Ubuntu 12.04.4 Ja Active Directory + Tiedosto jaot

[timolous]

Morjens!

Olen tässä alkuun viritelly Ubuntua ja tarkoitus olisi saada Ubuntusta perus windows toimialue konetta vastaava. Kone jolla käyttäjä löytää vastaavat windows jaot helposti ja pääsee kirjautumaan AD-tunnuksilla. Onnistuuko?

Olen nipullisen erilaisia palikoita kokeillut ja aina tuntuu joku menevän päin jotain. Nyt olsi ns. puhdas Ubutu 12.04.4 LTS.

1. Mitä pitää tehdä jotta saan koneen liitettyä Windows toimialueeseen?
2. Mitä pitää tehdä jotta käyttäjät pääsevät kirjatumaan koneseen AD-tunnuksella? Onnistuuko? onko edes järkevää?
3. Mitä pitää tehdä jotta saan käyttäjille windows teidosto jaot joka kerta automatic kirjautumisen jälkeen?

Moni noista ohjeista tuntui Näin windows koneisiin tottuneena kauheaa epäselkeiltä ja epäloogisilta + tapoja tuntui olevan monia. Mikä olsi helpoin?

[nm]

Helpoimmat ratkaisut taitavat olla PowerBroker Open (aiemmin Likewise Open; asennettavissa myös Ubuntun ohjelmalähteistä: likewise-open ja likewise-open-gui) ja Centrify Express. Oletko jo kokeillut jompaakumpaa?

Kun kirjautuminen AD-tunnuksilla onnistuu, tiedostojakoihin pitäisi päästä suoraan tiedostoselaimella ja ne voi lisätä kirjanmerkkeihin. Jos työasemia ja jakoja on paljon, liitokset voi tehdä kirjautumisen yhteydessä suoritettavalla skriptilläkin:

Koodia: [Valitse]

gvfs-mount smb://palvelin/jako

[timolous]

Tuota likewise-openia tässä yritin ja tuloksena tämä:

Network name not found.. Failure to lookup a domain name ending in ".local" may be the result of configuring the local system's hostname resolution (or equivalent) to use Multi-cast DNS. Please refer to the Likewise manual at http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-guide.html#ConfigNsswitch for more information.

Samassa verkossa samoilla dhcp asetuksilla (verkkoasetuksilla) windows kone osaa liittyä domainiin. Linux purkissa AD-domain ei pingaa DNS-nimellä  ollenkaan (unknown host). Sen sijaan nslookup palauttaa nimet ad-koneille ihan normalisti.

Onko tässä purkissa oletuksena jokin palomuuri tai esto vai mistä moinen mahtaa johtua?

Miksi Linux koneen nslooup olettaa seuraavasti oletuserverin:
Default server: 127.0.0.1
Address: 127.0.0.1#53

Eikä sitä DNS-servvoa joka tulee DHCP:ltä?

[nm]

Tuota likewise-openia tässä yritin ja tuloksena tämä:

Network name not found.. Failure to lookup a domain name ending in ".local" may be the result of configuring the local system's hostname resolution (or equivalent) to use Multi-cast DNS. Please refer to the Likewise manual at http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-guide.html#ConfigNsswitch for more information.

Jos googlaat tuota virhettä, ensimmäiset hakutulokset neuvovat muokkaamaan /etc/nsswitch.conf-tiedostoa. Siirrä hosts-rivillä "dns" "files" ja "mdns4_minimal" -sanojen väliin:

Koodia: [Valitse]

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4-->

Koodia: [Valitse]

hosts:          files dns mdns4_minimal [NOTFOUND=return] mdns4

Miksi Linux koneen nslooup olettaa seuraavasti oletuserverin:
Default server: 127.0.0.1
Address: 127.0.0.1#53

Eikä sitä DNS-servvoa joka tulee DHCP:ltä?

Käytät varmaankin NetworkManageria verkkoyhteyksien hallintaan. Nykyisin siinä on mukana paikallinen DNS-palvelin (dnsmasq), jonka kautta kaikki kyselyt kulkevat. Voit tarkistaa varsinaisen DNS-palvelimen osoitteen komennolla:

Koodia: [Valitse]

nmcli device list | grep DNS

[timolous]

Nyt meni liittyminen AD-verkkoon ok. Miten tämän koneen saa nyt kirjautumaan AD-tunnuksilla (vastaavasti kuin windows koneilla). Jos kirjaudun ylänurkasta ulos en saa syötettyä kenttään usernamea vaan olettaa sen ainokaisen paikallisen+ gueast tunnarin.


Tämä komento ei toiminut mulla:
nmcli device list | grep DNS
Error: Object 'device' is unknown, try 'nmcli help'.

[timolous]

Helpoimmat ratkaisut taitavat olla PowerBroker Open (aiemmin Likewise Open; asennettavissa myös Ubuntun ohjelmalähteistä: likewise-open ja likewise-open-gui) ja Centrify Express. Oletko jo kokeillut jompaakumpaa?

Kun kirjautuminen AD-tunnuksilla onnistuu, tiedostojakoihin pitäisi päästä suoraan tiedostoselaimella ja ne voi lisätä kirjanmerkkeihin. Jos työasemia ja jakoja on paljon, liitokset voi tehdä kirjautumisen yhteydessä suoritettavalla skriptilläkin:

Koodia: [Valitse]

gvfs-mount smb://palvelin/jako

Minne laitan tuon krijautumisen yhteydessä suoritettavan scriptin? 

[nm]

Nyt meni liittyminen AD-verkkoon ok. Miten tämän koneen saa nyt kirjautumaan AD-tunnuksilla (vastaavasti kuin windows koneilla). Jos kirjaudun ylänurkasta ulos en saa syötettyä kenttään usernamea vaan olettaa sen ainokaisen paikallisen+ gueast tunnarin.

Muokkaa kirjautumismanagerin asetustiedostoa:

Koodia: [Valitse]

sudo -i gedit /etc/lightdm/lightdm.conf
Lisää loppuun rivi:

    greeter-show-manual-login=true

Jos haluat piilottaa käyttäjälistan, lisää myös rivi:

    greeter-hide-users=true

Tallenna tiedosto, sulje gedit ja kirjaudu ulos. Jos asetus ei tule heti voimaan, käynnistä järjestelmä uudelleen. (Voit myös käynnistää pelkän lightdm:n uudelleen toisen virtuaalikonsolin kautta komennolla sudo service lightdm restart).

Tämä komento ei toiminut mulla:
nmcli device list | grep DNS
Error: Object 'device' is unknown, try 'nmcli help'.

Juu, nmcli:n parametrit olivatkin hieman erilaiset 12.04:n versiossa. Tämän pitäisi toimia:

Koodia: [Valitse]

nmcli dev list | grep DNS

Minne laitan tuon krijautumisen yhteydessä suoritettavan scriptin?

gnome-session-properties eli Käynnistettävät ohjelmat (löytyy Dashista tällä nimellä suomenkielisessä Ubuntussa).

[timolous]

Muokkaa kirjautumismanagerin asetustiedostoa:

Koodia: [Valitse]

sudo -i gedit /etc/lightdm/lightdm.conf
Lisää loppuun rivi:

    greeter-show-manual-login=true

Jos haluat piilottaa käyttäjälistan, lisää myös rivi:

    greeter-hide-users=true

Kumpikaan näistä ei tehnyt muutosta kirjatumiseen. Edelleenkään en saa syötettyä käyttäjänimeä ja oletuksan näkyy se ainokainen käyttäjätunnus. Käynnistelin useampaan otteeseen uudelleen.

Koodia: [Valitse]

[SeatDefaults]
autologin-guest=false
autologin-user-timeout=0
autologin-session=lightdm-autologin
user-session=ubuntu
greeter-show-manual-login=true
greeter-hide-users=true


[timolous]

En tiedä mitä tapahtui, mutta aikani yritin ja nyt kysyy usernamea kirjautumiseen.

Ei vaan nyt hyväksy AD-tunnusta siihen

[nm]

Ei vaan nyt hyväksy AD-tunnusta siihen

Kokeilitko myös muotoa DOMAIN\tunnus?

Mitä /var/log/auth.log kertoo?

[timolous]

Ei vaan nyt hyväksy AD-tunnusta siihen

Kokeilitko myös muotoa DOMAIN\tunnus?

Mitä /var/log/auth.log kertoo?

Kokeilin kaikenlaisilla mahdollislla variaatioilla...
Logi sanoo vimosista domain yrityksistä tällaista
 lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "domainnimi.local\Timo"

[nm]

Eikä mitään muita virheitä näkynyt auth.logissa? Jos kirjaudut sisään, näyttääkö komento lw-get-status tai /opt/pbis/bin/get-status, että järjestelmä on liitetty domainiin?

Minkä version PowerBrokerista/Likewisesta olet asentanut?

[timolous]

Mistä selvitän nuo versio numerot? asensin pakettihallinasta suoraan mitä suurinpiirtein ekana tyrkytti.

Alla tämän aamun domain kirjautumisyrtystä, sekä suemman paikallista vikaan mennyttä (niistä ei tarvi välittää
)

Koodia: [Valitse]

Mar 21 10:07:02 timolivboxb polkitd(authority=local): Unregistered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session4 (system bus name :1.92, object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fi_FI.UTF-8) (disconnected from bus)
Mar 21 10:08:32 timolivboxb lightdm: pam_unix(lightdm:session): session opened for user lightdm by (uid=0)
Mar 21 10:08:32 timolivboxb lightdm: pam_ck_connector(lightdm:session): nox11 mode, ignoring PAM_TTY :0
Mar 21 10:08:35 timolivboxb dbus[399]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.24" (uid=104 pid=1424 comm="/usr/lib/indicator-datetime/indicator-datetime-ser") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.17" (uid=0 pid=1136 comm="/usr/sbin/console-kit-daemon --no-daemon ")
Mar 21 10:08:49 timolivboxb lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "domainnimi.local\Timo"
Mar 21 10:09:00 timolivboxb lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "Timo"
Mar 21 10:12:53 timolivboxb lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "Timo"
Mar 21 10:13:11 timolivboxb lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "Timo"
Mar 21 10:13:48 timolivboxb lightdm: pam_succeed_if(lightdm:auth): requirement "user ingroup nopasswdlogin" not met by user "timo"
Mar 21 10:13:52 timolivboxb lightdm: pam_unix(lightdm:session): session closed for user lightdm
Mar 21 10:13:52 timolivboxb lightdm: pam_unix(lightdm:session): session opened for user timo by (uid=0)
Mar 21 10:13:52 timolivboxb lightdm: pam_ck_connector(lightdm:session): nox11 mode, ignoring PAM_TTY :0
Mar 21 10:13:58 timolivboxb polkitd(authority=local): Registered Authentication Agent for unix-session:/org/freedesktop/ConsoleKit/Session2 (system bus name :1.50 [/usr/lib/policykit-1-gnome/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale fi_FI.UTF-8)
Mar 21 10:14:02 timolivboxb dbus[399]: [system] Rejected send message, 2 matched rules; type="method_call", sender=":1.55" (uid=1000 pid=1893 comm="/usr/lib/indicator-datetime/indicator-datetime-ser") interface="org.freedesktop.DBus.Properties" member="GetAll" error name="(unset)" requested_reply="0" destination=":1.17" (uid=0 pid=1136 comm="/usr/sbin/console-kit-daemon --no-daemon ")

Komento antaa tämän, mielestäni olen domainissa:

Koodia: [Valitse]

lw-get-status
LSA Server Status:

Compiled daemon version: 5.0.0.0
Packaged product version: 0.0.0.0
Uptime:        0 days 0 hours 10 minutes 44 seconds

[Authentication provider: lsa-activedirectory-provider]

Status:        Online
Mode:          Un-provisioned
Domain:        DOMAINNIMI.LOCAL
Forest:       
Site:         
Online check interval:  300 seconds
[Trusted Domains: 1]


[Domain: DOMAINNIMI]

DNS Domain:       domainnimi.local
Netbios name:     DOMAINNIMI
Forest name:      domainnimi.local
Trustee DNS name:
Client site name:
Domain SID:       S-1-5-21-823518204-920026266-854245398
Domain GUID:      00000000-0000-0000-0000-000000000000
Trust Flags:      [0x001d]
                  [0x0001 - In forest]
                  [0x0004 - Tree root]
                  [0x0008 - Primary]
                  [0x0010 - Native]
Trust type:       Up Level
Trust Attributes: [0x0000]
Trust Direction:  Primary Domain
Trust Mode:       In my forest Trust (MFT)
Domain flags:     [0x0003]
                  [0x0001 - Primary]
                  [0x0002 - Offline]

[Authentication provider: lsa-local-provider]

Status:        Online
Mode:          Local system
Domain:        TIMOLIVBOX



[timolous]

Ok. Homa lahti toimimaan. Ongelamn tässä teki tuo verkon suojaus ja se että käytin tätä Virtuaaliubuntua bridged verkossa. Nyt Nati verkon läpi se toimii ja kirjautuu.

Hieno juttu. Kiitos!