Cuando utilice un servidor Linux como “sistema de apoyo” para el acceso y almacenamiento de archivos de ZENworks, debe configurarlo (antes de la instalación del servidor de ZENworks Desktop Management o después de que se complete la instalación) para que ZENworks pueda acceder posteriormente a los archivos almacenados en él.
NOTA:la configuración del servidor Linux para el acceso a archivos es opcional; puede configurar servidores NetWare® o Windows para proporcionar el acceso a archivos y seguir utilizando el servidor Linux como sistema de apoyo.
Esta sección incluye información acerca de la configuración de los servidores SUSE® Linux Enterprise Server (SLES) para el acceso a archivos de ZENworks en lugar de configurar los servidores OES (Open Enterprise Server) de Novell con ese propósito. OES Linux ya incluye Novell eDirectory™ y proporciona el acceso de Novell Storage Services (NSS) a su sistema de archivos. Por tanto, los archivos de directivas y de aplicaciones que estén almacenados en el servidor OES Linux pueden utilizar simplemente la vía UNC (es decir, \\OES_nombre_servidor/sys/public/....), lo que hace innecesaria ninguna otra tarea de configuración del acceso a archivos de ZENworks adicional.
La configuración de un servidor SLES para permitir el acceso a archivos requiere que se configure el software del servidor Samba para obtener información de autenticación desde el dominio de Active Directory* o el árbol de eDirectory y que se creen a continuación una o varias comparticiones Samba en el servidor. De esta forma, se permite que el directorio gestione las comparticiones.
La intención de esta sección es presentar un método básico en el que se muestre cómo llevar a cabo la autenticación necesaria. Hay muchas maneras de configurar Samba. Para obtener más información, consulte la recopilación de documentación sobre Samba.
En esta sección se incluye la siguiente información:
Si pretende utilizar Active Directory en el servidor SLES 9 o SLES 10 en el que desee instalar el servidor de ZENworks Management, debe habilitar el acceso CIFS basado en directorios a las aplicaciones y otros archivos que desee almacenar en ese servidor para su uso por parte de ZENworks.
IMPORTANTE:aunque no se recomienda, los usuarios pueden acceder a un servidor OES o una compartición Samba desde una estación de trabajo Windows en la que está instalado Novell Client™ (Cliente Novell), siempre que se configure Samba para proporcionar un nombre netBIOS que no sea el mismo que el del servidor OES.
En esta sección se incluye la información siguiente:
Emplee los pasos siguientes para configurar el servidor SLES 9 con el fin de utilizar Kerberos* para la autenticación:
Edite el archivo de configuración de Kerberos (heimdal-lib versión 0.6 o versiones posteriores) para indicar el nombre del dominio de Active Directory que desea unir.
Mediante un editor de texto, abra /etc/krb5.conf en el servidor Linux.
Busque las siguientes líneas en el archivo:
[libdefaults]
default_realm = SU.DOMINIO.KERBEROS
[realms]
SU.DOMINIO.KERBEROS= {
kdc = su.servidor.kerberos
}
Revise estas líneas de la siguiente manera:
[libdefaults]
default_realm = NOMBRE_DOMINIO
[realms]
NOMBRE_DOMINIO = {
kdc = nombre_wins
admin_server = nombre_wins
kpasswd_server = nombre_wins
}
El valor NOMBRE_DOMINIO que se muestra en el ejemplo es el nombre completo del dominio de Active Directory que desea unir (por ejemplo, INVESTIGACION.MIUBICACION.AEROLINEASDIGITALES.COM). Asegúrese de que introduce este nombre empleando caracteres en mayúsculas.
El valor nombre_wins, que se muestra en la línea kdc revisada, y en las líneas admin_server y kpasswd_server recientemente agregadas, corresponde al controlador de dominio principal o cualquier controlador del dominio (por ejemplo, DC1).
Edite el archivo de configuración del servidor Samba para indicar que Kerberos se utilizará para autenticar usuarios al dominio de Active Directory.
En un editor de texto, abra /etc/samba/smb.conf en el servidor Linux.
Busque la siguiente línea en la sección Global del archivo:
security = user
Revise esta línea y agregue más líneas de la siguiente manera:
security = ADS realm = YOUR.KERBEROS.REALM encrypt passwords = yes netbios name = nombre_anunciado
El valor SU.DOMINIO.KERBEROS que se muestra en el ejemplo es el nombre de dominio especificado en el archivo krb5.conf (consulte el Paso 1.c).
El valor nombre_anunciado que se muestra en la línea del nombre netbios es el nombre de red anunciado del servidor Samba, así como su nombre en Active Directory (por ejemplo, miservidor_smb).
Coloque el nombre del servidor en un contenedor de Active Directory:
En la línea de comandos del servidor Linux, escriba el siguiente comando:
kinit administrator@SU.DOMINIO.KERBEROS
El valor SU.DOMINIO.KERBEROS que se muestra en el ejemplo es el nombre de dominio especificado en el archivo krb5.conf.
En la línea de comandos del servidor Linux, escriba el siguiente comando:
net ads join
Es necesario crear una compartición Samba para que las estaciones de trabajo Windows accedan a los archivos del servidor SLES 9 o SLES 10.
En un editor de texto, abra /etc/samba/smb.conf en el servidor Linux y, a continuación, agregue las líneas siguientes al archivo:
[nombrecomparticin] path = directorio_local guest ok = no read only = no
El valor nombrecompartición mostrado en la primera línea es el nombre de red anunciado de la compartición Samba (por ejemplo, archivoszen).
El valor directorio_local que se muestra en la segunda línea es el directorio local del servidor en el que desea que se encuentre la compartición.
Asigne todos los usuarios que accederán a la compartición a una cuenta de Linux única.
En la línea de comandos del servidor Linux, escriba el siguiente comando:
/usr/sbin/useradd nombre_nueva_cuenta
El parámetro nombre_cuenta_nueva corresponde a la cuenta de Linux que está creando (por ejemplo, usuariosmb).
Busque el archivo /etc/samba/smbusers en el servidor Linux.
Añada la siguiente línea al archivo:
nombre_nueva_cuenta = *
El valor nombre_cuenta_nueva de esta línea corresponde a la cuenta que haya creado en el Paso 2.a.
En la línea de comandos del servidor Linux, escriba los siguientes comandos para cambiar la propiedad de la vía a la compartición:
mkdir -p nombre_directorio
chown -R nombre_cuenta_Linux nombre_directorio
chmod 755 nombre_directorio
El valor nombre_directorio corresponde a la vía al directorio local que haya especificado en el Paso 1.
El valor nombre_cuenta_Linux corresponde al “nombre de cuenta nueva” que haya asignado en Paso 2.a.
En la línea de comandos del servidor Linux, escriba el siguiente comando para reiniciar el servidor Samba a fin de que el archivo de configuración se ejecute con sus nuevos parámetros:
/etc/init.d/smb restart
Si pretende utilizar eDirectory en el servidor SLES 9 o SLES 10 en el que desee instalar el servidor de ZENworks Management, debe habilitar el acceso CIFS basado en directorios a las aplicaciones y otros archivos que desee almacenar en ese servidor para su uso por parte de ZENworks.
En esta sección se incluye información que debe conocer para configurar el servidor SLES 9 o SLES 10 para utilizarlo con ZENworks Desktop Management en un entorno de eDirectory:
En esta sección se describen los pasos necesarios para configurar un servidor SLES 9 o SLES 10 (que actúa como cliente LDAP) y Novell eDirectory (que actúa como servidor LDAP) para proporcionar redirección de autenticación a través de LDAP a Novell eDirectory. En el contenido se asume que Novell eDirectory 8.7.3 (o una versión posterior) se ha instalado ya en el servidor SLES 9 o SLES 10.
Cuando se configura el servidor, cualquier usuario puede entrar en un servidor SLES 9 o SLES 10 mediante sus credenciales de eDirectory.
Utilice los siguientes procedimientos en el orden que se muestra a continuación:
La configuración del servidor SLES 9 o SLES 10 para la autenticación de eDirectory requiere la extensión del esquema de eDirectory existente (el esquema de un servidor OES ya se ha extendido con la instalación de ZENworks).
La extensión del esquema se puede llevar a cabo mediante la utilidad ndsschema o la utilidad ICE. Ambas utilidades se encuentran en el servidor SLES 9 o SLES 10. En esta sección se proporciona la sintaxis de la línea de comandos para ambas utilidades.
IMPORTANTE:Antes de emplear la utilidad ICE, debe asegurarse de utilizar ConsoleOne para comprobar las propiedades del objeto de grupo LDAP del árbol de eDirectory que vaya a utilizar.
Haga clic con el botón derecho del ratón en el objeto de grupo LDAP, haga clic en después en y, a continuación, quite la marca de
El esquema para la autenticación de la cuenta de Linux se define en RFC 2307. Novell ofrece archivos de importación de esquema en el formato de esquema de eDirectory tradicional y en Lightweight Data Interchange Format (LDIF) para utilizarlos con el fin de extender el esquema de Novell eDirectory.
Utilice los siguientes pasos para extender el esquema de eDirectory en el entorno:
Entre en el servidor Linux que ejecuta Novell eDirectory como el usuario raíz.
En el indicador bash, escriba cd /usr/lib/nds-schema.
Ejecute una utilidad para ampliar el esquema.
método ndsschema: en el indicador bash, escriba el siguiente comando para ampliar el esquema:
ndssch cn=nombre_admin.o=nombre_contenedor_admin rfc2307-usergroup.sch
Método ICE: en el indicador bash, escriba el siguiente comando para ampliar el esquema:
ice -S LDIF -f rfc2307-usergroup.ldif -D LDAP -s localhost -d cn=nombre_admin,o=nombre_contenedor_admin -W
En el indicador bash, introduzca el siguiente comando:
cd /usr/share/doc/packages/samba/examples/LDAP
Esta ubicación se proporciona en el paquete RPM samba-doc. También puede utilizar el siguiente comando para encontrar el archivo del esquema en el paquete RPM samba-client:
cd /usr/share/samba/LDAP
Introduzca el siguiente comando para utilizar la utilidad ICE a fin de ampliar el esquema de eDirectory para Samba:
ice -S LDIF -f samba-nds.schema -D LDAP -s localhost -d cn=nombre_admin,o=nombre_contenedor_admin -W
Utilice los siguientes pasos para configurar un usuario apoderado (proxy) en eDirectory para asociaciones anónimas:
En ConsoleOne, cree una nueva cuenta de usuario y defina la contraseña como null. No haga clic en cuando se le pida; en su lugar, haga clic en para que se generen las claves privada y pública.
Haga clic con el botón derecho del ratón en el nuevo objeto de usuario, haga clic en y en y, a continuación, quite la marca de
En el objeto de raíz del árbol, haga clic con el botón derecho del ratón en el objeto, seleccione conceda al nuevo usuario derechos de entrada para examinar y, a continuación, conceda al nuevo usuario derechos de propiedad de lectura y comparación para los siguientes atributos:
Asegúrese de que se selecciona en cada uno de estos atributos a medida que los configure.
Quite de la lista de atributos de este objeto de usuario.
Haga clic con el botón derecho del ratón en el objeto de grupo LDAP, haga clic en y en y, a continuación, seleccione este nuevo usuario como usuario alterno.
SUGERENCIA:no puede acceder a la ficha desde la versión de ConsoleOne que se incluye en el CD ZENworks 7 Companion 1. Para poder utilizar ZENworks Desktop Management correctamente, debe descargar los módulos integrables de ZENworks 7 Desktop Management para ConsoleOne 1.3.6 desde el sitio Web de descargas de Novell.
Siga las instrucciones del sitio de descargas para instalar los módulos integrables.
Haga clic con el botón derecho del ratón en el objeto de servidor LDAP, haga clic en y en y, a continuación, seleccione
Inicie el centro de control YaST2 Control Center.
Ejecute /sbin/yast2
Escriba menu.
En el menú, seleccione seleccione y, a continuación, seleccione
Como alternativa a los pasos 1 y 2 anteriores, puede simplemente ejecutar /sbin/yast2 ldap en la línea de comandos para abrir la ventana de configuración del cliente LDAP.
Añada el servidor LDAP en el campo del servidor y la base de la búsqueda donde se encuentren los usuarios. Por ejemplo:
DN base: ou=usuarios, ou=novell
Direcciones de servidores LDAP: 127.0.0.1
Seleccione y haga clic en para guardar los cambios.
Lleve a cabo los siguientes pasos para añadir la clase auxiliar posixAccount a una cuenta de usuario y definir los campos necesarios:
En ConsoleOne, seleccione una cuenta de usuario y haga clic en ella con el botón derecho del ratón.
Seleccione
Haga clic en
En la lista, seleccione y haga clic en
En el recuadro de diálogo de edición genérica, haga clic en
En el recuadro de diálogo de nuevo posixAccount, rellene los campos. En la siguiente tabla se muestran los nombres de los campos, su finalidad y un ejemplo de los datos que se deben introducir.
Entre los demás atributos necesarios y que se pueden añadir en la página Otros del objeto Usuario se incluyen los siguientes:
Haga clic en para guardar los cambios.
Las credenciales de Samba para cualquier usuario gestionado se mantienen por separado a partir de las credenciales de Linux estándar. Lleve a cabo los pasos siguientes para añadir credenciales de Samba para cualquier cuenta de usuario.
Entre como Raíz en el servidor SLES 9 o SLES 10 e introduzca el siguiente comando en el indicador bash:
smbpasswd -a nombreusuario
Con esta configuración se solicita a los usuarios que entren en el servidor la contraseña de Samba para el servidor. En esta sintaxis, nombredeusuario corresponde al nombre de usuario de eDirectory. Los usuarios tienen que encontrarse en el contexto especificado como DN base cuando configuran a un cliente LDAP. Para obtener más información, consulte Configuración del servidor SLES 9 o SLES 10 (Cliente LDAP).
NOTA:Éste es un método básico de creación de cuentas en Samba. Hay muchas utilidades y métodos que puede emplear para mantener las contraseñas de Linux y Samba con un comando. Para obtener más información, consulte la recopilación de documentación sobre Samba.
Es necesario crear una compartición Samba para que las estaciones de trabajo Windows accedan a los archivos del servidor SLES 9 o SLES 10.
En un editor de texto, abra /etc/samba/smb.conf del servidor Linux y, a continuación, añada las líneas siguientes al archivo:
[nombrecomparticin] path = directorio_local guest ok = no read only = no
El valor nombrecompartición mostrado en la primera línea es el nombre de red anunciado de la compartición Samba (por ejemplo, archivoszen).
El valor directorio_local que se muestra en la segunda línea es el directorio local del servidor en el que desea que se encuentre la compartición.
En la línea de comandos del servidor Linux, escriba los siguientes comandos para cambiar la propiedad de la vía a la compartición:
mkdir -p nombre_directorio
chown -R nombre_usuario_admin
chmod 755 nombre_directorio
El valor nombre_usuario_admin corresponde al nombre de usuario que se utiliza para crear directivas y aplicaciones en ZENworks. Este nombre de usuario se utiliza para acceder a la compartición Samba.
El valor nombre_directorio corresponde a la vía al directorio local que haya especificado en el Paso 1.
En la línea de comandos del servidor Linux, escriba el siguiente comando para reiniciar el servidor Samba a fin de que el archivo de configuración se ejecute con sus nuevos parámetros:
/etc/init.d/smb restart
Si necesita acceder a archivos de aplicación y de directiva asociados con estaciones de trabajo en un servidor SLES 9 empleando el método de eDirectory, la compartición Samba debe estar marcada para permitir el acceso de invitado. Lleve a cabo los pasos siguientes para marcar la compartición Samba:
En un editor de texto, abra /etc/samba/smb.conf en el servidor.
Busque la siguiente línea en la sección [nombrecompartición] del archivo:
guest ok = no
El valor nombrecompartición corresponde al nombre de red anunciado de la compartición Samba (por ejemplo, archivoszen).
Modifique la línea de la siguiente manera:
guest ok = yes
Si utiliza un servidor de etapa intermedia de Windows para acceder a archivos de aplicación y directiva asociados con estaciones de trabajo en un servidor SLES 9 o SLES 10 empleando el método de eDirectory, no es necesario que la compartición Samba esté marcada como “lectura universal” (consulte el Paso 3 anterior) para permitir el acceso de invitado. Utilice los siguientes pasos para permitir el acceso a los archivos:
Asegúrese de introducir las credenciales de compartición del servidor de etapa intermedia de Windows cuando cree el servidor de etapa intermedia durante la instalación. También se pueden configurar en el servidor de etapa intermedia mediante la utilidad NSAdmin (credenciales LMAUTH).
Asegúrese de que el servidor de etapa intermedia tiene las mismas credenciales localmente.
Incluso si tiene un cortafuegos, el servidor de etapa intermedia puede acceder a los archivos de ZENworks en nombre de la estación de trabajo.
Puede modificar el archivo smb.conf para que permita definir a los usuarios a quienes desee restringir los derechos de modificación de archivos. Utilice los siguientes pasos para definir los usuarios restringidos.
En un editor de texto, abra /etc/samba/smb.conf en el servidor.
Busque la siguiente línea en la sección [nombrecompartición] del archivo:
read only = no
El valor nombrecompartición corresponde al nombre de red anunciado de la compartición Samba (por ejemplo, archivoszen).
Modifique la línea de la siguiente manera:
read only = yes
En el indicador bash, introduzca el siguiente comando:
write list = nombre_usuario_admin
NOTA:El valor nombre_usuario_admin corresponde al nombre de usuario (o a una lista de nombres de usuarios delimitada por comas) que sólo tiene derechos de lectura para los archivos de la compartición Samba.