Ten\u00e9s un mont\u00f3n de servidores Linux y ahora necesitas permisos centralizados. <\/p>\n\n\n\n
Vamos a crear en Active Directory un grupo de usuarios con permisos limitados(linux-user<\/strong>) y uno con permisos \u00absudo\u00bb(linux-root<\/strong>). Los usuarios de ambos acceder\u00e1n por ssh<\/strong> a los servidores linux de la empresa. En este caso, los servidores linux ser\u00e1n Debian 12 <\/strong>y el DC <\/strong>(Controlador de Dominio) un Windows Server 2019.<\/strong><\/p>\n\n\n\n Hoy voy a los bifes!.<\/p>\n\n\n\n Configuramos el DC midominio.com.ar<\/strong><\/p>\n\n\n\n Voy a pasar r\u00e1pido los pasos para agregar un equipo al dominio ya que no es el foco de este lab pero es necesario para realizarlo. Muy sencillo, el viejo y efectivo DCPromo pero con la hermosa GUI de Windows Server 2019.<\/p>\n\n\n\n Siguiente>Siguiente>…>Install y reiniciar.<\/p>\n\n\n\n Vamos a configurar los grupos de usuarios contra los que validaremos en Linux<\/p>\n\n\n\n user1 ser\u00e1 miembro de linux-root y user2 ser\u00e1 miembro de linux-user.<\/p>\n\n\n\n Los usuarios de linux-root podr\u00e1n conectarse por ssh y hacer sudo mientras que los miembros de linux-user solo tendr\u00e1n acceso ssh sin privilegios<\/p>\n\n\n\n Vamos a instalar todo lo que necesitamos<\/p>\n\n\n\n Cuando te pregunte, complet\u00e1 con: Servidor: lo pod\u00e9s dejar vac\u00edo si DNS apunta al controlador de dominio.(O directamente no te preguntar\u00e1 nada.)<\/p>\n\n\n\n Si pregunta por el server, ponemos la ip.<\/p>\n\n\n\n Igual ac\u00e1. Tambi\u00e9n corregimos los dns sino lo hicimos antes: Us\u00e1 una cuenta de AD con permisos para unir equipos al dominio.<\/p>\n\n\n\n Editar \/etc\/sssd\/sssd.conf<\/p>\n\n\n\n Debe quedar as\u00ed.<\/p>\n\n\n\n Asegurate de que los nombres de grupo est\u00e9n bien escritos y existan en AD. Reiniciar SSSD<\/p>\n\n\n\n Verificar usuarios y grupos Y que tu usuario est\u00e9 en alguno de esos grupos:<\/p>\n\n\n\n Habilitar creaci\u00f3n de home autom\u00e1ticamente Debe contener:<\/p>\n\n\n\n Si no, agregalo manualmente.<\/p>\n\n\n\n Asegurate de que el demonio SSH permite login de cualquier usuario v\u00e1lido:<\/p>\n\n\n\n Estas opciones deben estar as\u00ed:<\/p>\n\n\n\n No uses AllowUsers salvo que lo necesites. Reinici\u00e1 SSH:<\/p>\n\n\n\n Sudo solo para linux-root<\/p>\n\n\n\n Edit\u00e1 sudoers usando visudo:<\/p>\n\n\n\n Agreg\u00e1 al final:<\/p>\n\n\n\n Inici\u00e1 sesi\u00f3n SSH con un usuario del grupo linux-user o linux-root:<\/p>\n\n\n\n Comprob\u00e1 que se crea \/home\/user1.<\/p>\n\n\n\n Si el usuario pertenece a linux-root, prob\u00e1:<\/p>\n\n\n\n Si est\u00e1 fuera de ambos grupos, el acceso SSH fallar\u00e1 con:<\/p>\n\n\n\n El acceso es rechazado en la fase account de PAM si no pertenece a los grupos permitidos.<\/p>\n\n\n\n El acceso local frente al equipo puede funcionar aunque SSH lo niegue. Record\u00e1 que PAM valida usuarios siempre contra AD. (Ahora que lo configuramos as\u00ed)<\/p>\n\n\n\n Si agreg\u00e1s un nuevo grupo en AD para habilitar acceso, record\u00e1 reiniciar sssd.<\/p>\n\n\n\n Y si necesitas una mano no dudes en escribir<\/p>\n\n\n\n <\/p>\n","protected":false},"excerpt":{"rendered":" Llega la etapa donde la autenticaci\u00f3n basada en roles(RBAC) en la empresa debe llegar a Linux y te guste o no Active Directory es un mal necesario. (Ya hablaremos en alg\u00fan otro momento de OpenLDAP o similares). Ten\u00e9s un mont\u00f3n de servidores Linux y ahora necesitas permisos centralizados. Vamos a crear en Active Directory un […]<\/p>\n","protected":false},"author":1,"featured_media":1724,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1223,161,17,804],"tags":[1373,823,1374,37,1230,242,1372,569,869,1375],"class_list":["post-1693","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-redes","category-seguridad","category-tecnologia","category-ti","tag-active-directory","tag-debian","tag-ldap","tag-linux","tag-mikrotik","tag-network","tag-rbac","tag-redes","tag-seguridad","tag-windows-server"],"_links":{"self":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1693","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/comments?post=1693"}],"version-history":[{"count":8,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1693\/revisions"}],"predecessor-version":[{"id":1723,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/posts\/1693\/revisions\/1723"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media\/1724"}],"wp:attachment":[{"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/media?parent=1693"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/categories?post=1693"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.nerdadas.com\/blog\/wp-json\/wp\/v2\/tags?post=1693"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"\"](\"https:\/\/www.nerdadas.com\/blog\/wp-content\/uploads\/2025\/06\/rbac_linux.png\")
<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\nConfiguramos los grupos<\/h2>\n\n\n\n
<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\nConfiguramos Linux (debian)<\/h2>\n\n\n\n
sudo apt update
sudo apt install -y sudo realmd sssd sssd-tools libnss-sss libpam-sss adcli oddjob oddjob-mkhomedir samba-common-bin krb5-user packagekit<\/code><\/pre>\n\n\n\n
Dominio Kerberos: MIDOMINIO.COM.AR<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\n
<\/p>\n\n\n\n<\/a><\/figure>\n\n\n\n
\n\n\n\nUnir al dominio<\/h2>\n\n\n\n
sudo realm join -U administrator@MIDOMINIO.COM.AR MIDOMINIO.COM.AR<\/code><\/pre>\n\n\n\n
\n\n\n\nsudo nano \/etc\/sssd\/sssd.conf<\/code><\/pre>\n\n\n\n[sssd]\ndomains = MIDOMINIO.COM.AR\nconfig_file_version = 2\nservices = nss, pam, ssh, sudo\n\n[domain\/MIDOMINIO.COM.AR]\ndefault_shell = \/bin\/bash\nkrb5_store_password_if_offline = True\ncache_credentials = True\nkrb5_realm = MIDOMINIO.COM.AR\nrealmd_tags = manages-system joined-with-adcli\nid_provider = ad\nfallback_homedir = \/home\/%u@%d\nad_domain = MIDOMINIO.COM.AR\nuse_fully_qualified_names = False\ndefault_domain_suffix = MIDOMINIO.COM.AR\nldap_id_mapping = True\naccess_provider = simple\nsimple_allow_groups = linux-user, linux-root\n[pam]\npam_mkhomedir = True<\/code><\/pre>\n\n\n\n
\n\n\n\n
Dale permisos correctos:<\/p>\n\n\n\nsudo chmod 600 \/etc\/sssd\/sssd.conf<\/code><\/pre>\n\n\n\nsudo systemctl restart sssd<\/code><\/pre>\n\n\n\n
Comprob\u00e1 que los grupos est\u00e9n disponibles:<\/p>\n\n\n\ngetent group linux-user
getent group linux-root<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\nid user1<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\n
\n\n\n\n
Esto ya est\u00e1 activado con pam_mkhomedir = True, pero confirmalo en:<\/p>\n\n\n\nsudo grep pam_mkhomedir.so \/etc\/pam.d\/common-session<\/code><\/pre>\n\n\n\nsession required pam_mkhomedir.so skel=\/etc\/skel\/ umask=0077<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\nSSH: permitir acceso<\/h2>\n\n\n\n
sudo nano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\nUsePAM yes
PermitRootLogin no
PasswordAuthentication yes<\/code><\/pre>\n\n\n\nsudo systemctl restart ssh<\/code><\/pre>\n\n\n\n
\n\n\n\nsudo visudo<\/code><\/pre>\n\n\n\n%linux-root ALL=(ALL) ALL<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\n
\n\n\n\nEl momento de la verdad!!!!<\/h2>\n\n\n\n
ssh user1@192.168.0.254<\/code><\/pre>\n\n\n\nsudo whoami<\/code><\/pre>\n\n\n\n<\/a><\/figure>\n\n\n\n<\/a><\/figure>\n\n\n\npam_sss(sshd:account): Access denied for user\u2026<\/code><\/pre>\n\n\n\n