commit 668d3e2efdfb5198d59e109e0f37b1bb6f998802 Author: Alejandro Rosales Date: Fri May 23 19:21:02 2025 +0000 📝 Nota: Esta sección marca la validación del entorno de políticas de grupo con Samba como DC y PGINA como autenticador externo. Confirmar que el bloqueo de sesión está deshabilitado y que los perfiles móviles cargan correctamente asegura que la configuración cumple con los requisitos de control de entorno para usuarios externos. Ideal para entornos educativos o de laboratorio diff --git a/Instalaci%C3%B3n-de-un-servidor-SAMBA.md b/Instalaci%C3%B3n-de-un-servidor-SAMBA.md new file mode 100644 index 0000000..b8c2ed3 --- /dev/null +++ b/Instalaci%C3%B3n-de-un-servidor-SAMBA.md @@ -0,0 +1,159 @@ +Tienes: + +* 🖥️ Un **servidor Linux nuevo** +* 💻 Una PC con Windows para **administrador** +* 🧑‍🎓 Una PC con Windows para **usuarios** +* ❌ No usarás Samba para autenticación (eso lo hace PGINA) +* ✅ Solo quieres usar Samba para **propagar políticas y perfiles móviles** + +--- + +### 🔧 PASOS SIMPLES PARA TU ESCENARIO + +--- + +## 🧱 1. INSTALAR SAMBA 4 COMO DC + +```bash +sudo apt update +sudo apt install samba krb5-config winbind +``` + +--- + +## ⚙️ 2. PROVISIONAR EL DOMINIO + +```bash +sudo samba-tool domain provision --use-rfc2307 --interactive +``` + +Ejemplo: + +* Realm: `LCI.LOCAL` +* Domain: `LCI` +* DNS: `SAMBA_INTERNAL` +* Role: `dc` + +--- + +## 🔐 3. CONFIGURAR KERBEROS + +Edita `/etc/krb5.conf` así: + +```ini +[libdefaults] + default_realm = LCI.LOCAL + dns_lookup_realm = false + dns_lookup_kdc = true +``` + +--- + +## 🚀 4. INICIAR SAMBA COMO DC + +```bash +sudo systemctl stop smbd nmbd winbind +sudo systemctl unmask samba-ad-dc +sudo systemctl enable samba-ad-dc +sudo systemctl start samba-ad-dc +``` + +--- + +## 📁 5. CREAR CARPETAS + +```bash +sudo mkdir -p /srv/profiles /srv/recursos +sudo chmod 1777 /srv/profiles +sudo chmod 0755 /srv/recursos +``` + +--- + +## 📝 6. CONFIGURAR `/etc/samba/smb.conf` + +```ini +[global] + netbios name = SRV-DC1 + realm = LCI.LOCAL + workgroup = LCI + server role = active directory domain controller + dns forwarder = 8.8.8.8 + +[netlogon] + path = /var/lib/samba/sysvol/lci.local/scripts + read only = no + +[sysvol] + path = /var/lib/samba/sysvol + read only = no + +[profiles] + path = /srv/profiles + read only = no + browsable = no + guest ok = no + profile acls = yes + +[recursos] + path = /srv/recursos + read only = no + guest ok = yes + browsable = yes +``` + +--- + +## 🧪 7. PRUEBA QUE FUNCIONE + +```bash +kinit Administrator +``` + +Debe pedir contraseña y no mostrar errores. + +--- + +## 🪟 8. EN LA PC DE ADMINISTRADOR (Windows) + +1. Abre “**Este equipo > Propiedades**” > “Cambiar configuración” +2. Une al dominio: `LCI.LOCAL` +3. Usuario: `Administrator`, pass que creaste al provisionar +4. Reinicia + +--- + +## 🏢 9. INSTALA **RSAT** en el equipo administrador + +* Ve a: + `Panel de control > Programas > Activar o desactivar características de Windows > Herramientas de administración remota del servidor` + +Activa: +✅ Group Policy Management +✅ Active Directory Users and Computers + +--- + +## 📜 10. CREA UNA POLÍTICA SIMPLE + +Desde “**Group Policy Management**” en la PC admin: + +1. Crea una GPO llamada “NoBloqueo” +2. Edítala: + + * Ve a: + `User Configuration > Administrative Templates > System > Ctrl+Alt+Del Options` + * Activa: ✅ “Remove Lock Computer” +3. Aplica esta GPO al contenedor donde se unan las PCs (ej: “Computers”) + +--- + +## 🧍 11. EN LA PC DE USUARIO + +1. Une al dominio igual que hiciste con la admin +2. Configura PGINA +3. Reinicia y entra con un usuario externo +4. Verifica: + + * No puede usar `Win + L` + * Se le carga perfil móvil desde `\\SRV-DC1\profiles\usuario` \ No newline at end of file