El resto de tutoriales sobre TrueNAS que hemos publicado en el blog (como el de instalación o el de configuración de TrueNAS) estaban orientados a usuarios domésticos. Sin embargo esta tercera parte voy a orientarla un poco más a usuarios profesionales. Como hemos visto en el segundo tutorial, TrueNAS nos permite crear un almacenamiento compartido para archivos de forma muy sencilla. Para cualquier usuario doméstico que quiera tener un NAS en casa es una opción muy a tener en cuenta, porque se trata de un sistema realmente potente con muchísimas opciones y relativamente barato de montar. No sólo nos permite compartir una carpeta en nuestra red, sinó que TrueNAS pone a nuestra disposición un montón de plugins que nos permiten instalar «cosas complicadas» con pocos clicks, como servidores de plex o de Nextcloud.
Pero a nivel empresarial TrueNAS es también interesante. Si lo único que queremos es un almacenamiento en red, TrueNAS nos permite tenerlo sin necesidad de tener que pagar licencias de «Windows Server» o «Cals» de usuario. Con este software gratuíto, todos los usuarios de la empresa (da igual el número) podrían acceder al contenido del NAS y la empresa no necesita gastarse ni un duro en licencias (aunque evidentemente sí que se necesita el hardware en el que hacer funcionar este sistema). Resulta ideal a la hora de usarlo como almacenamiento para copias de seguridad o información en bruto.
Sin embargo una red de ordenadores en una oficina o pequeña empresa suele tener algo que no tienen las pequeñas redes que montamos habitualmente en nuestras casas: un servidor de dominio.
¿Un servidor de qué? Ya empiezas con tus palabros raros. ¿Tú te crees que a las empresas les sobra el tiempo como para andar con dominios y dominatrix? Eres un guarro, tío.
Ehhhhh… A veces me asustas, Usuario Anónimo. No se trata de ese tipo de… ejem… dominio. Un dominio… digamos que es una forma que tienen los servidores Windows para centralizar determinados recursos que puedes tener en una red. Por ejemplo, puedes añadir un usuario a tu dominio y ese usuario estará disponible en todos los equipos de la red. Gracias a ello podrías logarte en cualquier ordenador de la red con ese usuario y contraseña. Con un dominio puedes administrar usuarios, grupos de usuarios, ordenadores, impresoras, políticas de uso de los equipos, etc… y todo desde un único servidor Windows.
Venga, vale... pero ¿Qué le influye a mi TrueNAS que haya o no un servidor de dominio en mi red? Si total lo tengo ya funcionando sin dominios ni nada de eso.
Si en tu red hay un servidor de dominio sería muy cómodo aprovechar las características de ese servidor para que Freenas las utilice, sobre todo a la hora de gestionar usuarios. En el tutorial de configuración vimos que debemos poner en TrueNAS el usuario y contraseña de nuestro equipo para que Windows no nos pregunte credenciales cada vez que tenga que acceder a una carpeta compartida. Si integramos TrueNAS en el dominio, TrueNAS puede coger las credenciales directamente del servidor de dominio y si otorgas los permisos correctos a cada recurso compartido que crees, jamás se te preguntará un usuario ni una contraseña.
¡¡Bah!! Chorradas de frikis. ¿Tanto te molesta tener que poner las credenciales de un usuario cuando accedas a algo compartido en el TrueNAS?
Si se trata de un usuario no es algo problemático. Te compro el razonamiento. Sin embargo con un dominio puedes hacer grupos de usuarios. A lo mejor es interesante darle permisos en una carpeta a un grupo de usuarios distintos en lugar de a usuarios individuales. Si añado a ese grupo un usuario a mayores, ese usuario heredará los permisos que tenía el resto. En empresas con muchos usuarios o grupos que cambian continuamente es muy cómodo optar por gestionar grupos en lugar de usuarios individuales. Por eso gestionar grupos de usuarios en un dominio es muy interesante.
Oye, tiene sentido y todo. A veces parece hasta que piensas.
En fin… Vamos a ver entonces cómo añadir TrueNAS a un dominio de Microsoft Windows. Así podremos heredar todos los usuarios y grupos de ese dominio y gestionar mejor nuestros recursos compartidos.
1- Punto de partida: requisitos y configuración de TrueNAS
Estos son los requisitos que vamos a necesitar para agregar nuestro TrueNAS al dominio
- Necesitamos un servidor de dominio Windows con un dominio creado (y un servidor de DNS correctamente configurado, por supuesto). Tenemos que tener muy claro cuál es el nombre del dominio para decírselo luego al TrueNAS.
- Necesitamos una cuenta administrativa del dominio (Vamos a tener que toquetear cosas en Windows Server con usuario que tenga privilegios elevados).
- También vamos a necesitar un equipo con TrueNAS correctamente instalado.
- El TrueNAS debe estar en el mismo segmento de red en el que esté configurado el servidor de dominio. Para entendernos (dando algunas patadas a los manuales de gestión de redes), si el servidor de dominio tiene una ip del estilo 192.168.0.10, nuestro TrueNAS debería tener una ip similar (192.168.0.120 por ejemplo). Y vale… los más duchos en estos temas me dirán que la máscara de subred puede otorgar visibilidad a más direcciones IP’s que las 255 de ese segmento, o que creando «Vlanes» éstas se pueden configurar para que los diferentes segmentos de red se comuniquen entre ellos. Si sabéis eso y cómo gestionar esas direcciones entonces os diría simplemente que el servidor de dominio y el TrueNAS deben tener visibilidad entre si. Pero para no liar a los lectores menos puestos en estos temas, les vamos a decir en que tienen que estar los dos equipos en direcciones dentro del margen de las 255 de ese segmento de red. Así no hay posibilidad de fallo en la configuración.
- En el punto 1 del tutorial sobre cómo configurar TrueNAS revisamos la configuración de red de nuestro equipo. En este tutorial será requisito indispensable que el trueNAS tenga configurado como servidor de DNS el servidor de DNS de nuestro dominio (que va a ser el Windows Server). Nuestro Truenas debe poder resolver los nombres que tienen las máquinas que hay en nuestro dominio, así que el servidor de DNS del truenas en lugar de ser algo del estilo 8.8.8.8 o 1.1.1.1, debería ser la dirección ip de nuestro Windows Server.
Con estos puntos centrados, ya podemos empezar a configurar nuestro TrueNAS.
2- Le indicamos al TrueNAS que está dentro de un dominio.
Lo primero es decirle al TrueNAS que a partir de ahora va a ser miembro de un dominio. Para ello, en la columna de la izquierda de la web de configuración del TrueNAS nos vamos a «Red» y pulsamos en «Global configuration. En el campo «dominio» ponemos el nombre de dominio de nuestra red Windows.
3- Hacemos que los equipos del dominio puedan ver nuestro TrueNAS por su nombre y no sólo por su IP.
Si desde un equipo cualquiera de nuestra red hacemos ping a la dirección IP de nuestro TrueNAS, es normal que éste responda correctamente porque hemos hecho que tanto el equipo desde el que le lanzo el ping como el TrueNAS estén en el mismo segmento de red (o al menos que tengan visibilidad entre ellos).
Sin embargo la cosa cambia si lanzo un ping al nombre del TrueNAS. El servidor de DNS de nuestro Windows Server no conoce el nombre de este equipo y va a devolver algún mensaje de error.
Así que esto es lo primero que debemos solucionar, porque si no no podremos hacer que el TrueNAS sea miembro del dominio.
Hemos visto que en la web que genera nuestro TrueNAS, en «Red» – «Global configuration», en el campo «Hostname» está el nombre que tiene nuestro servidor de TrueNAS. Hay que darle a mano a nuestro Windows Server la correspondencia entre la ip de nuestro TrueNAS y ese nombre para que toda la red sepa como acceder a nuestro equipo (para que cuando alguien intente acceder al equipo llamado «TrueNAS» acabe en la ip de nuestro Truenas).
Para ello en nuestro Windows Server nos vamos al menú inicio y pulsamos en «Herramientas administrativas de servidor» y luego en «DNS». También podemos acceder ahí ejecutando el «Administrador de servidor» y luego, arriba a la derecha, en «herramientas» pulsar en DNS. Por cierto, si no tenéis estas opciones es probable que vuestro servidor no tenga el rol de DNS creado, así que revisadlo.
En el árbol de dominios, desplegamos «DNS» y luego el nombre de nuestro servidor Windows. Ahí dentro nos vamos a «Zonas de búsqueda directa» y pulsamos en el nombre de nuestro dominio.
En la parte de la derecha, en la zona de «Nombre», en una zona vacía, pulsamos con el botón derecho del ratón y en el menú que nos sale pulsamos sobre «Host nuevo (A o AAAA)».
Y ahí rellenaríamos datos. En «Nombre» pondríamos el nombre de nuestro TrueNAS (hostname) y en «Dirección IP» pondremos la dirección IP de nuestro TrueNAS. El resto de campos no los tocamos y pulsamos en «Agregar Host».
Sólo con esto, le hemos dicho al servidor de DNS de nuestro Windows Server la correspondencia entre el nombre de nuestro TrueNAS y su dirección ip. Así que si desde ese servidor hacemos un ping al nombre de nuestro servidor TrueNAS…
… podremos ver cómo nos responde la ip correspondiente a ese equipo.
Vamos a probar el caso contrario (Seguimos comprobando que todo funcione como debe). Nos vamos a nuestro TrueNAS y en la columna de la derecha pulsamos en «Shell» para que se nos abra una consola.
Ahora le hacemos un ping al dominio de nuestra red.
¡Espera, espera, espera! ¿Cómo que un ping al dominio? Te estás refiriendo al servidor de dominio ¿no?
Pues no. Me refiero al dominio directamente. Si haces un ping a un dominio del que seas miembro, debería responderte el servidor de dominio. Debería salirte algo así.
Si haces esto desde el TrueNAS y el servidor de dominio te responde, eso significa que tu TrueNAS está cogiendo las DNS correctas. Vamos por el buen camino.
4- Añadimos el TrueNAS a nuestro dominio.
Ahora vamos a meter por fin el TrueNAS en el Active Directory de nuestro Windows Server. En el menú principal de TrueNAS nos vamos a «Directory Services» y luego a «Directorio Activo».
Ahí sólamente tendremos que completar la información que se nos pide:
- En Domain Name pondremos el dominio al que queremos unirnos.
- Completamos «Domain Account Name» con un usuario del dominio con privilegios administrativos (un usuario que tenga derecho a meter equipos en el dominio).
- En «Domain Account Password» pondremos la contraseña de ese usuario.
- Dejamos marcada la casilla «Enable».
Si pulsamos en «Advanced Options» podremos ver algunas otras opciones. En concreto aseguraos que la casilla «Netbios Name» tenga el nombre de vuestro TrueNAS.
Una vez realizados los cambios le damos a guardar. Aquí el sistema se demorará unos 20 segundos. Una vez transcurrido ese tiempo, ya estaremos dentro del dominio.
5- Comprobamos que todo funcione correctamente.
¿Cómo podemos comprobarlo? Pues yendo al terminal del TrueNAS(Opción «Shell» del menú principal del TrueNAS) y escribiendo el comando «wbinfo -u». Nos mostrará los usuarios que freenas puede manejar actualmente. Y ahora este comando nos mostrará tanto los usuarios de Linux como los de nuestro Windows.
Y con los grupos pasa lo mismo. Si ejecutamos el comando «wbinfo -g» nos mostrará los grupos, y ahí estarán los grupos de nuestro Windows Server.
6- Empezamos a usar los usuarios en el TrueNAS.
A partir de ahora, en todas las opciones de TrueNAS dónde se pueda poner un usuario o grupo de usuarios podremos ver a los usuarios de nuestro directorio activo. Por ejemplo en «Almacenamiento» – «Pools», en un dataset cualquiera, podemos hacer click en los tres puntitos que hay a su lado y luego pulsar en «Editar permisos».
Si nos vamos a cualquier campo dónde podamos agregar un usuario o un grupo de usuarios y desplegamos la lista, podremos ver los usuarios de nuestro Windows Server además de los del TrueNAS. Pero ojo: a veces tardan un poco en desplegarse, así que no os preocupéis si tardan unos segundos en aparecer.
Y por supuesto, si accedemos a una carpeta del TrueNAS desde Windows, podremos darle permisos en esa carpeta a los usuarios y grupos que queramos, como solemos hacer en cualquier carpeta del servidor de Dominio.
Como podéis ver no es tan complicado añadir un equipo de estos a nuestra red corporativa. Simplemente hay que ser ordenado y elegir las opciones correctas.
Y vosotros ¿Habéis tenido algún problema añadiendo vuestro TrueNAS al dominio de vuestra red? ¿Lo habéis hecho de alguna otra forma? Dejadnos un comentario para leer vuestra experiencia.
Estimado muy buenas tardes, agradeciendo primeramente por el trabajo realizado y las dudas que aclara en el documento creado, muchas gracias.
Como segundo, no entiendo muy bien el tema de que cree las carpetas en el Truenas, asigne usuarios dentro del Truenas y aún así, deba asignarlas por AD. No puedo simplemente gestionar los permisos de acceso desde el AD y que jale las carpetas compartidas con Usuario y contraseña del Dominio y ya ?
Cuando creas una carpeta compartida de la forma que se indica en el artículo, estás obligado a darle permisos iniciales desde Truenas. Si no lo haces, ningún equipo que esté dentro del AD podrá entrar en la carpeta porque no tendrá permisos.
Una vez que le has dado permisos a esa carpeta, los usuarios del AD a los que se les haya otorgado permisos en esa carpeta, podrán usarla.
Creo que hasta ahí estamos de acuerdo.
Lo que se intenta decir en el artículo es que llegados a este punto, si deseas modificar los permisos ya creados o crear permisos diferentes en subcarpetas o archivos individuales, Freenas te va a permitir hacerlo desde el propio explorador de Windows como si de una carpeta compartida desde un windows Server se tratase. Para los equipos del dominio esa carpeta es como si estuviera compartida desde otro equipo Windows cualquiera, por lo que si tengo privilegios de control total en esa carpeta, puedo agregar usuarios a la misma y cambiar permisos en las subcarpetas que contenga.
Evidentemente también se pueden modificar los permisos de la carpeta compartida desde el propio Truenas. Nada nos lo impide. Simplemente es conveniente tener en cuenta que se puede hacer de esta otra forma también.
No sé si esto contesta tu duda (no tengo muy claro que sea realmente lo que me preguntas, aunque creo que sí).
Muy buenas, sigo con interés tus artículos a medida que van saliendo…bla,bla,bla .Gracias una vez más por tus esfuerzos. En mi servidor TrueNAS , cambié hace nada un disco duro(HDD) por otro nuevo ( obviamente el anterior finito). hace unos días TrueNAS me indica que en mi HDD nuevo sucede esto:
(ada2:ata1:0.0.0.0) : CAM status: command timeout
(ada2:ata1:0.0.0.0) : Retrying command, 3 more tries remain
Sigue con otros comandos pero repetitivos volviendo al inicio. O sea que me indica que ada2 esta ralentizado o algo parecido y lo cierto es que lo noto al trabajar ( mi RAID es espejo)
¿Algún consejo?
Hola. Ante todo muchas gracias porque con tu tutorial pude montar mi servidor Truenas y despejar muchas dudas que en otros lados no las encontré.
En mi trabajo tengo un nuevo panorama, dos dominios simultáneos. La duda que surge es si
es posible agregar más de un dominio y si TrueNAS puede autenticar usuarios de los dos simultaneamente.
Dejo la respuesta por si a alguien le sirve.
No es posible trabajar con más de un dominio (versión TrueNAS CORE 13).
Sin embargo se puede trabajar con los dos dominios estableciendo una relación de confianza entre ellos, de tal forma que a través del dominio que se conecta al TrueNAS puedan acceder los usuarios del otro dominio.