Skip to main content

Tarea 1: Unión al Dominio con Windows

En esta tarea verás cómo unir una máquina con Windows 10 al dominio que hemos creado en las unidades anteriores.

Requisitos de Infraestructura

Una vez tengas el Servidor de Active Directory en marcha (server2019), y en la red NAT configurada en la unidad anterior, conecta la máquina virtual con Windows 10 a la red NAT.
Diagrama de Red:
  • Servidor: Windows Server 2019 (AD configurado)
  • Cliente: Windows 10
  • Red: NAT (ambos equipos en la misma red)

Paso 1: DNS e IPs

Lo primero es que nuestra máquina cliente (Windows) sea capaz de encontrar el servidor de Active Directory tanto por nombre como por IP.
1

Configurar DNS

Ve a la configuración de red y establece la IP del servidor 2019 como DNS principal.
2

Verificar conectividad

Asegúrate de que puedes hacer ping al servidor por nombre y por IP.

Paso 2: Unión al Dominio

Una vez tengas el DNS configurado y hayas verificado la conectividad con el servidor:
1

Abrir configuración del sistema

Ve a SistemaConfiguración de nombre, grupo de trabajo y dominioCambiar Configuración
2

Iniciar el asistente

Pulsa el botón Id. de red... para iniciar el asistente de unión al dominio
3

Seleccionar red empresarial

Indica que el equipo forma parte de una red empresarial
4

Proporcionar credenciales

Introduce el usuario Administrador y su contraseña del dominio
5

Establecer nombre del equipo

Asigna un nombre descriptivo (ej: DESKTOP-W10, DespachoDireccion, Fotocopias)
6

Confirmar y reiniciar

Completa el asistente y reinicia el equipo
Al reiniciar, Windows 10 aplicará los cambios necesarios para permitir el login de los usuarios del dominio.

Ejercicios

Ejercicio 1

Realiza los pasos descritos anteriormente y documenta el proceso, detallando:
  • Nombres de dominio utilizados
  • IPs de la red
  • Nombres de las máquinas
  • Cualquier diferencia encontrada respecto al procedimiento
Si durante el proceso ocurre alguna incidencia, descríbela y documenta cómo la has resuelto.

Ejercicio 2: Creación de Usuario

Crea un usuario en el Servidor 2019 (en el Active Directory) y comprueba que puedes iniciar sesión en el Windows 10 nada más crearlo. Pasos:
  1. En el Server 2019, abre “Usuarios y equipos de Active Directory”
  2. Crea un nuevo usuario con las características que desees
  3. En el Windows 10 cliente, cierra sesión
  4. Inicia sesión con el nuevo usuario del dominio
  5. Documenta el proceso con capturas de pantalla

Tarea 2: Creación de GPO

En esta práctica crearás una Política de Grupo que nos permitirá realizar configuraciones automáticas sobre las máquinas y usuarios del dominio.

GPMS (Group Policy Management)

En el menú de Administración del Servidor, accede a “Administración de directivas de grupo” o ejecuta el comando gpmc.
1

Crear nueva GPO

Expande el árbol hasta el dominio, pulsa botón derecho y selecciona crear GPO. Llámala RemotosSeguridad.
2

Editar la GPO

Haz clic derecho sobre la GPO creada y selecciona “Editar”

Política 1: No Guardar Historial de Documentos

Navega por el árbol de la GPO: 
Configuración del equipo
  → Directivas
    → Plantillas administrativas
      → Menú inicio y barra de tareas
        → No guardar historial de documentos abiertos recientemente
Marca la opción como Habilitada.

Política 2: PowerShell

Configura PowerShell para permitir la ejecución de scripts en el dominio. Navega hasta: 
Configuración del equipo
  → Directivas
    → Plantillas administrativas
      → Componentes de Windows
        → Windows PowerShell
          → Activar la ejecución de scripts
1

Habilitar política

Marca la política como Habilitada
2

Configurar directiva

En “Directiva de ejecución” selecciona: Permitir todos los scripts
Esto equivale a ejecutar manualmente: Set-ExecutionPolicy Unrestricted

Política 3: Instalación de Software

Esta política utilizará una carpeta compartida mediante SMB en el servidor como repositorio de software.

3.1 Compartir Carpeta en Red

1

Crear carpeta

Crea una carpeta en C:\srv\software\ que contendrá los instaladores
2

Compartir la carpeta

Ve a Propiedades → Compartir → Añade el grupo “Remotos” con permisos de Lectura
3

Obtener ruta UNC

Copia la ruta de red: \\SERVERISO\srv
NO USAR LA RUTA LOCAL - Debes usar la ruta UNC de red (\servidor\carpeta)

3.2 Crear la GPO de Software

Navega hasta: 
Configuración del equipo
  → Directivas
    → Configuración de Software
      → Instalación de Software
1

Nuevo paquete

Botón derecho → Nuevo → Paquete
2

Seleccionar MSI

Navega hasta \\SERVERISO\srv\software\ y selecciona el archivo .msi (ej: SciTE)
3

Tipo de implementación

Marca la opción: Asignada
4

Verificar origen

Comprueba que en “Origen” aparece la ruta de red

Aplicar la GPO a Usuarios

En la ventana de Administración de Directivas de grupo:
  1. Selecciona la GPO RemotosSeguridad
  2. En la pestaña “Ámbito”, añade al grupo Remotos en el filtrado de seguridad
  3. Asegúrate de que el grupo tiene permisos de “Lectura” y “Aplicar directiva de grupo”

Verificación

Al iniciar sesión con un usuario del grupo Remotos:
  • Se instalará automáticamente el software (SciTE u otro configurado)
  • No se guardará historial de documentos
  • PowerShell permitirá la ejecución de scripts

Ejercicios

Ejercicio 1

Realiza todos los pasos descritos en la práctica y documenta los que consideres más importantes.

Ejercicio 2: GPO para Usuarios

Genera otra GPO que aplique a los usuarios del dominio, que incluya:
  • Configuración del Panel de control
  • Configuración del Fondo de Pantalla personalizado
Pistas:
  • Busca en “Configuración de usuario” en lugar de “Configuración del equipo”
  • Las opciones de personalización están en: Plantillas administrativas → Panel de control
Documenta el proceso seguido.

Ejercicio 3: Software desde OpenMediaVault

Genera otra GPO que instale software desde una de las carpetas compartidas del OpenMediaVault. Requisitos:
  1. El OpenMediaVault debe tener una carpeta compartida accesible
  2. Coloca un archivo .msi en esa carpeta
  3. Crea la GPO apuntando a esa ubicación de red
  4. Documenta las diferencias respecto a usar el servidor Windows

Tarea 3: Unión al Dominio con Ubuntu

En esta tarea verás cómo unir una máquina con Ubuntu al dominio de Active Directory.

Requisitos

  • Servidor de Active Directory en marcha (server2019)
  • Máquina Ubuntu/Xubuntu conectada a la misma red NAT
  • IP del servidor conocida (ejemplo: 10.0.2.42)

Paso 1: Configurar Hosts

Edita el archivo /etc/hosts para que el cliente pueda resolver el servidor: 
# /etc/hosts
127.0.0.1       localhost
127.0.1.1       xubuntu
10.0.2.42       server2019.iso.com server2019

Paso 2: Configurar DNS (systemd-resolved)

Edita /etc/systemd/resolved.conf: 
[Resolve]
DNS=10.0.2.42
Domains=iso.com
Reinicia el servicio: 
sudo systemctl restart systemd-resolved

Paso 3: Instalar Utilidades

sudo apt update
sudo apt install realmd sssd sssd-tools samba-common krb5-user \
  packagekit samba-common-bin samba-libs adcli ntp
Durante la instalación de Kerberos, introduce el nombre del dominio EN MAYÚSCULAS (ejemplo: ISO.COM)

Paso 4: Configurar NTP

CRÍTICO: El cliente y el servidor deben estar a la misma hora. Kerberos rechazará tickets si el desfase es mayor a 5 minutos.
Edita /etc/ntp.conf: 
# /etc/ntp.conf
server server2019.iso.com

# ... resto del archivo igual ...
Inicia y habilita el servicio: 
sudo ntpdate server2019.iso.com
sudo systemctl enable ntp
sudo systemctl start ntp

Paso 5: Configurar RealMD

Crea el archivo /etc/realmd.conf: 
[users]
default-home = /home/ISO/%U
default-shell = /bin/bash

[active-directory]
default-client = sssd
os-name = Ubuntu Xubuntu
os-version = 18.04

[service]
automatic-install = no

[iso.com]
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no

Paso 6: Obtener Ticket de Kerberos

sudo su
kinit [email protected]
Verifica el ticket: 
klist
Si obtienes el ticket correctamente, verás información sobre el ticket de Kerberos incluyendo la fecha de expiración.

Paso 7: Unirse al Dominio

realm --verbose join iso.com -U Administrador

Solución de Problemas

Si obtienes el error: 
GSSAPI Error: Unspecified GSS failure.  
Minor code may provide more information 
(Server not found in Kerberos database)
Solución: Edita /etc/krb5.conf y añade en la sección [libdefaults]: 
rdns=false

Paso 8: Configurar SSSD

Verifica y edita /etc/sssd/sssd.conf: 
[sssd]
domains = iso.com
config_file_version = 2
services = nss, pam

[domain/iso.com]
ad_domain = iso.com
krb5_realm = ISO.COM
realmd_tags = joined-with-adcli 
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/ISO/%u
enumerate = True
simple_allow_users = $
access_provider = permit
IMPORTANTE: El valor de access_provider debe ser permit para permitir inicios de sesión.
Reinicia el servicio: 
sudo systemctl restart sssd

Paso 9: Configurar mkhomedir

Habilita la creación automática de directorios home: 
sudo pam-auth-update
Asegúrate de marcar: Create home directory on login

Paso 10: Configurar Samba

Edita /etc/samba/smb.conf y añade en la sección [global]: 
;; ISO COM
client signing = yes
client use spnego = yes
kerberos method = secrets and keytab
realm = ISO.COM
security = ads

Paso 11: Configurar sudo (Opcional)

Para permitir que usuarios del dominio ejecuten sudo, edita /etc/sudoers: 
# AD Domain Groups and Users
%domain\ admins ALL=(ALL) NOPASSWD:ALL
Administrador ALL=(ALL) NOPASSWD:ALL
Edita este archivo usando visudo para evitar errores de sintaxis.

Paso 12: Configurar LightDM

Edita /etc/lightdm/lightdm.conf: 
[SeatDefaults]
allow-guest=false
greeter-hide-users=true
greeter-show-manual-login=true
Reinicia LightDM: 
sudo systemctl restart lightdm

Paso 13: Verificación

Comprueba que los usuarios del dominio aparecen: 
getent passwd
Deberías ver tanto usuarios locales como usuarios del Active Directory.

Ejercicios

Ejercicio 1

Realiza los pasos descritos en la práctica, adaptándolos a tu dominio. Documenta:
  • Nombre del dominio
  • IPs de la RED
  • Nombre de las máquinas
  • Diferencias encontradas respecto al ejemplo
Avisa al profesor cuando acabes.

Ejercicio 2: Crear Usuario

En el Active Directory, dentro del grupo “esbirros”, crea un usuario:
CampoValor
NombreEsbirro
Loginesbirro01
PasswordSoy1Esb1rr0
Comprueba que puede iniciar sesión en Ubuntu nada más crearlo.

Ejercicio 3: Restricción Horaria

Utilizando el usuario remoto01:
  1. Comprueba que puede iniciar sesión en Xubuntu
  2. En el Controlador de Dominio (Windows Server 2019), bloquea las horas de inicio de sesión del usuario para que no pueda iniciar sesión durante el día de hoy
  3. Intenta iniciar sesión en Xubuntu con ese usuario
  4. Documenta el error obtenido
  5. Comprueba los logs del servidor y del cliente
Pregunta de reflexión: ¿Por qué crees que esto puede ser útil?

Tarea 4: Configuración de Cliente de OpenLDAP

En esta práctica configurarás un sistema GNU/Linux como cliente del servidor OpenLDAP.

Configuración de la Red

Primero, configura una IP estática para el servidor OpenLDAP. Crea o edita /etc/netplan/02-nat-iso-static.yaml: 
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s3:
      addresses:
        - 10.0.2.41/24
      gateway4: 10.0.2.1
      nameservers:
        addresses:
          - 8.8.8.8
          - 8.8.4.4
Aplica la configuración: 
sudo netplan apply
Los archivos YAML son sensibles a la indentación. Usa espacios, no tabuladores.

Configurar Hostname

Cambia el hostname a valencia: 
sudo hostnamectl set-hostname valencia
Edita /etc/hosts: 
127.0.0.1       localhost
10.0.2.41       valencia.iso.com valencia
Verifica: 
ping valencia.iso.com
Reinicia la máquina.

Instalación de LDAP Client

sudo apt install libnss-ldap libpam-ldap ldap-utils
Durante la instalación:
1

URI del servidor LDAP

ldapi:///valencia.iso.com
2

Base DN

dc=valencia,dc=iso,dc=com
3

Versión LDAP

3
4

Administrador de base de datos

Sí (permitir que root local administre la base de datos)
5

Login para consultas

No (no requerir login para consultas)
6

Cuenta de administrador LDAP

cn=admin,dc=valencia,dc=iso,dc=com
7

Contraseña

Introduce la contraseña del administrador LDAP

Configurar nsswitch

Edita /etc/nsswitch.conf: 
passwd:         files ldap
group:          files ldap
shadow:         files ldap
gshadow:        files

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis
Añade ldap a las líneas de passwd, group y shadow.

Configurar PAM

Edita /etc/pam.d/common-password y quita el parámetro use_authok de la línea 26. Habilita la creación de directorios home: 
sudo pam-auth-update
Marca: Create home directory on login

Verificación

Comprueba que aparecen los usuarios de LDAP: 
getent passwd
Prueba cambiar a un usuario LDAP: 
su esbirroldap01
whoami
pwd

Configurar LightDM

Crea un archivo en /etc/lightdm/lightdm.conf.d/50-ldap-manual-login.conf: 
[SeatDefaults]
allow-guest=false
greeter-hide-users=true
greeter-show-manual-login=true
Reinicia LightDM: 
sudo systemctl restart lightdm

Cambio de UID

Debes cambiar el UID de los usuarios LDAP para que no coincida con los usuarios locales de la máquina.
Esto se configura en el servidor LDAP, no en el cliente.

Ejercicios

Ejercicio 1

Realiza todos los pasos descritos en la práctica, adecuándolos a tu infraestructura y documenta los cambios realizados.

Ejercicio 2: UIDs Únicos

¿Por qué no debemos tener varios usuarios con el mismo UID? Razona la respuesta.
Piensa en:
  • Propiedad de archivos
  • Permisos del sistema
  • Seguridad
  • Identificación de procesos

Ejercicio 3: Ampliación (Opcional)

Instala otra máquina GNU/Linux y sigue estos pasos para transformarla en cliente de LDAP. Puedes elegir una distribución diferente si lo deseas (Debian, Fedora, etc.). Documenta las diferencias de configuración respecto a Ubuntu.

Tarea 5: PGina + LliureX (Ampliación)

Aprovechando el modelo de Aula LliureX, realiza la configuración del servicio PGina o PGina Fork para permitir el login de usuarios de la OU=Students en Windows.

Configuración de PGina

Las capturas muestran los parámetros que deben estar establecidos: Configuración LDAP:
  • Host: IP del servidor LliureX
  • Puerto: 389
  • Base DN: ou=Students,dc=…
  • Search DN: cn=admin,dc=…
  • Método de autenticación: Simple bind
Configuración de plugins:
  1. LDAP Authentication: Habilitado en Authentication
  2. Local Machine: Habilitado en Authorization para usuarios locales
  3. Create User: Habilitado en Gateway para crear perfiles

Ejercicio 1

Realiza la instalación y configuración de PGina en una máquina virtual con Windows 10 y comprueba que puedes iniciar sesión con usuarios de LliureX. Documenta el proceso seguido:
  1. Descarga e instalación de PGina
  2. Configuración de plugins
  3. Configuración de conexión LDAP
  4. Pruebas de inicio de sesión
  5. Solución de problemas encontrados

Ejercicio 2: Filtrado de Usuarios

¿Qué cambios deberías realizar para permitir solo el login de los profesores?
Piensa en:
  • El Base DN utilizado
  • Los filtros LDAP
  • Las OUs donde se encuentran profesores vs estudiantes

Recursos Adicionales

Active Directory

Documentación oficial de Microsoft sobre Active Directory

Realm y SSSD

Guía de integración Linux-Windows

OpenLDAP

Documentación oficial de OpenLDAP

Kerberos

Documentación del protocolo Kerberos

Build docs developers (and LLMs) love

Get started for freeTalk to us