📝 Nota: Esta sección marca la validación del entorno de políticas de grupo con Samba como DC y PGINA como autenticador externo. Confirmar que el bloqueo de sesión está deshabilitado y que los perfiles móviles cargan correctamente asegura que la configuración cumple con los requisitos de control de entorno para usuarios externos. Ideal para entornos educativos o de laboratorio

2025-05-23 19:21:02 +00:00
commit 668d3e2efd
1 changed files with 159 additions and 0 deletions
--- a/Instalaci%C3%B3n-de-un-servidor-SAMBA.md
+++ b/Instalaci%C3%B3n-de-un-servidor-SAMBA.md
@@ -0,0 +1,159 @@
+Tienes:
+
+* 🖥️ Un **servidor Linux nuevo**
+* 💻 Una PC con Windows para **administrador**
+* 🧑‍🎓 Una PC con Windows para **usuarios**
+* ❌ No usarás Samba para autenticación (eso lo hace PGINA)
+* ✅ Solo quieres usar Samba para **propagar políticas y perfiles móviles**
+
+---
+
+### 🔧 PASOS SIMPLES PARA TU ESCENARIO
+
+---
+
+## 🧱 1. INSTALAR SAMBA 4 COMO DC
+
+```bash
+sudo apt update
+sudo apt install samba krb5-config winbind
+```
+
+---
+
+## ⚙️ 2. PROVISIONAR EL DOMINIO
+
+```bash
+sudo samba-tool domain provision --use-rfc2307 --interactive
+```
+
+Ejemplo:
+
+* Realm: `LCI.LOCAL`
+* Domain: `LCI`
+* DNS: `SAMBA_INTERNAL`
+* Role: `dc`
+
+---
+
+## 🔐 3. CONFIGURAR KERBEROS
+
+Edita `/etc/krb5.conf` así:
+
+```ini
+[libdefaults]
+ default_realm = LCI.LOCAL
+ dns_lookup_realm = false
+ dns_lookup_kdc = true
+```
+
+---
+
+## 🚀 4. INICIAR SAMBA COMO DC
+
+```bash
+sudo systemctl stop smbd nmbd winbind
+sudo systemctl unmask samba-ad-dc
+sudo systemctl enable samba-ad-dc
+sudo systemctl start samba-ad-dc
+```
+
+---
+
+## 📁 5. CREAR CARPETAS
+
+```bash
+sudo mkdir -p /srv/profiles /srv/recursos
+sudo chmod 1777 /srv/profiles
+sudo chmod 0755 /srv/recursos
+```
+
+---
+
+## 📝 6. CONFIGURAR `/etc/samba/smb.conf`
+
+```ini
+[global]
+   netbios name = SRV-DC1
+   realm = LCI.LOCAL
+   workgroup = LCI
+   server role = active directory domain controller
+   dns forwarder = 8.8.8.8
+
+[netlogon]
+   path = /var/lib/samba/sysvol/lci.local/scripts
+   read only = no
+
+[sysvol]
+   path = /var/lib/samba/sysvol
+   read only = no
+
+[profiles]
+   path = /srv/profiles
+   read only = no
+   browsable = no
+   guest ok = no
+   profile acls = yes
+
+[recursos]
+   path = /srv/recursos
+   read only = no
+   guest ok = yes
+   browsable = yes
+```
+
+---
+
+## 🧪 7. PRUEBA QUE FUNCIONE
+
+```bash
+kinit Administrator
+```
+
+Debe pedir contraseña y no mostrar errores.
+
+---
+
+## 🪟 8. EN LA PC DE ADMINISTRADOR (Windows)
+
+1. Abre “**Este equipo > Propiedades**” > “Cambiar configuración”
+2. Une al dominio: `LCI.LOCAL`
+3. Usuario: `Administrator`, pass que creaste al provisionar
+4. Reinicia
+
+---
+
+## 🏢 9. INSTALA **RSAT** en el equipo administrador
+
+* Ve a:
+  `Panel de control > Programas > Activar o desactivar características de Windows > Herramientas de administración remota del servidor`
+
+Activa:
+✅ Group Policy Management
+✅ Active Directory Users and Computers
+
+---
+
+## 📜 10. CREA UNA POLÍTICA SIMPLE
+
+Desde “**Group Policy Management**” en la PC admin:
+
+1. Crea una GPO llamada “NoBloqueo”
+2. Edítala:
+
+   * Ve a:
+     `User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options`
+   * Activa: ✅ “Remove Lock Computer”
+3. Aplica esta GPO al contenedor donde se unan las PCs (ej: “Computers”)
+
+---
+
+## 🧍 11. EN LA PC DE USUARIO
+
+1. Une al dominio igual que hiciste con la admin
+2. Configura PGINA
+3. Reinicia y entra con un usuario externo
+4. Verifica:
+
+   * No puede usar `Win + L`
+   * Se le carga perfil móvil desde `\\SRV-DC1\profiles\usuario`