Kirjoittaja Aihe: HOWTO: Ubuntun liittäminen Active Directoryyn [siirrettävissä]  (Luettu 28511 kertaa)

LittleLion

  • Käyttäjä
  • Viestejä: 1232
    • Profiili
    • http://koti.mbnet.fi/littleli/
Ubuntun liittäminen Active Directoryyn
Monissa yrityksissä käytetään nykyään Active Directoryä keskitetyyn käyttäjien ja oikeuksien hallintaan. Tästä johtuen ensimmäinen edellytys Linuxin käyttöönottamiseksi edes osassa koneista on, että myös Linux koneet saadaan liitettyä AD:n. Internetissä on paljon ohjeita siihen miten tuo asia toteutetaan, mutta mielestäni niissä ei ole selitetty riittävän tarkasti, että mitä kaikkea Linuxin liittämiseksi AD:n tulee olla kunnossa ja miksi. Yritän nyt tällä howtolla korjata tätä ongelmaa.

Tässä ohjeessa käytetään toimialuetta(domain): ad.firma.fi ja toimialueen ohjauskoneena(domain controller) toimii windows palvelin nimeältään: server1
Huomaa, että konfiguraatio tiedostoissa tekstin koolla on väliä eli jos mallissa joku asetus on kirjoitettu isolla se tulee kirjoittaa isolla.


1. Asennettaan tarvittavat paketit:
Koodia: [Valitse]
apt-get install krb5-user winbind samba ntpdate libpam-modulesKaikki nämä paketit tarvitaan, jotta AD:n liittäminen ja sen osana toimiminen onnistuisivat.

2. Testataan, että DNS kyselyt toimivat molempiin suuntiin. (nimestä IP:ksi ja IP:stä nimeksi)
Koodia: [Valitse]
nslookup server1.ad.firma.fi
Vastauksen pitäisi näyttää jota kuinkin tältä:
Koodia: [Valitse]
Server:         10.0.0.10
Address:        10.0.0.10#53

Name:   server1.ad.firma.fi
Address: 10.0.0.10
AD käyttää DNS:ää nimien selvitykseen ja toimiva DNS palvelin on AD:n elin ehto.

3. Konfiguroidaan Linux päivittämään kellonaika AD-palvelimelta viiden minuutin välein lisäämällä tiedostoon /etc/crontab rivi:
Koodia: [Valitse]
*/5 *   * * *   root    ntpdate server1.ad.firma.fiKerberos authentikointi vaatii, että clientin kellonajan tulee olla riittävän lähellä serverin kellon aikaa. Tästä johtuen kellonaikaa joudutaan synkronoimaan clienteissa serverin aikaan.

4. Konfiguroidaan kerberos laittamalla tiedostoon /etc/krb5.conf rivit:
Koodia: [Valitse]
[libdefaults]
default_realm = AD.FIRMA.FI

[realms]
AD.FIRMA.FI = {
   kdc = server1.ad.firma.fi
   admin_server = server1.ad.firma.fi
   default_domain = ad.firma.fi
}

[domain_realm]
.ad.firma.fi = AD.FIRMA.FI
ad.firma.fi = AD.FIRMA.FI
AD:ssä oikeuksien välitys tietokoneesta toiseen hoidetaan kerberoksen avulla. Siitä johtuen myös Linux kone tulee asentaa käyttämään kerberossia.
Jos olet kiinnostunut siitä mikä kerberos tarkemmin sanottuna on ja mitä se tekee niin kannattaa lukea tämä seminaarityö asiasta: http://www.it.lut.fi/kurssit/01-02/010628000/semmat/Kerberos.pdf

5. Testataan kerberosin toiminta komennolla:
Koodia: [Valitse]
kinit administrator@AD.FIRMA.FIKerberos pyytää administratorin salasanaa ja jos sen syöttämisen jälkeen ei tule virheilmotuksia kerberos authentikointi onnistui ja voit jatkaa kohtaan kuusi.

6. Konfiguroidaan Samba ja Winbind tiedostoon: /etc/samba/smb.conf
Koodia: [Valitse]
[global]
        security = ads
        realm = AD.FIRMA.FI
        workgroup = AD
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind use default domain = yes
        domain master = no
        template shell = /bin/bash
AD käyttää sisäisesti LDAP:ia käyttäjätietojen hallintaan. Käyttäjätietojen hakeminen AD:stä on mahdollista myös LDAP:in avulla, mutta koska se on erittäin monimutkainen konfiguroida on sambaan kehitetty winbind lisäosa joka on tarkoitettu AD:n liittymiseen.

Ylläoleva konfiguraatio siis vain sallii winbind (AD) tunnusten käyttämisen Linuxin palveluille eikä jaa mitään samban avulla, mutta samalla nuo asetus rivit mahdollistavat resurssien jakamisen samballa niin, että AD käyttäjät voivat niitä käyttää.

Testataan samba konfiguraation toimivuus komennolla: testparm jos testparm ei anna virheilmoituksia on samban konfiguraatiotiedosto kirjoitettu oikein (=ei kirjoitusvirheitä).

Käynnistetään samba ja winbind uudelleen, jotta asetukset tulevat voimaan.
Koodia: [Valitse]
/etc/init.d/samba restart
/etc/init.d/winbind restart

7. Liitetään Linux Active Directoryyn
Koodia: [Valitse]
net ads join -U administrator@AD.FIRMA.FI
8. Testataan winbind toiminta.
Komennoilla: wbinfo -u ja wbinfo -g pitäisi näkyä AD:n käyttäjät ja ryhmät jos näin on voit jatkaa kohtaan yhdeksän.

9. Sallitaan Linuxin tarkistaa käyttäjät ja ryhmät käyttäen apuna winbindiä.
Lisätään tiedostoon /etc/nsswitch.conf kahdelle ensimmäiselle riville winbind sanat niin, että nuo rivit näyttävät sen jälkeen tältä.
Koodia: [Valitse]
passwd:         compat winbind
group:          compat winbind

10. Sallitaan Linux koneeseen kirjautuminen AD tunnuksilla
Lisää tiedoston: /etc/pam.d/common-auth alkuun rivi:
Koodia: [Valitse]
auth sufficient pam_winbind.so
Lisää tiedoston: /etc/pam.d/common-account alkuun rivi:
Koodia: [Valitse]
account sufficient pam_winbind.so
Sallitaan AD:n käyttäjien kotihakemistojen luominen lisäämällä tiedoston: /etc/pam.d/common-session alkuun rivi:
Koodia: [Valitse]
session required pam_mkhomedir.so
Luodaan AD:n käyttäjien kotihakemistoille hakemisto:
Koodia: [Valitse]
mkdir /home/AD

Linux käyttää PAM:ia erilaisten authentikointi menetelmien liittämiseksi palveluihin. Eli PAM:in avulla voidaan määrittää mitä authentikointi tapaa mikäkin palvelu käyttää. Jos olet kiinnostunut tietämään tarkemmin mikä PAM on ja miten se toimii kannattaa lukea tämä seminaarityö aiheesta: http://www.it.lut.fi/kurssit/01-02/010628000/semmat/pam.pdf

---
Tämä ohje on käytettävissä lisenssillä GNU Free Documentation License.

EDIT: Lisätty Samba konfiguraatioon idmap rivit.
EDIT2: Lisätty kotihakemisto kansion luominen
EDIT3: Lisätty /etc/pam.d/common-account tiedoston muokkaus
« Viimeksi muokattu: 09.09.08 - klo:10.06 kirjoittanut Risto H. Kurppa »

AkuKalle

  • Käyttäjä
  • Viestejä: 211
    • Profiili
    • ict manuaali
Vs: HOWTO: Ubuntun liittäminen Active Directoryyn
« Vastaus #1 : 14.02.07 - klo:06.38 »
hieno ohje taidampa testata ubuntulla

Jozzi

  • Käyttäjä
  • Viestejä: 38
    • Profiili
    • Ilmaista internetistä
Vs: HOWTO: Ubuntun liittäminen Active Directoryyn
« Vastaus #2 : 14.02.07 - klo:06.39 »
Näyttää mielenkiintoiselta :)

Tuo on totta, että nuo muualla olevat ohjeet vaikuttavat melko sekavilta, hyvä, että tähänkin asiaan saatiin korjaus...

Pitääpä joskus testata tämä, kiitos taas hyvästä howtosta!
Ilmaista internetistä
http://www.luukku.org

LittleLion

  • Käyttäjä
  • Viestejä: 1232
    • Profiili
    • http://koti.mbnet.fi/littleli/
Vs: HOWTO: Ubuntun liittäminen Active Directoryyn
« Vastaus #3 : 14.02.07 - klo:07.21 »
Tuo on totta, että nuo muualla olevat ohjeet vaikuttavat melko sekavilta, hyvä, että tähänkin asiaan saatiin korjaus...

Toivottavasti tämä nyt korjasi tuon ongelman. Kertokaa jos joku kohta vielä askarruttaa, että miksi se näin tehdään.

Risto H. Kurppa

  • Käyttäjä
  • Viestejä: 3024
  • Useita Kubuntuja ajossa.
    • Profiili
    • http://risto.kurppa.fi
Vs: HOWTO: Ubuntun liittäminen Active Directoryyn
« Vastaus #4 : 28.04.08 - klo:08.27 »
Voisiko ohjeen kirjoittaja/täydentäjät kirjoittaa viestin jossa vahvistavat että     

a) ohje on edelleen käyttökelpoinen
eli uudet ominaisuudet eivät ole poistaneet tarvetta ohjeelle tai että ohjeessa käytetyt työkalut jne ovat edelleen Hardyssä käytössä
b) antavat luvan ohjeen siirtämiseen Ubuntu Suomen wikiin (http://wiki.ubuntu-fi.org). Kts. Wikin lisenssistä jne lisätietoja täältä: http://wiki.ubuntu-fi.org/#head-867666147f48c6b667ec0f6be3f5f16852046770

Kiitos!


r
UUSI UBUNTUN KÄYTTÄJÄ: SÄÄSTÄ AIKAASI LUKEMALLA  -> TÄMÄ <-

LittleLion

  • Käyttäjä
  • Viestejä: 1232
    • Profiili
    • http://koti.mbnet.fi/littleli/
Vs: HOWTO: Ubuntun liittäminen Active Directoryyn
« Vastaus #5 : 08.09.08 - klo:19.17 »
Voisiko ohjeen kirjoittaja/täydentäjät kirjoittaa viestin jossa vahvistavat että     

a) ohje on edelleen käyttökelpoinen
eli uudet ominaisuudet eivät ole poistaneet tarvetta ohjeelle tai että ohjeessa käytetyt työkalut jne ovat edelleen Hardyssä käytössä
b) antavat luvan ohjeen siirtämiseen Ubuntu Suomen wikiin (http://wiki.ubuntu-fi.org). Kts. Wikin lisenssistä jne lisätietoja täältä: http://wiki.ubuntu-fi.org/#head-867666147f48c6b667ec0f6be3f5f16852046770

a) Valitettavasti en jouda testaamaan/tutkimaan asiaa

b) Saa siirtää.

Risto H. Kurppa

  • Käyttäjä
  • Viestejä: 3024
  • Useita Kubuntuja ajossa.
    • Profiili
    • http://risto.kurppa.fi
Saakos linux.fi -wikiin siirtää?

r
UUSI UBUNTUN KÄYTTÄJÄ: SÄÄSTÄ AIKAASI LUKEMALLA  -> TÄMÄ <-

LittleLion

  • Käyttäjä
  • Viestejä: 1232
    • Profiili
    • http://koti.mbnet.fi/littleli/
Toki

Heikki Mäntysaari

  • Käyttäjä / tiedottaja
  • Viestejä: 377
    • Profiili
Suomenkielinen Linux-wiki: Linux.fi - katso myös http://linux.fi/foorumi