Muokataan sivua Linux-työaseman liittäminen Windows AD-toimialueeseen
Siirry navigaatioon
Siirry hakuun
Kumoaminen voidaan suorittaa. Varmista alla olevasta vertailusta, että haluat saada aikaan tämän lopputuloksen, ja sen jälkeen julkaise alla näkyvät muutokset.
Nykyinen versio | Oma tekstisi | ||
Rivi 1: | Rivi 1: | ||
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http:// | '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://www.linux-tuki.fi Suomen Linux-tuki]) KEUDAn opettajakoulutusta varten''' | ||
Windowsia käyttävissä yrityksissä on tyypillisesti | Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan. | ||
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa | Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat ollet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa. | ||
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat | Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise Open/Enterprise sekä Centrify Express. | ||
Jos yrityksessä otetaan käyttöön VALO-strategia, | Jos yrityksessä otetaan käyttöön VALO-strategia, jos pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät. | ||
== Windows-toimialueelle liittyminen == | == Windows-toimialueelle liittyminen == | ||
Rivi 31: | Rivi 31: | ||
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin. | Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin. | ||
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento: | Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento: | ||
Rivi 44: | Rivi 36: | ||
=== Kirjautuminen pelkällä tunnuksella, ilman toimialuetta === | === Kirjautuminen pelkällä tunnuksella, ilman toimialuetta === | ||
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla | Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla LikeWisen rekisteriä komennolla: | ||
sudo lwregshell set_value "HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory" AssumeDefaultDomain 0x00000001 | |||
Ubuntu 10.04:ssä olevan LikeWisen [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/534629 bugin] takia asetuksen muuttaminen ei toimi, vaan LikeWise pitää päivittää uudempaan versioon PPA:sta komennoilla: | |||
sudo add-apt-repository ppa:likewise-open/likewise-open-ppa | |||
sudo apt-get update | |||
sudo apt-get upgrade | |||
=== Virhetilanteita === | === Virhetilanteita === | ||
Rivi 70: | Rivi 54: | ||
=== Lisätietoja === | === Lisätietoja === | ||
* [http:// | * [http://www.likewise.com/resources/documentation_library/manuals/open/likewise-open-54-guide.html Likewise 5.4 dokumentaatio (Ubuntu 10.04:ssa oleva versio)] | ||
* [https://help.ubuntu.com/ | * [https://help.ubuntu.com/10.04/serverguide/C/likewise-open.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen LikeWise Openilla] (versionumerosta huolimatta ohje osittain vanhentunut) | ||
* [https://help.ubuntu.com/ | * [https://help.ubuntu.com/10.04/serverguide/C/samba-ad-integration.html Ubuntu 10.04:n virallinen dokumentaatio: toimialueeseen liittyminen Samballa] (vaihtoehtoinen tekniikka) | ||
== Exchangen käyttö Linuxissa == | == Exchangen käyttö Linuxissa == | ||
Rivi 81: | Rivi 64: | ||
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta. | [[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta. | ||
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa | IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. | ||
[[Luokka:Verkko]] | [[Luokka:Verkko]] | ||
[[Luokka:Ohjeet]] | [[Luokka:Ohjeet]] | ||
[[Luokka:Opetusmateriaalit]] | [[Luokka:Opetusmateriaalit]] |