominio»)
Se setea el UID anterior:
net setlocalsid <su ID de dominio>
Y se configura también en:
/etc/smbldap-tools/smbldap.conf
# $Id: smbldap_bind.conf 35 2011-02-23 09:07:36Z fumiyas $
#
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
masterDN="cn=admin,dc=dominio,dc=ejemplo"
masterPw="**************"
/etc/smbldap-tools/smbldap_bind.conf (END)
Archivo de Configuración Samba 4
La sintaxis varia de Samba 3, aquí hay un ejemplo de mi archivo funcional con el dominio clásico de Samba.
# Global parameters [global] server role = classic primary domain controller workgroup = DOMINIO.EJEMPLO server string = Samba at DOMINIO.EJEMPLO netbios name = PDC domain logons = yes domain master = yes admin users = Administrador security = user local master = yes preferred master = yes os level = 65 null passwords = no hide unreadable = yes hide dot files = yes logon script = logon.bat logon path = logon drive = U: logon home = domain logons = yes domain master = yes #deprecado, buscar una alternativa enable privileges = yes encrypt passwords = true ldap password sync = yes hosts allow = <rangos de IP de su red local> bind interfaces only = yes socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 # Contiene la contraseña del administrador ldap passdb backend = ldapsam #Parámetros necesarios para ldap como backend ldap admin dn = cn=admin,dc=dominio,dc=ejemplo ldap group suffix = ou=Groups ldap idmap suffix = ou=Idmap ldap machine suffix = ou=Computers ldap user suffix = ou=Users ldap suffix = dc=dominio,dc=ejemplo ldap delete dn = yes idmap config * : backend = ldap idmap config * : ldap_url = ldap://127.0.0.0 idmap config * : ldap_base_dn = dc=dominio,dc=ejemplo idmap config * : ldap_user_dn = cn=admin,dc=dominio,dc=ejemplo passwd program = /usr/sbin/smbldap-passwd -s -u "%u" # Deshabilita SSL para que pueda usar el plugin de ldap ldap ssl = off wins support = yes name resolve order = wins lmhosts host bcast time server = yes dns proxy = no add user script = /usr/sbin/smbldap-useradd -m "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" add machine script = /usr/sbin/smbldap-useradd -W "%u" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" syslog = 0 log level = 1 log file = /var/log/samba/%m.log max log size = 100000 deadtime = 15 dos filetimes = yes dos charset = 850 unix charset = UTF8 browseable = no nt acl support = yes #flagged as unknown parameter acl compatibility = win2k map acl inherit = yes inherit acls = yes admin users = @DomainAdmins create mask = 0640 directory mask = 0750 case sensitive = No dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd [homes] comment = Home de %U, %u path = /opt/samba/shares/homes/%S browseable = no valid users = %S read only = no create mask = 0660 directory mask = 0750 [netlogon] comment = Network Logon Service path = /opt/samba/shares/netlogon write list = @DomainAdmins locking = no browseable = no guest ok = yes [log] comment = Network Logon Service Logs path = /opt/samba/log locking = no write list = @DomainAdmins [homes] comment = Home de %U, %u path = /opt/samba/shares/homes/%S browseable = no valid users = %S read only = no create mask = 0660 directory mask = 0750 [public] comment = Carpeta publica path = /opt/samba/shares/public browseable = yes read only = no create mask = 0664 directory mask = 0775
Agregar equipos windows al dominio con Samba 4
- Windows XP ingresa sin problemas
- Windows Server 2003 requiere:
En el protocolo TCP/IP v4 en la placa de red, coloque como DNS el servidor Samba y en las opciones avanzadas el sufijo dominio.ejemplo. Agregue al dominio.
- Windows 7 requiere un fix del registro de windows
- Windows Server 2008 requiere el mismo fix del registro de windows
- Windows 8 requiere el mismo fix del registro de windows y adicionalmente lo siguiente:
Establezca una IP de modo manual (Sin DNS)
Ahora agregue el sufijo de su dominio en las propiedades avanzadas, siendo mi dominio de ejemplo «dominio.ejemplo«:
Agregue el equipo al dominio y reestableza la configuración de red.
- Windows 10 (mismo procedimiento de windows 8).
Montar Unidades de red en Windows con Samba 4
Previamente utilizábamos Kixtart como alternativa para levantar las unidades de red en el dominio. Sin embargo Windows deprecó una de las funciones para la evaluación de grupos que era compatible con Samba. Adjunto un script alternativo que funciona en todas las versiones de Windows (CMD):
REM ############################( Evaluate Group GrupoEjemplo ) ############################ set i=0 set examplegroup=" *GrupoEjemplo " set sociosuser=%username% for /f %%f in ('"net user %sociosuser% /domain | findstr /l %examplegroup%"') do set /a i=%i+1 if %i% gtr 0 (goto :sociosmember) :nomember echo "%user% no puede usar este path". goto :end :sociosmember net use z: \\pdc\grupoejemplo\recursos net use h: \\pdc\grupoejemplo\sitios :end
Atención con la variable examplegroup dado que requiere exactamente la misma cantidad de espacios vacios como lo ve Windows al hacer la consulta. Para obtener el valor requerido con todos los espacios ejecute:
net user %username% /domain
Hola Miguel, excelente post, me parecio bastante interesante esta forma de migrar a samba4. Mas sin embargo, leyendo la wiki de samba4, ésta dice que ya no está diseñado para trabajar con OpenLDAP u otro backend, puesto que samba4 AD ya trae su propio ldap backend, y que de configurarlo para usar OpenLDAP igualmente los clientes se van a conectar al ldap backend propio de Samba4 y no OpenLDAP.
Actualmente yo tengo un Samba3 como PDC, pero creo que lo ideal es crear desde cero un dominio con Samba4 AD, ya que no tengo muchas cuentas de usuario. Que opinas?.
Hola Rafael, gracias por comentar.
Lo que quiere hacer la gente de Samba es darle mayor compatibilidad al modo AD de Windows. Claramente el nuevo modo de AD en Samba 4 no soporta OpenLdap, sin embargo sí puedes usar OpenLdap con Samba4 si lo configuras en el «Modo clásico», esto fue lo que hice para poder seguir utilizando OpenLdap.
Lo más recomendable es que te ajustes a tus necesidades ¿Realmente necesitas Samba en modo AD? ¿no será mejor el modo clásico para tu caso y continuar con OpenLdap?
En cualquiera de los dos casos no es muy difícil de instalar y configurar, solo que el modo AD tiene más opciones y chucherías nuevas.
¡Abrazos!
Sabes que hice la mgiracion como dijiste aca, me funciona todo para agregar nuevas machines, pero los equipos viejos no se loguean! Me tira error en la relacin de confianza…
/source3/rpc_server/netlogon/srv_netlog_nt.c:1010(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client NOT7559 machine account NOT7559$
[2018/09/17 17:45:59.752560, 0] ../source3/rpc_server/netlogon/srv_netlog_nt.c:1010(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client NOT7559 machine account NOT7559$
Y eso me tira en el log! Sabes que puede ser?
Hola Marc. No conozco tu infraestructura, pero:
– ¿Alguno de los equipos SÍ puede loguearse?
– ¿Los sacaste del dominio y los agregaste de nuevo?
– ¿Hay algún error cuando son agregados al dominio?
– ¿Se comportan diferente otras versiones de O.S «XP, Win 8, Win10»?
No tengo una respuesta específica sobre el error, el tema es sentarse e ir viendo cada cosa.
Miguel gracias por responder, mira te cuento:
_Migre el domainsid y el localsid
_Migre el backend
_La configuracion de Samba use la vieja y tambien probe la tuya y una que tengo funcionando en otro lado con samba4 y hacen lo mismo…
_No pude loguearme con ninguna machinne que ya aya estado unida antes.
_Si pude unir maquinas nuevas y funciona perfectamente, y hasta puedo loguearme con los usuarios viejos
_Cuando agrego maquinas nuevas no arroja ningun error y funciona perfectamente
_Con Win7 tira error de relacion de confianza
_Con WinXP tira «Windows no puede conectarse al dominio porque el controlador de dominio esta bloqueado o no disponible» pero en los logs de samba me tira lo que te mencione anteriormente, mismo error que con los Win7…
Realmente ya no se que mas probar!
¿Y al sacar la máquina vieja y unirla de nuevo tampoco te deja?
Si no te dejase después de sacarla del dominio y volver a ingresarla debe haber algún dato cacheado!
Miguel, el problema es por el patch de seguridad de BADLOCK, mas abajo les deje la explicacion por si alguien le sucede!
HOla, Miguel
gracias por la guía… te comento mi proyecto.
tengo en la red un samba 3.5.6 que funciona como pdc, pero puntualmente para compartir recursos en la red. nunca logre hacer que funcionara con ldap, así que junto con un colega lo configuramos. de tal manera que si se pueden agregar equipos al dominio previa modificación del registro de windows…pero por su puesto esta configuracion ya es obsoleta y ahora necesito configurar de nuevo ya no un pdc sino un AD son samba 4 sobre Debian 9
¿me servira esta guía? pues lo que busco es hacer el cambio del servidor transparente para los usuarios … y reducir el # de PC’s a reconfigurar.
Toda ayuda es bien recibida, espero tus comentarios
Hola Samuel, gracias por escribir.
Esta guía esta diseñada para configurar Samba 4 con compatibilidad de LDAP como en Samba 3. En principio no te sirve para ese propósito. La configuración de Samba 4 para la emulación de Active Directory es algo completamente distinto, en todo caso siempre tienes la docu oficial 😀
¡Saludos!
Gracias, por aclarlo Miguel…siendo así parece que no tengo mas remedio que configurar samba como AD y definitivamente volver a unir todas la computadoras de mi red, es correcto?
Nunca utilicé el modo AD con Samba, siempre el modo Clásico con compatibilidad a un backend LDAP.
Existe una gran probabilidad de que debas incluir todos los equipos nuevamente, en su momento yo tuve que hacerlo pero eran pocos equipos. Aquí hay un par de guías que hablan sobre el tema que pueden ser de mucha ayuda:
Documentación Ofical
Samba en Cloud con AD
Guía de Samba AD
Sigo no siendo partidario de la emulación AD, creo que tener OpenLDAP y usar el modo clásico simplifica las cosas, ya que es probable que debas incluir todos los equipos nuevamente, yo intentaría hacer un laboratorio con OpenLDAP (pero eso por mis preferencias personales :p)
¡Saludos!
Justo eso necesito, simplificar las cosas. Tomare tu consejo y usare el modo clasico, queria hacer el cambio de forma transparente. Pero creo que no sera posible, ahora te pregunto.
¿me sirve tu guía para crear un servidor nuevo, sin migrar usuarios, permisos y rutas de los recursos compartidos?
o me podes recomendar alguna…
Aunque en el título lo dice «Migración de Samba 3 a Samba4» creo que te puede servir como una guía para construir un entorno nuevo directamente con Samba4.
¡Saludos!
M.
Enterado … voy a configurarlo de esa manera, te mantendre informado … Gracias Miguel
Hola todos, para migrar y no perder o unir todas las pc de nuevo al dominio. Lo que se debe hacer es instalar samba4 AD en modo AD, uniéndolo como un PDC más al dominio existente. Para que se realice la replicación de los datos, luego, se tranfieran todos los roles del antiguo PDC al nuevo Samba4 AD, y posteriormente se despromueve el antiguo PDC, dejando solamente el Samba4 AD ya con los datos y los roles. De esta manera he migrado varios PDC tanto samba3 + openldap, como samba4 classic + openldap a Samba4 AD, satisfactoriamente.
# apt install samba krb5-user krb5-config winbind libpam-winbind libnss-winbind
# kinit administrator@YOUR_DOMAIN.TLD
Unir Samba4 AD DC como Domain Controller
# systemctl stop samba-ad-dc smbd nmbd winbind
# mv /etc/samba/smb.conf /etc/samba/smb.conf.initial
# systemctl start samba-ad-dc
# samba-tool domain join YOUR_DOMAIN.TLD DC -U "administrator@YOUR_DOMAIN.TLD"
# samba-tool drs showrepl
# mv /etc/krb5.conf /etc/krb5.conf.initial
# cp /var/lib/samba/private/krb5.conf /etc/
Tienes más información en estos link que te comparto.
¡Gracias por el aporte Arian!
Pues nada, estamos para ayudarnos todos.
Estimados, a modo comentario les dejo este error que tuve, y el cual le puede suceder a cualquiera!
Migre de una version vieja de Samba3 a Samba4 en modo Clasico (ya que esto requeria el cliente). Me encontre con un error el cual no pude solucionar:
Cuando queria iniciar sesion en alguna machinne me tiraba el tipico error de relacion de confianza, esto sucede por un bug en las versiones de Samba desde la 3.6.0 hasta la 4.4.0. En las versiones siguientes implementaron el fix, y este fix rompe la relacion de confianza. La unica manera que encontre de solucionar el problema es haciendo un rejoin de todos los equipos, es bastante tediosa la tarea, pero no quedo otra…
Probe con las soluciones de poner el signature en auto, en off y demas yerbas, pero nada funciono!
Si les pasa no se vuelvan locos, ya aca hay uno que se volvio loco y no pudo encontrar la manera… Aunque si alguien tiene una solucion alternativa a esto, bienvenido sea el aporte a la comunidad!
Saludos
Adhiero, el patch se lanzo el 11 de Abril de 2016 en la versino de Samba posterior a la 4.4.2!
O sea que si migran de una version anterior a la 4.4.2 a una version posterior van a tener este problema…
Muy interesante comentario Marc
como comente mas arriba, yo tengo la version 3.5.6 funcionando nada más y futuro server, tiene la vesión 4.5.12.
tendria dicho problema?
Seguramente tengas el mismo problema… Te recomiendo empezar a hacer un buen laboratorio, clonar el productivo y varios equipos de windows, siguiendo las recomendaciones de clonacion de windows de microsoft y probar…
Pero seguramente tengas este famoso problema…
Muchas gracias por tu respuesta, de echo eso estoy haciendo, siempre que mis usuarios me den un respiro ….
Me inclino por hacerlo de cero… que bueno contar con el apoyo de Miguel, que se toma la molestia de publicar este tutorial y de todos ustedes que tienen amplia experiencia en linux ….gracias a todos
Usen el método que comenté y tendrás un AD funcional completamente en samba4 AD
Enterado @LinuxCuba, seguire ese metodo…
Ahora bien, yo no necesito el servidor DHCP, pues debido a la «seguridad de los sistemas» todas las computadoras, AP e impresoras usarn direcciones estaticas. ¿Puedo simplemente omitir la parte de la instalación y configuración del servidor DHCP ? sin que afecte el funcionamiento de samba4
Si puedes prescindir del dhcp si no lo necesitas, y usas todo estítico, pero por dios, que seguridad en esa, dhcp nos hace la vida más fácil a los administradores de sistemas, para ayudarnos a establecer todos los parámetros de la configuración de red de forma automática e igualmente puedes definirle ip estaticas pero por dhcp, a un mismo equipo siempre basado en su dirección MAC, pero no es un requisito para samba4. Este es totalmente independientes del dhcp.
Si, lo mismo pienso yo. Pero mi jefe no quiere hacer ese tipo de cambios… pero en fin, de nuevo gracias por la respuesta. Les mantendre informados de los avances
Saludos colegas, después de todo lo que ha pasado en estos ultimos meses he decidido arrancar desde 0 siguiendo la guía de nuestro amigo @LinuxCuba.
Pero no dispongo de los medios para, montar un laboratorio así que quiero preguntarles.
Si configuro el nuevo pdc, como se describe en está guía y en la que nos recomendo LinuxCuba; ¿Hay riesgo de una colisión con el samba actual?
Espero no abusar, pero les comparto la configuracion actual de mi servidor, que funciona en samba 3.5.6:
#======================= Global Settings =======================
[global]
## Browsing/Identification ###
# Change this to the workgroup/NT-domain name your Samba server will part of
workgroup = lnx-stj
netbios name = lnxsrv
# server string is the equivalent of the NT Description field
server string = Network Boss
lanman auth = yes
client lanman auth = yes
# Windows Internet Name Serving Support Section:
# WINS Support – Tells the NMBD component of Samba to enable its WINS Server
wins support = yes
# WINS Server – Tells the NMBD components of Samba to be a WINS Client
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
; wins server = w.x.y.z
# This will prevent nmbd to search for NetBIOS names through DNS.
dns proxy = no
# What naming service and in what order should we use to resolve host names
# to IP addresses
name resolve order = wins bcast hosts
#### Networking ####
# The specific set of interfaces / networks to bind to
# This can be either the interface name or an IP address/netmask;
# interface names are normally preferred
; interfaces = 127.0.0.0/8 eth0
# Only bind to the named interfaces and/or networks; you must use the
# ‘interfaces’ option above to use this.
# It is recommended that you enable this feature if your Samba machine is
# not protected by a firewall or is a firewall itself. However, this
# option cannot handle dynamic or non-broadcast interfaces correctly.
; bind interfaces only = yes
#### Debugging/Accounting ####
# This tells Samba to use a separate log file for each machine
# that connects
log file = /var/log/samba/log.%m
# Cap the size of the individual log files (in KiB).
max log size = 1000
# If you want Samba to only log through syslog then set the following
# parameter to ‘yes’.
# syslog only = no
# We want Samba to log a minimum amount of information to syslog. Everything
# should go to /var/log/samba/log.{smbd,nmbd} instead. If you want to log
# through syslog you should set the following parameter to something higher.
syslog = 0
# Do something sensible when Samba crashes: mail the admin a backtrace
panic action = /usr/share/samba/panic-action %d
####### Authentication #######
# «security = user» is always a good idea. This will require a Unix account
# in this server for every user accessing the server. See
# /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/ServerType.html
# in the samba-doc package for details.
security = user
username map = /etc/samba/smbusers
guest ok = no
# You may wish to use password encryption. See the section on
# ‘encrypt passwords’ in the smb.conf(5) manpage before enabling.
encrypt passwords = true
# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
passdb backend = tdbsam
obey pam restrictions = yes
# This boolean parameter controls whether Samba attempts to sync the Unix
# password with the SMB password when the encrypted SMB password in the
# passdb is changed.
unix password sync = yes
# For Unix password sync to work on a Debian GNU/Linux system, the following
# parameters must be set (thanks to Ian Kahan < for
# sending the correct chat script for the passwd program in Debian Sarge).
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# ‘passwd program’. The default is ‘no’.
pam password change = yes
########## Domains ###########
# Is this machine able to authenticate users. Both PDC and BDC
# must have this setting enabled. If you are the BDC you must
# change the ‘domain master’ setting to no
#
os level = 65
domain logons = yes
preferred master = yes
#
# The following setting only takes effect if ‘domain logons’ is set
# It specifies the location of the user’s profile directory
# from the client point of view)
# The following required a [profiles] share to be setup on the
# samba server (see below)
; logon path = \\%N\profiles\%U
# Another common choice is storing the profile in the user’s home directory
# (this is Samba’s default)
# logon path = \\%N\%U\profile
# The following setting only takes effect if ‘domain logons’ is set
# It specifies the location of a user’s home directory (from the client
# point of view)
; logon drive = H:
# logon home = \\%N\%U
# The following setting only takes effect if ‘domain logons’ is set
# It specifies the script to run during logon. The script must be stored
# in the [netlogon] share
# NOTE: Must be store in ‘DOS’ file format convention
logon script = %u.bat
# This allows Unix users to be created on the domain controller via the SAMR
# RPC pipe. The example command creates a user account with a disabled Unix
# password; please adapt to your needs
; add user script = /usr/sbin/adduser –quiet –disabled-password –gecos «» %u
# This allows machine accounts to be created on the domain controller via the
# SAMR RPC pipe.
# The following assumes a «machines» group exists on the system
; add machine script = /usr/sbin/useradd -g machines -c «%u machine account» -d /var/lib/samba -s /bin/false %u
# This allows Unix groups to be created on the domain controller via the SAMR
# RPC pipe.
; add group script = /usr/sbin/addgroup –force-badname %g
########## Printing ##########
# If you want to automatically load your printer list rather
# than setting them up individually then you’ll need this
# load printers = yes
# lpr(ng) printing. You may wish to override the location of the
# printcap file
; printing = bsd
; printcap name = /etc/printcap
# CUPS printing. See also the cupsaddsmb(8) manpage in the
# cupsys-client package.
; printing = cups
; printcap name = cups
############ Misc ############
# Using the following line enables you to customise your configuration
# on a per machine basis. The %m gets replaced with the netbios name
# of the machine that is connecting
; include = /home/samba/etc/smb.conf.%m
# Most people will find that this option gives better performance.
# See smb.conf(5) and /usr/share/doc/samba-doc/htmldocs/Samba3-HOWTO/speed.html
# for details
# You may want to add the following on a Linux system:
SO_RCVBUF=8192 SO_SNDBUF=8192
socket options = TCP_NODELAY
# The following parameter is useful only if you have the linpopup package
# installed. The samba maintainer and the linpopup maintainer are
# working to ease installation and configuration of linpopup and samba.
; message command = /bin/sh -c ‘/usr/bin/linpopup «%f» «%m» %s; rm %s’ &
# Domain Master specifies Samba to be the Domain Master Browser. If this
# machine will be configured as a BDC (a secondary logon server), you
# must set this to ‘no’; otherwise, the default behavior is recommended.
# domain master = auto
# Some defaults for winbind (make sure you’re not using the ranges
# for something else.)
; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash
# The following was the default behaviour in sarge,
# but samba upstream reverted the default because it might induce
# performance issues in large organizations.
# See Debian bug #368251 for some of the consequences of *not*
# having this setting and smb.conf(5) for details.
; winbind enum groups = yes
; winbind enum users = yes
# Setup usershare options to enable non-root users to share folders
# with the net usershare command.
# Maximum number of usershare. 0 (default) means that usershare is disabled.
; usershare max shares = 100
# Allow users who’ve been granted usershare privileges to create
# public shares, not just authenticated ones
usershare allow guests = no
#======================= Share Definitions =======================
#[homes]
; comment = Home Directories
; browseable = no
# By default, the home directories are exported read-only. Change the
# next parameter to ‘no’ if you want to be able to write to them.
; read only = yes
# File creation mask is set to 0700 for security reasons. If you want to
# create files with group=rw permissions, set next parameter to 0775.
create mask = 0775
security mask = 0775
# Directory creation mask is set to 0700 for security reasons. If you want to
# create dirs. with group=rw permissions, set next parameter to 0775.
directory mask = 0775
directory security mask = 0775
# By default, \\server\username shares can be connected to by anyone
# with access to the samba server.
# The following parameter makes sure that only «username» can connect
# to \\server\username
# This might need tweaking when using external authentication schemes
; valid users = %S
# Un-comment the following and create the netlogon directory for Domain Logons
# (you need to configure Samba to act as a domain controller too.)
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = no
read only = yes
share modes = yes
write list = root
# Un-comment the following and create the profiles directory to store
# users profiles (see the «logon path» option above)
# (you need to configure Samba to act as a domain controller too.)
# The path below should be writable by all users so that their
# profile directory may be created the first time they log on
;[profiles]
; comment = Users profiles
; path = /home/samba/profiles
; guest ok = no
; browseable = no
; create mask = 0600
; directory mask = 0700
[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700
# Windows clients look for this share name as a source of downloadable
# printer drivers
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no
# Uncomment to allow remote administration of Windows print drivers.
# You may need to replace ‘lpadmin’ with the name of the group your
# admin users are members of.
# Please note that you also need to set appropriate Unix permissions
# to the drivers directory for these users to have write rights in it
; write list = root, @lpadmin
# A sample share for sharing your CD-ROM with others.
;[cdrom]
; comment = Samba server’s CD-ROM
; read only = yes
; locking = no
; path = /cdrom
; guest ok = yes
# The next two parameters show how to auto-mount a CD-ROM when the
# cdrom share is accesed. For this to work /etc/fstab must contain
# an entry like this:
#
# /dev/scd0 /cdrom iso9660 defaults,noauto,ro,user 0 0
#
# The CD-ROM gets unmounted automatically after the connection to the
#
# If you don’t want to use auto-mounting/unmounting make sure the CD
# is mounted on /cdrom
#
; preexec = /bin/mount /cdrom
; postexec = /bin/umount /cdrom
Espero sus comentarios….
Totalmente seguro no te podés armar un laboratorio con dos equipos virtuales en tu pc? Hasta con Virtual Box se puede!!
Bueno a ese nivel, si puedo hacer un laboratorio … no lo había contemplado, gracias por la sugerencia .. les cuento como me va
La respuesta es no, no pueden convivir dos controladores de dominios distintos en una misma red. Tienen que tener broadcast diferentes, es decir una una subnet y el otro en otra, y mucho menos si los dos van a tener el mismo grupo de trabajo o reino.
Me lo imaginaba .. siendo así, lo que procede. Es, luego de las respectivas pruebas. apagar el viejo samba y configurar el nuevo con samba 4 desde 0.
Gracias por la advertencia LinuxCuba
Puedes migrar como se ha ido explicando aquí a los largo de este post, traspasando los datos del viejo samba3 al samba4.