9.04 server ja Samba

[Mistofelees]

Samban käyttöönottaminen tuottaa enemmän työtä, kuin pitäisi.

Tarkoitus on saada Active Directoryyn kirjauttu 9.04 serveri jakamaan levyalueita AD:n määrätyille käyttäjille käyttäen AD:n salasanoja.
Virheilmoituksia on tullut käytyä läpi määrättömästi. Osa vaikuttaa Samban sisäisiltä (INTERNAL) virheiltä.
Suurin osa kuitenkin johtuu dokumentaatiosta sekä siitä, että Sambasta on kasvanut liian iso paketti. Parametrejä tuntuu olevan loputtomiin.
Yksi suuri riesa on muodostunut erilaisista forumeista, joilla samat kysymykset toistuvat loputtomiin. Jopa niin, että samoja viestejä näytetään kopioitavan serveriltä toiselle. Ainoana erona viestin ympärille rakennetut kehykset, joilla sivustojen ylläpitäjät onkivat mainosrahaa.

Tämän hetken ongelmana on se, miten päästä palaamaan lähtötilaan.
'apt-get purge samba' pitäisi helpin mukaan poistaa sekä paketti, että asetustiedostot. Ei toimi. Asetustiedostot jäävät edelleen. Samoin ilmeisesti lauma Samban keräämiä tietokantoja. -pitääkö nuo kaikki nyppiä pinseteillä pois ?
Kaikki Samban viritykset pitäisi saada pois, koska nyt ssh:lla ja pääteikkunasta kirjautuminenkin ovat muuttuneet takkuiseksi. Minusta Samballa ei pitäisi olla mitään syytä mennä muuttamaan kirjautumiseen liittyviä asetuksia.

Yksi omituisuus Sambassa ei ole selvinnyt. Vaikuttaa siltä, kuin Samballa olisi kaksi tai useampia confaus-tiedostoja, joista ainoastaan smb.conf on esitelty. Kuitenkin, jos siellä määrään loki-tiedoston nimeksi %m.log, ilmestyy /var/log/samba/ -hakemistoon sekä nmbd.log, että log.nmbd

Hienoa olisi, jos Samban päälle tai rinnalle rakennettaisiin jonkinlainen AD-client, joka hoitaisi Active Directoryyn kirjautumisen automaattisesti. DNS, DHCP, hostname yms parametrithan ovat jo valmiina omalla koneella.
Enkä missään nimessä tarkoita mitään GUI-rakennelmaa, koska:
- Eihän serverissä ole graafista käyttöliittymää
- Ikinä ei GUI:lla ole saavutettu mitään etua suoraan tiedoston editointiin verrattaessa, kun pitäisi confata jotain.

[Asmo Koskinen]

Tarkoitus on saada Active Directoryyn kirjauttu 9.04 serveri jakamaan levyalueita AD:n määrätyille käyttäjille käyttäen AD:n salasanoja.

Kerron, mihin me päädymme ensi perjantaina, kun liitämme työpaikkani LTSP-palvelimen (Ubuntu 8.04) työpaikan Microsoft-palvelimen AD-puuhun. Joskus 2010/11/12 työpaikkani on sitten sellaisessa AD-puussa, joka kattaa kaikki Suomen ev.lut seurakunnat - toivottavasti meillä on silloin edelleenkin vapaus valita Linux, Firefox ja OpenOffice.

Olen muuten sitä mieltä, että... (http://fi.wikipedia.org/wiki/Ceterum_censeo)

...että, kaikkea ei voi laittaa yksin Samban piikkiin. Kai Microsoftin AD-versiollakin on osuutensa, kun kaikki ei ole läpinäkyvää ja yhteensopivaa Samban tai openLDAPin kanssa?

Esimerkki: siirryimme syksyllä uuteen sähköpostijärjestelmään, joka jättää Linux/Firefox-käyttäjät hieman rannalle - Linux/Firefox-ongelma vai Microsoft Exchange-ongelma?

"Uudistunut Webmail perustuu Microsoftin Outlook Web Access -tekniikkaan, minkä vuoksi sen kaikki ominaisuudet ovat käytössä vain Internet Explorer -selaimella. Jos selaimesi on jokin muu kuin Internet Explorer, valitse "Käytä Outlook Web Access Lightia" sillä sisäänkirjautumisnäytöllä, jossa kerrot sähköpostiosoitteesi ja salasanasi."

Ystävällisin terveisin Asmo Koskinen.

[Mistofelees]

...että, kaikkea ei voi laittaa yksin Samban piikkiin. Kai Microsoftin AD-versiollakin on osuutensa, kun kaikki ei ole läpinäkyvää ja yhteensopivaa Samban tai openLDAPin kanssa?

Vaikea sano, kenen piikkiin ATK-ongelmat pitäisi pistää. Joskus, vuosia sitten, kuvittelin naivisti, että kehityksessä pyrittäisiin yhteiseen päämäärään: toimivaan ATK-järjestelmään ja tiedonsiirtoverkkoon.
Meni aikansa, ennenkuin uskoin, että jokainen firma yrittää paaluttaa kenttänsä rakentamalla yhteensopimattomia järjestelmiä, joihin vain he pystyvät myymään lisäkilkkeitä.

Osa ongelmista menee kyllä niiden ohjelmoijien piikkiin, jotka eivät viitsi avata ainoaakaan dokumenttia kopioidakseen syntaksit valmiista järjestelmistä. Eivätkä toisaalta kaikki koskaan vaivaudu opettelemaan kirjoitustaitoa kirjoittaakseen lukukelpoisia dokumentteja.

Ja jokainenhan haluaa tehdä omat typeryytensä.

Itse asiasta
Jos saatte systeemin kasaan, niin kirjaa ihmeessä temput meidän muidenkin nähtäville.
Itse koitan myös pitää kirjaa aikaansaamisistani

[Asmo Koskinen]

Tämä on karkea listaus työaseman eli oman Ubuntu-läppärini liittämisestä työpaikkani AD-palvelimeen. Teen tarkemmat ohjeet myöhemmin, kun liitän LTSP-palvelimen ja sen käyttäjät AD-palvelimelle.

Tämä ensimmäinen testi osoitti kuitenkin, että Linuxin liittääminen onnistuu perusasetuksilla. Työpaikan AD-puu menee varsinaiseen kuosiinsa lähikuukausina ja silloin mietimme tarkemmin kone-, tunnus- ja resurssien jako-kysymykset.

0. Työasemassa on Ubuntu 8.04, joka on asianmukaisesti päivitetty (update & dist-upgrade).

AD-palvelimen täytyy luonnollisesti toimia oikein.

Luetaan ohje: http://www.ubuntu.com/system/files/AD_whitepaper_20090807.pdf

1. Asennetaan Likewise-Open.

Koodia: [Valitse]

sudo apt-get install likewise-open

Voidaan asentaa myös likewise-open-gui, mutta se ei ole välttämätön asennuksen tai ylläpidon kannalta.

2. AD-palvelin 'servsrk.koksrky.local' = 10.38.8.6

Ubuntu-työasema on saanut AD-palvelimelta ip-osoitteen dhcp-palvelusta.

Laitetaan nimipalvelut kuntoon.

Koodia: [Valitse]

/etc/hosts
127.0.0.1 ubuntu.koksrky.local ubuntu localhost
10.38.8.6 servsrk.koksrky.local


Koodia: [Valitse]

/etc/resolv.conf
nameserver 10.38.8.6

3. Laitetaan aikapalvelut kuntoon

Koodia: [Valitse]

/etc/default/ntpdate
# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes

# List of NTP servers to use  (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
#NTPSERVERS="servsrk.koksrky.local"

/etc/ntp.conf
# You do need to talk to an NTP server or two (or three).
server servsrk.koksrky.local

4. Liitetään Ubuntu-työasema AD-palvelimeen

Koodia: [Valitse]

koskias@ubuntu:~$ sudo domainjoin-cli join koksrky.local Administrator
Joining to AD Domain:   koksrky.local
With Computer DNS Name: ubuntu.koksrky.local

Administrator@KOKSRKY.LOCAL's password:
SUCCESS
koskias@ubuntu:~$

5. Ensimmäisten sisäänkirjautumisten jälkeen tehtiin seuraavat muutokset.

Koodia: [Valitse]

/etc/krb5.conf
[--]
    dns_lookup_kdc = true
    default_realm = SERVSRK.KOKSRKY.LOCAL
[--]


Koodia: [Valitse]

/etc/samba/lwiauthd.conf
[global]
    workgroup = KOKSRKY
    security = ads
    passdb backend = tdbsam
    disable netbios = yes
    idmap domains = default
    idmap config default:default = yes
    idmap config default:backend = lwopen
    idmap config default:readonly = yes
    idmap alloc backend = tdb
    idmap alloc config:range = 9000 - 9999
    idmap cache time = 3600
    idmap negative cache time = 300
    winbind cache time = 900
    winbind offline logon = yes
    winbind refresh tickets = yes
    winbind replacement character = ^
    winbind normalize names = yes
    winbind expand groups = 10
    # Added for KOKSRKY
    winbind use default domain = yes
    #
    template shell = /bin/bash
    # Added for KOKSRKY
    template homedir = /home/%U
    # template homedir = /home/%D/%U
    #
    machine password timeout = 2592000
    realm = KOKSRKY.LOCAL
    use kerberos keytab = yes

AD-palvelimella luotiin uusi tunnus 'asmok'. Nyt voitiin Ubuntu-työasemalla kirjautua 'asmok' tunnuksella ilman etuliitettä 'koksrky\'. Ubuntu-työasema loi asianmukaisen kotihakemiston ensimmäisellä kirjautumisella (/home/%U). Kotihakemistossa näkyy myös toinen aluksi käytössä ollut tunnus 'koskias' (/home/%D/%U).

Koodia: [Valitse]

koskias@ubuntu:~$ cd /home
koskias@ubuntu:/home$ ls -al
yhteensä 20
drwxr-xr-x  5 root      root      4096 2009-10-23 12:59 .
drwxr-xr-x 21 root      root      4096 2009-10-23 08:37 ..
drwxr-xr-x 23 557843770 557842945 4096 2009-10-23 13:23 asmok
drwxr-xr-x  3 root      root      4096 2009-10-23 10:50 KOKSRKY
drwxr-xr-x 32 koskias   koskias   4096 2009-10-23 15:13 koskias
koskias@ubuntu:/home$ cd KOKSRKY/
koskias@ubuntu:/home/KOKSRKY$ ls -al
yhteensä 12
drwxr-xr-x  3 root      root      4096 2009-10-23 10:50 .
drwxr-xr-x  5 root      root      4096 2009-10-23 12:59 ..
drwxr-xr-x 24 557843591 557842945 4096 2009-10-23 11:22 koskias
koskias@ubuntu:/home/KOKSRKY$


6. Muutama ruutukaappaus AD-palvelimelta, kun Ubuntu-työasema on liitetty AD-palvelimeen.

http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_01.png

http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_02.png

http://www.arkki.info/howto/Wiki/LTSP5-Testausta/Likewise-Open/AD_03.png

7. Kun Ubuntu-työasema käynnistetään, niin likewise-palvelu pitää käynnistää aina uudestaan!!! Bugi!!! Purkkaratkaisu on LTSP-palvelimella cronin ajaminen riittävän tiheästi.

"Known Issues

* After rebooting the computer and logging in you are given the error “Domain Controller unreachable, using cached credentials instead. Network rsource may be unavailable.” Likewise does not start correctly. You have to login as a local admin and run the following command and then users will be able to login.

# sudo /etc/init.d/likewise-open restart

http://www.linux.com/component/content/article/174-tutorials/26875-authenticate-to-active-directory-with-ubuntu

Kannattaa huomata, että Ubuntu 8.04 käyttää vanhempaa versiota kuin Ubuntu 9.10. Itse vaihdan LTSP-palvelimen vasta ensi kesänä uudempaan versioon - mutta jos on pakko AD-liittämisen takia, niin sitten vaihdan Ubuntu 9.10:iin.

http://packages.ubuntu.com/hardy-updates/likewise-open

http://packages.ubuntu.com/karmic/likewise-open5

ps. Tämähän ei kerro mitään Samba-palvelimen käytöstä AD-palvelimen yhteydessä...

Ystävällisin terveisin Asmo Koskinen.

[Mistofelees]

Tämä ensimmäinen testi osoitti kuitenkin, että Linuxin liittääminen onnistuu perusasetuksilla. Työpaikan AD-puu menee varsinaiseen kuosiinsa lähikuukausina ja silloin mietimme tarkemmin kone-, tunnus- ja resurssien jako-kysymykset.

Kiitos muidenkin puolesta perusteellisesta selvityksestä !

Itsellä meni kuitenkin homma uuteen uskoon, kun tulin hetken miettineeksi, mitä olen tekemässä, enkä vain räpeltänyt:
- Halutaan tarjota Linux-koneen levyalueita asiakkaille
- Asiakas on kirjautunut tunnuksellaan ja salasanallaan domainiin
- Salasanat varmennetaan DomainControlleria vastaan.
- Vaikka kone onkin serveri, se käyttäytyy nimipalveluiden suhteen kuin client.

Pyyhin taulun puhtaaksi ja aloin alusta.
Seuraavat paketit koneeseen. Osa enemmänkin rootin tarpeiden vuoksi:
samba, samba-common, samba-tools, system-config-samba, smbclient, smbfs, winbind, krb5-config, krb5-user.

Likewisen jätin pois kokonaan, samoin OpenLdap:n, koska en ole aikeissa kilpailla domainin WINS, DNC ja DHCH -palveluiden kanssa.
smb.conf on tällä hetkellä alla olevan mukainen. Varmasti mukana on turhaakin, mutta sitä ehtii seuloa myöhemminkin. Näillä se kuitenkin toimii.
Epäselvää on, pitääkö omaa serveriä edes kirjata Active Directoryyn jos kerran tarvitaan vain password serveriä. Kone on tullut jo aiemmin kirjattua 'net join ads...' - komennolla, kun vielä rakentelin liittämistä ADn osaksi. Nyt jos koittaa, saa herjan: 'cannot join as standalone machine'.

Koodia: [Valitse]

[global]
        server string = Samba server %h
        hosts allow = 192.168. 127.0.0.1
        obey pam restrictions = Yes
        pam password change = No
        smb passwd file = /etc/samba/private/smbpasswd
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        unix password sync = no
        encrypt passwords = yes
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 50
        panic action = /usr/share/samba/panic-action %d
        netbios name = omaserveri
# Ei aleta kilpailla AD:n omien serverien kanssa:
        domain master = no
        local master = no
        preferred master = no
        os level = 0
        dns proxy = no
        name resolve order = wins bcast lmhosts
        wins server = wins.workgroup.fi
# Oleellinen:
        security = server
        password server = domaincontroller.workgroup.fi
        realm = workgroup.fi
        workgroup = workgroup
        winbind use default domain = yes
        winbind enum groups = yes
        winbind enum users = yes
        client use spnego = yes 
        client ntlmv2 auth = yes
[homes]
        comment = Käyttäjän oma kotihakemisto
        path = /home/%U
 #Käyttäjä näkee vain omansa:
        browseable = no
        read only = no
        public = no
# Suojaukset kuntoon:
        create mask = 0700
        directory mask = 0700


[veekoo]

Kone on tullut jo aiemmin kirjattua 'net join ads...' - komennolla, kun vielä rakentelin liittämistä ADn osaksi. Nyt jos koittaa, saa herjan: 'cannot join as standalone machine'.

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

[Mistofelees]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

[Tunkkaamo]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.

Voi myös asentaa win-työasemalle adminpakista.

[Mistofelees]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.

Voi myös asentaa win-työasemalle adminpakista.

Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?

[Tha-Fox]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.

Voi myös asentaa win-työasemalle adminpakista.

Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?

Olettaisin, että vaatii. En ole tosin koskaan kokeillut normikäyttäjän tunnuksilla.

[Mistofelees]

Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?

Olettaisin, että vaatii. En ole tosin koskaan kokeillut normikäyttäjän tunnuksilla.

Palataan siis lähtöruutuun. AD on käytössä vain isoissa kokonaisuuksissa ja niissä ei Admin-oikeuksia jaeta kaikille ohikulkijoille.
Pitkään tapeltuani on ainoa tulos ollut, että serveriä ei edelleenkään näy AD-verkossa, eikä sen levyjä pääse käyttämään. Välillä jo toimikin, mutta käsin koskematta tämäkin toiminnallisuus katosi.
Käsitykseksi on tullut, että on loputtomasti tapoja, miten AD on voitu kasata. Ohjeet pitää kirjoittaa kutakin järjestelmää varten erikseen.
Taistelu jatkuu.

[Tunkkaamo]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.

Voi myös asentaa win-työasemalle adminpakista.

Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?

Juu kyllä vaatii domain-admin oikeudet.
Kuten tossa jos sanottiin AD:ssa ei "ohikulkijat" muuta mitään.

[Mistofelees]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Mikähän tuolainen työkalu on ja mistä se löytyy ?

Active directory users and computers.
Löytyy ainakin domain controlleri koneen admisnistrative toolseista.

Voi myös asentaa win-työasemalle adminpakista.

Eikä tämä siis vaadi ActivDirectoryn Administraattorin oikeuksia ?

Juu kyllä vaatii domain-admin oikeudet.
Kuten tossa jos sanottiin AD:ssa ei "ohikulkijat" muuta mitään.

Itselle on tutumpi tapa, jossa käyttäjälle annetaan oman koneensa kohdalla asennusoikeus. Ei suinkaan Domain-Admin -oikeuksia.

[Tunkkaamo]

Omalle koneelle voi tietty myöntää admin-oikeuksia tarvittaessa mutta local-admin ei voi liittää konetta domainiin.

[Mistofelees]

Liittäminen voi epäonnistua jos domainissa on edellisen liitoksen jäljiltä tuon niminen kone. Käy poistamassa "domain users and computers" -työkalulla vanha kone domainista ja yritä uudestaan.

Näitä epäonnistumisen syitä on nyt tullut käytyä läpi melkein kuukausi.
Tähän mennessä on erottunut kaksi selkeää syytä:
- Onneton dokumentointi
- Olematon versiohallinta

Netti on täynnä juttuja 'tee niin tai näin, niin onnistut'. Ilmeisesti suurin osa näistä perustuu kirjoittajan tekemiin kokeiluihin, joiden jäljiltä koneeseen on ladattuna monenlaista kamaa. Kokeilujen jälkeen ei enää muisteta, mitä on asennettu ja kerrotaan vain niistä viimeisistä virityksistä. Olisi mukava nähdä yksikin sellainen ohje, jossa yksikäsitteisesti kerrottaisiin, mitä kaikkea koneeseen pitää asentaa, jotta AD-autentikoinnin saisi toimimaan.
Lisäksi suuri osa ohjeista perustuu siihen, että kirjoittajalla on kotonaan oma AD, jossa hän on administraattorina.
Ohjeissa ei myöskään kovin usein ole mainintaa siitä, missä distrossa ja missä versiossa virittely on tehty. Saatika sitä, mitä versioita ohjelmista on käytetty. Jo pelkka päivämääräkin webbisivulla antaisi jotain mielikuvaa.

Monissa ohjeissa törmää siihen, että komennoille pitäisi antaa parametrejä, joita ohjelmat eivät edes tunne, kirjoittaa muutoksia conf-tiedostoihin, joita ei koneessa ole ja kutsua ohjelmia, jotka myös puuttuvat.

Sitten on tietenkin myös selviä virheitä. Esim tämä viimeinen Open-Likewise5 -asennukseni apt-getillä jäi koko ajan ilmaan roikkumaan. Uudelleenkäynnistysyritys ei antanut ruudulle mitään ilmoitusta. Lopulta /etc/init/likewise-open -tiedostosta paljastui, että ohjelmiston asennuksesta puuttuu kokonaan sen kaipaama likewise-winbindd. Puuttuu myös alkeellisinkin virheilmoitus. Olisi siinä Miina ja Manu saanut tätäkin ihmetellä pitkään.

Miina ja Manu kyllä ihmettelevät muutenkin tässä asiassa vallitsevaa lyhenteiden sekamelskaa. Yhtenä esimerkkinä smb.conf:ssa:

# If you are using encrypted passwords, Samba will need to know what password database type you are using. 
   passdb backend = tdbsam

Minusta myös asentajan olisi mukava tietää, millainen password database pitäisi olla käytössä ja millä perusteilla. (Tämä vain esimerkkinä)

Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI. Kirjattaisiin ylös ne yleisimmät ympäristöt, joissa serveri tulee pyörimään ja luotaisiin näille valmiit asennustyökalut. Voisihan asennusscripti tarvittaessa omin avuin ladata tai edes ehdottaa ladattavaksi tarvittavia lisäosia.
Muutama mahdollinen ympäristö:
- iso AD, johon käyttäjä saa asennusoikeudet adminilta.
- Standalone kotikone, johon käyttäjillä on omat salasanat jotka eivät ole samat, kuin Windows-koneissa
- Standalone kotikone, joka autentikoi windows-koneiden salasanat
- Domain Controller

[Tha-Fox]

Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI. Kirjattaisiin ylös ne yleisimmät ympäristöt, joissa serveri tulee pyörimään ja luotaisiin näille valmiit asennustyökalut. Voisihan asennusscripti tarvittaessa omin avuin ladata tai edes ehdottaa ladattavaksi tarvittavia lisäosia.
Muutama mahdollinen ympäristö:
- iso AD, johon käyttäjä saa asennusoikeudet adminilta.
- Standalone kotikone, johon käyttäjillä on omat salasanat jotka eivät ole samat, kuin Windows-koneissa
- Standalone kotikone, joka autentikoi windows-koneiden salasanat
- Domain Controller

Veikkaan, että avoimella puolella AD:ta ei nähdä ihan niin elintärkeänä Ja minusta on melko luontevaa, että konetta domainiin liittävällä täytyy olla admin-oikeudet domainiin.

Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella.

[Mistofelees]

Minusta Ubuntun serverissä pitäisi olla jo sisään rakennettuna työkalut, joilla jokseenkin elintärkeä AD-autentikointi syntyisi HELPOSTI.

Veikkaan, että avoimella puolella AD:ta ei nähdä ihan niin elintärkeänä Ja minusta on melko luontevaa, että konetta domainiin liittävällä täytyy olla admin-oikeudet domainiin.

Minusta pitäisi alkaa nähdä. Pitäisi ottaa pingviini-lasit silmiltä ja alkaa suhtautua vakavasti Linuxin käyttöön muutenkin, kuin nörttien leikkikenttänä. Monessa paikassa haluttaisiin saada Linux-koneita nykyisen MSWindows-kannan lisäksi. Yksi suurimmista esteistä on juuri se, että käyttäjän kannalta Linuxin domainiin liittäminen on jokseenkin hankalaa, nörtteilyä.
Linuxilla ei ole mitään jakoa firmaverkoissa, ellei se pysty tasavertaisesti käyttämään verkon resursseja M$W:n kanssa.

Domainiin liittävällä EI tarvitse olla Administrator-oikeuksia domainiin, vaan verkko-Administratorin antama liittämislupa.
Ainakin meillä Windows-koneen käyttäjälle annetaan asennusoikeus. Ei ehkä paras mahdollinen tapa, mutta toimii se näinkin.
Monessa firmaverkossa asennusoikeus on tietenkin tukiryhmällä, eikä muilla mitään oikeuksia olekaan. Tällöinkin asennuksen pitäisi kuitenkin olla yksinkertaista ja nopeaa. Softat sisään, install-scriptillä asetukset kohdalleen ja kone käyttöön. Windowshan menee domainiin domainin nimen ja koneen nimen asettamisella. Windows ei tässä yhteydessä paljoa kysele eikä pyydä puukottamaan kymmentä conf-tiedostoa.

[Tomin]

Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella.

En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods

Automated Methods
The SADMS package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/

[Mistofelees]

Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella.

En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods

Automated Methods
The SADMS package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/

SADMS on hyvästä syystä viimeisenä, koska se on GUI. Ainakaan 9.04 ja 9.10 servereissä ei tullut X:ää mukana (luojan kiitos !)
Jonkun pitäisi kieltää Nörttejä hölmöilemästä. Perus asennusohjelmien pitäisi toimia tekstipäätteellä. Joko koneen omalla ruudulla tai SSH:lla. GUI:t eivät kuulu serverihin.

[Mistofelees]

Tämä AD autentikointi alkaa tympäistä.
- Tuolla SADMS:n kohdalla puhutaan PAM:sta ja eräällä toisella sivulla varoitetaan missään nimessä käyttämästä PAM:a kerberoksen yhteydessä.
- Ubuntu repoista löytyvä Likewise-open5 on kuulema rikki. Sen sijaan pitäisi ladata ubuntu srv 9.10:lle Likewisen tuorein versio
(http://www.backports.ubuntuforums.org/showthread.php?p=8342962)
Oma havaintoni on, että ainakin repoista ladatussa paketissa /etc/init.d/likewise-open on rikki. Se koittaa kutsua ohjelmaa likewise-winbindd jota taas ei tunnu olevan tässä koko maailmassa. Jossain taas varoitettiin, että Likewisen kanssa ei kuulu käyttää winbind:ä (vaikka LW:n manuaalissa niin sanotaan) koska LW 5.x:ssä Winbindin tilalla kuuluu käyttää nsswitchiä.

Ovatko siis winbind ja nsswitch toisensa poissulkevat ?

Alkaa ihmetyttää, miten monella tavalla tämä yhdistäminen pyritään järjestämään. Jos nyt vielä unohdetaan open-ldap ja puolisen tusinaa muuta tapaa, jotka ovat tulleet esille.
Likewiseä kehuttiin 2007 tulevaisuuden ratkaisuksi tällä alalla. Ei näytä paljoa edenneen. Pahuksen pitkiä PDF -dokumenttejä on kyllä ilmestynyt. Sisältö on kyllä aika kevyttä.

Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.
Omasta kokemuksesta voin sanoa, että ollaan toimivuuden kannalta täsmälleen siinä, kuin vuonna 2001, jolloin annoin periksi ja käytin sambassa security=user asetusta enkä yrittänytkään saada autentikointia serveriltä ennenkuin nyt puolittaisen pakon edessä. Dokumentaatiota ja forum-sivuja on kyllä ilmestynyt sen jälkeen todelliseksi riesaksi asti.