Conectar el servidor NAS con Active Directory

Conectar nuestro servidor NAS con Active Directory de Windows, nos permite una mejor gestión de máquinas y usuarios con acceso a los recursos publicados en la red, delegando en el NAS sólo las tareas de publicación de recursos y gestión de copias de seguridad de los mismos.

29-Ene-2017

Hasta ahora la validación de usuarios que pueden utilizar los recursos compartidos del servidor NAS, se realiza por medio de la lista de usuarios locales que hemos dado de alta en el servidor desde cualquier máquina de nuestra red.

En algunos entornos de trabajo es común que aparte del servidor NAS, exista también un servidor Windows que controla el dominio local por medio del AD o Directorio Activo (Active Directory), donde se dan de alta a los equipos y usuarios que pueden iniciar sesión dentro del dominio.

En estos casos en lugar de tener que dar de alta a los usuarios con permiso a los recursos compartidos del NAS en la lista local de usuarios del servidor NAS, se recomienda que se utilicen los mismos usuarios que se han dado de alta en el AD del servidor Windows. De esta manera tendremos una gestión centralizada de usuarios y será el propio AD el que valide a todos los equipos y usuarios de la red, y el NAS se encargará sólo de la publicación de recursos y de las copias de seguridad de los recursos publicados.

En este módulo vamos a ver como conectar nuestro servidor NAS al AD del servidor Windows para que realice la validación de equipos y usuarios que se conectan a los recursos compartidos.

Proceso de validación

Cuando un usuario de la red quiera conectarse a un recurso compartido del servidor NAS, este comprobará que el usuario pertenezca a su mismo dominio. El servidor NAS envía una consulta al AD del dominio para que valide al usuario. AD comprobará que el usuario existe en el dominio y que la clave es correcta y contestará al NAS con el resultado de la validación. Si la validación ha sido correcta el servidor NAS permitirá la conexión del usuario al recurso compartido, de lo contrario será rechazada impidiendo el acceso al recurso.

Proceso de validación

Preparación del servidor Windows

Máquina Windows

Para estas pruebas, tengo instalado un Server 2008 R2 en una máquina virtual con las siguientes características:

Máquina virtual:

  • Procesador de 2 CPUS
  • RAM: 4Gb
  • Disco: 50Gb
  • 1 Adaptador puente de red ethernet.
  • Memoria de video: 64Mb

Sistema Operativo:

  • Windows Server R2 Enterprise de 64bits
  • Todas las actualizaciones instaladas
  • Nombre del equipo: SRVW08
  • Nombre del dominio: minubeinformatica.local
  • Nombe Netbios del dominio: MINUBELOCAL

Direcciones IP:

  • IPv4: 192.168.1.50
  • Máscara de subred: 255.255.255.0
  • Puerta de enlace: 192.168.1.1
  • DNS: 127.0.0.1 (ya que tenemos instalado el servidor DNS)

Roles y características instalados y funcionando:

  • Servicio de demonio de Active Directory
  • Servidor DHCP
  • Servidor DNS
  • Servidor WINS
  • Servidor NTP

Usuarios iniciales

Vamos a crear dos usuarios en el AD de minubeinformatica.local, con los que poder realizar el proceso de conexión entre el NAS y AD y posterior comprobación de que la validación de usuarios se realiza de forma correcta.

El primer usuario será el encargado de incluir al NAS en el AD de Windows y tendrá que formar parte del grupo Administradores del dominio y el segundo usuario que pertenecerá sólo al grupo usuarios del dominio, será el que utilicemos para conectarnos al NAS desde una máquina Windows.

UsuarioClaveGrupo
usrconectCnn.2008Administradores del dominio
usrpruebaPrb.2008Usuarios del dominio

Crear Usuarios

  • Abrimos la consola de Windows ejecutando el comando mmc desde el menú de inicio -> ejecutar.
  • Desde el menú archivo seleccionamos la orden ‘Agregar y quitar complemento’
  • En la lista de componentes seleccionamos ‘Usuarios y equipos de Active Directory’, lo pasamos a la lista de la derecha pulsando el botón ‘Agregar >’ y aceptamos los cambios.
Agregar complemento a la consola
  • Expandimos el complemento ‘Usuarios y equipos de Active Directory’ que se muestra en la raíz de la consola. Expandimos el nombre del dominio ‘minubeninformatica.local’ y mostramos el menú contextual de la carpeta ‘Users’. Seleccionamos la orden Nuevo -> Usuario.
Agregar nuevo usuario
  • Rellenamos los datos con el nombre y apellidos del usuario e indicando como nombre de inicio de sesión usrconect y avanzamos al siguiente paso.
Nuevo objeto: usuario (nombre de la cuenta)
  • Escribimos la contraseña, la confirmación y marcamos la casilla ‘la contraseña nunca expira’.
Nuevo objeto: usuario (contraseña)
  • Avanzamos al siguiente paso y finalizamos el asistente para crear un nuevo objeto de tipo usuario.
Nuevo objeto: usuario (resumen)
  • Una vez creado, mostramos el menú contextual del nuevo usuario y seleccionamos la orden ‘Agregar a un grupo…’.
Agregar a un grupo
  • En la ventana que se muestre, introduciremos el nombre admin en el cuadro de nombres de objeto y pulsaremos el botón ‘Comprobar nombres’, para que nos muestre una lista de grupos que comiencen con ese texto.

    En la lista de grupos encontrados, seleccionamos ‘Admins. del dominio’ y aceptamos las dos ventanas.
Buscar grupos
Seleccionar grupo Admins. del dominio
  • Si todo ha ido bien, Windows nos mostrará un mensaje de confirmación.

Para el usuario de pruebas ‘usrprueba’ repetiremos los mismos pasos para crear el objeto de tipo usuario, pero nos saltaremos el paso de signarle un grupo, ya que cualquier usuario que se crea en AD se le asigna como grupo primario ‘Usuarios del dominio’.

Cuando finalicemos la creación de usuarios, cerramos la consola y la guardamos con el nombre ‘Consola NAS’ para poder utilizarla posteriormente.

Conectar nuestro servidor NAS al AD de Windows

Ahora que ya tenemos lo mínimo necesario en el AD de Windows para conectar/incluir nuestro NAS en el dominio, configuraremos las opciones del NAS.

  • Desde el WebGUI del servidor NAS, accedemos al menú Acceso -> Active Directory.
  • Activamos la casilla ‘Permitir’ y escribimos los datos necesarios para realizar el acceso al AD.

Datos de configuración

  • Nombre del controlador de dominio: es el nombre de la máquina donde está ejecutándose AD. (SRVW08)
  • Nombre del dominio (DNS): nombre del dominio. (minubeinformatica.local)
  • Nombre de red (nombre NetBios): nombre Netbios del dominio. (MINUBELOCAL)
  • Nombre del administrador: usuario del AD que pertenezca al grupo ‘Admins. del dominio’ con el que se realizará la conexión. (usrconect)
  • Contraseña del administrador: contraseña del usuario. (Cnn.2008)
Datos configuración acceso a AD

Como podréis observar en la parte inferior del formulario, para que este acceso funcione, tendremos que tener activado y configurado el servicio CIFS/SMB en nuestro servidor (tarea que ya realizamos en su momento en el módulo Servicios SSH y CIFS/SMB de este curso). También se nos advierte del resto de los servicios que se verán afectados a partir de este momento a la hora de realizar las validaciones de usuarios.

Comprobar el acceso al AD

Una vez guardada la configuración de acceso, realizaremos un diagnóstico, para comprobar que la conexión con el AD se ha podido realizar con éxito.

  • Desde el WebGUI del servidor NAS, acceder al menú Diagnóstico -> Información.
  • En la página de diagnósticos, pulsaremos sobre el botón ‘Dominio MS’ para que se realice la comprobación.
  • Si todo es correcto nos mostrará la información de la conexión y un listado de los usuarios dados de alta en el dominio, donde podemos ver nuestros dos usuarios.
Diagnóstico acceso a AD

Ajustes del servicio CIFS/SMB

Antes de dar por finalizada la tarea de validación de los usuarios en Active Directory, vamos a realizar una serie de ajustes en las preferencias del servicio CIFS/SMB de nuestro servidor NAS.

  • Acceder a las preferencias del servicio desde el menú Servicios -> CIFS/SMB.
    Observareis como ahora la autenticación se realiza a través de Active Directory, cuando antes se realizaba por medio de usuarios locales al servidor NAS.
    El nombre del grupo de trabajo se ha cambiado por el nombre Netbios del dominio (MINUBELOCAL).
  • Establecer a ‘No’ las configuraciones ‘Local Master Browser’ y ‘Servidor de Fecha y Hora’, ya que a partir de ahora estas tareas las realizará el controlador de dominio donde tenemos instalado el servidor WINS y también el servidor NTP.
  • Introducir la dirección IP del servidor Windows en la configuración ‘Servidor WINS. Si no se muestra esa opción de configuración, realizar el paso anterior donde establecimos al valor ‘No’ las configuraciones, salvar y reiniciar el servicio y volver a mostrar las preferencias.
  • Activar el ‘Mapeado de atributos DOS’, para que las carpetas y archivos que creen los usuarios del dominio puedan almacenar de forma correcta la información de seguridad.
  • Guardar y reiniciar el servicio para que los cambios surjan efecto.

Las nuevas configuraciones se muestran en la siguiente imagen.

Ajustes servicio CIFS/SMB

Comprobar los cambios desde una máquina del dominio

Ahora es el momento de comprobar que el acceso a los recursos del servidor NAS, se realiza sólo para los usuarios del dominio.

Para ello utilizaremos una máquina con Windows 7 que conectaremos al domino ‘minubeinformatica.local’ y comprobaremos que el usuario con el que iniciamos sesión en el dominio puede visualizar los recursos compartidos del NAS.

NOTA:  si intentamos conectarnos al servidor NAS desde otra máquina que no forme parte del dominio, comprobaremos que no se nos permite el acceso, aunque escribamos correctamente el nombre de usuario y contraseña de un usuario dado de alta en el AD.

Conectar el cliente Windows 7 al dominio local

  • Mostrar las propiedades de Equipo desde el escritorio o del menú de inicio.
  • Pulsar sobre ‘Cambiar configuración’ de la sección ‘Configuración de nombre, dominio y grupo de trabajo del equipo’.
Cambiar configuración nombre, dominio y grupo de trabajo
  • Pulsar el botón ‘Cambiar’ de la ficha ‘Nombre del equipo’.
Propiedades del sistema
  • Activar la opción ‘Dominio’, escribir el nombre del dominio ‘minubeinformatica.local’ y Aceptar los cambios.
Propiedades del sistema
  • En ese momento Windows nos solicitará el nombre de usuario y contraseña de algún usuario del dominio que pertenezca al grupo ‘Admins. del dominio’ con permiso para realizar esta tarea. En nuestro caso utilizaremos nuestro usuario usrconect.
Solicitar usuario y contraseña del usuario del dominio
Cambios realizados con éxito
  • Nos solicitará que reiniciemos el equipo para aplicar los cambios. Pulsar sobre el botón ‘Aceptar’ del cuadro de diálogo ‘Cambios en el dominio o el nombre del equipo’ y reiniciaremos el equipo.
  • En cuanto se reinicie el equipo y pulsemos la combinación de teclas Ctrl+Alt+Supr para iniciar sesión en el dominio, pulsaremos el botón ‘Cambiar de usuario’ para poder seleccionar otro usuario e indicar el nombre y contraseña de algún usuario del dominio. En nuestro caso utilizaremos el usuario ‘usrprueba’.
Cambio de usuario para inicio de sesión
Usuario del dominio
  • Una vez hayamos iniciado sesión, abrimos el icono 'Equipo' del escritorio para acceder al servidor NAS utilizando su nombre Netbios (\\SRVNAS) y comprobar que nos muestra los recursos compartidos publicados.
Mostrar recursos del servidor NAS
Mostrar recursos del servidor NAS

NOTA:  aunque nos muestre los recursos publicados, no significa que podamos acceder o realizar cambios en sus contenidos, ya que estos recursos se crearon utilizando las credenciales de los usuarios locales del servidor NAS.

Ahora tendremos que crear nuevos recursos compartidos y configurar las cuentas y políticas de grupo en el servidor Windows, para que el trabajo con el NAS sea trasparente y fluido.

Video Demostrativo