En este documento adjunto una guía de los pasos a seguir para realizar la migración de:

  • Samba 3 + OpenLDAP  –>  Samba 4 + OpenLDAP
  • LAM –> FusionDirectory

La experiencia la obtuve a través de la migración del Primary Domain Controller de la compañía para la cual trabajaba, dado que no tenía experiencia con Samba y muy poca con OpenLDAP realicé la migración exitosamente.

Actualmente este documento pretende ofrecer una breve guía de los puntos a tener en cuenta durante una migración y algunas consideraciones importantes de la implementación de un nuevo servidor con programas más actualizados.

Al ser un PDC, también tuve que migrar los siguientes servicios / configuraciones:

  • NFS
  • NRPE
  • Cron / fstab
  • CUPS
  • DHCP
  • DNS
  • ACLs

El Laboratorio y las tareas

Primero invertí muchas horas en la creación de un laboratorio virtualizado sobre RHEVM en una red independiente para realizar una migración de prueba y conocer mejor todos los servicios, tras finalizarlo, creé la documentación con los pasos a seguir en el proceso real:

  1. Instalación y configuración de Debian GNU/Linux 8
  2. Instalación y configuración de OpenLdap
  3. Instalación y configuración de Samba (Samba 4)
  4. Importación y modificación de la configuración existente en (Samba 3)
  5. Instalación de Fusion Directory
  6. Creación de Shares, montar unidades (fstab, NFS)
  7. Instalación de ACL‘s
  8. Implementación Modificación de permisos, políticas y accesos por grupos (gidp map y acls)
  9. Implementación de Scripts de inicio de sesión
  10. Instalación de servicio DNS, replicación de Zonas.
  11. Instalación de servicio DHCP
  12. Actualización e implementación de Kixtart
  13. Servicios de impresión, configuración de drivers (CUPS)
  14. Cron
  15. NFS Services
  16. NRPE
  17. Backups
  18. NTP
  19. Repositorios via web
  20. PXE

Los cambios más importantes fueron:

  1. OpenLDAP: En las versiones superiores a 2.0 está deprecado el uso de SSL (686), ahora es reemplazado por StartTLS (389) estando las comunicaciones encripdatadas o no en el mismo puerto. También la configuración es diferente, ahora se realiza a través de la herramientas ldap y no del todo en el archivo de configuración ldap.conf.
  2. FusionDirectory: Requiere modificar / migrar los objetos de todo el árbol de LDAP, es muy importante tener backups. Adicionalmente los hooks de F.D son importantes para la creación de usuarios.
  3. Samba 4: La sintaxis y modo de Samba 4 es distinto a Samba 3, específicamente conservé el modo de dominio Clásico en Samba 4 y no el nuevo modo “ad”. La sintaxis del archivo de configuración varía, especialmente en el mapeo de grupos para LDAP y el modo de inicio de Samba.

Implementar StartTLS en OpenLDAP

Configuración en el Servidor.

El servidor puede distribuir certificados autofirmados (selfsigned), que es como lo he hecho para conservar lo que se implementó anteriormente.

Crear un archivo addcerts.ldif con el siguiente contenido (modificar los valores según sus necesidades):

Y ejecute el comando para agregar en la configuración de OpenLDAP:

Verifique que los certificados tienen los permisos correctos y suficientes.

En los clientes la configuración es la siguiente (en este ejemplo conservo la configuración para la compatibilidad de los clientes que acceden a OpenLDAP):

Verificar el funcionamiento desde el cliente

  • ldapsearch -x -H ldaps://dominio.ejemplo (método SSL)
  • ldapsearch -ZZ -x -H ldap://dominio.ejemplo (iniciar StartTLS)

Samba 4 (classic domain)

Al ser una migración se conserva el UID del dominio anterior (de modo que todos los clientes no tendrán problemas en procesos de autenticación “equipos en el dominio”)

Se setea el UID anterior:

Y se configura también en:

Archivo de Configuración Samba 4

La sintaxis varia de Samba 3, aquí hay un ejemplo de mi archivo funcional con el dominio clásico de Samba.

 Agregar equipos windows al dominio con Samba 4

  • Windows XP ingresa sin problemas
  • Windows Server 2003 requiere:

Establezca una IP de modo manual (Sin DNS)

windows 8 en samba 4

windows 8 en samba 4

Ahora agregue el sufijo de su dominio en las propiedades avanzadas, siendo mi dominio de ejemplo “dominio.ejemplo“:

Windows 8.1 en Samba4

Windows 8.1 en Samba4

Agregue el equipo al dominio y reestableza la configuración de red.

  • Windows 10 (mismo procedimiento de windows 8).

Montar Unidades de red en Windows con Samba 4

Previamente utilizábamos Kixtart como alternativa para levantar las unidades de red en el dominio. Sin embargo Windows deprecó una de las funciones para la evaluación de grupos que era compatible con Samba. Adjunto un script alternativo que funciona en todas las versiones de Windows (CMD):

Atención con la variable examplegroup dado que requiere exactamente la misma cantidad de espacios vacios como lo ve Windows al hacer la consulta. Para obtener el valor requerido con todos los espacios ejecute: