Ubuntu Suomen keskustelualueet
Ubuntun käyttö => Ohjelmointi, palvelimet ja muu edistyneempi käyttö => Aiheen aloitti: Mistofelees - 20.10.09 - klo:13.11
-
Samban käyttöönottaminen tuottaa enemmän työtä, kuin pitäisi.
Tarkoitus on saada Active Directoryyn kirjauttu 9.04 serveri jakamaan levyalueita AD:n määrätyille käyttäjille käyttäen AD:n salasanoja.
Virheilmoituksia on tullut käytyä läpi määrättömästi. Osa vaikuttaa Samban sisäisiltä (INTERNAL) virheiltä.
Suurin osa kuitenkin johtuu dokumentaatiosta sekä siitä, että Sambasta on kasvanut liian iso paketti. Parametrejä tuntuu olevan loputtomiin.
Yksi suuri riesa on muodostunut erilaisista forumeista, joilla samat kysymykset toistuvat loputtomiin. Jopa niin, että samoja viestejä näytetään kopioitavan serveriltä toiselle. Ainoana erona viestin ympärille rakennetut kehykset, joilla sivustojen ylläpitäjät onkivat mainosrahaa.
Tämän hetken ongelmana on se, miten päästä palaamaan lähtötilaan.
'apt-get purge samba' pitäisi helpin mukaan poistaa sekä paketti, että asetustiedostot. Ei toimi. Asetustiedostot jäävät edelleen. Samoin ilmeisesti lauma Samban keräämiä tietokantoja. -pitääkö nuo kaikki nyppiä pinseteillä pois ?
Kaikki Samban viritykset pitäisi saada pois, koska nyt ssh:lla ja pääteikkunasta kirjautuminenkin ovat muuttuneet takkuiseksi. Minusta Samballa ei pitäisi olla mitään syytä mennä muuttamaan kirjautumiseen liittyviä asetuksia.
Yksi omituisuus Sambassa ei ole selvinnyt. Vaikuttaa siltä, kuin Samballa olisi kaksi tai useampia confaus-tiedostoja, joista ainoastaan smb.conf on esitelty. Kuitenkin, jos siellä määrään loki-tiedoston nimeksi %m.log, ilmestyy /var/log/samba/ -hakemistoon sekä nmbd.log, että log.nmbd
Hienoa olisi, jos Samban päälle tai rinnalle rakennettaisiin jonkinlainen AD-client, joka hoitaisi Active Directoryyn kirjautumisen automaattisesti. DNS, DHCP, hostname yms parametrithan ovat jo valmiina omalla koneella.
Enkä missään nimessä tarkoita mitään GUI-rakennelmaa, koska:
- Eihän serverissä ole graafista käyttöliittymää
- Ikinä ei GUI:lla ole saavutettu mitään etua suoraan tiedoston editointiin verrattaessa, kun pitäisi confata jotain.
-
Tarkoitus on saada Active Directoryyn kirjauttu 9.04 serveri jakamaan levyalueita AD:n määrätyille käyttäjille käyttäen AD:n salasanoja.
Kerron, mihin me päädymme ensi perjantaina, kun liitämme työpaikkani LTSP-palvelimen (Ubuntu 8.04) työpaikan Microsoft-palvelimen AD-puuhun. Joskus 2010/11/12 työpaikkani on sitten sellaisessa AD-puussa, joka kattaa kaikki Suomen ev.lut seurakunnat - toivottavasti meillä on silloin edelleenkin vapaus valita Linux, Firefox ja OpenOffice.
Olen muuten sitä mieltä, että... (http://fi.wikipedia.org/wiki/Ceterum_censeo)
...että, kaikkea ei voi laittaa yksin Samban piikkiin. Kai Microsoftin AD-versiollakin on osuutensa, kun kaikki ei ole läpinäkyvää ja yhteensopivaa Samban tai openLDAPin kanssa?
Esimerkki: siirryimme syksyllä uuteen sähköpostijärjestelmään, joka jättää Linux/Firefox-käyttäjät hieman rannalle - Linux/Firefox-ongelma vai Microsoft Exchange-ongelma?
"Uudistunut Webmail perustuu Microsoftin Outlook Web Access -tekniikkaan, minkä vuoksi sen kaikki ominaisuudet ovat käytössä vain Internet Explorer -selaimella. Jos selaimesi on jokin muu kuin Internet Explorer, valitse "Käytä Outlook Web Access Lightia" sillä sisäänkirjautumisnäytöllä, jossa kerrot sähköpostiosoitteesi ja salasanasi."
Ystävällisin terveisin Asmo Koskinen.
-
...että, kaikkea ei voi laittaa yksin Samban piikkiin. Kai Microsoftin AD-versiollakin on osuutensa, kun kaikki ei ole läpinäkyvää ja yhteensopivaa Samban tai openLDAPin kanssa?
Vaikea sano, kenen piikkiin ATK-ongelmat pitäisi pistää. Joskus, vuosia sitten, kuvittelin naivisti, että kehityksessä pyrittäisiin yhteiseen päämäärään: toimivaan ATK-järjestelmään ja tiedonsiirtoverkkoon.
Meni aikansa, ennenkuin uskoin, että jokainen firma yrittää paaluttaa kenttänsä rakentamalla yhteensopimattomia järjestelmiä, joihin vain he pystyvät myymään lisäkilkkeitä.
Osa ongelmista menee kyllä niiden ohjelmoijien piikkiin, jotka eivät viitsi avata ainoaakaan dokumenttia kopioidakseen syntaksit valmiista järjestelmistä. Eivätkä toisaalta kaikki koskaan vaivaudu opettelemaan kirjoitustaitoa kirjoittaakseen lukukelpoisia dokumentteja.
Ja jokainenhan haluaa tehdä omat typeryytensä.
Itse asiasta
Jos saatte systeemin kasaan, niin kirjaa ihmeessä temput meidän muidenkin nähtäville.
Itse koitan myös pitää kirjaa aikaansaamisistani
-
Tämä on karkea listaus työaseman eli oman Ubuntu-läppärini liittämisestä työpaikkani AD-palvelimeen. Teen tarkemmat ohjeet myöhemmin, kun liitän LTSP-palvelimen ja sen käyttäjät AD-palvelimelle.
Tämä ensimmäinen testi osoitti kuitenkin, että Linuxin liittääminen onnistuu perusasetuksilla. Työpaikan AD-puu menee varsinaiseen kuosiinsa lähikuukausina ja silloin mietimme tarkemmin kone-, tunnus- ja resurssien jako-kysymykset.
0. Työasemassa on Ubuntu 8.04, joka on asianmukaisesti päivitetty (update & dist-upgrade).
AD-palvelimen täytyy luonnollisesti toimia oikein.
Luetaan ohje: http://www.ubuntu.com/system/files/AD_whitepaper_20090807.pdf
1. Asennetaan Likewise-Open.
sudo apt-get install likewise-open
Voidaan asentaa myös likewise-open-gui, mutta se ei ole välttämätön asennuksen tai ylläpidon kannalta.
2. AD-palvelin 'servsrk.koksrky.local' = 10.38.8.6
Ubuntu-työasema on saanut AD-palvelimelta ip-osoitteen dhcp-palvelusta.
Laitetaan nimipalvelut kuntoon.
/etc/hosts
127.0.0.1 ubuntu.koksrky.local ubuntu localhost
10.38.8.6 servsrk.koksrky.local
/etc/resolv.conf
nameserver 10.38.8.6
3. Laitetaan aikapalvelut kuntoon
/etc/default/ntpdate
# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes
# List of NTP servers to use (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
#NTPSERVERS="servsrk.koksrky.local"
/etc/ntp.conf
# You do need to talk to an NTP server or two (or three).
server servsrk.koksrky.local
4. Liitetään Ubuntu-työasema AD-palvelimeen
koskias@ubuntu:~$ sudo domainjoin-cli join koksrky.local Administrator
Joining to AD Domain: koksrky.local
With Computer DNS Name: ubuntu.koksrky.local
Administrator@KOKSRKY.LOCAL's password:
SUCCESS
koskias@ubuntu:~$
5. Ensimmäisten sisäänkirjautumisten jälkeen tehtiin seuraavat muutokset.
/etc/krb5.conf
[--]
dns_lookup_kdc = true
default_realm = SERVSRK.KOKSRKY.LOCAL
[--]
/etc/samba/lwiauthd.conf
[global]
workgroup = KOKSRKY
security = ads
passdb backend = tdbsam
disable netbios = yes
idmap domains = default
idmap config default:default = yes
idmap config default:backend = lwopen
idmap config default:readonly = yes
idmap alloc backend = tdb
idmap alloc config:range = 9000 - 9999
idmap cache time = 3600
idmap negative cache time = 300
winbind cache time = 900
winbind offline logon = yes
winbind refresh tickets = yes
winbind replacement character = ^
winbind normalize names = yes
winbind expand groups = 10
# Added for KOKSRKY
winbind use default domain = yes
#
template shell = /bin/bash
# Added for KOKSRKY
template homedir = /home/%U
# template homedir = /home/%D/%U
#
machine password timeout = 2592000
realm = KOKSRKY.LOCAL
use kerberos keytab = yes
AD-palvelimella luotiin uusi tunnus 'asmok'. Nyt voitiin Ubuntu-työasemalla kirjautua 'asmok' tunnuksella ilman etuliitettä 'koksrky\'. Ubuntu-työasema loi asianmukaisen kotihakemiston ensimmäisellä kirjautumisella (/home/%U). Kotihakemistossa näkyy myös toinen aluksi käytössä ollut tunnus 'koskias' (/home/%D/%U).
koskias@ubuntu:~$ cd /home
koskias@ubuntu:/home$ ls -al
yhteensä 20
drwxr-xr-x 5 root root 4096 2009-10-23 12:59 .
drwxr-xr-x 21 root root 4096 2009-10-23 08:37 ..
drwxr-xr-x 23 557843770 557842945 4096 2009-10-23 13:23 asmok
drwxr-xr-x 3 root root 4096 2009-10-23 10:50 KOKSRKY
drwxr-xr-x 32 koskias koskias 4096 2009-10-23 15:13 koskias
koskias@ubuntu:/home$ cd KOKSRKY/
koskias@ubuntu:/home/KOKSRKY$ ls -al
yhteensä 12
drwxr-xr-x 3 root root 4096 2009-10-23 10:50 .
drwxr-xr-x 5 root root 4096 2009-10-23 12:59 ..
drwxr-xr-x 24 557843591 557842945 4096 2009-10-23 11:22 koskias
koskias@ubuntu:/home/KOKSRKY$
6. Muutama ruutukaappaus AD-palvelimelta, kun Ubuntu-työasema on liitetty AD-palvelimeen.
http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_01.png
http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_02.png
http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_03.png
7. Kun Ubuntu-työasema käynnistetään, niin likewise-palvelu pitää käynnistää aina uudestaan!!! Bugi!!! Purkkaratkaisu on LTSP-palvelimella cronin ajaminen riittävän tiheästi.
"Known Issues
* After rebooting the computer and logging in you are given the error “Domain Controller unreachable, using cached credentials instead. Network rsource may be unavailable.” Likewise does not start correctly. You have to login as a local admin and run the following command and then users will be able to login.
# sudo /etc/init.d/likewise-open restart
http://www.linux.com/component/content/article/174-tutorials/26875-authenticate-to-active-directory-with-ubuntu
Kannattaa huomata, että Ubuntu 8.04 käyttää vanhempaa versiota kuin Ubuntu 9.10. Itse vaihdan LTSP-palvelimen vasta ensi kesänä uudempaan versioon - mutta jos on pakko AD-liittämisen takia, niin sitten vaihdan Ubuntu 9.10:iin.
http://packages.ubuntu.com/hardy-updates/likewise-open
http://packages.ubuntu.com/karmic/likewise-open5
ps. Tämähän ei kerro mitään Samba-palvelimen käytöstä AD-palvelimen yhteydessä...
Ystävällisin terveisin Asmo Koskinen.
-
Tämä ensimmäinen testi osoitti kuitenkin, että Linuxin liittääminen onnistuu perusasetuksilla. Työpaikan AD-puu menee varsinaiseen kuosiinsa lähikuukausina ja silloin mietimme tarkemmin kone-, tunnus- ja resurssien jako-kysymykset.
Kiitos muidenkin puolesta perusteellisesta selvityksestä !
Itsellä meni kuitenkin homma uuteen uskoon, kun tulin hetken miettineeksi, mitä olen tekemässä, enkä vain räpeltänyt:
- Halutaan tarjota Linux-koneen levyalueita asiakkaille
- Asiakas on kirjautunut tunnuksellaan ja salasanallaan domainiin
- Salasanat varmennetaan DomainControlleria vastaan.
- Vaikka kone onkin serveri, se käyttäytyy nimipalveluiden suhteen kuin client.
Pyyhin taulun puhtaaksi ja aloin alusta.
Seuraavat paketit koneeseen. Osa enemmänkin rootin tarpeiden vuoksi:
samba, samba-common, samba-tools, system-config-samba, smbclient, smbfs, winbind, krb5-config, krb5-user.
Likewisen jätin pois kokonaan, samoin OpenLdap:n, koska en ole aikeissa kilpailla domainin WINS, DNC ja DHCH -palveluiden kanssa.
smb.conf on tällä hetkellä alla olevan mukainen. Varmasti mukana on turhaakin, mutta sitä ehtii seuloa myöhemminkin. Näillä se kuitenkin toimii.
Epäselvää on, pitääkö omaa serveriä edes kirjata Active Directoryyn jos kerran tarvitaan vain password serveriä. Kone on tullut jo aiemmin kirjattua 'net join ads...' - komennolla, kun vielä rakentelin liittämistä ADn osaksi. Nyt jos koittaa, saa herjan: 'cannot join as standalone machine'.
[global]
server string = Samba server %h
hosts allow = 192.168. 127.0.0.1
obey pam restrictions = Yes
pam password change = No
smb passwd file = /etc/samba/private/smbpasswd
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = no
encrypt passwords = yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 50
panic action = /usr/share/samba/panic-action %d
netbios name = omaserveri
# Ei aleta kilpailla AD:n omien serverien kanssa:
domain master = no
local master = no
preferred master = no
os level = 0
dns proxy = no
name resolve order = wins bcast lmhosts
wins server = wins.workgroup.fi
# Oleellinen:
security = server
password server = domaincontroller.workgroup.fi
realm = workgroup.fi
workgroup = workgroup
winbind use default domain = yes
winbind enum groups = yes
winbind enum users = yes
client use spnego = yes
client ntlmv2 auth = yes
[homes]
comment = Käyttäjän oma kotihakemisto
path = /home/%U
#Käyttäjä näkee vain omansa:
browseable = no
read only = no
public = no
# Suojaukset kuntoon:
create mask = 0700
directory mask = 0700
-
Kone on tullut jo aiemmin kirjattua 'net join ads...' - komennolla, kun vielä rakentelin liittämistä ADn osaksi. Nyt jos koittaa, saa herjan: 'cannot join as standalone machine'.
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.
Voi myös asentaa win-työasemalle adminpakista.
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.
Voi myös asentaa win-työasemalle adminpakista.
Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.
Voi myös asentaa win-työasemalle adminpakista.
Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?
Olettaisin, että vaatii. En ole tosin koskaan kokeillut normikäyttäjän tunnuksilla.
-
Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?
Olettaisin, että vaatii. En ole tosin koskaan kokeillut normikäyttäjän tunnuksilla.
Palataan siis lähtöruutuun. AD on käytössä vain isoissa kokonaisuuksissa ja niissä ei Admin-oikeuksia jaeta kaikille ohikulkijoille.
Pitkään tapeltuani on ainoa tulos ollut, että serveriä ei edelleenkään näy AD-verkossa, eikä sen levyjä pääse käyttämään. Välillä jo toimikin, mutta käsin koskematta tämäkin toiminnallisuus katosi.
Käsitykseksi on tullut, että on loputtomasti tapoja, miten AD on voitu kasata. Ohjeet pitää kirjoittaa kutakin järjestelmää varten erikseen.
Taistelu jatkuu.
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.
Voi myös asentaa win-työasemalle adminpakista.
Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?
Juu kyllä vaatii domain-admin oikeudet.
Kuten tossa jos sanottiin AD:ssa ei "ohikulkijat" muuta mitään.
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Mikähän tuolainen työkalu on ja mistä se löytyy ?
Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.
Voi myös asentaa win-työasemalle adminpakista.
Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?
Juu kyllä vaatii domain-admin oikeudet.
Kuten tossa jos sanottiin AD:ssa ei "ohikulkijat" muuta mitään.
Itselle on tutumpi tapa, jossa käyttäjälle annetaan oman koneensa kohdalla asennusoikeus. Ei suinkaan Domain-Admin -oikeuksia.
-
Omalle koneelle voi tietty myöntää admin-oikeuksia tarvittaessa mutta local-admin ei voi liittää konetta domainiin.
-
Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.
Näitä epäonnistumisen syitä on nyt tullut käytyä läpi melkein kuukausi.
Tähän mennessä on erottunut kaksi selkeää syytä:
- Onneton dokumentointi
- Olematon versiohallinta
Netti on täynnä juttuja 'tee niin tai näin, niin onnistut'. Ilmeisesti suurin osa näistä perustuu kirjoittajan tekemiin kokeiluihin, joiden jäljiltä koneeseen on ladattuna monenlaista kamaa. Kokeilujen jälkeen ei enää muisteta, mitä on asennettu ja kerrotaan vain niistä viimeisistä virityksistä. Olisi mukava nähdä yksikin sellainen ohje, jossa yksikäsitteisesti kerrottaisiin, mitä kaikkea koneeseen pitää asentaa, jotta AD-autentikoinnin saisi toimimaan.
Lisäksi suuri osa ohjeista perustuu siihen, että kirjoittajalla on kotonaan oma AD, jossa hän on administraattorina.
Ohjeissa ei myöskään kovin usein ole mainintaa siitä, missä distrossa ja missä versiossa virittely on tehty. Saatika sitä, mitä versioita ohjelmista on käytetty. Jo pelkka päivämääräkin webbisivulla antaisi jotain mielikuvaa.
Monissa ohjeissa törmää siihen, että komennoille pitäisi antaa parametrejä, joita ohjelmat eivät edes tunne, kirjoittaa muutoksia conf-tiedostoihin, joita ei koneessa ole ja kutsua ohjelmia, jotka myös puuttuvat.
Sitten on tietenkin myös selviä virheitä. Esim tämä viimeinen Open-Likewise5 -asennukseni apt-getillä jäi koko ajan ilmaan roikkumaan. Uudelleenkäynnistysyritys ei antanut ruudulle mitään ilmoitusta. Lopulta /etc/init/likewise-open -tiedostosta paljastui, että ohjelmiston asennuksesta puuttuu kokonaan sen kaipaama likewise-winbindd. Puuttuu myös alkeellisinkin virheilmoitus. Olisi siinä Miina ja Manu saanut tätäkin ihmetellä pitkään.
Miina ja Manu kyllä ihmettelevät muutenkin tässä asiassa vallitsevaa lyhenteiden sekamelskaa. Yhtenä esimerkkinä smb.conf:ssa:
# If you are using encrypted passwords, Samba will need to know what password database type you are using.
passdb backend = tdbsam
Minusta myös asentajan olisi mukava tietää, millainen password database pitäisi olla käytössä ja millä perusteilla. (Tämä vain esimerkkinä)
Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI. Kirjattaisiin ylös ne yleisimmät ympäristöt, joissa serveri tulee pyörimään ja luotaisiin näille valmiit asennustyökalut. Voisihan asennusscripti tarvittaessa omin avuin ladata tai edes ehdottaa ladattavaksi tarvittavia lisäosia.
Muutama mahdollinen ympäristö:
- iso AD, johon käyttäjä saa asennusoikeudet adminilta.
- Standalone kotikone, johon käyttäjillä on omat salasanat jotka eivät ole samat, kuin Windows-koneissa
- Standalone kotikone, joka autentikoi windows-koneiden salasanat
- Domain Controller
-
Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI. Kirjattaisiin ylös ne yleisimmät ympäristöt, joissa serveri tulee pyörimään ja luotaisiin näille valmiit asennustyökalut. Voisihan asennusscripti tarvittaessa omin avuin ladata tai edes ehdottaa ladattavaksi tarvittavia lisäosia.
Muutama mahdollinen ympäristö:
- iso AD, johon käyttäjä saa asennusoikeudet adminilta.
- Standalone kotikone, johon käyttäjillä on omat salasanat jotka eivät ole samat, kuin Windows-koneissa
- Standalone kotikone, joka autentikoi windows-koneiden salasanat
- Domain Controller
Veikkaan, että avoimella puolella AD:ta ei nähdä ihan niin elintärkeänä ;) Ja minusta on melko luontevaa, että konetta domainiin liittävällä täytyy olla admin-oikeudet domainiin.
Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto).
-
Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI.
Veikkaan, että avoimella puolella AD:ta ei nähdä ihan niin elintärkeänä ;) Ja minusta on melko luontevaa, että konetta domainiin liittävällä täytyy olla admin-oikeudet domainiin.
Minusta pitäisi alkaa nähdä. Pitäisi ottaa pingviini-lasit silmiltä ja alkaa suhtautua vakavasti Linuxin käyttöön muutenkin, kuin nörttien leikkikenttänä. Monessa paikassa haluttaisiin saada Linux-koneita nykyisen MSWindows-kannan lisäksi. Yksi suurimmista esteistä on juuri se, että käyttäjän kannalta Linuxin domainiin liittäminen on jokseenkin hankalaa, nörtteilyä.
Linuxilla ei ole mitään jakoa firmaverkoissa, ellei se pysty tasavertaisesti käyttämään verkon resursseja M$W:n kanssa.
Domainiin liittävällä EI tarvitse olla Administrator-oikeuksia domainiin, vaan verkko-Administratorin antama liittämislupa.
Ainakin meillä Windows-koneen käyttäjälle annetaan asennusoikeus. Ei ehkä paras mahdollinen tapa, mutta toimii se näinkin.
Monessa firmaverkossa asennusoikeus on tietenkin tukiryhmällä, eikä muilla mitään oikeuksia olekaan. Tällöinkin asennuksen pitäisi kuitenkin olla yksinkertaista ja nopeaa. Softat sisään, install-scriptillä asetukset kohdalleen ja kone käyttöön. Windowshan menee domainiin domainin nimen ja koneen nimen asettamisella. Windows ei tässä yhteydessä paljoa kysele eikä pyydä puukottamaan kymmentä conf-tiedostoa.
-
Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto).
En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods)
Automated Methods
The SADMS (https://help.ubuntu.com/community/ActiveDirectoryWinbind-SADMS) package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/ (http://sadms.sourceforge.net/)
-
Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto).
En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods)
Automated Methods
The SADMS (https://help.ubuntu.com/community/ActiveDirectoryWinbind-SADMS) package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/ (http://sadms.sourceforge.net/)
SADMS on hyvästä syystä viimeisenä, koska se on GUI. Ainakaan 9.04 ja 9.10 servereissä ei tullut X:ää mukana (luojan kiitos !)
Jonkun pitäisi kieltää Nörttejä hölmöilemästä. Perus asennusohjelmien pitäisi toimia tekstipäätteellä. Joko koneen omalla ruudulla tai SSH:lla. GUI:t eivät kuulu serverihin.
-
Tämä AD autentikointi alkaa tympäistä.
- Tuolla SADMS:n kohdalla puhutaan PAM:sta ja eräällä toisella sivulla varoitetaan missään nimessä käyttämästä PAM:a kerberoksen yhteydessä.
- Ubuntu repoista löytyvä Likewise-open5 on kuulema rikki. Sen sijaan pitäisi ladata ubuntu srv 9.10:lle Likewisen tuorein versio
(http://www.backports.ubuntuforums.org/showthread.php?p=8342962)
Oma havaintoni on, että ainakin repoista ladatussa paketissa /etc/init.d/likewise-open on rikki. Se koittaa kutsua ohjelmaa likewise-winbindd jota taas ei tunnu olevan tässä koko maailmassa. Jossain taas varoitettiin, että Likewisen kanssa ei kuulu käyttää winbind:ä (vaikka LW:n manuaalissa niin sanotaan) koska LW 5.x:ssä Winbindin tilalla kuuluu käyttää nsswitchiä.
Ovatko siis winbind ja nsswitch toisensa poissulkevat ?
Alkaa ihmetyttää, miten monella tavalla tämä yhdistäminen pyritään järjestämään. Jos nyt vielä unohdetaan open-ldap ja puolisen tusinaa muuta tapaa, jotka ovat tulleet esille.
Likewiseä kehuttiin 2007 tulevaisuuden ratkaisuksi tällä alalla. Ei näytä paljoa edenneen. Pahuksen pitkiä PDF -dokumenttejä on kyllä ilmestynyt. Sisältö on kyllä aika kevyttä.
Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.
Omasta kokemuksesta voin sanoa, että ollaan toimivuuden kannalta täsmälleen siinä, kuin vuonna 2001, jolloin annoin periksi ja käytin sambassa security=user asetusta enkä yrittänytkään saada autentikointia serveriltä ennenkuin nyt puolittaisen pakon edessä. Dokumentaatiota ja forum-sivuja on kyllä ilmestynyt sen jälkeen todelliseksi riesaksi asti.
-
Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto).
En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods (https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods)
Automated Methods
The SADMS (https://help.ubuntu.com/community/ActiveDirectoryWinbind-SADMS) package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/ (http://sadms.sourceforge.net/)
SADMS on hyvästä syystä viimeisenä, koska se on GUI. Ainakaan 9.04 ja 9.10 servereissä ei tullut X:ää mukana (luojan kiitos !)
Jonkun pitäisi kieltää Nörttejä hölmöilemästä. Perus asennusohjelmien pitäisi toimia tekstipäätteellä. Joko koneen omalla ruudulla tai SSH:lla. GUI:t eivät kuulu serverihin.
Aa..aivan. Kiitos hyvästä selityksestä. :)
-
Tämä AD autentikointi alkaa tympäistä.
Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.
Kerron tarkemmin "real world" esimerkin jatkon, kun päästään sinne.
Jep, tämä vaatii, (1) että AD on oikein rakennettu, että (2) autentikointi on ruuvattu oikein ja tarpeeksi kireäksi, että (3) resurssit jaetaan oikein käyttäjälle riippumatta siitä, mikä kone/käyttöjärjestelmä niitä hakee, että (4) AD-pääkäyttäjä tekee yhteistyötä Linux-pääkäyttäjän kanssa ja (5) että Likewise on iskussa.
Ensimmäisen testauksen perusteella olen toiveikas. Mutta jos Linux ei tosiaan taivu yhteistyöhön AD:n kanssa niillä vaatimuksilla, jotka on asetettu KIRKKO-verkolle, joka on viranomaisverkko, niin joudun luopumaan LTSP-palvelimista työpaikalla. Se on varmaa, että käännän jokaisen kiven, ennen kuin luovun LTSP-palvelimista.
Äläkä syytä Linuxia, M$ tämän ihan oikeasti sössii.
Yet Another Howto...
http://technet.microsoft.com/en-us/magazine/2008.12.linux.aspx
Ystävällisin terveisin Asmo Koskinen.
-
Tämä AD autentikointi alkaa tympäistä.
Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.
Kerron tarkemmin "real world" esimerkin jatkon, kun päästään sinne.
Jep, tämä vaatii, (1) että AD on oikein rakennettu, että (2) autentikointi on ruuvattu oikein ja tarpeeksi kireäksi, että (3) resurssit jaetaan oikein käyttäjälle riippumatta siitä, mikä kone/käyttöjärjestelmä niitä hakee, että (4) AD-pääkäyttäjä tekee yhteistyötä Linux-pääkäyttäjän kanssa ja (5) että Likewise on iskussa.
Ensimmäisen testauksen perusteella olen toiveikas. Mutta jos Linux ei tosiaan taivu yhteistyöhön AD:n kanssa niillä vaatimuksilla, jotka on asetettu KIRKKO-verkolle, joka on viranomaisverkko, niin joudun luopumaan LTSP-palvelimista työpaikalla. Se on varmaa, että käännän jokaisen kiven, ennen kuin luovun LTSP-palvelimista.
Äläkä syytä Linuxia, M$ tämän ihan oikeasti sössii.
Itsekin aion taistella tämän kanssa kunnes asia selviää.
Minusta ongelma on edelleenkin Samban dokumentoinnissa.
Moni asia selviää lukemalla, mutta Samban kohdalla tuntuu, etä mistään ei pääse punaiseen lankaan kiinni. Jokainen esimerkkitapaus on erilainen. Jopa winbindd:n man sivullakin olevat esimerkit ovat mitä sattuu. Samaten Samban omat sivut ovat yhtä sekamelskaa.
Eikä tässä pääsyyllinen ole Samba tai M$. Tutustupa tarkemmin werkkoon. Jo pelkästään DHCP ja DNS ovat yhtä suurta sekamelskaa, jossa virheitä on paikattu ja uuusia ominaisuuksia lisätty mitä ihmeellisimmin menetelmin.
Kuten kaverini asiasta totesi: lahoilla savijaloilla seisova joka puolelta teipattu ja pönikitetty kermakakku.
-
Pieni pala tietoa. Testattu ja tarkistettu:
Winbind ja samban käynnistysjärjestys pitää olla oikea:
/etc/init.d/samba stop
/etc/init.d/winbind stop
/etc/init.d/winbind start
/etc/init.d/samba start
-----------------------------------------------
Itsellä on 9.10 srv, jonka levyjakoja yritän tarjota Windos-koneille siten, että kättäjät autentikoidaan AD:n salasanoilla.
Tällöin riittää, että käyttäjä antaa salasanansa kirjautuessaan AD:ssä olevalle Windows-koneelleen.
-
Kävin asiasta pienen keskustelu tuolla toisella palstalla:
http://old.nabble.com/how-to-join-to-AD---td26513594.html#a26526963
Tuo keskustelu johti tuloksiin. Nyt domainiin liitetyn serverin levyt näkyvät windowXP:n lasilla, eikä WinXP kysele salasanoja.
Viilaamista on vielä jonkin verran. Koitan saada siivottua noita conf-fileitä ja julkaistua jonkinlaisen priiffin omilla sivuillani.
Loppupeleissä selvisi sekin, että vaikka minulla olikin oikeus asentaa koneita omaan lohkooni, tähän koneeseen minulla ei ollutkaan , mikä näkyi ilmoituksena:
Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)
Kun domainin administrator pisti ruksin oikeaan kohtaan, liittäminen onnistui.
Kaikkineen suurimmaksi harmiksi osoittautui, että on lähes mahdotonta löytää tietoa, mitä Samban antamat virheilmoitukset tarkoittavat. Pitää ottaa opiksi ja alkaa itsekin koota omiin ohjelmiinsa erillinen dokumentti virheilmoituksista, joita ei pysty itse ilmoituksessa riittävän selkeästi selittämään.
Edelleenkin minulle on epäselvää, miten yhteys todellisuudesa muodostuu. Tarvitaanko sihen todella kaikkia suositeltuja osia:
Kerberos, LDAP, WinBind. Ainakaan koneessa ei tarvita OpenLdap:a eikä Likewisea.
Kerberos ilmeisesti tarvitaan hakemaan AD:n tikettejä, eli huolehtimaan siitä, että koneella on tuore oikeus olla domainissa.
( kinit ja klist)
-----------------------------------------------
Itsellä on 9.10 srv, jonka levyjakoja yritän tarjota Windos-koneille siten, että kättäjät autentikoidaan AD:n salasanoilla.
Tällöin riittää, että käyttäjä antaa salasanansa kirjautuessaan AD:ssä olevalle Windows-koneelleen.
-
Lisää ohjeita:
Ihan ensimmäiseksi. Kunnon kirjaan mahtuu enemmän ohjeita, kuin tähän forumiin. Tästä opuksesta on itsellä hyvä mielikuva jo pidemmältäkin ajalta:
http://oreilly.com/catalog/samba/chapter/book/index.html
Aloita domainiin liittäminen pistämällä krb5.conf kuntoon ja aja se komennolla 'kinit' ilman mitään parametrejä. Vastausta on turha odottaa. Testaa toiminta komennolla 'klist', josta pitäisi tulla tuotteena:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: minaitte@DOMAIN
Valid starting Expires Service principal
11/26/09 19:38:08 11/27/09 05:38:14 krbtgt/DOMAIN@DOMAIN
renew until 11/27/09 19:38:08
Tämä kertoi, että tiketti on kunnossa, matka saa jatkua. En ole vielä tutkinut, pitääkö tiketti uusia itse, vai onko tuo 'kinit' liitetty jonnekin automaattiin.
domainiin liittäminen tapahtuu komennolla:
net ads join -w DOMAIN -U minaitte@domain
EI siis komennolla (sanokoot ohjeet mitä tahansa): (KORJATTU JÄLKIKÄTEEN)
net join ads -w DOMAIN -U minaitte@domain
Jälkimmäinen tapa tuottaa jonkin 'Out of cheese' -virheilmoituksen:
'Failed to join domain: failed to find DC for domain ads
ADS join did not work, falling back to RPC...'
- DOMAIN isoilla kirjaimilla, domain pienillä
- Jätä lopusta '@domain' pois, jos saat tälläisen virheilmoituksen:
'Failed to join domain: failed to connect to AD: Malformed representation of principal'
To be continued... :)
-
Tekeekö silmät tepposet vai onko nuo kaks komentoa tuossa samanlaiset? Ilmeisesti toisessa pitäisi "domain" olla pienellä, vaiko miten?
Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)
-
Tekeekö silmät tepposet vai onko nuo kaks komentoa tuossa samanlaiset?
Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)
Vika oli kirjoittajassa.
Komennoissa on erona 'join' ja 'ads' -optioiden järjestys. Yleensähän Linuxin komennot eivät ole ronkeleita järjestykselle, mutta tämä on. J vieläpä niin, että ohjeissa yleensä on nimenomaan se väärä järjestys.
En ole montaakaan wikiä kirjaillut, joten mieluummin jättäisin homman jollekin osaavammalle. Koitan ensin kasata jonkinlaisen alustavan ohjeen jollekin sivulle, jolle pääsen, heti, kun olen vähäkään varma siitä, mitä olen havainnut ja oppinut.
Tässä on nyt vielä muutamia ratkomattomia ongelmia. Tällä hetkellä kiusaa neljä asiaa:
1, WinXP:n lasilla näkyy kaksi ikonia: \\serveri\minaitse ja \\serveri\munkaveri. Molemmat johtavat samaan serverin hakemistoon /home/minaitse. Munkaverilla ei ole hakemistoa serverissä. My_Computer:n osoiteriville voin kirjoittaa kenen tahansa AD:ssä rekisteröidyn käyttäjän XXX tunnuksen \\server\XXX, jolloin tuo toinen ikoni saa uuden nimen \\server\XXX.
Periaatteessa tämä on vain huvittavaa, mutta niskassa kaihertaa pelko isommasta tyrästä.
2. Linuxissa /home/minaitse -hakemiston oikeudet pitaa olla '707' tai '770', jotta Windowsissa ITSE pystyy muokkaamaan tämän hakemiston sisältöä. Sitäpaitsi WIndowsissa talletettujen tiedostojen groupiksi tulee
'domain users'. jos haluaa muuttaa jonkin muun tiedoston groupin tälläiseksi, pitää kirjoittaa:
chown minaitse:'domain users' file.jat (huom heittomerkit) -Typerää. Paljon mieluummin pistäisin oikeuksiksi 700 ollakseni varma, ettei kukaan muu kävisi sorkkimassa fileitäni.
3. Edellisen domain users -ongelman voittamiseksi suositeltiin käyttämään mapusers.dat -tiedostoa, jossa määritellään domain - ja linux-käyttäjien ja ryhmien vastaavuus. Tätä minä en ole vielä käsittänyt lainkaan. Eipä kyllä neuvojakaan tainnut käsittää sitä, että minusta oletuksena kotihakemiston pitää olla suojattu ja käyttäjille pitää itselleen jättää valinnan oikeus siihen, mitä haluaa julkaista. 707-oikeudet ovat perua jostain hippikaudelta. Valitettavasti noita risuparta-hippejä liikkuu näissä ympäristöissä vieläkin.
4. Linuxin puolella adduser ja useradd kusevat nilkoille. Eivät kuulema pysty lisäämään käyttäjää, joka jo on olemassa (AD:ssä). Pitää ilmeisesti aina ajaa /etc/init.d/samba stop, kun haluaa antaa jollekin käyttäjälle oikeudet käyttää linuxia ssh:n kautta. Ja sitten takaisin ylös ja käydä pyytämässä anteeksi kaikilta, joilta on mennyt rojektit seinälle.
Yksi helppous tässä nyt on: kun lisään jollekin käyttäjälle pelkästään levyalueen systeemiin, riittää, että teen hänelle levyalueen ja puukotan hakemiston permissiot. Käyttäjää ei tarvitse lisätä Linuxiin. Niin kauan, kuin levyalue puuttuu, AD:n käyttäjillä ei ole pääsyä koneelle. Samba ei luo heille omin päin hakemistoja.
Koitan vielä ronkkia turvallisuusreikiä. Tämäkin serveri on menossa aktiivikäyttöön avoimeen verkkoon, eikä nörttileluksi, joten asioiden pitää olla kunnossa.
-
Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)
Nysväsin jotain hätäistä doccia kasaan ja sain luvan pistää alla olevaan osoitteeseen jakoon. Sieltä saa lukea ja poimia vaikka wikiin. Itsellä ei oikein nyt ole aikaa opetella Wikin käyttöä, kun pitäisi ehtiä tehdä sähköremonttia kotona.
http://users.utu.fi/ptmusta/samba.shtml
En pistäisi vastaan, josko joku.muu@suomi.fi testailisi ja doccaisi noita käyttäjäpermissioneita hieman laajemmin. Saatika kertoisi minullekin, mitä minä olen tehnyt ;)