Manual que explica cómo configurar GNU Linux Ubuntu 10.04 para que pueda validar en el inicio de sesión en un dominio con Microsoft Active Directoy. Explicamos cómo instalar y configurar el paquete Likewise-open open source que permitirá la validación contra Microsoft Active Directoy. Mostramos algunas opciones de configuración para cumplir la ley de protección de datos y para mejorar la seguridad.

• Preparación de GNU Linux Ubuntu para que valide en un dominio de Microsoft Active Directory.
• Algunas opciones de configuración de seguridad (contraseñas) de Active Directory y la afectación a la validación en GNU Linux.
• Política de cambio de contraseña por parte del usuario al iniciar sesión por primera vez en GNU Linux.
• Forzar el cambio de contraseña en el próximo inicio de sesión para un usuario ya creado.
• Directiva de seguridad de vigencia máxima de la contraseña.
• Deshabilitar cuentas de usuarios inactivos, de baja o que no se usen.
• Otras directivas que afectan y pueden mejorar la seguridad de las contraseñas.
• Anexo.
  • Algunos errores habituales.
  • Resultado de la ejecución de algunos comandos GNU Linux.
• Artículos relacionados.
• Créditos.

Preparación de GNU Linux Ubuntu para que valide en un dominio de Microsoft Active Directory

Podremos conseguir que la validación del usuario al iniciar sesión en GNU Linux Ubuntu 10.04 se realice validando en un dominio de Microsoft Active Directoy, para ello utilizaremos el paquete open source y gratuito likewise-open, patrocinado por Likewise Software para integrar los sistemas operativos Linux, Unix y Mac con Microsoft Active Directoy. De esta forma los usuarios de estos sistemas podrán autenticarse con las credenciales de su dominio Active Directory.

Para que un equipo con GNU Linux Ubuntu 10.04 valide en un dominio con Microsoft Active Directory utilizaremos la herramienta gratuita y open source Likewise-open.

Para instalar Likewise-open abriremos una ventana de terminal (desde el menú "Aplicaciones" - "Accesorios" - "Terminal") y ejecutaremos el siguiente comando (requiere conexión a Internet):

sudo apt-get install likewise-open

(Ver resultado ejecución del comando anterior)

Tras la instalación, para activar este servicio de validación en Microsoft Active Directoy desde GNU Linux Ubuntu 10.04, ejecutaremos este otro comando:

sudo domainjoin-cli join nombre_dominio nombre_usuario

(Ver resultado ejecución del comando anterior)

A continuación reiniciaremos el equipo para que se apliquen los cambios. Cuando el equipo arranque, en el inicio de sesión, escribiremos como usuario:

nombre_usuario_dominio@nombre_dominio

Por ejemplo, si el usuario es "alonso" y el dominio es "ajpdsoft.com", escribiremos:

alonso[[arroba]]ajpdsoft[[punto]]com

(cambiar "[[arroba]]" por "@" y "[[punto]]" por ".")

Y la contraseña que este usuario tenga en el Active Directory del dominio de Microsoft. De esta forma conseguiremos que el inicio de sesión o validación en el equipo con GNU Linux Ubuntu 10.04 se realice utilizando los usuarios de Active Directory:

Algunas opciones de configuración de seguridad (contraseñas) de Active Directory y la afectación a la validación en GNU Linux

Política de cambio de contraseña por parte del usuario al iniciar sesión por primera vez en GNU Linux

Si aplicamos cualquier política de cambio de contraseñas en el dominio de Microsoft Active Directoy, deberá cumplirla en el inicio de sesión de nuestro equipo con GNU Linux Ubuntu 10.04, lo que permite controlar la gestión de caducidades de contraseñas desde el dominio Microsoft Active Directoy.

Imaginemos el caso de una empresa u organización con muchos usuarios (más de 20). Si ha de cumplir la ley de protección de datos, por ejemplo, los administradores de sistemas deben configurar varias opciones de seguridad para el correcto cumplimiento de la misma. Una de ellas es que los administradores de sistemas no deben saber la contraseña de cada usuario, pues es personal y privada e identifica al usuario en el sistema, por lo que sólo debe conocerla él. A la hora de dar de alta un usuario en el dominio de Microsoft Active Directoy, como administradores de sistemas deberemos asignarle una contraseña (por seguridad), le asignaremos una contraseña "estándar" que diremos al usuario y, además, obligaremos a que el usuario cambie la contraseña en el primer inicio de sesión e introduzca una personal.

Para realizar lo anterior seguiremos los siguientes pasos:

1. Al crear el usuario en Active Directoy, desde Usuarios y equipos de Active Directory:

Es muy recomendable que establezcamos una contraseña para el usuario "estándar" y que marquemos el check: "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo". Pues la contraseña del usuario no debe saberla ni el propio administrador de sistemas. En el próximo inicio de sesión se le pedirá una contraseña al usuario y será ésta la que quede guardada:

Tras crear el usuario en Microsoft Active Directoy con la opción "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo", si intentamos validar en nuestro equipo con GNU Linux Ubuntu 10.04 con este usuario, pulsando en "Otro":

Introduciendo el nombre del usuario del dominio Microsoft Active Directoy creado anteriormente (en nuestro caso "alonso") más arroba y el nombre del dominio (en nuestro caso "@ajpdsoft.com"):

Introduciremos la contraseña "estándar" que el administrador de sistemas ha establecido para el usuario al crearlo en el dominio Windows:

El inicio de sesión de GNU Linux Ubuntu 10.04, mediante la herramienta likewise-open, habrá detectado que la contraseña expira tras el primer inicio de sesión, por lo que mostrará algo así "Your password has expired". Indicando que la contraseña ha expirado (pues al crear el usuario en Active Directory le hemos indicado que el usuario debe cambiar la contraseña tras el primer inicio de sesión) y pedirá la contraseña actual (la estándar) para proceder a cambiar la contraseña por parte del usuario. Así pues en la ventana siguiente, en "Current password" el usuario introducirá la contraseña "estándar":

A continuación pedirá la nueva contraseña en "New password", el usuario introducirá su contraseña privada y personal (que no debe conocer nadie, ni tan siquiera el administrador de sistemas):

Volverá a pedir que reintroduzca la contraseña en "Re-enter password":

y al pulsar en "Iniciar sesión" likewise-open actualizará la contraseña introducida por el usuario en el dominio Active Directory de Microsoft. De esta forma, a partir de ahora, el usuario, cada vez que inicie sesión (tanto desde un equipo Windows como desde uno GNU Linux Ubuntu) deberá introducir esta contraseña.

likewise-open volverá a dejar el inicio de sesión al estado inicial, para que el usuario vuelva a iniciar sesión con la nueva contraseña que él mismo ha cambiado:

Tras iniciar sesión en GNU Linux Ubuntu validando en un dominio Microsoft Active Directoy, nos lo mostrará en el área de notificación:

Forzar el cambio de contraseña en el próximo inicio de sesión para un usuario ya creado

También se puede "forzar" a que el usuario cambie la contraseña en el próximo inicio de sesión desde "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" - "Usuarios y equipos de Active Directory", accediendo a la unidad organizativa donde esté el usuario y pulsando con el botón derecho del ratón sobre el usuario. Aparecerá un menú emergente donde seleccionaremos "Restablecer contraseña":

Introduciremos una contraseña "estándar" que será la que le pida al usuario en el próximo inicio de sesión y marcaremos la opción "El usuario debe cambiar la contraseña en el siguiente inicio de sesión":

Directiva de seguridad de vigencia máxima de la contraseña

Otra de las recomendaciones para cumplir la ley de protección de datos y para, en la medida de lo posible, evitar intrusiones en el sistema, es la política de caducidad de contraseñas. Las contraseñas de los usuarios deben caducar cada cierto tiempo, dependiendo del carácter de privacidad de los datos con los que trate cada usuario. Por ejemplo, para establecer en seis meses la caducidad de las contraseñas en Active Directory, podremos hacerlo desde "Inicio" - "Programas" - "Herramientas administrativas" - "Directiva de seguridad del controlador de dominio", accediendo a la rama "Configuración de seguridad" - "Directiva de cuenta" - "Directiva de contraseñas" y haciendo doble clic sobre "Vigencia máxima de la contraseña":

Marcaremos "Definir esta configuración de directiva" y en "La contraseña caducará en" indicaremos el número de días, para seis meses, unos 180 días:

Nota: hay que tener en cuenta que este cambio afectará a todos los usuarios del dominio, por lo que hay que proceder con precaución.

La explicación que el propio Microsoft da a esta directiva: Esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0. Si la vigencia máxima de la contraseña está comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días.

Nota: como recomendación de seguridad, se aconseja hacer que las contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un atacante contará con tiempo limitado para apropiarse de la contraseña de un usuario y obtener acceso a los recursos de la red.

Transcurrido este tiempo desde el último cambio de contraseña, cuando el usuario inicie sesión en GNU Linux Ubuntu 10.04 (o en un equipo Windows que esté agregado al dominio) el sistema detectará que la contraseña ha caducado y volverá a pedirle que introduzca una nueva, como hemos explicado anteriormente:

Con estos dos métodos mejoraremos la seguridad y privacidad, por un lado el usuario o usuarios administradores de los sistemas no tienen por qué saber la contraseña de ningún otro usuario (método 1) y por otro lado, al obligar a que el usuario cambie la contraseña cada cierto tiempo, mejoramos la seguridad, pues un atacante que haya obtenido el hash de la contraseña de un usuario de nuestro sistema e intente obtenerla por fuerza bruta u otro método, si el usuario cambia la contraseña, no le servirá.

Deshabilitar cuentas de usuarios inactivos, de baja o que no se usen

También es "obligatorio" para cumplir con las políticas de seguridad el desactivar todos aquellos usuarios que ya no estén en nuestra organización, que ya no sean necesarios o a los que consideremos que debemos deshabilitar el acceso por cualquier motivo.

En alguno de los controladores principales del dominio de Microsoft Active Directory accederemos a "Inicio" - "Configuración" - "Panel de control" - "Herramientas administrativas" - "Usuarios y equipos de Active Directory", abriremos la unidad organizativa donde esté el usuario y pulsaremos con el botón derecho del ratón sobre él. Aparecerá un menú emergente donde seleccionaremos "Deshabilitar cuenta":

Puesto que nuestros equipos clientes con Windows ó GNU Linux están agregados al dominio, si un usuario deshabilitado en el dominio intenta iniciar sesión en el equipo éste no le dejará:

Con esta medida evitaremos que posibles usuarios que ya no pertenezcan a la organización intenten acceder. Evitaremos también tener cuentas de usuario que no se utilizan activas, cuantos menos usuarios menos riesgo.

Otras directivas que afectan y pueden mejorar la seguridad de las contraseñas

Existen otras muchas directivas y opciones de seguridad a tener en cuenta, por ejemplo:

• Forzar el historial de contraseñas: esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas.
• Las contraseñas deben cumplir los requerimientos de complejidad: esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:
  • No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos.
  • Tener una longitud mínima de seis caracteres.
  • Incluir caracteres de tres de las siguientes categorías: Mayúsculas (de la A a la Z), Minúsculas (de la a a la z), Dígitos de base 10 (del 0 al 9), Caracteres no alfanuméricos (por ejemplo, !, $, #, %).
    Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
• Longitud mínima de la contraseña: esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede indicar que no se exija contraseña alguna estableciendo el número de caracteres en 0.

Anexo

Algunos errores habituales

• Could not update ICEauthority file /home/likewise-open/nombre_dominio/usuario/.ICEauthority:

• Hay un problema con la configuración del servidor. (/usr/lib/libconf2-4/gconf-sanity-check-2 salió con el estado 256):



• Nautilus no pudo crear la carpeta requerida "/home/likewise-open/DOMINIO/usuario/Desktop". Ante de ejecutar Nautilus, debe crear la siguiente carpeta o establecer permisos para que Nautilus la pueda crear:

Resultado de la ejecución de algunos comandos GNU Linux

• Resultado ejecución comando: apt-get install likewise-open

ajpdsoft@pcubuntults:~$ sudo apt-get install likewise-open
Leyendo lista de paquetes... Hecho
Creando árbol de dependencias
Leyendo la información de estado... Hecho
Se instalarán los siguientes paquetes extras:
krb5-config krb5-user libgssapi-krb5-2 libgssrpc4 libkadm5clnt-mit7
libkrb5-3 libkrb5support0
Paquetes sugeridos:
krb5-doc likewise-open-gui
Se instalarán los siguientes paquetes NUEVOS:
krb5-config krb5-user libgssrpc4 libkadm5clnt-mit7 likewise-open
Se actualizarán los siguientes paquetes:
libgssapi-krb5-2 libkrb5-3 libkrb5support0
3 actualizados, 5 se instalarán, 0 para eliminar y 517 no actualizados.
Se necesita descargar 2960kB/3473kB de archivos.
Se utilizarán 9003kB de espacio de disco adicional después de esta operación.
¿Desea continuar [S/n]? s
Des:1 http://es.archive.ubuntu.com/ubuntu/ lucid/main krb5-config 2.2 [23,0kB]
Des:2 http://es.archive.ubuntu.com/ubuntu/ lucid/main libgssrpc4
1.8+dfsg~alpha1-7ubuntu1 [74,3kB]
Des:3 http://es.archive.ubuntu.com/ubuntu/ lucid/main
libkadm5clnt-mit7 1.8+dfsg~alpha1-7ubuntu1 [58,0kB]
Des:4 http://es.archive.ubuntu.com/ubuntu/ lucid/main krb5-user
1.8+dfsg~alpha1-7ubuntu1 [130kB]
Des:5 http://es.archive.ubuntu.com/ubuntu/ lucid/main likewise-open
5.4.0.42111-1 [2675kB]
Descargados 2960kB en 33s (88,5kB/s)
Preconfigurando paquetes ...
(Leyendo la base de datos ... 00%
121761 ficheros y directorios instalados actualmente.)
Preparando para reemplazar
libgssapi-krb5-2 1.8+dfsg~alpha1-7 (usando .../libgssapi-krb5-2_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Desempaquetando el reemplazo de libgssapi-krb5-2 ...
Preparando para reemplazar libkrb5-3 1.8+dfsg~alpha1-7 (usando .../libkrb5-3_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Desempaquetando el reemplazo de libkrb5-3 ...
Preparando para reemplazar libkrb5support0 1.8+dfsg~alpha1-7 (usando .../libkrb5support0_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Desempaquetando el reemplazo de libkrb5support0 ...
Seleccionando el paquete krb5-config previamente no seleccionado.
Desempaquetando krb5-config (de .../krb5-config_2.2_all.deb) ...
Seleccionando el paquete libgssrpc4 previamente no seleccionado.
Desempaquetando libgssrpc4 (de .../libgssrpc4_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Seleccionando el paquete libkadm5clnt-mit7 previamente no seleccionado.
Desempaquetando libkadm5clnt-mit7 (de .../libkadm5clnt-mit7_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Seleccionando el paquete krb5-user previamente no seleccionado.
Desempaquetando krb5-user (de .../krb5-user_1.8+dfsg~alpha1-7ubuntu1_i386.deb) ...
Seleccionando el paquete likewise-open previamente no seleccionado.
Desempaquetando likewise-open (de .../likewise-open_5.4.0.42111-1_i386.deb) ...
Procesando disparadores para man-db ...
Procesando disparadores para ureadahead ...
ureadahead will be reprofiled on next reboot Configurando libkrb5support0 (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando libkrb5-3 (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando libgssapi-krb5-2 (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando krb5-config (2.2) ...
Configurando libgssrpc4 (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando libkadm5clnt-mit7 (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando krb5-user (1.8+dfsg~alpha1-7ubuntu1) ...
Configurando likewise-open (5.4.0.42111-1) ...
* Starting Likewise Service Manager: lwsmd [ OK ]
* Reloading Likewise Service Manager configuration [ OK ]
Procesando disparadores para libc-bin ...
ldconfig deferred processing now taking place
ajpdsoft@pcubuntults:~$

• Resultado ejecución comando: sudo domainjoin-cli join nombre_dominio nombre_usuario

  ajpdsoft@pcubuntults:~$ sudo domainjoin-cli join nombre_dominio nombre_usuario
  Joining to AD Domain: nombre_dominio
  With Computer DNS Name: pcubuntults.nombre_dominio

  nombre_usuario@nombre_dominio.com's password:
  Warning: System restart required
  Your system has been configured to authenticate to Active Directory for the first time. It is recommended that you restart your system to ensure that all applications recognize the new settings.

  SUCCESS
  You should reboot this system before attempting GUI logins as a domain user..
  

Artículos relacionados

• Instalar GNU Linux Ubuntu 10.04 LTS (Lucid Lynx) Beta 1 virtualizado en VMware Server 2.0.
• Instalación de Active Directory en Windows Server 2003 (promoción a Controlador de Dominio).
• Instalación de Windows Server 2003 Enterprise Edition SP2.
• Instalar Linux Ubuntu Server 8.04.1.
• Instalación y configuración de Windows XP Service Pack 3.
• Instalar un sistema operativo dentro de una máquina virtual (virtualización).
• Virtualización con Sun xVM VirtualBox del sistema operativo OpenSolaris 11.
• Artículos del Proyecto AjpdSoft sobre sistemas operativos.
• Artículos y manuales del Proyecto AjpdSoft sobre Virtualización.
• Instalación y configuración de Windows XP Service Pack 3.
• Instalación y testeo de Windows Vista Beta 2.
• Instalación de Microsoft Windows 7 Ultimate virtualizado en VMware Server 2.0.1.
• Instalar y testear Windows Server 2008 Enterprise Release Candidate.
• Instalar y configurar servicio de Terminal Server en Windows 2003.
• Comandos básicos para GNU Linux y ejemplos de utilización.

Créditos

Artículo realizado íntegramente por Alonsojpd miembro fundador del proyecto AjpdSoft.