Ero sivun ”Linux-työaseman liittäminen Windows AD-toimialueeseen” versioiden välillä
(10 välissä olevaa versiota 2 käyttäjän tekeminä ei näytetä) | |||
Rivi 1: | Rivi 1: | ||
'''Tämän artikkelin on laatinut Otto Kekäläinen ([http:// | '''Tämän artikkelin on laatinut Otto Kekäläinen ([http://seravo.fi/ Linux-tuki.fi/Seravo Oy]) koulutuskäyttöön''' | ||
Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan. | Windowsia käyttävissä yrityksissä on tyypillisesti '''Windows-toimialue''' (Active Directory, AD), johon '''jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana'''. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan. | ||
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat | Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa '''tällaisessa ympäristössä voi käyttää myös Linux-työasemia'''. Kiitos [http://fsfe.org/projects/ms-vs-eu/ms-vs-eu.fi.html yhteentoimivuutta edistävien järjestöjen toiminnan] EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi [http://www.samba.org/ Samba]. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa. | ||
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Likewise | Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express. | ||
Jos yrityksessä otetaan käyttöön VALO-strategia, | Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät. | ||
== Windows-toimialueelle liittyminen == | == Windows-toimialueelle liittyminen == | ||
Rivi 14: | Rivi 14: | ||
* pääkäyttäjäoikeus omaan Linux-työasemaan | * pääkäyttäjäoikeus omaan Linux-työasemaan | ||
* Windows-verkon käyttäjätunnus ja salasana | * Windows-verkon käyttäjätunnus ja salasana | ||
* toimialueen täydellinen verkkonimi, esim. yritys.fi tai yritys.local | * toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa) | ||
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa. | Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa. | ||
Rivi 20: | Rivi 20: | ||
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: | Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla: | ||
sudo apt-get install likewise-open | sudo apt-get install likewise-open | ||
Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät). | |||
Sen jälkeen suorita liittäminen komennolla: | Sen jälkeen suorita liittäminen komennolla: | ||
Rivi 29: | Rivi 31: | ||
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin. | Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin. | ||
=== Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä === | |||
Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa ''/etc/lightdm/lightdm.conf'' (esim. ''sudo gedit /etc/lightdm/lightdm.conf'') ja asettamalla rivin: | |||
greeter-show-manual-login=true | |||
Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla | |||
sudo service lightdm restart | |||
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento: | |||
sudo domainjoin-cli leave | |||
=== Kirjautuminen pelkällä tunnuksella, ilman toimialuetta === | |||
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla: | |||
sudo lwconfig AssumeDefaultDomain true | |||
=== Ylläpito-oikeudet Linux-työasemaan === | |||
AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins). | |||
%domain^admins ALL=(ALL:ALL) ALL | |||
=== Tiedostojaot ja muu yhteistoiminta Samban kanssa === | |||
Lisätietoja löytyy [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbise/Manuals/likewise-samba-guide.html Likewisen Samba-dokumentaatiosta], mutta nopeat loitsut alla: | |||
sudo apt-get install samba | |||
sudo samba-interop-install --install | |||
Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. [https://bugs.launchpad.net/ubuntu/+source/likewise-open/+bug/992970 bugiraportti #992970]. Ratkaisu on asentaa LikewiseOpen 7.0. | |||
=== Virhetilanteita === | |||
Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon ''sudo dpkg-reconfigure krb5-config'' tai muokata suoraan tiedostoa ''sudo nano /etc/krb5.conf''. | |||
LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin ''lw-'' ja painaa pari kertaa sarkainta (tab). | |||
=== Lisätietoja === | === Lisätietoja === | ||
* [http://download1.beyondtrust.com/Technical-Support/Downloads/files/pbiso/Manuals/likewise-open-guide.html Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)] | |||
# | * [https://help.ubuntu.com/community/LikewiseOpen LikewiseOpen Ubuntun wikissä] | ||
* [https://help.ubuntu.com/12.04/serverguide/windows-networking.html Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking] (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka) | |||
* [http://wiki.syotec.fi/index.php?title=JA290_-_Linux_Server_-_Toimialue#Linux-ty.C3.B6asema_.2B_AD Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta] | |||
== Exchangen käyttö Linuxissa == | == Exchangen käyttö Linuxissa == | ||
Rivi 42: | Rivi 79: | ||
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua. | Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua. | ||
[[Thunderbird]]iin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen [https://addons.mozilla.org/af/thunderbird/addon/provider-for-microsoft-exchang/ Exchange-lisäosa]. Myös [[Evolution]]-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta. | |||
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [ | IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä [[DavMail]] edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon). | ||
[[Luokka:Verkko]] | [[Luokka:Verkko]] | ||
[[Luokka:Ohjeet]] | [[Luokka:Ohjeet]] | ||
[[Luokka:Opetusmateriaalit]] |
Nykyinen versio 7. maaliskuuta 2013 kello 13.39
Tämän artikkelin on laatinut Otto Kekäläinen (Linux-tuki.fi/Seravo Oy) koulutuskäyttöön
Windowsia käyttävissä yrityksissä on tyypillisesti Windows-toimialue (Active Directory, AD), johon jokaisella yrityksen työntekijällä on oma käyttäjätunnus ja salasana. Sisäänkirjauduttuaan käyttäjälle latautuu hänen oma roaming-profiilinsa ja hänelle näkyy Windows-palvelinten verkkolevyjä sekä verkkotulostimia sen mukaan, mitä AD:ssä on hänelle määritelty. Käyttäjällä on myös jossain määrin kertakirjautuminen käytössä, eli esimerkiksi MS Outlook osaa hakea yrityksen Exchange-palvelimelta suoraan käyttäjän omat sähköpostit ja kalenterit ilman että käyttäjätunnusta tai salasanaa kysytään uudestaan.
Tällaisten ympäristöjen käyttäjät ja usein myös ylläpitäjät luulevat olevansa täysin sidoksissa Microsoftin työasematuotteisiin, mutta itse asiassa tällaisessa ympäristössä voi käyttää myös Linux-työasemia. Kiitos yhteentoimivuutta edistävien järjestöjen toiminnan EU pakotti Microsoftin julkaisemaan rajapintamäärittelyt, joita hyödyntäen on voitu kehittää ohjelmistoja kuten esimerkiksi Samba. Yhteentoimivuutta helpottaa myös se, että Microsoft on soveltanut AD:ssä LDAP- ja Kerberos-tekniikoita, jotka ovat olleet ja ovat edelleen avoimia. Microsoftin toteutukset tosin eivät ole täysin näiden standardien mukaisia – Microsoft ilmoittaa itse poikenneensa standardeista koska haluaa tarjota käyttäjille enemmän ominaisuuksia, toiset taas pitävät todellisena syynä tahallista yhteentoimivuuden rikkomista, jotta kilpaileviin tuotteisiin siirtyminen olisi vaikeampaa.
Sambaan liittyy sekä palvelinohjelmia, joilla Windowsin omat AD-, verkkolevy- ja tulostinpalvelimet voidaan korvata, sekä asiakasohjelmia joilla näitä palveluita voi käyttää Linux-työasemassa. Tässä artikkelissa keskitytään siihen, mitä voi tehdä Linux-työasemalla tekemättä mitään muutoksia palvelimille. Muita vastaavia ohjelmia ovat Beyond Trust - PowerBroker Identity Services Open Edition (entinen Likewise) sekä Centrify Express.
Jos yrityksessä otetaan käyttöön VALO-strategia, jossa pääosa työasemista alkaa olla Linuxeja, voi Windows-palvelimet lopulta korvata Samba-palvelimilla, joita sekä Linux- että Windows-työasemat käyttävät.
Windows-toimialueelle liittyminen[muokkaa]
Toimialueelle liittymistä varten tarvitaan:
- pääkäyttäjäoikeus omaan Linux-työasemaan
- Windows-verkon käyttäjätunnus ja salasana
- toimialueen täydellinen verkkonimi, esim. yritys.fi tai (mieluiten ei yritys.local, koska .local pääte häiritsee lähiverkon nimipalvelutoimintaa)
Helpoin tapa liittää työasema Windows-toimialueeseen lienee käyttää Likewise Open -ohjelmistoa.
Asenna ensin ohjelmisto. Ubuntussa se tapahtuu komennolla:
sudo apt-get install likewise-open
Asennusohjelman aikana asentuu myös Kerberos-asiakasohjelma. Kun se kysyy REALM-nimeä, syötä toimialue isoilla kirjaimilla, esim YRITYS.FI. Muut Kerberoksen kysymykset voi jättää vakioasetuksille (tyhjät).
Sen jälkeen suorita liittäminen komennolla:
sudo domainjoin-cli join yritys.fi Tunnus
Jos kaikki menee hyvin, näkyy ruudulla SUCCESS. Käynnistä Linux-työasema uudestaan, ja sisäänkirjautumisruudulla voit kirjautua sisään kirjoittamalla "DOMAIN\tunnus". Sisäänkirjautumisen jälkeen voit valita Sijainti > Verkko ja selata verkkolevyjä, joihin käyttäjätunnuksellasi on oikeus. Voit myös lisätä tulostimia valitsemalla Järjestelmä > Ylläpito > Tulostus.
Windows AD:n vakioasetuksilla kuka tahansa käyttäjä voi tehdä työaseman liittämisen 10 kertaa, ja silloin työasema ilmestyy Computers-ryhmään.
Linuxiin sisäänkirjautuminen tapahtuu PAM-järjestelmän kautta (pluggable authentication modules). PAM on rajapinta, jonka taustalla voi olla minkälainen käyttäjätunnistus tahansa. Vakioasetuksilla PAM käyttää /etc/shadow-tiedostossa olevia tunnuksia ja salasanoja, mutta Likewisen myötä on PAM-moduulit, jotka tarkistavat tunnuksen ja salansanan AD:lta. Järjestelmän ansiosta myös esimerkiksi salasana vaihtaminen onnistuu, kuten myös salasanan vanhentuminen tai pakotettu salasanan vaihto. PAM:ia käyttää pääsääntöisesti kaikki Linuxin palvelinjärjestelmät, eli myös tekstipohjainen sisäänkirjautuminen, graafinen GDM ja vaikkapa SSH-palvelin.
Ubuntu 12.04 ja LightDM vapaa kirjautumiskenttä[muokkaa]
Ubuntun uudemmissa versioissa on käytössä sisäänkirjautumisnäkymänä LigtDM, jossa vakiona ei ole lainkaan vapaatekstikenttää sisäänkirjautumista varten. Sellaisen saa kuitenkin näkyviin muokkaammlla tiedostoa /etc/lightdm/lightdm.conf (esim. sudo gedit /etc/lightdm/lightdm.conf) ja asettamalla rivin:
greeter-show-manual-login=true
Asetus tulee voimaan lightdm:n (tai koko järjestelmän) uudelleenkäynnistymisen jälkeen, minkä voi laukaista manuaalisesti komennolla
sudo service lightdm restart
Jos työasema halutaan pois Windows-verkosta, voidaan ajaa komento:
sudo domainjoin-cli leave
Kirjautuminen pelkällä tunnuksella, ilman toimialuetta[muokkaa]
Sisäänkirjautuminen on kätevämpää jos sisäänkirjauduttaessa ei tarvitse kirjoittaa "DOMAIN\tunnus" vaan pelkkä "tunnus" riittäisi. Oletustoimialueen saa käyttöön muuttamalla Likewisen asetuksia komennolla:
sudo lwconfig AssumeDefaultDomain true
Ylläpito-oikeudet Linux-työasemaan[muokkaa]
AD-käyttäjällä ei oletuksena ole juurikaan oikeuksia työasemaan. Esimerkiksi sudo-oikeudet pitää myöntää erikseen. Alla olevan rivin lisääminen /etc/sudoers -tiedostoon antaa kaikille domain^admins-ryhmän jäsenille sudo-oikeudet (jos oletustoimialue ei ole valittuna, muista nimeä tyhmä tyyliin %DOMAIN\domain^admins).
%domain^admins ALL=(ALL:ALL) ALL
Tiedostojaot ja muu yhteistoiminta Samban kanssa[muokkaa]
Lisätietoja löytyy Likewisen Samba-dokumentaatiosta, mutta nopeat loitsut alla:
sudo apt-get install samba sudo samba-interop-install --install
Valitettavasti tämä ei toimi enää Ubuntu 12.04 versiossa, ks. bugiraportti #992970. Ratkaisu on asentaa LikewiseOpen 7.0.
Virhetilanteita[muokkaa]
Jos Kerberoksen asetukset haluaa tehdä uudestaan, voi ajaa komennon sudo dpkg-reconfigure krb5-config tai muokata suoraan tiedostoa sudo nano /etc/krb5.conf.
LikeWiseen kuuluu paljon erilaisia analysointikomentoja. Kaikki saatavilla olevat LikeWise-komennot näkee näppärästi kun kirjoittaa komentoriviin lw- ja painaa pari kertaa sarkainta (tab).
Lisätietoja[muokkaa]
- Likewise 6.1 dokumentaatio (Ubuntu 12.04:ssa oleva versio)
- LikewiseOpen Ubuntun wikissä
- Ubuntu 12.04:n virallinen dokumentaatio: Windows Networking (Puhdas Samba-ohjelmisto, vaihtoehtoinen tekniikka)
- Opetusmateriaalit SyoTecin wikissä Linuxista ja AD-toimialueesta
Exchangen käyttö Linuxissa[muokkaa]
Exchange ei käytä juurikaan standardeja rajapintoja (esim. IMAP tai CalDAV) vaan sen rajapinta on Microsoftin oma ja suljettu, jota toistaiseksi ei ole ulkopuolisten toimesta saatu kunnolla avattua.
Thunderbirdiin ja sen Lightning-lisäosaa käyttäville on olemassa alkeellinen Exchange-lisäosa. Myös Evolution-sähköpostiohjelmalla voi jossain määrin kytkeytyä Exchangeen. Suositeltavinta on käyttää Exchangen selainpohjaista käyttöliittymää (OWA) tai kytkeä siihen päälle IMAP-rajapinta.
IMAP-, CalDAV- ja muut rajapinnat voi saada Exchangeen myös pystyttämällä DavMail edustapalvelimeksi, joka tarjoilee Exchangen tiedot standardinmukaisissa muodoissa. Monessa paikkaa (esim. Aalto-yliopisto, EU-parlamentti) käytetään myös Dovecot-IMAP-palvelinta Exchangen edustalla tarjoamassa käyttäjille IMAP-standardin mukaisen rajapinnan sekä siihen liittyvän nopeuden ja tietoturvan (kukaan ei uskalla laittaa Exchangea suoraan julkiseen verkkoon).