Servicios para tus equipos informáticos
📚 Manual Completo: Controlador de Dominio Samba AD DC
Implementación en Debian 12 con Administración desde Windows 10
🎯 Introducción
Este manual describe la instalación completa de un Controlador de Dominio Principal (PDC) usando Samba Active Directory Domain Controller en Debian 12, junto con la administración desde Windows 10 Professional.
🖥️ VM1: Controlador de Dominio
Debian 12 + Samba AD DC
📁 VM2: Servidor de Archivos
Futuro servidor de archivos
💻 Clientes Windows
Windows 10 Professional para administración
🚀 Fase 1: Instalación de Debian 12
1.1 Preparación del Sistema
Distribución: Debian 12 “Bookworm”
- ISO recomendada: netinst (650MB)
- Tipo de instalación: Servidor mínimo
1.2 Selección de Paquetes durante la Instalación
Durante la instalación, en “Selección de programas”:
✅ Marcar:
- Entorno de escritorio Debian
- SSH server
- Utilidades estándar del sistema
❌ Desmarcar:
- GNOME (no necesario para servidor)
- Web server
- Otros entornos gráficos
1.3 Configuración de Kerberos
Durante la instalación se configurará Kerberos automáticamente:
Configurando la autenticación de Kerberos:
– Reino (Realm): MIEMPRESA.LOCAL
– Servidores de Kerberos: 127.0.0.1
– Servidor administrativo: 127.0.0.1
📝 Nota: Se usa 127.0.0.1 porque esta VM será el controlador principal.
⚙️ Fase 2: Configuración Post-Instalación
2.1 Configuración de Red
Configurar IP estática:
sudo nano /etc/network/interfaces
# Interfaz principal
auto ens18
iface ens18 inet static
address 192.168.50.251/24
gateway 192.168.50.1
dns-nameservers 127.0.0.1 8.8.8.8
2.2 Configuración de Hostname
# Establecer hostname
sudo hostnamectl set-hostname dc01.miempresa.local
# Configurar /etc/hosts
sudo nano /etc/hosts
sudo hostnamectl set-hostname dc01.miempresa.local
# Configurar /etc/hosts
sudo nano /etc/hosts
127.0.0.1 localhost
192.168.50.251 dc01.miempresa.local dc01
# Comentar o eliminar líneas como:
# 127.0.1.1 nombre-anterior
2.3 Reiniciar Servicios de Red
sudo systemctl restart networking
sudo reboot
sudo reboot
🔧 Fase 3: Instalación y Configuración de Samba AD DC
3.1 Actualización del Sistema
sudo apt update && sudo apt upgrade -y
3.2 Instalación de Paquetes Necesarios
sudo apt install samba winbind krb5-user dnsutils -y
3.3 Preparación de Samba
# Detener servicios existentes
sudo systemctl stop samba-ad-dc smbd nmbd winbind
# Hacer backup de configuración existente
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.backup
# Limpiar datos anteriores si existen
sudo rm -rf /var/lib/samba/private/*
sudo rm -rf /var/lib/samba/sysvol
sudo systemctl stop samba-ad-dc smbd nmbd winbind
# Hacer backup de configuración existente
sudo mv /etc/samba/smb.conf /etc/samba/smb.conf.backup
# Limpiar datos anteriores si existen
sudo rm -rf /var/lib/samba/private/*
sudo rm -rf /var/lib/samba/sysvol
3.4 Provisionamiento del Dominio
sudo samba-tool domain provision –use-rfc2307 –interactive
💡 Respuestas durante el provisionamiento:
- Realm: MIEMPRESA.LOCAL
- Domain: MIEMPRESA
- Server Role: dc
- DNS backend: SAMBA_INTERNAL
- DNS forwarder IP: 8.8.8.8
- Administrator password: [Contraseña segura]
3.5 Configuración Final
# Copiar configuración de Kerberos
sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
# Configurar DNS del sistema
sudo nano /etc/resolv.conf
sudo cp /var/lib/samba/private/krb5.conf /etc/krb5.conf
# Configurar DNS del sistema
sudo nano /etc/resolv.conf
nameserver 127.0.0.1
nameserver 8.8.8.8
search miempresa.local
3.6 Iniciar Servicios
sudo systemctl unmask samba-ad-dc
sudo systemctl enable samba-ad-dc
sudo systemctl start samba-ad-dc
sudo systemctl enable samba-ad-dc
sudo systemctl start samba-ad-dc
3.7 Verificación del Funcionamiento
# Verificar estado del servicio
sudo systemctl status samba-ad-dc
# Verificar nivel del dominio
sudo samba-tool domain level show
# Probar DNS interno
nslookup miempresa.local 127.0.0.1
# Probar autenticación Kerberos
kinit Administrator@MIEMPRESA.LOCAL
# Ver información del dominio
sudo samba-tool domain info 127.0.0.1
sudo systemctl status samba-ad-dc
# Verificar nivel del dominio
sudo samba-tool domain level show
# Probar DNS interno
nslookup miempresa.local 127.0.0.1
# Probar autenticación Kerberos
kinit Administrator@MIEMPRESA.LOCAL
# Ver información del dominio
sudo samba-tool domain info 127.0.0.1
🎉 Resultado esperado:
- Servicio activo y funcionando
- DNS resolviendo correctamente
- Autenticación Kerberos exitosa
- Dominio respondiendo correctamente
👥 Fase 4: Administración Básica desde Línea de Comandos
4.1 Gestión de Usuarios
Crear usuarios:
# Usuario básico
sudo samba-tool user create juan.perez –given-name=”Juan” –surname=”Pérez”
# Usuario con información completa
sudo samba-tool user create maria.garcia \
–given-name=”María” \
–surname=”García” \
–mail-address=”maria.garcia@miempresa.local” \
–description=”Secretaria Administración” \
–department=”Administración” \
–company=”MiEmpresa”
sudo samba-tool user create juan.perez –given-name=”Juan” –surname=”Pérez”
# Usuario con información completa
sudo samba-tool user create maria.garcia \
–given-name=”María” \
–surname=”García” \
–mail-address=”maria.garcia@miempresa.local” \
–description=”Secretaria Administración” \
–department=”Administración” \
–company=”MiEmpresa”
Gestionar usuarios:
# Listar usuarios
sudo samba-tool user list
# Ver información de usuario
sudo samba-tool user show juan.perez
# Cambiar contraseña
sudo samba-tool user setpassword juan.perez
# Habilitar/deshabilitar usuario
sudo samba-tool user enable juan.perez
sudo samba-tool user disable juan.perez
sudo samba-tool user list
# Ver información de usuario
sudo samba-tool user show juan.perez
# Cambiar contraseña
sudo samba-tool user setpassword juan.perez
# Habilitar/deshabilitar usuario
sudo samba-tool user enable juan.perez
sudo samba-tool user disable juan.perez
4.2 Gestión de Grupos
# Crear grupo
sudo samba-tool group add “Administracion”
# Agregar usuario a grupo
sudo samba-tool group addmembers “Administracion” juan.perez
# Listar miembros de grupo
sudo samba-tool group listmembers “Administracion”
sudo samba-tool group add “Administracion”
# Agregar usuario a grupo
sudo samba-tool group addmembers “Administracion” juan.perez
# Listar miembros de grupo
sudo samba-tool group listmembers “Administracion”
4.3 Crear Estructura Organizacional
# Crear unidades organizacionales
sudo samba-tool ou create “OU=Usuarios,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Equipos,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Servidores,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Grupos,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Usuarios,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Equipos,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Servidores,DC=miempresa,DC=local”
sudo samba-tool ou create “OU=Grupos,DC=miempresa,DC=local”
🖥️ Fase 5: Administración desde Windows 10 Professional
5.1 Preparación del Equipo Windows
Configurar DNS:
- Ir a Configuración → Red e Internet → Ethernet/WiFi
- Hacer clic en Propiedades
- En Configuración de IP, seleccionar Editar
- Configurar:
- DNS primario: 192.168.50.251
- DNS secundario: 8.8.8.8
Verificar conectividad:
nslookup miempresa.local 192.168.50.251
ping dc01.miempresa.local
telnet 192.168.50.251 389
ping dc01.miempresa.local
telnet 192.168.50.251 389
5.2 Unir el Equipo al Dominio
- Panel de Control → Sistema y seguridad → Sistema
- Hacer clic en Configuración avanzada del sistema
- En pestaña Nombre de equipo, hacer clic en Cambiar
- Seleccionar Dominio e introducir: miempresa.local
- Introducir credenciales:
- Usuario: Administrator
- Contraseña: [La configurada durante el provisionamiento]
- Reiniciar cuando se solicite
5.3 Instalación de Herramientas Administrativas (RSAT)
En Windows 10:
- Configuración → Aplicaciones → Características opcionales
- Agregar una característica
- Buscar e instalar:
- RSAT: Active Directory Domain Services and Lightweight Directory Services Tools
- RSAT: Group Policy Management Tools
- RSAT: DNS Server Tools
🔐 Fase 6: Administración Avanzada con Windows 10
6.1 Gestión de Usuarios desde Windows
👤
Crear usuarios
Abrir Usuarios y equipos de Active Directory → Navegar a la OU deseada → Hacer clic derecho → Nuevo → Usuario
👥
Gestión de Grupos
Crear grupos de seguridad y distribución con diferentes ámbitos (Global, Universal, Local de dominio)
🛡️
Políticas de Grupo
Configurar GPOs para seguridad, restricciones de escritorio y políticas de contraseñas
🌐
Administración DNS
Gestionar zonas directas e inversas, crear registros A, CNAME, MX
6.2 Configuración de Políticas de Grupo (GPO)
💡 Crear nueva GPO:
- Abrir Administración de directivas de grupo
- Hacer clic derecho en el dominio → Crear un GPO en este dominio y vincularlo aquí
- Nombre: “Política de Seguridad Básica”
| Política | Configuración Recomendada | Ubicación |
|---|---|---|
| Longitud mínima de contraseña | 8 caracteres | Configuración del equipo → Directivas → Configuración de Windows → Configuración de seguridad |
| Complejidad de contraseña | Habilitada | Directivas de cuenta → Directiva de contraseñas |
| Vigencia máxima | 90 días | Directivas de cuenta → Directiva de contraseñas |
| Umbral de bloqueo | 5 intentos | Directivas de cuenta → Directiva de bloqueo |
📁 Fase 7: Configuración del Servidor de Archivos (VM2)
7.1 Preparación de la Segunda VM
💾 Especificaciones
- SO: Debian 12 (mínima)
- RAM: 4GB
- Disco: Según necesidades
- Red: IP estática
🔧 Instalación
sudo apt install samba cifs-utils realmd sssd-tools
7.2 Unir al Dominio
# Unirse al dominio
sudo realm join MIEMPRESA.LOCAL -U Administrator
# Verificar unión
sudo realm list
sudo realm join MIEMPRESA.LOCAL -U Administrator
# Verificar unión
sudo realm list
7.3 Configurar Compartimientos
[compartido]
path = /srv/samba/compartido
browseable = yes
read only = no
force create mode = 0660
force directory mode = 2770
valid users = @”MIEMPRESA\Domain Users”
[administracion]
path = /srv/samba/administracion
browseable = yes
read only = no
force create mode = 0660
force directory mode = 2770
valid users = @”MIEMPRESA\Administracion”
🔧 Fase 8: Mantenimiento y Monitoreo
8.1 Script de Respaldo Automático
#!/bin/bash
# /usr/local/bin/backup-samba.sh
BACKUP_DIR=”/backup/samba”
DATE=$(date +%Y%m%d_%H%M%S)
# Crear directorio de respaldo
mkdir -p $BACKUP_DIR
# Respaldar base de datos de Samba
samba-tool domain backup online –targetdir=$BACKUP_DIR/db_$DATE
# Respaldar configuración
tar -czf $BACKUP_DIR/config_$DATE.tar.gz /etc/samba/ /etc/krb5.conf
# Limpiar respaldos antiguos (mantener 7 días)
find $BACKUP_DIR -type f -mtime +7 -delete
echo “Respaldo completado: $DATE”
8.2 Programar Respaldo Diario
sudo crontab -e
# Agregar línea:
0 2 * * * /usr/local/bin/backup-samba.sh
# Agregar línea:
0 2 * * * /usr/local/bin/backup-samba.sh
8.3 Comandos de Monitoreo
# Estado de servicios
systemctl status samba-ad-dc
# Replicación de AD
samba-tool drs showrepl
# Logs de Samba
tail -f /var/log/samba/log.samba
systemctl status samba-ad-dc
# Replicación de AD
samba-tool drs showrepl
# Logs de Samba
tail -f /var/log/samba/log.samba
🚨 Resolución de Problemas Comunes
Problemas de DNS
# Verificar configuración DNS
nslookup miempresa.local 127.0.0.1
nslookup dc01.miempresa.local 127.0.0.1
# Reiniciar servicio DNS
sudo systemctl restart samba-ad-dc
nslookup miempresa.local 127.0.0.1
nslookup dc01.miempresa.local 127.0.0.1
# Reiniciar servicio DNS
sudo systemctl restart samba-ad-dc
Problemas de Autenticación
# Verificar sincronización de tiempo
sudo ntpdate -s time.nist.gov
# Limpiar cache de Kerberos
sudo kdestroy
# Regenerar tickets
kinit Administrator@MIEMPRESA.LOCAL
sudo ntpdate -s time.nist.gov
# Limpiar cache de Kerberos
sudo kdestroy
# Regenerar tickets
kinit Administrator@MIEMPRESA.LOCAL
📊 Puertos Utilizados por Active Directory
| Puerto | Protocolo | Servicio |
|---|---|---|
| 53 | TCP/UDP | DNS |
| 88 | TCP/UDP | Kerberos |
| 135 | TCP | RPC Endpoint Mapper |
| 139 | TCP | NetBIOS Session Service |
| 389 | TCP/UDP | LDAP |
| 445 | TCP | SMB over TCP |
| 464 | TCP/UDP | Kerberos kpasswd |
| 636 | TCP | LDAPS |
| 3268 | TCP | Global Catalog |
| 3269 | TCP | Global Catalog over SSL |
🎉 Conclusión
Este manual proporciona una guía completa para implementar un controlador de dominio robusto y escalable usando Samba AD DC en Debian 12. La arquitectura separada entre controlador de dominio y servidor de archivos permite un mantenimiento eficiente y respaldos rápidos.
🌟 Características del proyecto implementado:
- ✅ Controlador de dominio completamente funcional
- ✅ Compatible con clientes Windows
- ✅ Administración remota desde Windows 10
- ✅ Arquitectura escalable y mantenible
- ✅ Respaldos eficientes
- ✅ Monitoreo y resolución de problemas
- ✅ Soporte extendido hasta 2028 (Debian 12)
El sistema está preparado para un uso productivo a largo plazo con el soporte extendido de Debian 12.